17.03.2014 Darren Mar Elia
Windows PowerShell ilk dəfə ortaya çıxanda bir çox insanlar onu idarə etmək mümkün olub-olmadığını soruşmağa başladılar Active Directory(AD) PowerShell istifadə edərək. O zaman Microsoft-un cavabı əksər idarəçilərin eşitmək istədiyi kimi deyildi. PowerShell-də AD obyektlərinə daxil olmaq üçün daxili Active Directory Service Interfaces (ADSI) "növ sürətləndiricisi" var idi, lakin istifadəçi əsasən AD idarəetmə tapşırıqlarını təkbaşına yerinə yetirmək üçün PowerShell-dən necə istifadə edəcəyini anlamalı idi. Buraxılış ilə əhəmiyyətli dəyişikliklər baş verdi Windows Server Active Directory PowerShell modulunu təqdim edən 2008 R2. AD moduluna AD-ni idarə etmək üçün bir sıra əmrlər, həmçinin simvolik sürücü kimi AD-də hərəkət etməyə imkan verən AD Provayderi daxildir. Bu yazıda mən sizə AD modulunun necə qurulacağını göstərəcəyəm və onun necə işlədiyini ətraflı təsvir edəcəyəm.
Windows PowerShell ilk dəfə çıxdıqda, bir çox insanlar Active Directory (AD) PowerShell istifadə edərək idarə oluna biləcəyini soruşmağa başladılar. O zaman Microsoft-un cavabı əksər idarəçilərin eşitmək istədiyi kimi deyildi. PowerShell-də AD obyektlərinə daxil olmaq üçün daxili Active Directory Service Interfaces (ADSI) "növ sürətləndiricisi" var idi, lakin istifadəçi əsasən AD idarəetmə tapşırıqlarını təkbaşına yerinə yetirmək üçün PowerShell-dən necə istifadə edəcəyini anlamalı idi. Bir müddət sonra Quest Proqramı AD obyektlərinin yaradılması, dəyişdirilməsi və silinməsi və AD-də obyektlərin axtarışı daxil olmaqla, AD inzibati tapşırıqları üçün pulsuz əmrlər dəstini təqdim etdi. Uzun müddətdir ki, PowerShell və AD idarəetmə vəziyyəti belədir.
Active Directory üçün PowerShell modulunu təqdim edən Windows Server 2008 R2-nin buraxılması ilə əhəmiyyətli dəyişikliklər baş verdi. AD moduluna AD-ni idarə etmək üçün bir sıra əmrlər, həmçinin simvolik sürücü kimi AD-də hərəkət etməyə imkan verən AD Provayderi daxildir. Bu yazıda mən sizə AD modulunun necə qurulacağını göstərəcəyəm və onun necə işlədiyini ətraflı təsvir edəcəyəm.
Active Directory Modulunun quraşdırılması
AD ilə əlaqə yaratmaq üçün LDAP-dan istifadə edən əvvəlki vasitələrdən fərqli olaraq, AD modulu AD domen nəzarətçisi (DC) ilə əlaqə saxlamaq üçün Active Directory Web Services (ADWS) protokollarından istifadə edir. Bu protokollar "Active Directory Web Services Overview" MSDN bloqunda ətraflı təsvir edilmişdir, lakin onu demək kifayətdir ki, AD modulundakı PowerShell əmrləri və Active Directory İnzibati Mərkəzi (ADAC) AD ilə əlaqə saxlamaq və AD-dən məlumat almaq üçün ADWS-dən istifadə edir.
Windows Server 2012 və ya Server 2008 R2 domen nəzarətçilərini AD domenində quraşdırdığınız zaman ADWS protokolu onların hər birində standart olaraq quraşdırılır və işə salınır. Domeniniz tamamilə Windows Server 2008 və ya Windows Server 2003 domen nəzarətçilərindən ibarətdirsə, ADWS-ni ayrıca quraşdırmalısınız. Microsoft bu məqsədlə Active Directory Management Gateway Service paketini pulsuz təqdim edir. Paketi ən azı bir AD Server 2008 və ya Server 2003 domen nəzarətçisinə quraşdırsanız, ADAC ilə birlikdə PowerShell üçün AD modulundan istifadə edə bilərsiniz.
AD modulunun özü defolt olaraq Server 2012 və ya Server 2008 R2 ilə işləyən istənilən DC-də quraşdırılır. Windows 8 və Windows 7 kompüterlərində (və ya Server 2012 və ya Server 2008 R2 ilə işləyən DC-dən başqa hər hansı kompüter) siz Microsoft Yükləmə Mərkəzindən Uzaqdan Server İdarəetmə Vasitələrini quraşdırmalısınız.
Uzaqdan Server İdarəetmə Vasitələrinin kompüterdə əvvəlcədən və ya ayrıca quraşdırılmasından asılı olmayaraq, növbəti addım İdarəetmə Panelində Proqramları Əlavə et/Sil bölməsini açmaq və soldakı menyudan Windows xüsusiyyətlərini yandır və ya söndür seçimini etməkdir. Windows Xüsusiyyətləri dialoqunu Uzaqdan Server İdarəetmə Alətləri bölməsinə sürüşdürün. Şəkil 1-də göstərildiyi kimi \Remote Server Administration Tools\Role Administration Tools\AD DS və AD LDS Tools qovluğunda Windows PowerShell üçün Active Directory Modul onay qutusunu tapın. Yoxlama qutusunu seçin və modulu quraşdırmaq üçün OK düyməsini basın.
Daha sonra Başlat menyusunun İnzibati Alətlər bölməsində Windows PowerShell üçün Active Directory Modul qısa yolunu görməlisiniz. Yüklənmiş AD modulu ilə PowerShell-i işə salmaq üçün bu qısayolu klikləyin. Əgər siz artıq PowerShell-dən istifadə edirsinizsə və sadəcə modul yükləmək istəyirsinizsə, o, istifadəyə hazır olsun, AD və AD Provayderi əmrlərinə daxil olmaq üçün aşağıdakı əmri daxil edə bilərsiniz:
Import-Module ActiveDirectory
İndi AD Provayderindən istifadə edərək AD-də necə naviqasiya olunacağına baxaq.
