LDP是Windows域中排查AD对象属性问题的轻量级LDAP工具。需以域管理员身份运行,连接域控制器(端口389/636),绑定账户后通过目录树或DN定位对象,右键Properties查看属性,支持显示全部、过滤特定属性及导出LDIF;注意lastLogon非全局、unicodePwd不可读、时间戳需换算。
在windows域环境中,ldp(ldap directory editor)是排查ad对象属性问题的轻量级利器。它不依赖图形界面,直接通过ldap协议与域控制器通信,适合快速验证属性值、调试权限或检查复制状态。
启动LDP并连接到域控制器
以域管理员身份运行LDP.exe(位于System32目录下)。点击Connection → Connect,输入目标域控制器的主机名或IP地址,端口保持默认389(非SSL)或636(LDAPS),勾选SSL如需加密连接。成功后状态栏显示bound,表示已认证接入。
绑定账户与定位目标对象
连接后需显式绑定:点击Connection → Bind,选择Simple bind,输入具有查询权限的域账户(如DOMAIN\Administrator)及密码。绑定成功后,用View → Tree展开目录树,逐级导航至目标OU或容器;也可直接在Browse → Search中输入DN(如CN=John Doe,OU=Users,DC=corp,DC=local)快速定位。
查询并查看对象属性
右键目标对象 → Properties,弹出属性窗口。默认只显示常用属性(如sAMAccountName、displayName),如需查看所有属性,勾选Show all attributes;若需检索特定属性(如lastLogonTimestamp或msDS-UserPasswordExpiryTimeComputed),可在Filter框中输入(objectClass=*)并勾选Extended → Return only these attributes,手动输入属性名(逗号分隔)。
导出结果与常见注意事项
在属性窗口中点击Export可将当前对象所有属性保存为LDIF文件,便于离线分析或比对。注意:
• lastLogon是单DC本地值,跨域控不一致;查统一登录时间应使用lastLogonTimestamp
• 隐藏属性(如unicodePwd)无法读取,属AD安全限制
• 查询高精度时间戳(如accountExpires)时,LDP默认显示为100纳秒间隔的大整数,需换算为标准时间(可用PowerShell辅助解析)
