modul Aktív könyvtár a Windows PowerShell számára Manapság ez az egyik fő eszköz a tartományok felügyeletéhez, az Active Directory objektumainak kezeléséhez, valamint a számítógépekről, a felhasználókról és a csoportokról szóló különféle információk fogadására. Bármely Windows rendszergazdának nemcsak az AD grafikus beépülő moduljait kell használnia (leginkább az ADUC - Active Directory felhasználók és számítógépek), hanem ennek a PowerShell-modulnak a parancsmagjait is a napi Active Directory adminisztrációs feladatok végrehajtásához. Ebben a cikkben megvizsgáljuk az RSAT-AD-PowerShell modul telepítését, annak alapvető funkcionalitását és a népszerű parancsmagokat, amelyek hasznosak lehetnek az AD kezelése és kezelése során..
Tartalom:
- Telepítse az Active Directory for PowerShell szolgáltatást a Windows Serverre
- Telepítse az RSAT-AD-PowerShell szoftvert a Windows 10 rendszerre
- AD modul-parancsmagok a PowerShellhez
- Az RSAT-AD-PowerShell modul használata az AD adminisztrációhoz
Telepítse az Active Directory for PowerShell szolgáltatást a Windows Serverre
A Windows PowerShell Active Directory modulja már be van építve a Windows Server operációs rendszerekbe (a Windows Server 2008 R2-vel kezdve), de alapértelmezés szerint nincs aktiválva..
A Windows Server 2016 rendszerben engedélyezheti az AD modult a PoSh számára a Windows Server 2016 rendszerben a vezérlőpulton Szerver menedzser (Szerepek és szolgáltatások hozzáadása -> Funkciók -> Távoli kiszolgáló adminisztrációs eszközei -> Szerepfelügyeleti eszközök -> AD DS és AD LDS eszközök -> Active Directory modul a Windows PowerShell számára).
A modult a parancssorból a PowerShell paranccsal is telepítheti:
Telepítés-WindowsFeature -Név "RSAT-AD-PowerShell" -IncludeAllSubFeature
Az RSAT-AD-PowerShell modult nem csak a tartományvezérlőre telepítheti. Bármely tagszerver vagy akár egy munkaállomás is megteszi. Az AD tartományvezérlőkön a modul automatikusan települ az ADDS szerepkör telepítésekor (amikor a szervert DC-re frissítik).
A modul az AD-vel együttműködik az Active Directory webszolgáltatásokon keresztül, amelyeket telepíteni kell a tartományvezérlőre (interakció a 9389 TCP porton).
Telepítse az RSAT-AD-PowerShell szoftvert a Windows 10 rendszerre
Az RSAT-AD-PowerShell modult nemcsak a szerverekre telepítheti, hanem a munkaállomásokra is. Ezt a modult a csomag tartalmazza. RSAT (Remote Server Administration Tools), amelyet manuálisan lehet letölteni és telepíteni a Windows 8.1 ablakban. Az RSAT telepítése után a vezérlőpultról telepíti a PowerShell AD modulját (Vezérlőpult -> Programok és szolgáltatások -> A Windows funkcióinak be- és kikapcsolása -> Távoli kiszolgáló adminisztrációs eszközök-> Szerepkezelési eszközök -> AD DS és AD LDS eszközök).
Windows 10, 1809 és újabb rendszerekben az RSAT csomag már be van építve a disztribúciós csomagba (például a Features on Demand), így a parancs segítségével telepítheti a modult:
Add-WindowsCapability -online -Név “Rsat.ActiveDirectory.DS-LDS.Tools ~~~~ 0.0.1.0”
AD modul-parancsmagok a PowerShellhez
A Windows PowerShell Active Directory modulja sok parancsmaggal rendelkezik az AD-vel való interakcióhoz. Az RSAT minden egyes új verziójában számuk növekszik (147 cm-es AD AD elérhető a Windows Server 2016-ban).