Active Directory Provayderindən istifadə
PowerShell, sadəcə PS diskləri kimi istinad edəcəyim PowerShell diskləri konsepsiyasını həyata keçirir. PS sürücüsü üçün sadələşdirilmiş termin qovluq və yarpaqlardan ibarət naviqasiya edilə bilən fayl sistemi kimi resursun təmsilidir. Hər resurs bu şəkildə təmsil oluna bilməz, lakin bir çoxu (AD və reyestr daxil olmaqla) bu modelə yaxşı uyğun gəlir. AD modulunda PS AD disk provayderi var. Müvafiq olaraq, AD-ni bir fayl sistemi kimi hərəkət edə və hətta dəyişə bilərsiniz.
Beləliklə, AD Provayderindən istifadə edərək AD-da necə hərəkət edirsiniz? Güman edir ki, PowerShell açıqdır və AD modulu yüklənir. Bu halda ilk addım sl və cd daxil olmaqla bir neçə ləqəb olan Set-Location əmrini yerinə yetirməkdir:
Məkan reklamını təyin edin:
Bu əmr PS AD sürücüsünün cari iş mövqeyini dəyişir. Nəticədə, PowerShell sorğusu C:\ əvəzinə AD:\ göstərəcək. Sonra PS AD diskindəki elementləri görmək üçün dir təxəllüsü ilə Get-ChildItem əmrindən istifadə edə bilərsiniz:
Get-ChildItem
Ekran 2 mənim kompüterimdə nəticənin nümunəsini göstərir.
Gördüyümüz kimi, komanda bütün mövcud domen bölmələrinin siyahısını qaytarır. Ən maraqlısı, fikrimcə, istifadəçi və kompüter adlarını ehtiva edən cpandl adlı domen bölməsidir. Bu domeni dəyişdirmək üçün sadəcə əmri daxil edin:
Məkanı təyin edin "dc = cpandl, dc = com"
Nəzərə alın ki, Məkan Seti əmri mənim AD domenimin seçilən adından (DN) istifadə edir. Bu düzgün naviqasiya üçün tələb olunur. Domen kataloquna keçdikdən sonra (PowerShell-də AD:\dc=cpandl,dc=com əmri ilə göstərildiyi kimi) yuxarı səviyyəli AD strukturunu görmək üçün Get-ChildItem əmrindən istifadə edə bilərsiniz (Şəkil 3).
.jpg) |
| Şəkil 3: AD iyerarxiyasının yuxarı səviyyəsinə baxış |
Təşkilat bölməsində (OU) SDM-də istifadəçilərə baxmaq istəyirsinizsə, bu OU-ya getmək üçün sadəcə daxil edin:
Set-Məkan "OU = SDM"
PowerShell komanda xətti AD:\ou=SDM,dc=cpandl,dc=com kimi görünəcək. Aktiv bu mərhələ bu OU-da bütün istifadəçi obyektlərini görmək üçün Get-ChildItem əmrindən istifadə edə bilərsiniz. Mən Darren Mar-Elia istifadəçi hesabımı təmsil edən istifadəçi obyektində Təsvir xassəsini dəyişdirmək istəsəm. Bunun üçün bir komanda var! Set-ItemProperty əmri AD obyektindəki xassəni dəyişməyə imkan verir. İstifadəçi hesabının təsvirini Chief Techie olaraq dəyişdirmək istəyirsinizsə, əmri işlədin:
Set-ItemProperty -Path ".\CN=Darren Mar-Elia" ` -Ad "Təsvir" -Dəyər "Baş Texniki"
Gördüyümüz kimi, cari kataloqda mənim istifadəçi hesabımı təyin etmək üçün burada -Path parametrindən istifadə olunur. Mən həmçinin Təsvir xassəsinin dəyişdirilməli olduğunu göstərmək üçün -Name parametrindən və Baş Texnikanın təsvirini göstərmək üçün -Value parametrindən istifadə edirəm.
Nəzərə alın ki, bütün obyektləri müəyyən bir xüsusiyyət dəyəri ilə tapmaq istəyirsinizsə, Get-ItemProperty-dən istifadə edə bilərsiniz. Əgər sadəcə bir AD obyektinə istinad əldə etmək istəyirsinizsə, Get-Item istifadə edin.
Göründüyü kimi, AD ilə bu şəkildə işləmək olduqca sadədir. Mexanizm toplu dəyişikliklər üçün çətin ki, uyğundur, lakin fayl sistemi kimi AD ilə işləmək üçün əlverişlidir. Bununla belə, aşkar etdim ki, əksər idarəçilər AD-ni idarə etmək üçün PS AD sürücüsü əvəzinə əmrlərdən istifadə edirlər. Bu əmrlərdən bəzilərinin necə işlədiyini görək.
Active Directory əmrlərinin tətbiqi
Windows 7 ilə birlikdə gələn AD modulu AD-ni idarə etmək üçün 76 əmrdən ibarətdir. Onlar AD obyektlərinin axtarışı, AD obyektlərinin yaradılması və silinməsi və AD parametrləri haqqında məlumatların idarə edilməsi (meşə rejimi və incə dənəli parol siyasəti kimi) daxil olmaqla, demək olar ki, istənilən məqsəd üçün istifadə edilə bilər. Əmrlər adətən Add-, Remove-, Get- və Set- kimi fellərə görə qruplaşdırılır. Nəzərə alın ki, hər Get- əmrində müvafiq Set- əmri yoxdur və əksinə, buna görə də bəzən tapmaq üçün səy tələb olunur istədiyiniz əmr tapşırıq üçün. Məsələn, siz Set-ADForestMode istifadə edərək AD-nin meşə funksionallıq səviyyəsini təyin edə bilərsiniz, lakin cari meşə funksionallıq səviyyəsini öyrənmək üçün Get-ADForest əmrindən istifadə etməli və qaytarılmış obyektdə ForestMode xassəsinə baxmaq lazımdır.
