modul Active Directory za Windows PowerShell Danas je to jedan od glavnih alata za administraciju domene, upravljanje objektima u Active Directoryu i primanje različitih informacija o računalima, korisnicima i grupama. Svaki administrator sustava Windows trebao bi biti u mogućnosti koristiti ne samo AD grafički dodatak (najčešće ADUC - Active Directory Korisnici i računala), već i cmdlete ovog PowerShell modula za svakodnevno izvršavanje zadataka Active Directorya. U ovom ćemo članku pogledati kako instalirati RSAT-AD-PowerShell modul, njegove osnovne funkcionalnosti i popularne cmdlete, koji bi trebali biti korisni pri upravljanju i radu s AD-om..
sadržaj:
- Instalirajte Active Directory za PowerShell na Windows Server
- Instalirajte RSAT-AD-PowerShell na Windows 10
- AD Module sklopke za PowerShell
- Korištenje RSAT-AD-PowerShell modula za administraciju AD-a
Instalirajte Active Directory za PowerShell na Windows Server
Modul Active Directory za Windows PowerShell već je integriran u Windows Server operativne sustave (počevši od Windows Server 2008 R2), ali nije aktiviran prema zadanim postavkama.
U sustavu Windows Server 2016 možete s upravljačke ploče omogućiti AD modul za PoSh u sustavu Windows Server 2016 Upravitelj poslužitelja (Dodajte uloge i značajke -> Značajke -> Alati za daljinsko upravljanje poslužiteljima -> Alati za administraciju uloga -> AD DS i AD LDS Alati -> Modul Active Directory za Windows PowerShell).
Modul također možete instalirati iz naredbenog retka pomoću naredbe PowerShell:
Instalacija-WindowsFeature -Namje "RSAT-AD-PowerShell" -IncludeAllSubFeature
Modul RSAT-AD-PowerShell možete instalirati ne samo na kontroler domene. Bilo koji server ili čak radna stanica će učiniti. Na AD kontrolerima domena modul se automatski instalira kada je uloga ADDS-a (prilikom nadogradnje poslužitelja na DC).
Modul komunicira s AD-om putem web-mjesta Active Directory, koje moraju biti instalirane na kontroler domene (interakcija na TCP priključku 9389).
Instalirajte RSAT-AD-PowerShell na Windows 10
Modul RSAT-AD-PowerShell možete instalirati ne samo na poslužitelje, već i na radne stanice. Ovaj je modul uključen u paketu. RSAT (Udaljeni alati za upravljanje poslužiteljem) koji se mogu ručno preuzeti i instalirati u Windowsu 7, Windows 8.1. Nakon instaliranja RSAT-a, AD upravljački modul za PowerShell instalira se s upravljačke ploče (Upravljačka ploča -> Programi i značajke -> Uključivanje i isključivanje značajki Windows -> Alati za daljinsko upravljanje poslužiteljem -> Alati za upravljanje ulogama -> AD DS i AD LDS Alati).
U Windowsima 10, 1809 i novijim verzijama, RSAT paket je već ugrađen u distribucijski komplet (poput Značajke na zahtjev), tako da naredbu možete instalirati pomoću modula:
Add-WindowsCapability -online -Name "Rsat.ActiveDirectory.DS-LDS.Tools ~~~~ 0.0.1.0"
AD Module sklopke za PowerShell
Modul Active Directory za Windows PowerShell ima mnogo cmdleta za interakciju s AD-om. U svakoj novoj verziji RSAT-a njihov se broj povećava (147 cmdleta za AD dostupno je u sustavu Windows Server 2016).
Prije upotrebe cmdleta modula, morate ga uvesti u PowerShell sesiju (u sustavu Windows Server 2012 R2 / Windows 8.1 modul se automatski uvozi):
Uvozni modul ActiveDirectory
$ rs = New-PSSession -ComputerName DC_or_Comp_with_ADPosh
Uvoz-modul -Psedija $ rs -Name ActiveDirectory
Možete prikazati potpuni popis dostupnih cmdleta pomoću naredbe:
Get-Command - modul activedirectory
Ukupni broj naredbi u modulu:
Get-Command - modul activedirectory | mjera-objekt
Većina preklopnih modula RSAT-AD-PowerShell započinje s prefiksom Get-, Set- ili New-.
- Klasa Cmdlets dobiti- koristi se za dobivanje različitih podataka iz AD-a (Get-ADUser - korisnička svojstva, Get-ADComputer - postavke računala, Get-ADGroupMember - članstvo u grupi itd.). Za njihovo izvršavanje ne trebate biti administrator domene; bilo koji korisnik domene može pokrenuti skripte PowerShell-a kako bi dobio vrijednosti većine atributa AD-ovih objekata (osim zaštićenih, kao u primjeru LAPS-a).
- Klasa Cmdlets set- služe za promjenu parametara objekata u AD-u, na primjer, možete promijeniti svojstva korisnika (Set-ADUser), računala (Set-ADComputer), dodati korisnika u grupu itd. Za obavljanje tih operacija vaš račun mora imati prava na objekte koje želite promijeniti (pogledajte članak Delegating Administrator Rights in AD)..
- Timovi koji počinju sa novi- omogućuju vam izradu AD objekata (stvorite korisnika - New-ADUser, group - New-ADGroup).
- cmdlets Ukloni- obriši AD objekte.
Možete dobiti pomoć oko bilo kojeg cmdleta poput ovog:
get-help Novo-ADComputer
Primjeri korištenja cmdleta Active Directory mogu se napisati ovako:
(dobiti pomoć help Set-ADUser) .primjeri
U PowerShell ISE, možete upotrijebiti savjete pri unosu parametara cmdlet modula.
