Kezelése az aktív könyvtár segítségével PowerShell ablak IT Pro

Informatikai infrastruktúra a vállalat

Amikor a Windows PowerShell csak megjelent, sok ember kezdett kérdezni, hogy tudja kezelni az Active Directory (AD) használatával PowerShell. Abban az időben, a Microsoft válasza nem volt olyan, amit szeretnék hallani a legtöbb adminisztrátorok. A PowerShell, volt egy beépített „típusú gyorsító» Active Directory Service Interfaces (ADSI) eléréséhez tárgyak AD, de a felhasználónak kellett alapvetően saját kitalálni, hogyan kell használni a PowerShell, hogy megoldja a AD adminisztratív feladatokat. Egy idő után, a vállalat a Quest Software ingyenesen utasításkészlet az AD adminisztratív feladatokat, beleértve létrehozására, módosítására és törlésére tárgyak AD, és megtalálni tárgyakat AD. Hosszú ideig az állam PowerShell AD és kontroll volt ilyen.

Telepítése Active Directory modul

Ellentétben a korábbi eszköz, amely kommunikálni az LDAP protokollt használják AD AD modul az Active Directory Web Services (ADWS) protokoll segítségével kommunikál a tartományvezérlő (DC) AD. Ezeket a protokollokat részletesen a blog MSDN «Active Directory Web Services áttekintése», hanem elegendő megjegyezni, hogy a PowerShell parancsok az AD modul és az Active Directory Administrative Center (ADAC) használja ADWS kommunikálni és információt szerezni AD.

Függetlenül attól, hogy a telepített Remote Server Administration Tools számítógépen előre, vagy külön-külön, a következő lépés -, hogy nyissa ki a Programok telepítése és törlése Programok hozzáadása / eltávolítása a Vezérlőpult, és válassza ki, hogy engedélyezze vagy tiltsa a Windows-szolgáltatások - Windows-szolgáltatások be- és kikapcsolása - a bal oldali menüben . Lapozzunk a Windows Feature Components párbeszédablak le a Remote Server Administration Tools. Keresse meg a doboz Active Directory modul a Windows PowerShell a mappa \ Remote Server Administration Tools \ szerepe Administration Tools \ AD DS és AD LDS eszközök, mint az 1. ábrán látható Jelölje be a jelölőnégyzetet, és kattintson az OK gombra, a modult.

Kezelése az aktív könyvtár segítségével PowerShell ablak IT Pro

Képernyő 1. beállítása AD modul PowerShell

Ezt követően meg kell jelennie egy parancsikont az Active Directory-modul a Windows PowerShell, lásd a Felügyeleti eszközök menüben a Start gombra. Kattintson erre a parancsikonra PowerShell az AD modul betöltve. Ha már dolgozik PowerShell, és csak szeretné betölteni a modult úgy, hogy elérhetővé vált a használatra, akkor adja meg a következő parancsot, és hozzáférést biztosít a parancsokat AD és AD Szolgáltató:

Most lássuk, hogyan mozogjon AD módon AD Szolgáltató.

Az Active Directory Szolgáltató

A PowerShell PowerShell meghajtók koncepcióját, amely fogok hivatkozni egyszerűen PS meghajtó. Leegyszerűsítve nevezhető PS-erőforrással ábrázolás, mint a navigálásra alkalmas a fájlrendszer, amelynek tagjai a mappák és véges elemek. Nem minden erőforrás is képviselteti magát ezen a módon, de sok (köztük az Alzheimer és nyilvántartás) jól illeszkednek ebbe a modellbe. AD modul tartalmazza a szolgáltató a lemez PS AD. Ennek megfelelően lehet mozgatni, vagy akár módosíthatja a hirdetés, mintha egy fájlrendszert.

