Az Active Directory for PowerShell használata tartomány felügyeletéhez

modul Aktív könyvtár a Windows PowerShell számára Manapság ez az egyik fő eszköz a tartományok felügyeletéhez, az Active Directory objektumainak kezeléséhez, valamint a számítógépekről, a felhasználókról és a csoportokról szóló különféle információk fogadására. Bármely Windows rendszergazdának nemcsak az AD grafikus beépülő moduljait kell használnia (leginkább az ADUC - Active Directory felhasználók és számítógépek), hanem ennek a PowerShell-modulnak a parancsmagjait is a napi Active Directory adminisztrációs feladatok végrehajtásához. Ebben a cikkben megvizsgáljuk az RSAT-AD-PowerShell modul telepítését, annak alapvető funkcionalitását és a népszerű parancsmagokat, amelyek hasznosak lehetnek az AD kezelése és kezelése során..

Tartalom:

  • Telepítse az Active Directory for PowerShell szolgáltatást a Windows Serverre
  • Telepítse az RSAT-AD-PowerShell szoftvert a Windows 10 rendszerre
  • AD modul-parancsmagok a PowerShellhez
  • Az RSAT-AD-PowerShell modul használata az AD adminisztrációhoz

Telepítse az Active Directory for PowerShell szolgáltatást a Windows Serverre

A Windows PowerShell Active Directory modulja már be van építve a Windows Server operációs rendszerekbe (a Windows Server 2008 R2-vel kezdve), de alapértelmezés szerint nincs aktiválva..

A Windows Server 2016 rendszerben engedélyezheti az AD modult a PoSh számára a Windows Server 2016 rendszerben a vezérlőpulton Szerver menedzser (Szerepek és szolgáltatások hozzáadása -> Funkciók -> Távoli kiszolgáló adminisztrációs eszközei -> Szerepfelügyeleti eszközök -> AD DS és AD LDS eszközök -> Active Directory modul a Windows PowerShell számára).

A modult a parancssorból a PowerShell paranccsal is telepítheti:

Telepítés-WindowsFeature -Név "RSAT-AD-PowerShell" -IncludeAllSubFeature

Az RSAT-AD-PowerShell modult nem csak a tartományvezérlőre telepítheti. Bármely tagszerver vagy akár egy munkaállomás is megteszi. Az AD tartományvezérlőkön a modul automatikusan települ az ADDS szerepkör telepítésekor (amikor a szervert DC-re frissítik).

A modul az AD-vel együttműködik az Active Directory webszolgáltatásokon keresztül, amelyeket telepíteni kell a tartományvezérlőre (interakció a 9389 TCP porton).

Telepítse az RSAT-AD-PowerShell szoftvert a Windows 10 rendszerre

Az RSAT-AD-PowerShell modult nemcsak a szerverekre telepítheti, hanem a munkaállomásokra is. Ezt a modult a csomag tartalmazza. RSAT (Remote Server Administration Tools), amelyet manuálisan lehet letölteni és telepíteni a Windows 8.1 ablakban. Az RSAT telepítése után a vezérlőpultról telepíti a PowerShell AD modulját (Vezérlőpult -> Programok és szolgáltatások -> A Windows funkcióinak be- és kikapcsolása -> Távoli kiszolgáló adminisztrációs eszközök-> Szerepkezelési eszközök -> AD DS és AD LDS eszközök).

Windows 10, 1809 és újabb rendszerekben az RSAT csomag már be van építve a disztribúciós csomagba (például a Features on Demand), így a parancs segítségével telepítheti a modult:

Add-WindowsCapability -online -Név “Rsat.ActiveDirectory.DS-LDS.Tools ~~~~ 0.0.1.0”

AD modul-parancsmagok a PowerShellhez

A Windows PowerShell Active Directory modulja sok parancsmaggal rendelkezik az AD-vel való interakcióhoz. Az RSAT minden egyes új verziójában számuk növekszik (147 cm-es AD AD elérhető a Windows Server 2016-ban).

