cmdlet Set-ADComputer umožňuje zmeniť atribúty počítačového účtu v službe Active Directory. V tomto článku si ukážeme, ako použiť prihlasovacie skripty a rutinu Set-ADComputer na zapísanie aktuálneho používateľského mena a adresy IP do vlastností počítača v službe AD. Takýto skript môže byť užitočný, keď potrebujete nájsť počítač v doméne, na ktorej konkrétny používateľ pracuje..
obsah:
- Použitie Set-ADComputer na zmenu počítačových atribútov v AD
- Ako pridať užívateľské meno do vlastností počítača v službe AD?
Použitie Set-ADComputer na zmenu počítačových atribútov v AD
cmdlet Set-ADComputer
je súčasťou modulu Active Directory pre PowerShell a vyžaduje, aby bol modul nainštalovaný v počítači. Zvážte použitie cmdletu Set-ADComputer. Skúsme pridať názov spoločnosti a oddelenia do vlastností počítača v službe AD. Najprv pomocou Get-ADComputer overíme, čo je zadané pre konkrétny počítač v doméne v poliach spoločnosti, oddelenia a popisu..
Get-ADComputer SRV-MAN01 - vlastnosti * | select-object dNSHostName, OperatingSystem, company, department, description | ft -wrap -auto
Ako vidíte, počítač nemá polia s popisom, názvom spoločnosti a oddelením.
Skúsme zmeniť popis počítača príkazom:
Set-ADComputer -Identity SRV-MAN01 -Add @ "description" = "Server správy infraštruktúry"
Môžete zadať umiestnenie počítača:
Set-ADComputer -Identity SRV-MAN01-Location “Spb / Russia”
Ak potrebujete nastaviť niekoľko parametrov počítača, použite nasledujúcu konfiguráciu PowerShell:
$ Server = Get-ADComputer -Identity SRV-MAN01
$ Server.company = "contoso"
$ Server.department = "IT"
Set-ADComputer - Instance $ Server
Skontrolujte, či sa atribúty počítača zmenili:
Get-ADComputer SRV-MAN01 - vlastnosti * | select-object dNSHostName, OperatingSystem, company, department, description | ft -wrap -auto
Ako vidíte, atribúty počítača teraz obsahujú informácie, ktoré potrebujeme. Teraz si môžeme vybrať počítače v AD na základe týchto kritérií. Napríklad chcem vybrať všetky počítače oddelenia IT spoločnosti Contoso. Príkaz na načítanie môže vyzerať takto:
Get-ADComputer -Filter company -eq 'contoso'-AND department-like' IT ' -properties * | select-object dNSHostName, OperatingSystem, company, department, description | ft -wrap -auto
Rutina Set-ADComputer tiež umožňuje uzamknúť (odomknúť) účet počítača v službe AD:
Set-ADComputer pc-name - Povolené $ false
Ako pridať užívateľské meno do vlastností počítača v službe AD?
Zvážte zaujímavejší a užitočnejší príklad použitia rutiny Set-ADComputer. Predpokladajme, že sa rozhodnete uložiť v atribútoch každého počítača v službe Active Directory jeho aktuálnu IP adresu a meno posledného prihláseného používateľa.
IP adresa počítača, ktorý uložíme do atribútu popis, a meno používateľa, ktorý pracuje na počítači, je v atribúte ManagedBy.
Najprv je potrebné delegovať práva na skupinu Domain Users (alebo na inú skupinu bezpečnosti používateľov) na OU počítačmi, aby sa mohli meniť hodnoty v poliach objektov ako Computer: ManagedBy a description (Napíšte popis + Písanie spravuje).
Teraz vytvorte novú politiku pomocou nasledujúceho prihlasovacieho skriptu PowerShell (Konfigurácia užívateľa -> Zásady -> Nastavenia systému Windows -> Skripty -> Prihlásenie), ktoré by sa mali začať po prihlásení používateľa:
$ curhostname = $ env: computername
$ env: HostIP = (
Get-NetIPConfiguration |
Where-Object
$ _. IPv4DefaultGateway -ne $ null -and
$ _. NetAdapter.Status - „Odpojené“
) .IPv4Address.IPAddress
$ Currus_cn = (get-aduser $ env: UserName -properties *). DistinguishedName
$ ADComp = Get-ADComputer - Identita $ curhostname
$ ADComp.ManagedBy = $ currus_cn
$ ADComp.description = $ env: HostIP
Set-ADComputer -Instance $ ADComp
Tento skript PowerShell sa spúšťa ako používateľ, určuje meno a IP adresu aktuálneho počítača, CN používateľa a ukladá ich na účet počítača v službe AD.
Táto zásada musí byť prepojená s kontajnerom s počítačmi a musí povoliť zámok skupinovej politiky Konfigurácia režimu spracovania skupinovej politiky používateľa (pozri tu).
Teraz, keď sa používateľ prihlási do systému v počítači, vykoná tento skript a aktualizuje popis počítača v službe AD.
Konzola ADUC teraz zobrazuje adresy IP počítačov a vo vlastnostiach počítača na karte Spravuje teraz existuje aktívny odkaz na používateľský účet, ktorý bol naposledy zaregistrovaný v tomto počítači.
Teraz môžete rýchlo nájsť počítače v doméne podľa adresy IP:
get-adcomputer -filter description-like "10.10.1. *" -processties * | select name, description, managedBy
Alebo nájdete všetky počítače v doméne, na ktorej je prihlásený konkrétny používateľ (cmdlet Get-AdUser sa používa na získanie DistinguishedName používateľa):
$ user = 'daivanov'
$ user_cn = (get-aduser $ user -properties *). Rozlišovacie meno
Get-ADComputer -Filter "ManagedBy -eq '$ user_cn'" -processties * | vyberte meno, popis, managedBy | ft
Podobne môžete písať akékoľvek informácie o pracovnej stanici alebo užívateľovi do vlastností počítačových účtov v službe AD a použiť ich na vyhľadávanie (výber) počítačov v službe AD..
Podobný scenár s ukladaním informácií o modeli a sériovom čísle servera v AD je diskutovaný v nasledujúcom článku.