AD əmrlərindən istifadə etməklə yerinə yetirilə bilən bir neçə ümumi tapşırığa nəzər salaq. Xüsusilə, o, sizə istifadəçi hesablarını necə əlavə etməyi, qrup üzvlüyünü idarə etməyi, istifadəçi hesabı parollarını sıfırlamağı və AD obyektlərini necə axtarmağı göstərəcək.
İstifadəçi hesablarının əlavə edilməsi
New-ADUser əmri istifadəçi hesablarını AD-yə əlavə etmək üçün asan bir yol təqdim edir. SDM OU-ya Bill Smith adlı yeni istifadəçi hesabı əlavə etmək lazımdırsa, ən sadə halda əmrlə yeni istifadəçi hesabı yarada bilərsiniz:
Yeni-ADUser -Ad "Bill Smith" -SamAccountName "bsmith" ` -GivenName "Bill" -Soyadı "Smith" ` -DisplayName "Bill Smith" -Path "OU=SDM,DC=cpandl,DC=com"
Bu əmr əsas istifadəçi hesabı məlumatlarını daxil edir. Xüsusilə, -SamAccountName parametri istifadəçi obyektini yaratmaq üçün tələb olunan SAM hesabının adını təmin etmək üçün istifadə olunur. –Path parametri həmçinin obyektin hara yerləşdiriləcəyini əmr etmək üçün istifadə olunur, bu halda cpandl.com domenində SDM OU. Bundan əlavə, istifadəçinin adı (-GivenName parametri), soyadı (-Soyadı parametri) və ekran adı (-DisplayName parametri) göstərilir.
Bu əmrin icrası istifadəçi hesabı yaradacaq, lakin iki problem var. Birincisi, hesab deaktiv ediləcək. İkincisi, hesabın onunla əlaqəli parolu olmayacaq, bu, əksər domenlərdə tələb olunur.
Hesabı aktivləşdirmək və ayrıca parol təyin etmək məcburiyyətində qalmamaq üçün New-ADUser əmrini dəyişdirə bilərsiniz. Komandada -Enabled $true seçimini göstərsəniz, New-ADUser hesabı avtomatik aktivləşdirəcək. Aktivləşdirmə parol tələb edir, buna görə də onu əmrdə göstərməlisiniz.
Parol təmin etmək üçün –AccountPassword parametrindən istifadə edə bilərsiniz. Bununla belə, parolu əmr satırında düz mətnlə daxil edə bilməzsiniz. Bu seçim parolun təhlükəsiz sətirdə (yəni SecureString məlumat növü) daxil edilməsini tələb edir. Şifrəni təhlükəsiz sətirə çevirməyin iki yolu var və hər iki halda dəyişən istifadə olunur.
Birinci üsul sadə mətn sətirlərini təhlükəsiz sətirlərə çevirən ConvertTo-SecureString əmrindən istifadə edir. Məsələn, parolu dəyişdirmək lazımdırsa [email protected] təhlükəsiz sətirə və onu $pwd dəyişəninə təyin edin, əmri işlədin:
$pwd = ConvertTo-SecureString -string " [email protected]» ` -AsPlainText – güc
Bu, parol təyin etməyin ən təhlükəsiz üsulu deyil, çünki əmri daxil edərkən kimsə çiyninizin üstündən baxa bilər. Daha etibarlı yol, New-ADUser əmrinin parol tələb etməsi və daxil etdiyiniz simvolları gizlətməsidir. Bu, -AsSecureString parametri ilə Read-Hostcmdlet əmrindən istifadə etməklə edilə bilər:
$pwd = Read-Host -AsSecureString
Bu əmri yerinə yetirdikdən sonra parolu daxil edərkən ekranda tanış “*” işarəsini görəcəksiniz.Daxil etməyi bitirdikdən sonra Enter düyməsini sıxın.
Parol $pwd dəyişənində saxlandıqdan sonra onu New-ADUser əmrinə ötürə bilərsiniz:
Yeni-ADUser -Ad"Bill Smith"-SamAccountName"bsmith"` -GivenName"Bill"-Soyadı"Smith"` -DisplayName"Bill Smith"` -Path"OU=SDM,DC=cpandl,DC=com"` - Aktiv $true -AccountPassword $pwd
Gördüyümüz kimi, komanda hesabı aktivləşdirən və etibarlı şəkildə parol təyin edən -Enabled və -AccountPassword seçimlərini ehtiva edir.
İstifadəçi hesablarını bir-bir yaratmaq səliqəli bir yoldur, lakin bəzən eyni anda birdən çox hesab yaratmalısınız. PowerShell bu məqsəd üçün əladır. Məsələn, üç istifadəçi hesabı yaratmaq lazımdırsa, siz hesab məlumatlarını ehtiva edən vergüllə ayrılmış dəyər (CSV) faylı hazırlaya və sonra həmin məlumatı New-ADUser-ə ötürmək üçün Import-CSV əmrindən istifadə edə bilərsiniz.
Şəkil 4 userlist.csv adlı CSV faylını göstərir.
Qeyd edək ki, bu faylda sütun başlıqları əvvəlki New-ADUser əmrində verilmiş parametr adlarına uyğun gəlir. Qəsdən hazırlanmışdır. CSV məlumatları New-ADUser-ə ötürüldükdə, komanda bu parametr adlarını PowerShell boru kəmərindən götürəcək və əmrin özündə göstərilməsinə ehtiyac qalmayacaq. Üç istifadəçi hesabı yaratmaq üçün istifadə olunan əmr budur:
Import-CSV -Path C:\data\userlist.csv | Yeni-ADUser -Aktivdir $true -AccountPassword $pwd
Göründüyü kimi Import-CSV əmrinin çıxış sətirləri New-ADUser əmrinə keçir. Boru kəməri CSV faylındakı sütun başlıqlarının parametr adları olduğunu və qalan sətirlərin dəyərləri ehtiva etdiyini qəbul edir, ona görə də o, yalnız -Enabled və -AccountPassword parametrlərini təmin etməlidir. Bu, əla boru kəməri qabiliyyətidir. Bu, bu tip avtomatlaşdırma tapşırıqları üçün PowerShell-dən istifadə etməyi daha səmərəli edir.