Hogyan lehet navigálni AD segítségével AD szolgáltató? Feltételezzük, hogy a nyílt PowerShell AD modul betöltve. Ebben az esetben az első lépés - indítsa el a Set-Location parancs, amely több alias, beleértve sl és cd:

Ez a parancs az aktuális üzemi helyzetben a PS AD lemezen. Ennek eredményeként a PowerShell bekéri AD: \ helyett C: \. Aztán, hogy a terméket a lemez PS AD, akkor a parancs Get-ChildItem alias dir:

A 2. ábra egy példát mutat az eredmény a számítógépen.

Kezelése az aktív könyvtár segítségével PowerShell ablak IT Pro

2. A kijelző egy listát a domain partíciók rendelkezésre PS-lemez AD

Amint látjuk, a parancs visszaadja egy listát az összes tartomány partíciókat. A legérdekesebb, véleményem - a domain nevű partíciót cpandl, amely tartalmazza a nevét, a felhasználók és a számítógépek. Ahhoz, hogy ezen változtatni domain, a parancsot:

Felhívjuk figyelmét, hogy a set-hely parancsot a megkülönböztetett nevet (DN) az én AD tartomány. Ez szükséges a megfelelő navigációs. Költözése után a domain mappát (amint azt az AD felhívás: \ dc = cpandl, dc = com PowerShell), akkor használja a Get-ChildItem, AD, hogy a legfelső szinten (3. ábra).

Kezelése az aktív könyvtár segítségével PowerShell ablak IT Pro

Ha azt szeretnénk, hogy nézd meg az emberek szervezeti egység (OU) SDM, majd menni a OU egyszerűen adja meg:

PowerShell parancssor fog kinézni AD: \ ou = SDM, dc = cpandl, dc = com. Ebben a szakaszban, akkor a Get-ChildItem, az összes felhasználói objektumok a szervezeti egységben. Ha meg akarjuk változtatni a Leírás tulajdonság felhasználói objektum, amely képviseli a használati Darren Mar-Elia venni. Ehhez van egy csapat! Set-ItemProperty parancs lehetővé teszi, hogy módosítsa a tulajdonságot az AD. Ha meg akarjuk változtatni a felhasználói fiók leírását a vezető Techie ki a következő parancsot:

Ahogy meglátjuk használ -path paraméter segítségével adja a használati számla az aktuális könyvtárban. Azt is használja a -name paramétert annak érdekében, hogy meghatározzák, hogy a módosítani kívánt ingatlan leírása, és a paraméter -Érték, adja meg a leírást Chief Techie.

Felhívjuk figyelmét, hogy ha meg akarja találni az összes tárgyat egy adott ingatlan értékét, akkor a Get-ItemProperty. Ha csak azt, hogy egy linkre AD objektumot, használja a Get-pont.

Mint látható, a munka AD, így elég egyszerű. A mechanizmus aligha alkalmas a tömeges változások, de célszerű dolgozni AD, mint a fájlrendszer. Ugyanakkor, mint kiderült, a legtöbb rendszergazdái használják a parancs helyett a PS AD lemez AD kezelése. Lássuk, hogyan kell alkalmazni néhány ilyen parancsokat.

Használata Active Directory parancsok

Modul AD, mellékelt Windows 7 tartalmaz 76 parancsokat AD kezelése. Ezeket fel lehet használni szinte bármilyen célra, beleértve a kutatást az AD objektumok létrehozását és törlését az AD tárgyak és manipulálni tájékoztatás a AD beállításai (például, az erdők állapota és részletes jelszó politika). Csapatok általában csoportosítva igék, mint például Add-, Remove-, kap- és Set-. Kérjük, vegye figyelembe, hogy nem minden parancsnak van egy megfelelő kap- parancs Set és fordítva, így néha meg kell tölteni a fáradságot, hogy megtalálják a megfelelő csapat erre a feladatra. Például beállíthatja a szintet AD erdőszolgáltatásokat a Set-ADForestMode, de hogy megtudja a jelenlegi szinten erdőszolgáltatásokat, akkor kell használni a parancsot Get-ADForest és látni ForestMode tulajdonság a visszaadott objektum.

