modul Active Directory pre Windows PowerShell Dnes je to jeden z hlavných nástrojov na správu domény, správu objektov v službe Active Directory a prijímanie rôznych informácií o počítačoch, užívateľoch a skupinách. Každý správca systému Windows by mal byť schopný používať nielen grafické AD moduly (najčastejšie je to ADUC - Active Directory Users & Computer), ale aj rutiny cmd tohto modulu PowerShell na vykonávanie každodenných úloh správy Active Directory. V tomto článku sa zameriame na to, ako nainštalovať modul RSAT-AD-PowerShell, jeho základné funkcie a obľúbené rutiny cmdlet, čo by malo byť užitočné pri správe a práci s AD.
obsah:
- Nainštalujte Active Directory pre PowerShell na Windows Server
- Nainštalujte RSAT-AD-PowerShell na Windows 10
- Cmdlets AD Module pre PowerShell
- Použitie modulu RSAT-AD-PowerShell na správu AD
Nainštalujte Active Directory pre PowerShell na Windows Server
Modul Active Directory pre Windows PowerShell je už integrovaný do operačných systémov Windows Server (od Windows Server 2008 R2), ale nie je predvolene aktivovaný.
V systéme Windows Server 2016 môžete povoliť modul AD pre PoSh v systéme Windows Server 2016 z ovládacieho panela Správca servera (Pridajte role a funkcie -> Funkcie -> Nástroje na správu vzdialenej servera -> Nástroje na správu rolí -> Nástroje AD DS a AD LDS -> Modul Active Directory pre Windows PowerShell).
Modul môžete nainštalovať aj z príkazového riadku pomocou príkazu PowerShell:
Install-WindowsFeature - Názov "RSAT-AD-PowerShell" -IncludeAllSubFeature
Modul RSAT-AD-PowerShell môžete nainštalovať nielen na radič domény. Každý členský server alebo dokonca pracovná stanica to urobí. Na radičoch domény AD sa modul nainštaluje automaticky pri nasadení role ADDS (pri aktualizácii servera na DC).
Modul spolupracuje s AD prostredníctvom webových služieb Active Directory, ktoré musia byť nainštalované v radiči domény (interakcia na porte TCP 9389)..
Nainštalujte RSAT-AD-PowerShell na Windows 10
Modul RSAT-AD-PowerShell môžete nainštalovať nielen na servery, ale aj na pracovné stanice. Tento modul je súčasťou balenia. RSAT (Nástroje na správu vzdialeného servera), ktoré si môžete stiahnuť a nainštalovať manuálne v okne 7, Windows 8.1. Po inštalácii RSAT sa AD modul pre PowerShell nainštaluje z ovládacieho panela (Ovládací panel -> Programy a funkcie -> Zapnutie alebo vypnutie funkcií systému Windows -> Nástroje na správu vzdialeného servera -> Nástroje na správu rolí -> Nástroje AD DS a AD LDS)..
Vo Windows 10, 1809 a novších verziách je balík RSAT už zabudovaný do distribučnej súpravy (napríklad Funkcie na požiadanie), takže pomocou príkazu môžete nainštalovať modul:
Prispôsobiteľnosť systému Windows -online -name „Rsat.ActiveDirectory.DS-LDS.Tools ~~~~ 0.0.1.0“
Cmdlets AD Module pre PowerShell
Modul Active Directory pre Windows PowerShell obsahuje veľa cmdletov na interakciu s AD. V každej novej verzii RSAT sa ich počet zvyšuje (147 cmdletov pre AD je k dispozícii v systéme Windows Server 2016).