Qrup üzvlüyünün idarə edilməsi
İstifadəçi və kompüter hesablarının əlavə edilməsi ümumi AD idarəetmə vəzifəsidir. AD modulunun köməyi ilə bunu etmək nisbətən asandır. Add-ADGroupMember əmrindən istifadə edərək siz qrupa bir və ya daha çox hesab əlavə edə bilərsiniz. Məsələn, Marketinq İstifadəçiləri qrupuna üç yeni istifadəçi əlavə etmək istəyirsinizsə. Ən asan yol əmrdən istifadə etməkdir:
Add-ADGroupMember -Identity»Marketing Users«` -Üzvlər jadams,tthumb,mtwain
Bu komandada qrupun adını vermək üçün -Identity parametrindən istifadə olunur. İstifadəçilərin SAM hesab adlarını təmin etmək üçün -Üzvlər seçimi də istifadə olunur. Bir neçə SAM hesabı adı varsa, onlar vergüllə ayrılmış faylda göstərilməlidir.
Tapşırığı bir addımda tamamlamaq üçün üç hesab yaratmaq və onları Marketinq İstifadəçiləri qrupuna əlavə etmək addımlarını bir komandada birləşdirə bilərsiniz. Bununla belə, Add-ADGroupMember əmri qrup üzvlərinin adlarının boru xəttinə ötürülməsini dəstəkləmir. Buna görə də, boru kəmərindən istifadə etmək istəyirsinizsə, Add-ADPrincipalGroupMembership əmrindən istifadə etməlisiniz. Bu komanda istifadəçi, kompüter və ya qrup obyektlərini boru kəmərindən giriş kimi götürə və həmin obyektləri göstərilən qrupa əlavə edə bilər.
İstifadəçilərin yaradılması əməliyyatını Marketinq İstifadəçiləri qrupuna yeni istifadəçilərin əlavə edilməsi əməliyyatı ilə aşağıdakı kimi bir komandada birləşdirə bilərsiniz:
Import-CSV -Path C:\data\userlist.csv | Yeni-ADUser -Aktivdir $true -AccountPassword $pass ` -PassThru | Add-ADPrincipalGroupMembership ` -"Marketinq İstifadəçiləri" Üzvü
Qeyd edək ki, -PassThru parametri komandanın New-ADUser hissəsinə əlavə edilib. Bu parametr New-ADUser-ə yaradılan istifadəçi obyektlərini boru kəmərinə ötürməyi əmr edir. Bu parametr göstərilməsə, Add-ADPrincipalGroupMembership əmri uğursuz olacaq.
Həmçinin diqqətəlayiq odur ki, komandanın Add-ADPrincipalGroupMembership bölməsində qrup adını təyin etmək üçün yalnız -MemberOf parametrindən istifadə olunur. Boru kəməri üç istifadəçinin hər birini Marketinq İstifadəçiləri qrupuna əlavə etməklə qalan işləri görür.
Beləliklə, tək PowerShell əmri ilə üç yeni istifadəçi yaradıldı, bir OU-ya yerləşdirildi, parollar verildi və Marketinq İstifadəçiləri qrupuna əlavə edildi. İndi PowerShell və AD modulundan istifadə etməklə avtomatlaşdırıla bilən digər tipik AD texniki xidmət tapşırıqlarına baxaq.
İstifadəçi hesabı parollarını sıfırlayın
Bəzən istifadəçilər hesab parollarını sıfırlamalıdırlar. Hesab parolunu dəyişdirərək və ya sıfırlayaraq Set-ADAccountPassword əmri ilə bu işi asanlıqla avtomatlaşdıra bilərsiniz. Şifrəni dəyişdirmək üçün köhnə parolu bilməli və yenisini daxil etməlisiniz. Parolunuzu sıfırlamaq üçün sadəcə yeni parol təqdim edin. Bununla belə, parolu sıfırlamaq üçün AD-də istifadəçi obyektində Parolun Sıfırlanması icazəsi lazımdır.
New-ADUser əmrinin -AccountPassword seçimi kimi Set-ADAccountPassword əmri parollar üçün SecureString məlumat növündən istifadə edir, ona görə də siz düz mətn parollarını təhlükəsiz sətirlərə çevirmək üsullarından birini istifadə etməlisiniz. Məsələn, Tom Thumb istifadəçi hesabı üçün parolu sıfırlamaq istəyirsinizsə, yeni parolu $pass dəyişənində təhlükəsiz sətir kimi saxladıqdan sonra əmri yerinə yetirə bilərsiniz:
Set-ADAccountPassword -Identity"thumb"` -NewPassword $pass -Sıfırla
Bu əmrdə Tom Thumb istifadəçi hesabına SAM hesabı adı təyin etmək üçün -Identity parametrindən istifadə edirəm. Mən də yeni parol təmin etmək üçün $pass dəyişəni ilə -NewPassword seçimini daxil edirəm. Nəhayət, parol dəyişikliyindən daha çox sıfırlamanın həyata keçirildiyini göstərmək üçün -Reset seçimi verilir.