A modul-parancsmagok használata előtt importálnia kell egy PowerShell-munkamenetbe (a Windows Server 2012 R2 / Windows 8.1-ben a modul automatikusan importálásra kerül):

Importmodul ActiveDirectory

Ha a modult még nem telepítette a számítógépére, akkor importálhatja azt egy tartományvezérlőről (tartományi rendszergazdai jogokra van szüksége) vagy egy másik számítógépről:

$ rs = Új-PSSession -ComputerName DC_or_Comp_with_ADPosh
Import-Modul -Használat $ rs -Név ActiveDirectory

Az elérhető parancsmagok teljes listáját a következő paranccsal jelenítheti meg:

Get-Command -modul aktív könyvtár

A parancsok száma a modulban:

Get-Command-modul aktív könyvtár | intézkedés-objektum

A legtöbb RSAT-AD-PowerShell modul parancsmag a Get-, Set- vagy New előtaggal kezdődik-.

  • Osztályfüzetek kap- arra szolgál, hogy különféle információkat szerezzen az AD-től (Get-ADUser - felhasználói tulajdonságok, Get-ADComputer - számítógépes beállítások, Get-ADGroupMember - csoporttagság stb.). A végrehajtáshoz nem kell tartomány adminisztrátornak lennie; bármely tartományi felhasználó futtathatja a PowerShell szkripteket az AD objektumok legtöbb attribútumának értékének megszerzéséhez (kivéve a védett objektumokat, mint például a LAPS példában)..
  • Osztályfüzetek készlet- arra szolgál, hogy megváltoztassák az objektumok paramétereit az AD-ben, például megváltoztathatja a felhasználó (Set-ADUser), a számítógép (Set-ADComputer) tulajdonságait, felveheti a felhasználót a csoportba stb. Ezeknek a műveleteknek a végrehajtásához a fiókjának jogokkal kell rendelkeznie a megváltoztatni kívánt objektumokhoz (lásd az AD rendszergazdai jogok felhatalmazása című cikket)..
  • Csapatok kezdve új- lehetővé teszi az AD objektumok létrehozását (felhasználó létrehozása - New-ADUser, csoport - New-ADGroup).
  • parancsmagjai Vegye ki- törölje az AD objektumokat.

Segíthet bármilyen parancsmaggal kapcsolatban, például:

get-help Új-ADComputer

Az Active Directory-parancsmagok használatára vonatkozó példák így írhatók:

(Get-help Set-ADUser) .példák

A PowerShell ISE alkalmazásban eszköztippek használhatók a modul parancsmagjának paramétereinek beírásakor.

Az RSAT-AD-PowerShell modul használata az AD adminisztrációhoz

Nézzünk néhány tipikus adminisztrátori feladatot, amelyeket a PowerShell AD modul parancsaival lehet végrehajtani..

A különböző AD modul-parancsmagok PowerShell-re vonatkozó hasznos példáit már ismertetjük a webhelyen. A részletes utasításokért kövesse a szövegben található linkeket..

New-ADUser: Felhasználó létrehozása az AD-ben

Az New-ADUser parancsmag segítségével új felhasználót hozhat létre az AD-ben. Hozzon létre egy felhasználót a következő paranccsal:

Új-ADUser -Név "Andrey Petrov" -GivenName "Andrey" -Felnév "Petrov" -SamAccountName "apetrov" -UserPrincipalName "[email protected]" -Path "OU = Users, OU = Ufa, DC = winitpro, DC = loc "-AccountPassword (Read-Host -AsSecureString" Input Password ") -Enabled $ true

Az New-ADUser csapattal kapcsolatos további információkért (beleértve a tartományi fiókok tömeges létrehozásának példáját) olvashat a cikkben .

Get-ADComputer: Információkat szerezhet a tartományi számítógépekről

Egy adott OU-ban lévő számítógépekkel kapcsolatos információk (a számítógép neve és az utolsó regisztráció dátuma a hálózaton) megjelenítéséhez használja a Get-ADComputer parancsmagot:

Get-ADComputer -SearchBase 'OU = Oroszország, DC = winitpro, DC = ru' -szűrő * -Tulajdonságok * | FT név, LastLogonDate -Autosize

Add-AdGroupMember: Adjon hozzá egy felhasználót az AD csoporthoz

Ha felhasználókat szeretne hozzáadni egy meglévő biztonsági csoporthoz az AD tartományban, akkor futtassa a következő parancsot:

Add-AdGroupMember -Identity MskSales -Members apterov, divanov

Sorolja fel az AD csoport felhasználóit, és töltse fel egy fájlba:

Get-ADGroupMember MskSales -rekurzív | ft samaccountname | Kihagyott c fájl: \ script \ export_users.csv

További információ az AD-csoportok kezeléséről a PowerShell-ből..

