infrastructura IT pentru întreprinderea dvs.
Când Windows PowerShell tocmai a apărut, mulți oameni au început să întreb dacă puteți gestiona Active Directory (AD) folosind PowerShell. La momentul respectiv, răspunsul Microsoft nu a fost la fel de ceea ce ne-ar dori să aud majoritatea administratorilor. În PowerShell, a existat un built-in „tipuri de accelerator» Active Directory Service interfețe (ADSI) pentru a avea acces la obiecte în AD, dar utilizatorul a trebuit să practic proprii să dau seama cum să utilizeze PowerShell pentru a rezolva sarcinile administrative AD. După ceva timp, compania Quest Software-ul oferit gratuit set de instrucțiuni pentru sarcinile administrative AD, inclusiv crearea, modificarea și ștergerea obiectelor AD, și pentru a găsi obiecte în AD. Pentru o lungă perioadă de timp statul PowerShell AD și de control a fost astfel.
Instalarea modulului Active Directory
Spre deosebire de instrumentele anterioare, pentru a comunica cu AD protocolul LDAP utilizat, modulul AD utilizează Active Directory Web Services protocoale (ADWS) pentru a comunica cu un controler de domeniu (DC) AD. Aceste protocoale sunt descrise în detaliu în blog-ul MSDN «Active Directory Web Services Prezentare generală», dar este suficient să se constate că PowerShell comenzile în modulul AD și Active Center Administrativ Directory (ADAC) utilizează ADWS pentru a comunica și de a obține informații de la AD.
Indiferent de instalat Remote Administration Tools Server pe un calculator in avans sau separat, următorul pas - pentru a deschide Adăugare sau eliminare programe Add / Remove Programs din Control Panel și selectați pentru a activa sau dezactiva caracteristici Windows - Turn caracteristici Windows sau off - în meniul din stânga . caseta de dialog Componente Funcția de defilare pentru Windows în jos la distanță Tools Server Administration. Găsiți caseta Active Directory modulul pentru Windows PowerShell în folderul \ Instrumente Remote Server Administration \ Instrumente de administrare Rol \ AD DS și LDS AD Tools, așa cum se arată în figura 1. Faceți clic pe caseta de selectare și faceți clic pe OK, pentru a instala modulul.
Ecranul 1. Setarea modulului AD pentru PowerShell
După aceea, ar trebui să vedeți o comandă rapidă pentru modulul Active Directory pentru Windows PowerShell, consultați Administrativ meniul Instrumente Start. Faceți clic pe această comandă rapidă pentru a începe PowerShell cu modulul AD încărcat. Dacă sunteți deja lucrează în PowerShell, și doriți doar să încărcați modulul, astfel încât acesta a devenit disponibil pentru utilizare, puteți introduce următoarea comandă, și accesul la comenzile AD și Provider AD:
Acum, să vedem cum să se deplaseze în jurul valorii de AD folosind Provider AD.
Utilizarea Provider Active Directory
În PowerShell drive-urile PowerShell implementat conceptul, care mă voi referi pur și simplu ca unități PS. Simplist fi numit PS reprezentare a resurselor de disc, cum ar fi potrivit pentru navigarea în sistemul de fișiere este compus din foldere și elemente finite. Nu orice resursă poate fi reprezentată în acest fel, dar multe (inclusiv AD și registru) se potrivesc foarte bine în acest model. Modulul AD conține furnizorul pentru discul PS AD. Prin urmare, este posibil să se miște sau chiar schimba AD, ca și cum ar fi un sistem de fișiere.
Cum se poate naviga prin AD, folosind furnizor de AD? Se presupune că PowerShell deschis și un modul AD încărcat. În acest caz, primul pas - executați Set-Location comanda, care are mai multe pseudonime, inclusiv SL și CD:
Această comandă modifică poziția de funcționare curentă a AD discului PS. Ca rezultat, PowerShell va solicita AD: \ în loc de C: \. Apoi, pentru a vedea elementele din disc PS AD, puteți utiliza Get-ChildItem alias dir comanda:
Figura 2 prezintă un exemplu de rezultatul de pe calculatorul meu.
2. Se afișează o listă de partiții de domeniu disponibile în PS-disc AD
După cum putem vedea, comanda returnează o listă cu toate partițiile de domeniu. Cel mai interesant, în opinia mea - partiția de domeniu numit cpandl, care conține numele de utilizatori și computere. Pentru a schimba acest domeniu, introduceți comanda:
Vă rugăm să rețineți că utilizarea Set-Locul de amplasare comandă la numele distinctiv (DN) din domeniul meu AD. Acest lucru este necesar pentru navigare corespunzătoare. După mutarea în dosarul de domeniu (așa cum este indicat în invitația AD: \ dc = cpandl, dc = com în PowerShell), puteți utiliza Get-ChildItem, AD pentru a vedea structura de nivel superior (Figura 3).