A modul-parancsmagok használata előtt importálnia kell egy PowerShell-munkamenetbe (a Windows Server 2012 R2 / Windows 8.1-ben a modul automatikusan importálásra kerül):
Importmodul ActiveDirectory
$ rs = Új-PSSession -ComputerName DC_or_Comp_with_ADPosh
Import-Modul -Használat $ rs -Név ActiveDirectory
Az elérhető parancsmagok teljes listáját a következő paranccsal jelenítheti meg:
Get-Command -modul aktív könyvtár
A parancsok száma a modulban:
Get-Command-modul aktív könyvtár | intézkedés-objektum
A legtöbb RSAT-AD-PowerShell modul parancsmag a Get-, Set- vagy New előtaggal kezdődik-.
- Osztályfüzetek kap- arra szolgál, hogy különféle információkat szerezzen az AD-től (Get-ADUser - felhasználói tulajdonságok, Get-ADComputer - számítógépes beállítások, Get-ADGroupMember - csoporttagság stb.). A végrehajtáshoz nem kell tartomány adminisztrátornak lennie; bármely tartományi felhasználó futtathatja a PowerShell szkripteket az AD objektumok legtöbb attribútumának értékének megszerzéséhez (kivéve a védett objektumokat, mint például a LAPS példában)..
- Osztályfüzetek készlet- arra szolgál, hogy megváltoztassák az objektumok paramétereit az AD-ben, például megváltoztathatja a felhasználó (Set-ADUser), a számítógép (Set-ADComputer) tulajdonságait, felveheti a felhasználót a csoportba stb. Ezeknek a műveleteknek a végrehajtásához a fiókjának jogokkal kell rendelkeznie a megváltoztatni kívánt objektumokhoz (lásd az AD rendszergazdai jogok felhatalmazása című cikket)..
- Csapatok kezdve új- lehetővé teszi az AD objektumok létrehozását (felhasználó létrehozása - New-ADUser, csoport - New-ADGroup).
- parancsmagjai Vegye ki- törölje az AD objektumokat.
Segíthet bármilyen parancsmaggal kapcsolatban, például:
get-help Új-ADComputer
Az Active Directory-parancsmagok használatára vonatkozó példák így írhatók:
(Get-help Set-ADUser) .példák
A PowerShell ISE alkalmazásban eszköztippek használhatók a modul parancsmagjának paramétereinek beírásakor.
Az RSAT-AD-PowerShell modul használata az AD adminisztrációhoz
Nézzünk néhány tipikus adminisztrátori feladatot, amelyeket a PowerShell AD modul parancsaival lehet végrehajtani..
A különböző AD modul-parancsmagok PowerShell-re vonatkozó hasznos példáit már ismertetjük a webhelyen. A részletes utasításokért kövesse a szövegben található linkeket..New-ADUser: Felhasználó létrehozása az AD-ben
Az New-ADUser parancsmag segítségével új felhasználót hozhat létre az AD-ben. Hozzon létre egy felhasználót a következő paranccsal:
Új-ADUser -Név "Andrey Petrov" -GivenName "Andrey" -Felnév "Petrov" -SamAccountName "apetrov" -UserPrincipalName "[email protected]" -Path "OU = Users, OU = Ufa, DC = winitpro, DC = loc "-AccountPassword (Read-Host -AsSecureString" Input Password ") -Enabled $ true
Az New-ADUser csapattal kapcsolatos további információkért (beleértve a tartományi fiókok tömeges létrehozásának példáját) olvashat a cikkben .
Get-ADComputer: Információkat szerezhet a tartományi számítógépekről
Egy adott OU-ban lévő számítógépekkel kapcsolatos információk (a számítógép neve és az utolsó regisztráció dátuma a hálózaton) megjelenítéséhez használja a Get-ADComputer parancsmagot:
Get-ADComputer -SearchBase 'OU = Oroszország, DC = winitpro, DC = ru' -szűrő * -Tulajdonságok * | FT név, LastLogonDate -Autosize
Add-AdGroupMember: Adjon hozzá egy felhasználót az AD csoporthoz
Ha felhasználókat szeretne hozzáadni egy meglévő biztonsági csoporthoz az AD tartományban, akkor futtassa a következő parancsot:
Add-AdGroupMember -Identity MskSales -Members apterov, divanov
Sorolja fel az AD csoport felhasználóit, és töltse fel egy fájlba:
Get-ADGroupMember MskSales -rekurzív | ft samaccountname | Kihagyott c fájl: \ script \ export_users.csv
További információ az AD-csoportok kezeléséről a PowerShell-ből..