Digər isteğe bağlı tapşırıq: Tom Thumb növbəti dəfə daxil olduqda parolunu dəyişməyə məcbur etmək üçün onun istifadəçi hesabı bayrağını dəyişdirin. Bu, istifadəçinin parolunu sıfırlamağa gəldikdə ümumi bir texnikadır. Bu tapşırıq Set-ADUser əmrindən istifadə etməklə -ChangePasswordAtLogon parametrini $true olaraq təyin etməklə yerinə yetirilə bilər:
Set-ADUser -Şəxsiyyət ttbarmaq -ChangePasswordAtLogon $true
Sual yaranır ki, nə üçün hər iki əməliyyatı tək PowerShell əmrində yerinə yetirmək üçün Set-ADAccountPassword əmrinin çıxışını Set-ADUser əmrinə ötürmək üçün boru kəmərindən istifadə olunmayıb. Mən bu yanaşmanı sınadım, alınmadı. Yəqin ki, Set-ADAccountPassword əmrində bir əmrin uğurla işləməsinə mane olan bəzi məhdudiyyətlər var. İstənilən halda, yuxarıda göstərildiyi kimi, sadəcə Set-ADUser əmrindən istifadə edərək bayrağı dəyişdirmək kifayətdir.
Active Directory obyektlərinin tapılması
Digər tipik AD vəzifəsi müəyyən meyarlara uyğun gələn AD obyektlərini tapmaqdır. Məsələn, Windows əməliyyat sisteminin müəyyən bir versiyası ilə işləyən bütün kompüterləri AD domenində tapa bilərsiniz. Get-ADObject əmri ən rahat LDAP axtarış əmridir. Məsələn, cpandl.com domenində Server 2008 R2 kompüterlərini tapmaq üçün əmrdən istifadə edilmişdir:
Get-ADObject -LDAPFilter ` "(&(operatingSystem=Windows Server 2008 R2 Enterprise)` (objectClass=kompüter))"-SearchBase"dc=cpandl,dc=com"` -SearchScope Alt Ağacı
Bu əmr tapşırığı tamamlamaq üçün üç parametrdən istifadə edir: -LDAPFilter, -SearchBase və -SearchScope. -LDAPFilter parametri standart LDAP sorğusunu giriş kimi qəbul edir. Bu misal Windows Server 2008 R2 Enterprise-a təyin edilmiş OperatingSystem atributuna malik bütün kompüter obyektlərini sorğulayır. -SearchBase parametri əmrə AD iyerarxiyasında axtarışa haradan başlamaq lazım olduğunu bildirir. Bu halda axtarış AD domeninin kök kataloqundan həyata keçirilir, lakin axtarışı konkret OU ilə məhdudlaşdırmaq çətin deyil. -SearchScope parametri əmrə göstərilən obyektləri tapmaqla axtarış bazası altındakı bütün konteynerləri taramaq olub olmadığını bildirir. Bu halda, alt ağac parametri əmrin bütün əsas konteynerləri yoxlamaq üçün istifadə olunur.
Komandanı işlətdiyiniz zaman meyarlara uyğun gələn obyektlər göstərilir. Və ya tapılan obyektləri emal etmək üçün nəticələri başqa komandaya göndərə bilərsiniz.
Nəzərə alın ki, böyük axtarışlar üçün axtarış nəticələrinin səhifələnməsinə nəzarət etmək üçün -ResultPageSize parametrindən istifadə etmək faydalıdır. Mən adətən bu parametri 1000-ə qoyuram və Get-ADObject əmri bir anda 1000 obyekti qaytarır. Əks halda, siz gözlənilən nəticəni əldə edə bilməyəcəksiniz, çünki qaytarılmış obyektlərin sayı bir axtarış sorğusu üçün təyin edilmiş siyasət tərəfindən icazə verilən maksimumu keçir.
Microsoft tərəfindən təmin edilən başqa bir axtarış əmri Search-ADAccount-dur. Bu əmr əlil hesablar, vaxtı keçmiş parolları olan hesablar və kilidlənmiş hesablar kimi müxtəlif əvvəlcədən təyin edilmiş şərtlərlə axtarış etmək üçün xüsusilə faydalıdır. Məsələn, aşağıdakı əmr SDM OU-da vaxtı keçmiş parolları olan bütün istifadəçi hesablarını tapır:
Search-ADAccount -PasswordExpired -UsersOnly ` -SearchBase"OU=sdm,dc=cpandl,dc=com"` -SearchScope OneLevel Search-ADAccount -PasswordExpired -UsersOnly ` -SearchBase"OU=sdm,dc=dc=c"c ` -SearchScope OneLevel
Bu əmr vaxtı keçmiş parolları olan hesabların tələb olunduğunu müəyyən etmək üçün -PasswordExpired parametrindən istifadə edir. -UsersOnly parametri yalnız istifadəçi obyektlərinin axtarılmalı olduğunu müəyyən edir (yəni "kompüter" obyektlərini istisna edin). Əvvəlki nümunədə olduğu kimi, axtarış sahəsini təyin etmək üçün -SearchBase və –SearchScope parametrləri istifadə olunur. Lakin bu halda, mən yalnız ən yaxın OU-nu axtarmaq üçün OneLevel parametrindən istifadə edirəm (yəni hər hansı uşaq OU istisna olmaqla).
Bu, AD moduluna sadəcə bir baxışdır, amma ümid edirəm ki, onun nəyə qadir olduğu barədə təsəvvürünüz var. Yuxarıda qeyd edildiyi kimi, modulda 70-dən çox əmr var. Bu məqalədə əhatə olunmayan mövzulara Sil- əmrindən istifadə edərək obyektlərin silinməsi, Restore-ADObject əmrindən istifadə edərək silinmiş obyektlərin bərpası və Set-ADAccountControl əmrindən istifadə edərək istifadəçi obyektlərindəki UAC xassələrinin silinməsi daxildir. Demək olar ki, hər hansı bir AD inzibati tapşırığı üçün əmrlər var.
Dərs 7. Active Directory-nin Administrasiyası.
Active Directory-nin idarə edilməsi prosesi aşağıdakılardan ibarətdir:
- Active Directory domenləri;
- domen kataloqunun strukturu;
- domen obyektləri (istifadəçilər, kontaktlar, kompüterlər, qruplar, printerlər və s.);
- Active Directory saytları və şəbəkələri;
- məlumatların təkrarlanması.
