Modul Active Directory za Windows PowerShell Danes je eno glavnih orodij za upravljanje domene, upravljanje predmetov v Active Directory-ju in prejemanje različnih informacij o računalnikih, uporabnikih in skupinah. Vsak sistemski skrbnik sistema Windows bi moral imeti možnost uporabe ne samo grafičnih vtičnikov AD (najpogosteje je to ADUC - Active Directory Users & Computer), ampak tudi ukazne enote tega modula PowerShell za izvajanje vsakodnevnih nalog administracije Active Directory. V tem članku si bomo ogledali, kako namestiti modul RSAT-AD-PowerShell, njegove osnovne funkcionalnosti in priljubljene cmdlete, ki naj bodo uporabni pri upravljanju in delu z AD.
Vsebina:
- V sistem Windows Server namestite Active Directory za PowerShell
- Namestite RSAT-AD-PowerShell v sistem Windows 10
- AD Module Cmdlets za PowerShell
- Uporaba modula RSAT-AD-PowerShell za upravljanje AD
V sistem Windows Server namestite Active Directory za PowerShell
Modul Active Directory za Windows PowerShell je že vgrajen v operacijske sisteme Windows Server (začenši z Windows Server 2008 R2), vendar ni privzeto aktiviran.
V operacijskem sistemu Windows Server 2016 lahko na nadzorni plošči omogočite modul AD za PoSh v sistemu Windows Server 2016 Upravitelj strežnikov (Dodajte vloge in funkcije -> Funkcije -> Orodja za daljinsko upravljanje strežnika -> Orodja za upravljanje vlog -> Orodja za DS in AD LDS -> Modul Active Directory za Windows PowerShell).
Modul lahko namestite tudi iz ukazne vrstice z ukazom PowerShell:
Namestitev-WindowsFeature -Ime "RSAT-AD-PowerShell" -IncludeAllSubFeature
Modul RSAT-AD-PowerShell lahko namestite ne le na krmilnik domene. Vsak član strežnik ali celo delovna postaja. Na krmilnikih domen AD se modul samodejno namesti, ko je nameščena vloga ADDS (pri nadgradnji strežnika na DC).
Modul deluje z AD prek spletnih storitev Active Directory, ki jih je treba namestiti na krmilnik domene (interakcija na vratih TCP 9389).
Namestite RSAT-AD-PowerShell v sistem Windows 10
Modul RSAT-AD-PowerShell lahko namestite ne samo na strežnike, temveč tudi na delovne postaje. Ta modul je vključen v paketu. RSAT (Remote Server Administration Tools), ki jih lahko ročno prenesete in namestite v okno 7, Windows 8.1. Po namestitvi RSAT-a se na nadzorni plošči namesti modul AD za PowerShell (Nadzorna plošča -> Programi in funkcije -> Vklopi ali izklopi funkcije Windows -> Orodja za upravljanje strežnika na daljavo-> Orodja za upravljanje vlog -> Orodja za upravljanje DS in AD LDS).
V sistemih Windows 10, 1809 in novejših je paket RSAT že vgrajen v distribucijski komplet (na primer Funkcije na zahtevo), tako da lahko z ukazom namestite modul:
Add-WindowsCapability -online -Name "Rsat.ActiveDirectory.DS-LDS.Tools ~~~~ 0.0.1.0"
AD Module Cmdlets za PowerShell
Modul Active Directory za Windows PowerShell ima veliko cmdletov za interakcijo z AD. V vsaki novi različici RSAT se njihovo število povečuje (147 cmdletov za AD je na voljo v operacijskem sistemu Windows Server 2016).