Set-ADAccountPassword: A felhasználói jelszó visszaállítása az AD-ben
A felhasználói jelszó visszaállításához az AD-ben a PowerShell alkalmazásból tegye a következőket:
Set-ADAccountPassword apterov -Reset -NewPassword (ConvertTo-SecureString -AsPlainText “P @ ssw0rd1” -Force -Verbose) -PassThru
Felhasználó lezárása / feloldása
Fiók letiltása:
Disable-ADAccount apterov
Fiók engedélyezése:
Enable-ADAccount apterov
Fiók feloldása a jelszó házirend blokkolása után:
Unlock-ADAccount apterov
Search-ADAccount: inaktív számítógépek keresése egy domainben
A Search-ADAccount parancsmag segítségével keresse meg és blokkolja a domainen lévő összes olyan számítógépet, amelyet 100 napnál nem regisztráltak a hálózaton:
$ timespan = New-Timespan -Days 100
Keresés-ADAccount -AccountInaktív -Számítógépek csak -TimeSpan $ időtartam | Disable-ADAccount
New-ADOrganizationalUnit: Hozzon létre egy OU struktúrát az AD-ben
Egy tipikus szervezeti egység-struktúra gyors létrehozásához az AD-ben használhatja a PowerShell parancsfájlt. Tegyük fel, hogy több OU-t kell létrehoznunk a városokkal, ahol szabványos konténereket kell létrehozni. Egy ilyen struktúra kézi létrehozása az ADUC grafikus konzolon keresztül elég hosszú idő, és a PowerShell AD modulja lehetővé teszi néhány másodperc alatt a probléma megoldását (nem számítva a szkript írásának idejét):
$ fqdn = Get-ADDomain
$ fulldomain = $ fqdn.DNSRoot
$ domain = $ fulldomain.split (".")
$ Dom = $ domain [0]
$ Ext = $ domain [1]
$ Sites = ("SPB", "MSK", "Sochi")
$ Services = ("Felhasználók", "Rendszergazdák", "Számítógépek", "Szerverek", "Névjegyek")
$ FirstOU = "Oroszország"
New-ADOrganizationalUnit - Név $ FirstOU - Leírás $ FirstOU - Útvonal "DC = $ Dom, DC = $ EXT" -ProtectedFromAccidentalDeletion $ false
foreach ($ S a $ Sites-ben)
New-ADOrganizationalUnit -Név $ S - Leírás "$ S" - Útvonal "OU = $ FirstOU, DC = $ Dom, DC = $ EXT" -ProtectedFromAccidentalDeletion $ false
foreach ($ Szolgáltatás $ Szolgáltatásokban)
New-ADOrganizationalUnit - Név $ Serv - Leírás "$ S $ Serv" - Útvonal "OU = $ S, OU = $ FirstOU, DC = $ Dom, DC = $ EXT" --ProtectedFromAccidentalDeletion $ false
A szkript végrehajtása után ilyen OU struktúrát kaptunk az AD-ben.
Objektumok AD-tárolók közötti átviteléhez a Move-ADObject parancsmag használható:
$ TargetOU = "OU = Buhgalteriya, OU = Computers, DC = corp, DC = winitpro, DC = ru"
Get-ADComputer-Szűrő 'Névszerű "BuhPC *"'. | Move-ADObject -TargetPath $ TargetOU
Get-ADReplicationFailure: Ellenőrizze a replikációt az AD-ben
A Get-ADReplicationFailure parancsmag segítségével ellenőrizheti a replikáció állapotát az AD tartományvezérlők között:
Get-ADReplicationFailure - Cél DC01, DC02
Információ lekérése a tartomány összes DC-jéről a Get-AdDomainController parancsmag segítségével:
Get-ADDomainController -szűrő * válasszon hostnevet, IPv4Cím, IsGlobalCatalog, IsReadOnly, OperatingSystem | formátum-tábla -auto
Tehát ebben a cikkben megvizsgáltuk az AD modul PowerShell AD-moduljának AD-adminisztrációhoz történő használatának alapvető jellemzőit és jellemzőit. Remélem, ez a cikk arra ösztönzi Önt, hogy vizsgálja meg tovább a modul képességeit, és automatizálja a legtöbb AD kezelési feladatot..