Bütün bu vəzifələr Active Directory-nin domen nəzarətçisində quraşdırılması zamanı quraşdırılmış üç idarəetmə konsolundan istifadə etməklə həll edilir:
- Active Directory - Domenlər və Güvənlər
- Active Directory - İstifadəçilər və Kompüterlər
- Active Directory Saytları və Xidmətləri
Domendəki digər kompüterlərdə bu konsollar inzibati yardım paketinin bir hissəsi kimi quraşdırıla bilər.
Active Directory obyektlərinin təsviri.
Bütün Active Directory idarəetmə konsolları kataloq obyektlərini göstərmək üçün vahid nişanlar dəstindən istifadə edir. Aşağıda bütün əsas Active Directory obyektləri və onlara uyğun nişanlar verilmişdir. Bu məlumat Active Directory-də daha asan naviqasiya etməyə kömək edəcək.
İkon | Bir obyekt | Təsvir |
Serveri yenidən yükləyin.
Directory Service Restore Mode üçün parolu daxil edin.
AD fayllarını saxlamaq üçün qovluq yerlərini təsdiqləyin.
NetBIOS domen adını təsdiqləyin.
7. İstifadəçilər və qruplar üçün təhlükəsizlik səviyyəsini seçin:
· Windows 2000-dən əvvəlki serverə uyğun icazələr– domendə Windows NT ilə işləyən serverlərdə işləyən proqramlar və ya xidmətlər varsa və ya kompüter Windows NT ilə işləyən domenin üzvüdürsə.
· İcazələr yalnız Windows 2000 server və Windows Server 2003 ilə uyğundur– domendə yalnız Windows 2000 server və Windows Server 2003 ilə işləyən serverlər işləyirsə.
Active Directory idarəetmə əlavələri dəsti Active Directory-ni idarə etmək üçün istifadə olunur. Dörd qazma qurğusundan ibarətdir:
1 Active Directory İstifadəçisi və Kompüterləri (istifadəçilər və kompüterlər) - istifadəçi hesablarını və domendəki kompüterləri idarə etmək üçün nəzərdə tutulmuşdur.
2 Active Directory Domains və Trusts (domenlər və güvən) - domenlər arasında etimad əlaqələrinin qurulması üçün istifadə olunur.
3 Active Directory Saytları və Xidməti (saytlar və xidmətlər) - saytları və sayt bağlantılarını idarə etmək üçün nəzərdə tutulmuşdur.
4 DNS - Active Directory-ə inteqrasiya olunmuş DNS serverinin idarə edilməsi.
Active Directory İstifadəçiləri və Kompüterlər.
Active Directory istifadəçi hesabları və kompüter hesabları kompüter və ya istifadəçi kimi fiziki şəxslərdir. İstifadəçi hesabları bəzi proqramlar üçün xüsusi xidmət qeydləri kimi də istifadə edilə bilər.
İstifadəçi hesabı– Windows əməliyyat sistemində istifadəçini müəyyən edən bütün məlumatları ehtiva edən Active Directory obyekti. Bu məlumat daxildir:
istifadəçinin şəxsi məlumatları (ad, telefon, e-poçt, poçt ünvanı, təşkilat haqqında məlumat);
· hesab parametrləri (istifadəçinin girişi üçün tələb olunan istifadəçi adı və parol, hesabın bitmə tarixi, parolun idarə edilməsi, şifrələmə və autentifikasiya parametrləri);
istifadəçinin üzvü olduğu qrupların adları;
istifadəçi profili (iş masası parametrləri, davamlı şəbəkə əlaqələri və proqram parametrləri kimi xüsusi istifadəçi üçün parametrlər haqqında məlumat ehtiva edir);
Digər məlumatlar (terminal xidmətlərinin profili, uzaqdan idarəetmə, sessiyanın idarə edilməsi və s.).
Kompüter hesabı- domendəki kompüteri unikal şəkildə müəyyən edən Active Directory obyekti. Kompüter hesabı domendəki kompüter adına uyğun gəlir. Hesabı domenə əlavə edilmiş kompüter Active Directory məzmunundan istifadə edən şəbəkə əməliyyatlarında iştirak edə bilər. Məsələn, domenə əlavə edilmiş iş stansiyası Active Directory-də mövcud olan hesabları və qrupları tanıya bilir.
@ Windows 95, Windows 98 və Windows Me ilə işləyən kompüterlər qabaqcıl təhlükəsizlik xüsusiyyətlərinə malik deyil və kompüter hesabları təyin edilə bilməz.
Qrup istifadəçi və kompüter hesablarının, kontaktların və vahid qurum kimi idarə oluna bilən digər qrupların toplusudur. Müəyyən bir qrupa aid olan istifadəçilər və kompüterlər qrup üzvləri adlanır. Active Directory-dəki qruplar domen və təşkilat bölməsi konteyner obyektlərinin daxilində yerləşən kataloq obyektləridir.
Active Directory-dəki qruplar sizə imkan verir:
· Fərdi istifadəçilərə deyil, bir qrupa pay icazələri təyin etməklə idarəetməni sadələşdirin. Bu, bu qrupun bütün üzvləri üçün resursa eyni çıxışı təmin edir;
vasitəsilə bütün qrup üçün dərhal istifadəçilərə hüquqlar təyin edərək idarəçiliyə həvalə edin qrup siyasəti, sonra qrupla eyni hüquqlara malik olan lazımi üzvlərin qrupa əlavə edilməsi;
Qruplar əhatə dairəsi və növü ilə xarakterizə olunur. Qrupun əhatə dairəsi qrupun domen və ya meşə daxilində tətbiq etdiyi diapazonu müəyyən edir. Üç fərqli əhatə dairəsi var: universal, qlobal və yerli domen.
· Yerli domen (yerli daxil edilmiş)- Domen yerli əhatə dairəsi olan qrupların üzvlərinə Windows Server 2003, Windows 2000 və ya Windows NT domenlərindən olan digər qruplar və hesablar daxil ola bilər və yalnız domen daxilində icazələr verilə bilər.
@ Domen yerli qrupları eyni domen daxilində resurslara girişi idarə etmək üçün istifadə edilməlidir.