Korištenje RSAT-AD-PowerShell modula za administraciju AD-a
Pogledajmo nekoliko tipičnih zadataka administratora koji se mogu izvršiti pomoću naredbi AD modula za PowerShell..
Korisni primjeri korištenja različitih cmdleta AD modula za PowerShell već su opisani na web mjestu. Slijedite veze u tekstu za detaljne upute..New-ADUser: Stvaranje korisnika u AD-u
Možete koristiti cmdlet New-ADUser da biste stvorili novog korisnika u AD-u. Korisnika možete stvoriti naredbom:
New-ADUser -Name "Andrey Petrov" -GivenName "Andrey" -Predime "Petrov" -SamAccountName "apetrov" -UserPrincipalName "[email protected]" -Path "OU = Korisnici, OU = Ufa, DC = winitpro, DC = loc "-AccountPassword (Read-Host -AsSecureString" Input Password ") -Enabled $ true
Za više informacija o New-ADUser timu (uključujući primjer masovnog stvaranja računa u domeni) pogledajte članak .
Get-ADComputer: Dobijte informacije o računalima domena
Za prikaz informacija o računalima u određenom OU-u (ime računala i datum zadnje registracije na mreži) koristite Get-ADComputer cmdlet:
Get-ADComputer -SearchBase 'OU = Rusija, DC = winitpro, DC = ru' -Filter * -Properties * | Naziv FT, LastLogonDate -Autosize
Add-AdGroupMember: Dodajte korisnika u grupu oglasa
Da biste dodali korisnike u postojeću sigurnosnu grupu u AD domeni, pokrenite naredbu:
Add-AdGroupMember -Identity MskSales -Članovi apterov, divanov
Popis korisnika u grupi oglasa i prenesite ga u datoteku:
Get-ADGroupMember MskSales -recursive | ft samaccountname | Datoteka c: \ script \ export_users.csv
Saznajte više o upravljanju AD grupama iz PowerShell-a..
Set-ADAccountPassword: Poništavanje korisničke lozinke u AD-u
Da biste ponovo postavili korisničku lozinku u AD-u iz PowerShell-a, učinite:
Set-ADAccountPassword apterov -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "P @ ssw0rd1" -Force -Verbose) -PassThru
Korisničko zaključavanje / otključavanje
Onemogući račun:
Disable-ADAccount apterov
Omogući račun:
Omogući-ADAccount apterov
Deblokirajte račun nakon blokiranja pravila o zaporkama:
Otključaj-ADAccount apterov
Search-ADAccount: Potražite neaktivna računala u domeni
Da biste pronašli i blokirali sva računala u domeni koja nisu bila registrirana na mreži više od 100 dana, koristite cmdlet Search-ADAccount:
$ timespan = New-Timespan -Dne 100
Search-ADAccount -AccountInactive -ComputersOnly -TimeSpan $ vremensko razdoblje | Onemogući-ADAccount
New-ADOrganizationalUnit: Stvorite OU strukturu u AD-u
Da biste brzo stvorili tipičnu strukturu organizacijske jedinice u AD-u, možete koristiti skriptu PowerShell. Pretpostavimo da moramo stvoriti nekoliko OU s gradovima u kojima ćemo stvoriti standardne spremnike. Ručno stvaranje takve strukture putem grafičke konzole ADUC traje prilično dugo, a AD modul za PowerShell omogućava vam da riješite ovaj problem u nekoliko sekundi (ne računajući vrijeme za pisanje skripte):
$ fqdn = Get-ADDomain
$ fulldomain = $ fqdn.DNSRoot
$ domain = $ fulldomain.split (".")
$ Dom = $ domena [0]
$ Ext = $ domena [1]
$ Sites = ("SPB", "MSK", "Sochi")
$ Services = ("Korisnici", "Administratori", "Računala", "Poslužitelji", "Kontakti")
$ FirstOU = "Rusija"
Novo-ADOrganizationalUnit -Name $ FirstOU -Opis $ FirstOU -Path "DC = $ Dom, DC = $ EXT" -ZaštićenFromAccidentalDeletion $ false
foreach ($ S na $ web lokacijama)
New-ADOrganizationalUnit -Name $ S -Opis "$ S" -Path "OU = $ FirstOU, DC = $ Dom, DC = $ EXT" -ProtectedFromAccidentalDeletion $ false
foreach ($ Serv u $ uslugama)
New-ADOrganizationalUnit -Name $ Serv -Opis "$ S $ Serv" -Path "OU = $ S, OU = $ FirstOU, DC = $ Dom, DC = $ EXT" -ProtectedFromAccidentalDeletion $ false
Nakon izvršenja skripte, dobili smo takvu strukturu OU u AD-u.
Za prijenos objekata između AD spremnika možete upotrijebiti cmdlet Move-ADObject:
$ TargetOU = "OU = Buhgalteriya, OU = Računala, DC = corp, DC = winitpro, DC = ru"
Get-ADComputer -Filter 'Ime-slično "BuhPC *"' | Pomicanje-ADObject -TargetPath $ TargetOU
Get-ADReplicationFailure: Provjerite replikaciju u AD-u
Pomoću cmdleta Get-ADReplicationFailure možete provjeriti status replikacije između AD kontrolera domene:
Get-ADReplicationFailure -Carget DC01, DC02
Dohvatite informacije o svim DC-ovima u domeni pomoću cmdleta Get-AdDomainController:
Get-ADDomainController -filter * | odaberite naziv računala, IPv4Address, IsGlobalCatalog, IsReadOnly, OperatingSystem | format-tablica -auto
Dakle, u ovom smo članku ispitali osnovne značajke i značajke korištenja AD modula za PowerShell za administraciju AD-a. Nadam se da će vas ovaj članak ohrabriti da dodatno istražite mogućnosti ovog modula i automatizirate većinu zadataka upravljanja AD-om..