Dacă doriți să se uite la unitatea organizațională persoane (OU) SDM, apoi pentru a merge la OU pur și simplu introduceți:
linie de comandă PowerShell va arata ca AD: \ ou = SDM, dc = cpandl, dc = com. În această etapă, puteți utiliza Get-ChildItem, pentru a vedea toate obiectele de utilizator din OU. Dacă doriți să modificați descrierea proprietatea obiectului utilizator care reprezintă meu cont de utilizator Darren Mar-Elia. Pentru a face acest lucru, există o echipă! Set-ItemProperty comandă vă permite să schimbați proprietatea în AD. Dacă doriți să modificați o descriere cont de utilizator Techie șef, emite următoarea comandă:
După cum putem vedea, se folosește parametrul -path pentru a specifica contul meu de utilizator în directorul curent. Eu folosesc, de asemenea, parametrul -Name pentru a specifica dacă doriți să modificați descrierea proprietății, și parametrul valoare Kq, pentru a specifica descrierea șef Techie.
Vă rugăm să rețineți că, dacă doriți să găsiți toate obiectele cu o valoare anumită proprietate, puteți utiliza Get-ItemProperty. Dacă doriți doar pentru a obține un link pe obiectul AD, utilizați Get-element.
După cum puteți vedea, de lucru cu AD, astfel este destul de simplu. Mecanismul este greu de potrivit pentru schimbări în masă, dar este convenabil să se lucreze cu AD ca sistemul de fișiere. În același timp, după cum am aflat, cei mai mulți administratori utilizați comanda în loc de PS AD disc pentru managementul AD. Să vedem cum să aplice unele dintre aceste comenzi.
Utilizarea comenzilor Active Directory
Modul pentru AD, livrat cu Windows 7, conține 76 de comenzi pentru managementul AD. Ele pot fi folosite pentru aproape orice scop, inclusiv cercetarea obiectelor AD, crearea și ștergerea obiectelor AD și manipula informații despre setările AD (de exemplu, condiții forestiere și de politică detaliată a parolei). Echipele sunt grupate de obicei de verbe precum add-, Remove-, Get- și Set-. Vă rugăm să rețineți că nu fiecare comandă are o comandă Get- Set- și vice-versa corespunzătoare, astfel încât, uneori trebuie să-și petreacă efortul de a găsi echipa potrivita pentru sarcina. De exemplu, puteți seta nivelul de funcționalitate forestiere AD folosind Set-ADForestMode, dar pentru a afla nivelul actual de funcționalitate de pădure, trebuie să utilizați comanda Get-ADForest și a vedea proprietatea ForestMode pe obiectul returnat.
Luați în considerare câteva sarcini comune, care pot fi realizate prin utilizarea echipe AD. În special, se va arăta cum să adăugați conturi de utilizator, gestionați calitatea de membru de grup, resetarea parolelor, conturi de utilizator și căuta obiecte AD.
Adăugarea de conturi de utilizator
comandă-ADUser Nou oferă o modalitate ușoară de a adăuga un utilizator la conturile AD. Dacă doriți să adăugați un nou cont de utilizator cu numele Bill Smith în unitatea organizatorică a SDM, în cel mai simplu caz, o nouă comandă de utilizator, puteți configura un cont:
În această comandă, a introdus informațiile de bază despre contul utilizatorului. În special, parametrul -SamAccountName pentru a furniza numele contului SAM necesar pentru a crea un obiect utilizator. De asemenea, utilizat opțiunea -path, pentru a spune echipa un loc unde doriți să plasați un obiect - în acest caz, unitatea organizațională în domeniul cpandl.com SDM. Mai mult, un nume de utilizator (parametrul -GivenName) nume (parametrul -Surname) și un nume afișat (parametrul -DisplayName).
Pentru a evita activarea unui cont și să alocați o parolă separată, puteți schimba comanda New-ADUser. Nou-ADUser activează automat contul, dacă specificați parametrul $ adevărată echipă activat pentru. Pentru a activa este necesară o parolă, astfel că trebuie să specificați, de asemenea, ca o echipă.
Pentru a furniza parola, puteți utiliza -AccountPassword. Cu toate acestea, nu puteți introduce parola în text simplu în linia de comandă. Această opțiune presupune ca parola a fost introdusă în linia protejată (de exemplu, a SecureString tip de date). Există două moduri de a converti parola la un șir securizat, iar în ambele cazuri, se utilizează variabila.