Vegyünk egy pár közös feladatok, melyek alkalmazásával végezhetjük AD csapatok. Különösen akkor kell mutatni, hogyan vehet fel felhasználói fiókokat, kezelheti csoporthoz való tartozás, jelszavak visszaállítása a felhasználói fiókok és keressen AD objektumokat.

Felhasználói fiókok hozzáadása

Új-ADUser parancs egy egyszerű módja annak, hogy vegye fel a felhasználót AD számlák. Ha azt szeretnénk, hogy egy új felhasználói fiókot a neve Bill Smith a szervezeti egység az SDM, a legegyszerűbb esetben egy új felhasználói parancs, akkor létrehoz egy fiókot:

Ebben a parancsban be az alapvető információkat a felhasználói fiókot. Különösen -SamAccountName paraméter, hogy a nevét, a SAM fiók létrehozásához szükséges felhasználói objektum. Is használható -path lehetőség, hogy elmondja a csapat egy helyet, ahol el szeretné helyezni egy tárgyat - ebben az esetben a szervezeti egység a tartomány SDM cpandl.com. Továbbá egy felhasználói nevet (-GivenName paraméter) neve (-Surname paraméter) és a megjelenítési nevet (paraméter -DisplayName).

Hogy ne kelljen aktiválni egy számlát és egy jelszót külön meg lehet változtatni a parancs Új-ADUser. Új-ADUser automatikusan aktiválja a számla, ha az Ön által megadott paraméterek -képes $ igazi csapat. Aktiválásához jelszóra van szükség, így is meg kell adnia, mint egy csapat.

Ahhoz, hogy a jelszó, akkor a -AccountPassword. Azonban, ha nem adja meg a jelszót egyszerű szöveges parancssorban. Ez az opció megköveteli, hogy a jelszó megadása a védett vonal (azaz már SecureString adattípus). Kétféle módon lehet átalakítani a jelszót egy biztonságos húr, és mindkét esetben a változót használjuk.

Az első módszer alkalmazható ConvertTo-SecureString parancs, amely átalakítja a sima szöveget húrok biztosítani szálakat. Például, ha azt szeretnénk, hogy átalakítani a jelszót P @ ssw0rd12 biztonságos húr, és hozzárendeli egy változó $ a pwd, adja ki a következő parancsot:

Ez nem a legbiztonságosabb módja jelszó megadva, ahogy valaki nézd át a válla, ahogy parancsokat. Több megbízható módon, ha a New-ADUser parancssorba a jelszót, és will hide a karakterek beviteléhez. Ezt meg lehet tenni a segítségével olvasható Hostcmdlet parancsot a -AsSecureString:

Parancs futtatása után, látni fogja a jól ismert „*” jelet, ha belépnek egy jelszót. Ha beírta, nyomja meg az Enter billentyűt.

A jelszó tárolja a változó $ a pwd, akkor adja át a csapat új-ADUser:

Amint látjuk, a csapat tartalmazza a paramétereket és -képes -AccountPassword, amely aktiválja a fiókot, és hozzárendel egy biztonságos jelszót.

Felhasználói fiókok létrehozása egy - ügyes megoldást, de néha azt szeretnénk, hogy hozzon létre több fiókot egyszerre. PowerShell tökéletes erre a célra. Például, ha kell létrehozni három felhasználói fiókot, akkor lehet készíteni egy fájlt vesszővel tagolt (CSV), amely tartalmazza fiók adatait, majd az Import-CSV parancs továbbítja ezt az információt az Új-ADUser.

A 4. ábra a CSV-fájl nevét userlist.csv.