Pred použitím cmdletov modulov musíte ich importovať do relácie PowerShell (v systéme Windows Server 2012 R2 / Windows 8.1 sa modul importuje automaticky):
Importovaný modul ActiveDirectory
$ rs = New-PSSession -ComputerName DC_or_Comp_with_ADPosh
Importovací modul - relácia $ rs - meno ActiveDirectory
Úplný zoznam dostupných cmdletov môžete zobraziť pomocou príkazu:
Získaný príkazový modul - aktivovaný adresár
Celkový počet príkazov v module:
Get-Command -module Activedirectory | Meas-Object
Väčšina rutín modulu RSAT-AD-PowerShell začína predponou Get-, Set- alebo New-.
- Trieda Cmdlets dostať- slúži na získanie rôznych informácií od služby AD (Get-ADUser - vlastnosti používateľa, Get-ADComputer - nastavenie počítača, Get-ADGroupMember - členstvo v skupine atď.). Na ich vykonávanie nemusíte byť administrátorom domény, každý užívateľ domény môže spustiť skripty PowerShell, aby získal hodnoty väčšiny atribútov objektov AD (okrem chránených objektov, ako v príklade s protokolom LAPS)..
- Trieda Cmdlets sada- slúži na zmenu parametrov objektov v AD, napríklad môžete zmeniť vlastnosti používateľa (Set-ADUser), počítača (Set-ADComputer), pridať používateľa do skupiny, atď. Na vykonanie týchto operácií musí mať váš účet práva na objekty, ktoré chcete zmeniť (pozri článok Delegovanie práv administrátora v AD).
- Tímy začínajúce na nový- umožňuje vytvárať objekty AD (vytvoriť používateľa - New-ADUser, skupina - New-ADGroup).
- cmdlets Remove- odstrániť AD objekty.
Môžete získať pomoc ohľadom akéhokoľvek cmdlet, ako je tento:
get-help New-ADComputer
Príklady použitia cmdletov služby Active Directory je možné napísať takto:
(get-help Set-ADUser) .examples
V PowerShell ISE môžete použiť popisky pri zadávaní parametrov cmdlet modulu.
Použitie modulu RSAT-AD-PowerShell na správu AD
Pozrime sa na niekoľko typických správcovských úloh, ktoré je možné vykonať pomocou príkazov modulu AD pre PowerShell..
Užitočné príklady použitia rôznych cmdletov AD modulov pre PowerShell sú už na webe opísané. Podrobné pokyny nájdete v odkazoch v texte..New-ADUser: Vytvorenie používateľa v službe AD
Pomocou rutiny New-ADUser môžete vytvoriť nového používateľa v službe AD. Môžete vytvoriť používateľa pomocou príkazu:
New-ADUser - meno "Andrey Petrov" -GivenName "Andrey" - priezvisko "Petrov" -SamAccountName "apetrov" -UserPrincipalName "[email protected]" -Path "OU = Users, OU = Ufa, DC = winitpro, DC = loc "-AccountPassword (Read-Host -AsSecureString" Input Password ") - Povolené $ true
Ďalšie informácie o tíme New-ADUser (vrátane príkladu hromadného vytvárania účtov v doméne) nájdete v článku .
Get-ADComputer: Získajte informácie o počítačoch domén
Ak chcete zobraziť informácie o počítačoch v konkrétnom OU (názov počítača a dátum poslednej registrácie v sieti), použite rutinu Get-ADComputer:
Get-ADComputer -SearchBase 'OU = Russia, DC = winitpro, DC = ru' -Filter * -Procurties * | Názov FT, LastLogonDate -Autosize
Add-AdGroupMember: Pridanie používateľa do skupiny AD
Ak chcete pridať používateľov do existujúcej skupiny zabezpečenia v doméne AD, spustite príkaz:
Add-AdGroupMember -Identity MskSales -Members apterov, divanov
Zoznam používateľov v skupine AD a nahranie do súboru:
Get-ADGroupMember MskSales -recursive | ft samaccountname | Out-File c: \ script \ export_users.csv
Prečítajte si viac informácií o správe AD skupín z PowerShell..