În prima metodă comandă-SecureString ConvertTo aplicabile care convertește șiruri de text simplu pentru a fixa siruri de caractere. De exemplu, dacă doriți să convertiți parola P @ ssw0rd12 un șir securizat și atribuiți-l la o $ variabila PWD, lansați următoarea comandă:
Acest lucru nu este metoda cea mai sigură a parolei este atribuit, ca cineva poate privi peste umăr în timp ce tastați comenzi. Mai mod fiabil, în cazul în care New-ADUser comandă prompt, pentru o parolă și va ascunde caracterele de intrare. Acest lucru se poate face cu ajutorul comenzii Read-Hostcmdlet cu -AsSecureString:
După rularea acestei comenzi, veți vedea simbolul familiar „*“ pentru introducerea unei parole. După ce ați introdus, apăsați tasta Enter.
Odată ce parola este stocată în variabila $ PWD, puteți trece pe la echipa New-ADUser:
După cum putem vedea, echipa conține parametrii și care, -AccountPassword activat pentru a activa contul și atribuie o parolă sigură.
utilizator Crearea de conturi pentru un singur - mod elegant, dar, uneori, pe care doriți să creați mai multe conturi în același timp. PowerShell este perfect pentru acest scop. De exemplu, în cazul în care aveți nevoie pentru a crea conturi de utilizator trei, puteți pregăti un fișier cu un (CSV) delimitate prin virgulă, care conține informații de cont și apoi utilizați comanda Import-CSV pentru a transmite aceste informații la New-ADUser.
Figura 4 prezintă un fișier CSV cu numele userlist.csv.
Ecranul 4. Utilizați un fișier CSV pentru a crea conturi de utilizator simultan mai multe
Rețineți că, în acest fișier antete de coloană sunt numele parametrilor prevăzuți în comanda anterioară New-ADUser. Acest lucru este intenționată. Când datele CSV este transferat la New-ADUser, echipa va selecta numele parametrilor conductei PowerShell, și nu trebuie să fie specificate în comanda în sine. Aici este comanda utilizată pentru a crea conturi de utilizator trei:
După cum puteți vedea, ieșire linia de comandă Import-CSV intra în echipa New-ADUser. Transportor recunoaște că titlurile de coloană din fișier CSV este un nume de parametru, iar rândurile rămase conțin valori, deci trebuie doar să furnizeze parametrii și -AccountPassword activat pentru. Aceasta este o excelenta oportunitate de conducte. Datorita acestui fapt, gestionează mult mai eficient utilizarea PowerShell pentru a automatiza sarcinile de acest tip.
Grupul de management de membru
Adăugarea de conturi de utilizator și calculatoare - sarcini tipice de management AD. Cu modulul AD pentru a efectua relativ ușor. Folosind comanda Add-ADGroupMember pot fi adăugate la un grup de una sau mai multe conturi. De exemplu, dacă aveți nevoie să adăugați trei noi membri la grupul de marketing Utilizatori. Cel mai simplu mod - folosiți comanda:
În acest parametru comandă -Identity pentru a furniza numele grupului. De asemenea, folosit parametrul -Members pentru a furniza numele de conturi SAM utilizatori. Dacă există mai multe nume de conturi SAM, le specificați într-un fișier cu un separate prin virgulă.
Puteți combina operațiunile de creare a conturilor de utilizator trei și adăugarea acestora la grupul de utilizatori de marketing ca o echipa pentru a rezolva problema într-un singur pas. Cu toate acestea, comanda Add-ADGroupMember nu acceptă numele membrilor grupului în conductă. Prin urmare, trebuie să utilizați echipa Add-ADPrincipalGroupMembership, dacă doriți să utilizați conducta. Această comandă poate lua obiectele de utilizator, computer sau grup ca date de intrare de la conductă și adăugarea acestor obiecte la grupul menționat.
Conectați operarea a crea utilizatori cu o operație de adăugarea de noi utilizatori la grupul Utilizatori de marketing într-o singură comandă, după cum urmează:
Rețineți că o parte din echipa New-ADUser adăugat parametrul -PassThru. Acest parametru specifică nou-ADUser, trebuie să treci de obiectul utilizator în conductă. Dacă acest parametru nu este specificat, executarea comenzii Add-ADPrincipalGroupMembership eșuează.
De asemenea, este demn de remarcat faptul că doar parametrul -MemberOf pentru a specifica numele grupului, a se vedea echipa Add-ADPrincipalGroupMembership. Transportorul oferă restul prin adăugarea în fiecare dintre cele trei utilizatori din grupul de utilizatori de marketing.