Kezelése az aktív könyvtár segítségével PowerShell ablak IT Pro

Képernyő 4. Használjon CSV-fájl létrehozása több felhasználói fiókot egyszerre

Vegyük észre, hogy ez a fájl oszlopfejlécekben nevei, a megadott paraméterek az előző parancs Új-ADUser. Ez szándékos. Amikor CSV adat átkerült az új-ADUser, a csapat választja ki a nevét a paramétereket a PowerShell csővezeték, és nem kell a parancsban megadott magát. Itt látható a parancs létrehozásához használt három felhasználói fiókok:

Mint látható, a kimenet Import-CSV parancssorban adja meg a New-ADUser csapat. Szállító elismeri, hogy a oszlopfejeket a CSV-fájl egy paraméter neve, és a fennmaradó sorokban értékek, így csak akkor kell, hogy a paraméterek és -képes -AccountPassword. Ez egy kiváló lehetőség gázvezeték. Ennek köszönhetően sikerül sokkal hatékonyabb felhasználása PowerShell feladatok automatizálására az ilyen típusú.

tagság kezelése Csoport

Felhasználói fiókok felvétele és a számítógépek - tipikus AD feladatokat. Az AD modul elvégzésére viszonylag könnyű. Az Add-ADGroupMember parancsot adhatunk a csoport egy vagy több fiókot. Például, ha kell három új tag a Marketing felhasználói csoportot. A legegyszerűbb módja - a következő parancsot:

Ebben a parancsban -Identity paraméter, hogy a csoport nevét. Is használható -AZ paraméter, hogy a neve SAM-fiókok számára. Ha több fiók nevek SAM, akkor adja meg őket egy fájlba, vesszővel elválasztva.

Akkor össze a műveletek létrehozásának három felhasználói fiókok és hozzátéve, hogy a forgalomba hozatali felhasználók csoport, mint egy csapat, hogy megoldja a problémát egyetlen lépésben. Azonban az Add-ADGroupMember parancs nem támogatja a nevét a csoport tagjainak a gázvezeték. Ezért meg kell használni a bővítmény ADPrincipalGroupMembership csapat, ha szeretné használni a gázvezeték. Ezt a parancsot a felhasználót tárgyak, számítógép, vagy csoport, bemenet a csővezeték és ezeket az objektumokat a csoportot.

Csatlakozás művelet felhasználóknak létrehozott egy műveletet az új felhasználókat, hogy a forgalomba hozatali felhasználók csoport egy parancsot az alábbiak szerint:

Vegye figyelembe, hogy egy része a New-ADUser csapat hozzá paraméter -PassThru. Ez a paraméter az Új-ADUser, át kell adni a felhasználói objektum a gázvezeték. Ha ez a paraméter nincs megadva, akkor a végrehajtás a Add-ADPrincipalGroupMembership parancs meghiúsul.

Említésre méltó az is, hogy csak a -MemberOf paramétert a csoport nevét, az Add-ADPrincipalGroupMembership csapat. A szállítószalag szállítja a többi hozzáadásával mindhárom felhasználók a Marketing felhasználói csoportot.

Tehát egyetlen PowerShell parancs jött létre a három új tag, hogy kerültek a szervezeti egység, kap egy jelszót, és hozzáadjuk a Marketing felhasználói csoportot. Most tekintsünk egy másik tipikus AD karbantartási feladatokat az automatizálható a PowerShell AD modul.

Visszaállítása felhasználói fiók jelszó

Néha a felhasználóknak meg kell állítania a jelszót. Ez a probléma könnyen automatizálható felhasználásával Set-ADAccountPassword csapat, vagy egy újraindítási egy jelszó. Ahhoz, hogy változtassa meg a jelszavát, akkor tudnia kell, hogy a régi jelszót, majd írja be az újat. A jelszó visszaállításához, ez elegendő ahhoz, hogy egy új jelszót. Ugyanakkor szükség van jogosultsága az Új jelszó megadása a felhasználó objektum AD, hogy végezze el a jelszó visszaállítását.