Set-ADAccountPassword: A felhasználói jelszó visszaállítása az AD-ben

A felhasználói jelszó visszaállításához az AD-ben a PowerShell alkalmazásból tegye a következőket:

Set-ADAccountPassword apterov -Reset -NewPassword (ConvertTo-SecureString -AsPlainText “P @ ssw0rd1” -Force -Verbose) -PassThru

Felhasználó lezárása / feloldása

Fiók letiltása:

Disable-ADAccount apterov

Fiók engedélyezése:

Enable-ADAccount apterov

Fiók feloldása a jelszó házirend blokkolása után:

Unlock-ADAccount apterov

Search-ADAccount: inaktív számítógépek keresése egy domainben

A Search-ADAccount parancsmag segítségével keresse meg és blokkolja a domainen lévő összes olyan számítógépet, amelyet 100 napnál nem regisztráltak a hálózaton:

$ timespan = New-Timespan -Days 100
Keresés-ADAccount -AccountInaktív -Számítógépek csak -TimeSpan $ időtartam | Disable-ADAccount

New-ADOrganizationalUnit: Hozzon létre egy OU struktúrát az AD-ben

Egy tipikus szervezeti egység-struktúra gyors létrehozásához az AD-ben használhatja a PowerShell parancsfájlt. Tegyük fel, hogy több OU-t kell létrehoznunk a városokkal, ahol szabványos konténereket kell létrehozni. Egy ilyen struktúra kézi létrehozása az ADUC grafikus konzolon keresztül elég hosszú idő, és a PowerShell AD modulja lehetővé teszi néhány másodperc alatt a probléma megoldását (nem számítva a szkript írásának idejét):

$ fqdn = Get-ADDomain
$ fulldomain = $ fqdn.DNSRoot
$ domain = $ fulldomain.split (".")
$ Dom = $ domain [0]
$ Ext = $ domain [1]
$ Sites = ("SPB", "MSK", "Sochi")
$ Services = ("Felhasználók", "Rendszergazdák", "Számítógépek", "Szerverek", "Névjegyek")
$ FirstOU = "Oroszország"
New-ADOrganizationalUnit - Név $ FirstOU - Leírás $ FirstOU - Útvonal "DC = $ Dom, DC = $ EXT" -ProtectedFromAccidentalDeletion $ false
foreach ($ S a $ Sites-ben)

New-ADOrganizationalUnit -Név $ S - Leírás "$ S" - Útvonal "OU = $ FirstOU, DC = $ Dom, DC = $ EXT" -ProtectedFromAccidentalDeletion $ false
foreach ($ Szolgáltatás $ Szolgáltatásokban)

New-ADOrganizationalUnit - Név $ Serv - Leírás "$ S $ Serv" - Útvonal "OU = $ S, OU = $ FirstOU, DC = $ Dom, DC = $ EXT" --ProtectedFromAccidentalDeletion $ false


A szkript végrehajtása után ilyen OU struktúrát kaptunk az AD-ben.

Objektumok AD-tárolók közötti átviteléhez a Move-ADObject parancsmag használható:

$ TargetOU = "OU = Buhgalteriya, OU = Computers, DC = corp, DC = winitpro, DC = ru"
Get-ADComputer-Szűrő 'Névszerű "BuhPC *"'. | Move-ADObject -TargetPath $ TargetOU

Get-ADReplicationFailure: Ellenőrizze a replikációt az AD-ben

A Get-ADReplicationFailure parancsmag segítségével ellenőrizheti a replikáció állapotát az AD tartományvezérlők között:

Get-ADReplicationFailure - Cél DC01, DC02

Információ lekérése a tartomány összes DC-jéről a Get-AdDomainController parancsmag segítségével:

Get-ADDomainController -szűrő * válasszon hostnevet, IPv4Cím, IsGlobalCatalog, IsReadOnly, OperatingSystem | formátum-tábla -auto

Tehát ebben a cikkben megvizsgáltuk az AD modul PowerShell AD-moduljának AD-adminisztrációhoz történő használatának alapvető jellemzőit és jellemzőit. Remélem, ez a cikk arra ösztönzi Önt, hogy vizsgálja meg tovább a modul képességeit, és automatizálja a legtöbb AD kezelési feladatot..