Preden uporabite cmdlete modula, ga morate uvoziti v sejo PowerShell (v sistemu Windows Server 2012 R2 / Windows 8.1 se modul samodejno uvozi):
Uvozni modul ActiveDirectory
$ rs = New-PSSession -ComputerName DC_or_Comp_with_ADPosh
Uvozni modul -Psesedi $ rs -Name ActiveDirectory
Z ukazom lahko prikažete celoten seznam razpoložljivih cmdlet:
Get-Command -module activedirectory
Skupno število ukazov v modulu:
Get-Command -module activedirectory | meri-objekt
Večina ukaznih elementov modula RSAT-AD-PowerShell se začne s predpono Get-, Set- ali New-.
- Razred Cmdlets Pridite- uporablja se za pridobivanje različnih informacij od AD (Get-ADUser - lastnosti uporabnika, Get-ADComputer - nastavitve računalnika, Get-ADGroupMember - članstvo v skupini itd.). Za njihovo izvajanje vam ni treba skrbnik domene; vsak uporabnik domene lahko zažene skripte PowerShell, da pridobi vrednosti večine atributov objektov AD (razen zaščitenih, kot je primer v primeru LAPS).
- Razred Cmdlets Set- služijo spreminjanju parametrov objektov v AD, na primer lahko spremenite lastnosti uporabnika (Set-ADUser), računalnika (Set-ADComputer), dodate uporabnika v skupino itd. Za izvajanje teh operacij mora imeti vaš račun pravice do predmetov, ki jih želite spremeniti (glejte članek Prenos pravic skrbniških pravic v AD)..
- Ekipe, ki se začnejo z Novo- omogočajo ustvarjanje objektov AD (ustvarite uporabnika - New-ADUser, group - New-ADGroup).
- Cmdlets Odstrani- brisanje predmetov AD.
Poiščete lahko pomoč pri katerem koli cmdletu, kot je ta:
dobite pomoč Novi ADComputer
Primeri uporabe ukaznih oken Active Directory se lahko zapišejo takole:
(get-help Set-ADUser). primeri
V PowerShell ISE lahko pri tipkanju parametrov cmdlet modula uporabite nasvete z orodji.
Uporaba modula RSAT-AD-PowerShell za upravljanje AD
Oglejmo si nekaj značilnih skrbniških nalog, ki jih je mogoče izvesti z ukazi AD modula za PowerShell..
Uporabni primeri uporabe različnih ukaznih modulov AD za PowerShell so že opisani na spletnem mestu. Za podrobna navodila sledite povezavam v besedilu..New-ADUser: Ustvarjanje uporabnika v AD-ju
Z ukazno vrstico New-ADUser lahko ustvarite novega uporabnika v AD-ju. Uporabnika lahko ustvarite z ukazom:
New-ADUser -Namela "Andrey Petrov" -GivenName "Andrey" -Preimek "Petrov" -SamAccountName "apetrov" -UserPrincipalName "[email protected]" -Path "OU = Uporabniki, OU = Ufa, DC = winitpro, DC = loc "-AccountPassword (Read-Host -AsSecureString" Vhodno geslo ") -Enabled $ true
Za več informacij o skupini New-ADUser (vključno s primerom množičnega ustvarjanja računov na neki domeni) glejte članek .
Get-ADComputer: Pridobite informacije o računalnikih domene
Za prikaz informacij o računalnikih v določenem OU (ime računalnika in datum zadnje registracije v omrežju) uporabite ukazni ukaz Get-ADComputer:
Get-ADComputer -SearchBase 'OU = Rusija, DC = winitpro, DC = ru' -Filter * -Properties * | Ime FT, LastLogonDate -Autosize
Add-AdGroupMember: Dodajte uporabnika v skupino AD
Če želite uporabnike dodati v obstoječo varnostno skupino v domeni AD, zaženite ukaz:
Add-AdGroupMember -Identity MskSales -Člani apterov, divanov
Seznam uporabnikov v skupini AD in ga naložite v datoteko:
Get-ADGroupMember MskSales -recursive | ft samonastavitev | Odstranjena datoteka c: \ script \ export_users.csv
Preberite več o upravljanju skupin AD iz PowerShell-a..