· Qlobal- Qlobal əhatəli qrupların üzvləri yalnız qrupun müəyyən edildiyi domendən olan digər qrupları və hesabları daxil edə bilər və onlara meşədəki istənilən domendə icazələr verilə bilər.
@Qlobal əhatəli qruplar gündəlik texniki xidmət tələb edən kataloq obyektlərini idarə etmək üçün tövsiyə olunur. Bunlara misal olaraq istifadəçi və kompüter hesablarını göstərmək olar. Qlobal əhatə dairəsi olan qruplar öz domenlərindən kənarda təkrarlanmadığından, belə qruplarda olan hesablar qlobal kataloqa təkrarlama ilə bağlı əlavə trafikə səbəb olmadan tez-tez dəyişdirilə bilər.
· Universal- Universal əhatəli qrupların üzvləri domen ağacında və ya meşədə istənilən domendən olan digər qrupları və hesabları daxil edə bilər və onlara domen ağacında və ya meşədə istənilən domendə icazələr verilə bilər.
@ Domenləri əhatə edən qruplara universal əhatə dairəsi təyin edin. Bunu etmək üçün hesabları qlobal əhatə dairəsi olan qruplara əlavə edin və sonra həmin qrupları universal əhatə dairəsi olan qruplara yerləşdirin. Bu yanaşma ilə qlobal əhatəli qrupların üzvlüyünün dəyişdirilməsi universal əhatəli qruplara təsir göstərmir.
Qrup növü qrupun resurslara və ya yalnız e-poçt paylama siyahılarına icazələr təyin etmək üçün istifadə oluna biləcəyini müəyyən edir.
Təhlükəsizlik qrupları– şəbəkə resurslarına səmərəli giriş nəzarətini təmin etmək. Təhlükəsizlik qruplarından istifadə sizə aşağıdakıları etməyə imkan verir:
· Active Directory-də təhlükəsizlik qrupuna istifadəçi hüquqlarını təyin edin. Təhlükəsizlik qrupları üçün təyin edilmiş istifadəçi hüquqları həmin qrupun üzvünün domen (və ya meşə) daxilində nə edə biləcəyini müəyyən edir. Administratorlara domendəki inzibati istifadəçilərin rolunu müəyyən etməyə kömək etmək üçün istifadəçi hüquqları Active Directory quraşdırılması zamanı avtomatik olaraq təhlükəsizlik qrupları üçün təyin edilir. Məsələn, Active Directory-də Yedəkləmə Operatorları qrupuna əlavə edilmiş istifadəçi domendəki istənilən domen nəzarətçisində faylların və qovluqların ehtiyat nüsxəsini çıxarmaq və bərpa etmək imkanı qazanır. Siz xüsusi tapşırıqları həvalə etmək üçün Qrup Siyasətindən istifadə edərək təhlükəsizlik qrupuna istifadəçi hüquqlarını təyin edə bilərsiniz. Təqdim olunan tapşırıqları təyin edərkən diqqətli olmaq lazımdır. Təhlükəsizlik qrupunda həddindən artıq hüquqlar verilmiş təcrübəsiz istifadəçi potensial olaraq şəbəkəyə ciddi ziyan vura bilər.
· Təhlükəsizlik qruplarına resurs icazələri təyin edin. İcazələri istifadəçi hüquqları ilə qarışdırmayın. İcazələr paylaşılan resurslardan istifadə edən təhlükəsizlik qrupları üçün təyin edilir. İcazələr verilmiş resursa kimin daxil ola biləcəyini və tam nəzarət kimi giriş səviyyəsini müəyyən edir. Domen obyektlərində müəyyən edilmiş bəzi icazələr, Hesab Operatorları və ya Domen Operatorları kimi standart qruplara müxtəlif giriş səviyyələri üçün avtomatik olaraq təyin edilir. İcazələr haqqında ətraflı məlumat üçün Active Directory-də Giriş İdarəsinə baxın.
@ Təhlükəsizlik qrupları resurslar və obyektlər üzərində icazələri müəyyən edən seçmə girişə nəzarət cədvəllərində verilmişdir. Administratorlar resurslara (paylaşılan fayllar, printerlər və s.) icazələri fərdi istifadəçilərə deyil, təhlükəsizlik qruplarına təyin etməlidirlər. İcazələr hər bir istifadəçiyə hüquq təyin etmək əvəzinə, qrupa bir dəfə təyin edilir. Hər bir hesab qrupa əlavə edildikdə, Active Directory-də həmin qrup üçün təyin edilmiş hüquqları və resursda həmin qrup üçün təyin edilmiş icazələri əldə edir.
Dağıtım qrupları– istifadəçilər qruplarına e-poçt mesajları göndərmək üçün yalnız e-poçt proqramları tərəfindən istifadə olunur. Dağıtım qrupları təhlükəsizlikdən istifadə etmir, başqa sözlə, onlar seçmə girişə nəzarət cədvəllərinə (DACL) daxil edilə bilməz. Əgər qrup paylaşılan resurslara girişi idarə etmək üçün yaradılıbsa, bu qrup təhlükəsizlik qrupu olmalıdır.
@ Təhlükəsizlik qrupları paylama qrupları kimi e-poçt təyinatları kimi də istifadə edilə bilər. Qrupa göndərilən e-poçt mesajı qrupun bütün üzvlərinə göndərilir.
Üzvlük məlumatlarını redaktə edə və ya baxa bilməyəcəyiniz qruplar da var. Bu qruplar xüsusi şəxsiyyətlər adlanır və şəraitdən asılı olaraq müxtəlif istifadəçiləri müxtəlif vaxtlarda təmsil etmək üçün istifadə olunur.
(Anonim giriş, Hamısı, Şəbəkə, İnteraktiv)
Məsələn, Everyone qrupu bütün mövcud şəbəkə istifadəçilərini, o cümlədən qonaqlar və digər domenlərdən olan istifadəçiləri təmsil edir. Əlavə məlumat üçün Xüsusi Şəxsiyyətlərə baxın.