Set-ADAccountPassword: Obnovenie hesla používateľa v AD
Ak chcete obnoviť heslo používateľa v službe AD z prostredia PowerShell, postupujte takto:
Set-ADAccountPassword apterov -Reset -NewPassword (ConvertTo-SecureString -AsPlainText “P @ ssw0rd1” -Force-Verbose) -PassThru
Uzamknutie / odomknutie používateľa
Zakázať účet:
Zakázať-ADAccount apterov
Povoliť účet:
Povoliť-ADAccount apterov
Odblokujte účet po zablokovaní pravidiel pre heslá:
Odomknúť-ADAccount apterov
Search-ADAccount: Vyhľadávanie neaktívnych počítačov v doméne
Ak chcete nájsť a zablokovať všetky počítače v doméne, ktoré neboli zaregistrované v sieti dlhšie ako 100 dní, použite cmdlet Search-ADAccount:
$ timespan = New-Timespan - Dni 100
Search-ADAccount -AccountInactive-CompputersOnly -TimeSpan $ timespan | zakázať ADAccount
New-ADOrganizationalUnit: Vytvorte štruktúru OU v AD
Na rýchle vytvorenie typickej štruktúry organizačnej jednotky v AD môžete použiť skript PowerShell. Predpokladajme, že potrebujeme vytvoriť niekoľko organizačných jednotiek s mestami, v ktorých sa budú vytvárať štandardné kontajnery. Ručné vytvorenie takejto štruktúry prostredníctvom grafickej konzoly ADUC je pomerne dlhá doba a AD modul pre PowerShell vám umožňuje tento problém vyriešiť za pár sekúnd (bez započítania času na zápis skriptu):
$ fqdn = Get-ADDomain
$ fulldomain = $ fqdn.DNSRoot
$ domain = $ fulldomain.split (".")
$ Dom = $ doména [0]
$ Ext = $ doména [1]
$ Sites = ("SPB", "MSK", "Soči")
$ Services = („Používatelia“, „Správcovia“, „Počítače“, „Servery“, „Kontakty“)
$ FirstOU = "Russia"
New-ADOrganizationalUnit -Name $ FirstOU - Description $ FirstOU -Path "DC = $ Dom, DC = $ EXT" - Chránené z náhodnýchDeletion $ false
foreach ($ S na $ Sites)
New-ADOrganizationalUnit - Názov $ S -Popis "$ S" -Path "OU = $ FirstOU, DC = $ Dom, DC = $ EXT" -ProtectedFromAccidentalDeletion $ false
foreach ($ Serv in $ Services)
New-ADOrganizationalUnit - Názov $ Serv - Opis "$ S $ Serv" -Path "OU = $ S, OU = $ FirstOU, DC = $ Dom, DC = $ EXT" -ProtectedFromAccidentalDeletion $ false
Po vykonaní skriptu sme dostali takúto štruktúru OU v AD.
Na prenos objektov medzi kontajnermi AD môžete použiť rutinu Move-ADObject:
$ TargetOU = "OU = Buhgalteriya, OU = Počítače, DC = corp, DC = winitpro, DC = ru"
Get-ADComputer -Filter 'Name-like "BuhPC *"' | | Move-ADObject -TargetPath $ TargetOU
Get-ADReplicationFailure: Overenie replikácie v AD
Pomocou rutiny Get-ADReplicationFailure môžete skontrolovať stav replikácie medzi radičmi domény AD:
Get-ADReplicationFailure -Target DC01, DC02
Načítať informácie o všetkých DC v doméne pomocou rutiny Get-AdDomainController:
Get-ADDomainController -filter * | vyberte názov hostiteľa, IPv4Address, IsGlobalCatalog, IsReadOnly, OperatingSystem | format-table -auto
V tomto článku sme preto preskúmali základné vlastnosti a vlastnosti použitia modulu AD pre PowerShell na správu AD. Dúfam, že tento článok vás vyzýva, aby ste ďalej preskúmali možnosti tohto modulu a automatizovali väčšinu úloh správy AD..