Set-ADAccountPassword: Ponastavitev uporabniškega gesla v AD
Če želite ponastaviti uporabniško geslo v AD-ju iz PowerShell-a, naredite:
Set-ADAccountPassword apterov -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "P @ ssw0rd1" -Force -Verbose) -PassThru
Uporabniško zaklepanje / odklepanje
Onemogoči račun:
Disable-ADAccount apterov
Omogoči račun:
Omogoči-ADAccount apterov
Odblokirajte račun po blokiranju pravilnika o geslu:
Odkleni-ADAccount apterov
Search-ADAccount: Iskanje neaktivnih računalnikov v domeni
Če želite najti in blokirati vse računalnike v domeni, ki v omrežju niso bili registrirani več kot 100 dni, uporabite ukazni ukaz Search-ADAccount:
$ timespan = New-Timespan -Dne 100
Search-ADAccount -AccountInactive -RačunalnikiSamo -TimeSpan $ časovno obdobje | Onemogoči-ADAccount
New-ADOrganizationalUnit: ustvarite strukturo OU v AD-ju
Če želite hitro ustvariti značilno strukturo organizacijske enote v AD-ju, lahko uporabite skript PowerShell. Recimo, da moramo z mesti, v katerih bomo lahko ustvarili standardne zabojnike, ustvariti več enot OU. Ročno ustvarjanje takšne strukture s pomočjo grafične konzole ADUC je precej dolgo, AD modul za PowerShell pa vam omogoča, da to težavo rešite v nekaj sekundah (ne računajući časa za pisanje skripta):
$ fqdn = Get-ADDomain
$ fulldomain = $ fqdn.DNSRoot
$ domena = $ fulldomain.split (".")
$ Dom = $ domena [0]
$ Ext = $ domena [1]
$ Sites = ("SPB", "MSK", "Sochi")
$ Services = ("Uporabniki", "Administratorji", "Računalniki", "Strežniki", "Stiki")
$ FirstOU = "Rusija"
Novo-ADOrganizationalUnit -Name $ FirstOU -Opis $ FirstOU -Path "DC = $ Dom, DC = $ EXT" -ProtectedFromAccidentalDeletion $ false
foreach ($ S na $ Sites)
Novo-ADOrganizationalUnit -Name $ S -Opis "$ S" -Path "OU = $ FirstOU, DC = $ Dom, DC = $ EXT" -ProtectedFromAccidentalDeletion $ false
foreach ($ Serv v $ Storitvah)
New-ADOrganizationalUnit -Name $ Serv -Opis "$ S $ Serv" -Path "OU = $ S, OU = $ FirstOU, DC = $ Dom, DC = $ EXT" -ProtectedFromAccidentalDeletion $ false
Po izvedbi skripta smo dobili takšno strukturo OU v AD-ju.
Za prenos predmetov med vsebnike AD lahko uporabite ukazni ukaz Move-ADObject:
$ TargetOU = "OU = Buhgalteriya, OU = Računalniki, DC = corp, DC = winitpro, DC = ru"
Get-ADComputer -Filter 'Ime-podobno "BuhPC *"' | Premakni-ADObject -TargetPath $ TargetOU
Get-ADReplicationFailure: Preverite podvajanje v AD
Z ukaznim ukazom Get-ADReplicationFailure lahko preverite stanje podvajanja med krmilniki domene AD:
Get-ADReplicationFailure -Ciljni DC01, DC02
Pridobite informacije o vseh DC-jih v domeni s pomočjo ukaznega okna Get-AdDomainController:
Get-ADDomainController -filter * | izberite ime gostitelja, IPv4Address, IsGlobalCatalog, IsReadOnly, OperatingSystem | format-tabela -avto
Tako smo v tem članku preučili osnovne značilnosti in značilnosti uporabe AD modula za PowerShell za administracijo AD. Upam, da vas ta članek spodbuja k nadaljnjemu raziskovanju zmogljivosti tega modula in avtomatizaciji večine nalog upravljanja AD..