Deci, cu o singură comandă PowerShell a fost creat trei noi membri, au fost plasate în OU, va primi o parolă și s-a adăugat la grupul de marketing Utilizatori. Acum, ia în considerare și alte activități de întreținere tipice AD, care pot fi automatizate folosind PowerShell și modul AD.
Resetați parolele conturilor de utilizator
Uneori, utilizatorii trebuie să resetați parola contului. Această problemă este ușor de automatizat folosind Set-ADAccountPassword echipa, modifica sau reseta o parolă de cont. Pentru a schimba parola, trebuie să cunoașteți parola veche și introduceți unul nou. Pentru a reseta parola, este suficient pentru a oferi o nouă parolă. Cu toate acestea, este necesară permisiunea de a reseta parola pe obiectul utilizator în AD, pentru a efectua o resetare a parolei.
Pe lângă stabilirea echipei -AccountPassword New-ADUser, comanda utilizează Set-ADAccountPassword SecureString tip de date pentru parole, deci trebuie să utilizați o metodă de conversie a parolei text simplu pentru a fixa siruri de caractere. De exemplu, dacă doriți să resetați parola pentru contul de utilizator Tom Degețel, după salvarea noua parolă ca un șir sigur, puteți rula comanda în variabila $ trecere:
În această comandă, am folosi parametrul -Identity pentru a atribui un nume de cont SAM pentru contul de utilizator Tom Degețel. Am introduce, de asemenea parametrul -NewPassword variabila $ trecere, pentru a oferi o nouă parolă. În cele din urmă, dat de parametrul -Reset pentru a indica faptul că resetarea se realizează, în loc de a schimba parola.
O altă sarcină suplimentară: pentru a comuta cont de utilizator de pavilion Tom Degețel, să-l să schimbe parola la următoarea conectare. Acesta este un truc comun atunci când aveți nevoie să resetați parola unui utilizator. Această sarcină poate fi realizată folosind comanda Set-ADUser, prin setarea valorii -ChangePasswordAtLogon $ true:
Se pune întrebarea, de ce nu transferă banda transportoare de ieșire de comandă Set-ADAccountPassword a fost utilizat în comanda Set-ADUser pentru a efectua ambele operații într-o singură comandă PowerShell. Am încercat această abordare, aceasta nu funcționează. Probabil că în echipa Set-ADAccountPassword are unele limitări pentru a executa cu succes o singură comandă. În orice caz, pur și simplu, folosind un steag comutator comenzi Set-ADUser așa cum este arătat mai sus.
Căutare obiecte Active Directory
Când executați comanda afișează obiectele care corespund criteriilor. Sau puteți trimite rezultatele la o altă comandă pentru prelucrarea obiectelor găsite.
Vă rugăm să rețineți că pentru căutarea pe scară largă pentru parametru util pentru a utiliza -ResultPageSize, pentru a controla partiția în pagina cu rezultatele căutării. I stabilește, de obicei, această valoare la 1000 si o echipa Get-ADObject returnează 1.000 de obiecte de la un moment dat. În caz contrar, nu s-ar putea obține rezultatul așteptat, deoarece numărul obiectelor returnate depășește maximul prevăzut de politica stabilită pentru o singură interogare de căutare.
O altă echipă pentru a căuta, furnizate de Microsoft, - Căutare-ADAccount. Această comandă este utilă în special pentru a găsi o varietate de condiții prestabilite, cum ar fi conturile dezactivate, conturi cu parole expirate și conturi blocate. De exemplu, următoarea comandă preia toate conturile de utilizator cu parole expirate în OU SDM:
Această comandă utilizează -PasswordExpired, indicând faptul că au nevoie de conturi cu parole expirate. Parametrul -UsersOnly indică faptul că trebuie să te uiți doar la obiectele de utilizator (de exemplu, cu excepția obiectelor „de calculator“). Ca și în exemplul anterior, utilizați parametrii -SearchBase și -SearchScope, pentru a specifica aria de căutare. Dar, în acest caz, am folosi OneLevel opțiune pentru a căuta numai în apropierea OU (de exemplu, excluzând orice unități organizaționale pentru copii).
Aceasta este doar povestea de suprafață a modulului AD, dar sper că ai o idee despre posibilitățile inerente în ea. După cum sa menționat mai sus, modulul de mai mult de 70 de echipe. Printre subiectele care nu au fost discutate în articol - îndepărtarea obiectelor folosind comanda Remove-, restaura obiectele șterse folosind echipa Restore-ADObject UAC și ștergeți proprietăți pe utilizator obiecte prin intermediul echipei Set-ADAccountControl. Există comenzi pentru aproape orice sarcini administrative AD.
Partajați imagini cu prietenii și colegii