Csakúgy, mint a beállítás -AccountPassword csapat New-ADUser, A parancs Set-ADAccountPassword SecureString adattípust jelszavakat, így kell használni a módszert konvertáló egyszerű szöveges jelszavak biztonságos szálakat. Például, ha azt szeretnénk, hogy a jelszót a felhasználói fiók Tom Thumb, a mentést követően az új jelszót biztonságos húr, akkor futtassa a parancsot a változó $ Pass:

A parancs, azt használja a -Identity paramétert rendelhet SAM fiók neve a felhasználói fiók Tom Thumb. Azt is bevezetik a paraméter -NewPassword változó $ pass, hogy egy új jelszót. Végül adott -Reset paraméter annak jelzésére, hogy a visszaállítást hajt végre, ahelyett, hogy megváltoztatja a jelszót.

Tovább további feladat: felhasználói fiók váltására zászló Tom Thumb, rávenni, hogy változtassa meg a jelszót a következő bejelentkezéskor. Ez egy gyakori trükk, ha vissza kell állítania a felhasználó jelszavát. Ez a feladat elvégezhető a parancsot Set-ADUser, érték megadásával -ChangePasswordAtLogon $ true:

Felmerül a kérdés, hogy miért nem adja át szállítószalag Set-ADAccountPassword parancs kimenetét használjuk fel a Set-ADUser parancsot végrehajtani mindkét műveletet egyetlen PowerShell parancsot. Próbáltam ezt a megközelítést, hogy nem működik. Valószínűleg a csapat Set-ADAccountPassword vannak bizonyos korlátai sikeresen végrehajtani egy parancsot. Mindenesetre, egyszerűen egy kapcsoló zászló Set-ADUser parancsok a fentiek szerint.

Keresés Active Directory-objektumok

Amikor futtatja a parancs megjeleníti tárgyak, amelyek megfelelnek a kritériumoknak. Vagy akkor elküldi az eredményeket egy másik parancs feldolgozásához talált tárgyakat.

Felhívjuk figyelmét, hogy a nagyszabású keresést hasznos paraméter használható -ResultPageSize, hogy ellenőrizzék a partíciót a találati oldalon. Én általában meghatározza ezt az értéket 1000 és a csapat Get-ADObject visszatér 1000 objektum egy időben. Ellenkező esetben előfordulhat, hogy nem kap a várt eredményt, mivel a szám a visszaküldött tárgyak meghaladja a maximális által biztosított politikai állítva egy keresési lekérdezést.

Egy másik csapat keresni, a Microsoft által biztosított, - Search-ADAccount. Ez a parancs különösen hasznos találni a különböző előre beállított feltételeknek, mint például a fogyatékkal számlák, számlák lejárt jelszavakat és zárolt számlákat. Például a következő parancs beolvassa az összes felhasználói fiók lejárt jelszavakat a OU SDM:

Ez a parancs használja a -PasswordExpired, jelezve, hogy szükség van a számlák lejárt jelszóval. -UsersOnly paraméter azt jelzi, hogy meg kell nézni, csak a felhasználói objektumok (azaz a „számítógép” tárgyak). Csakúgy, mint az előző példában, használja a paramétereket -SearchBase és -SearchScope, hogy meghatározza a keresés hatókörét. De ebben az esetben azt használja OneLevel lehetőséget keresni csak a közeli OU (azaz kizárva alszervezetekben).

Ez csak a felszín történet az AD modul, de remélem, hogy van egy ötlet rejlő lehetőségek is. Mint fentebb említettük, a modul több mint 70 csapat. Között a témák, amelyeket nem a cikkben tárgyalt - eltávolítása objektumok Remove- parancs visszaállítani törölt objektumokat visszaállítás-ADObject csapat UAC, és törölje a felhasználói objektumok tulajdonságait a Set-ADAccountControl csapat. Vannak parancsok szinte minden adminisztratív AD feladatokat.

Ossza meg képeit barátaival és kollégáival

Kapcsolódó cikkek