İstifadəçi və kompüter hesabları (həmçinin qruplar) təhlükəsizlik prinsipləri adlanır. Təhlükəsizlik prinsipləri domen resurslarına daxil olmaq üçün avtomatik olaraq təhlükəsizlik identifikatorları (SID) təyin olunan kataloq obyektləridir. İstifadəçi və ya kompüter hesabı aşağıdakı məqsədlər üçün istifadə olunur:
istifadəçi və ya kompüter identifikasiyası.
Domen resurslarına girişə icazə verin və ya rədd edin.
· digər təhlükəsizlik prinsiplərinin administrasiyası (xarici etibarlı domendən təhlükəsizlik prinsipini təmsil etmək üçün).
· istifadəçi və ya kompüter hesabından istifadə etməklə həyata keçirilən audit fəaliyyətləri.
Eyni zamanda hüquqları təyin etmək böyük rəqəm istifadəçilər təhlükəsizlik qruplarından istifadə edirlər. Hesablar təşkilati bölmələrdən (konteynerlərdən) istifadə etməklə qruplaşdırıla bilər.
İstifadəçi autentifikasiyasının təhlükəsizliyini təmin etmək üçün "" istifadə edərək hər bir şəbəkə istifadəçisi üçün ayrıca hesablar yaratmalısınız. Active Directory İstifadəçiləri və Kompüterlər ».
Hər bir Active Directory istifadəçi hesabında şəbəkəyə daxil olarkən həmin hesabın autentifikasiyasının necə aparıldığını müəyyən edən bir sıra təhlükəsizliklə bağlı parametrlər var.
AD-ni idarə etmək üçün PowerShell-dən istifadə etməyə həsr edilmişdir. Başlanğıc nöqtəsi olaraq, müəllif 10 tipik AD idarəetmə tapşırığını götürməyə və PowerShell istifadə edərək onların necə sadələşdirilə biləcəyinə baxmağa qərar verdi:
- İstifadəçi parolunu sıfırlayın
- Hesabları aktivləşdirin və deaktiv edin
- İstifadəçi hesabının kilidini açın
- Hesabınızı silin
- Boş qrupları tapın
- İstifadəçiləri qrupa əlavə edin
- Qrup üzvlərini siyahıya alın
- Köhnə kompüter hesablarını tapın
- Kompüter hesabını deaktiv edin
- Növlərə görə kompüterləri tapın
Bundan əlavə, müəllif bloq saxlayır (əlbəttə PowerShell-də), nəzər salmağı məsləhət görürük - jdhitsolutions.com/blog. Və onun twitterindən əldə edə biləcəyiniz ən son xəbərləri twitter.com/jeffhicks.
Beləliklə, aşağıda “PowerShell ilə həll edilən ən yaxşı 10 Active Directory Tapşırığı” məqaləsinin tərcüməsi verilmişdir.
Windows PowerShell ilə Active Directory (AD) idarə etmək düşündüyünüzdən daha asandır və mən bunu sizə sübut etmək istəyirəm. Siz sadəcə olaraq aşağıdakı skriptləri götürə və onlardan bir sıra AD idarəetmə tapşırıqlarını həll etmək üçün istifadə edə bilərsiniz.
Tələblər
AD-ni idarə etmək üçün PowerShell-dən istifadə etmək üçün yerinə yetirilməli olan bir neçə tələb var. Mən misal olaraq Windows 7 kompüterində AD cmdletlərinin necə işlədiyini nümayiş etdirəcəyəm.
Cmdletlərdən istifadə etmək üçün Windows Server 2008 R2 domen nəzarətçiniz olmalıdır və ya siz Active Directory İdarəetmə Şlüz Xidmətini köhnə DC-lərdə yükləyə və quraşdıra bilərsiniz. Quraşdırmadan əvvəl sənədləri diqqətlə oxuyun; Yenidən yükləmə tələb olunur.
Müştəri tərəfində Windows 7 və ya Windows 8 üçün yükləyin və quraşdırın (RSAT). Windows 7-də siz açmalısınız İdarəetmə Panelləri fəsil Proqramlar və seçin Windows Xüsusiyyətlərini yandırın və ya söndürün. Tap Uzaqdan Server İdarəetmə Vasitələri və bölməni genişləndirin Rol İdarəetmə Vasitələri. AD DS və AD LDS Alətləri üçün uyğun elementləri seçin, xüsusilə qeyd edin ki, element seçilməlidir Windows PowerShell üçün Active Directory Modulu, Şəkil 1-də göstərildiyi kimi (Windows 8-də bütün alətlər standart olaraq seçilir). İndi işə hazırıq.
Şəkil 1 AD DS və AD LDS Alətlərinin aktivləşdirilməsi
Mən domen administratoru hüquqlarına malik hesabla daxil olmuşam. Sizə göstərəcəyim cmdletlərin əksəriyyəti sizə alternativ etimadnamələri təyin etməyə imkan verəcək. Hər halda yardımı oxumağı məsləhət görürəm ( Kömək almaq) və aşağıda nümayiş etdirəcəyim nümunələr.
PowerShell sessiyasına başlayın və modulu idxal edin:
PS C:\> Import-Module ActiveDirectory
İdxal yeni PSDrive yaradır, lakin biz ondan istifadə etməyəcəyik. Bununla belə, idxal olunan modulda hansı əmrlərin olduğunu görə bilərsiniz.
PS C:\> get-command -modul ActiveDirectory
Bu əmrlərin gözəlliyi ondadır ki, əgər mən bir AD obyekti üçün əmrdən istifadə edə bilirəmsə, o zaman o, 10, 100 və hətta 1000 üçün də istifadə edilə bilər. Gəlin görək bu cmdletlərdən bəziləri necə işləyir.
Tapşırıq 1: İstifadəçi parolunu sıfırlayın
Tipik bir vəzifə ilə başlayaq: istifadəçinin parolunu sıfırlamaq. Bunu asanlıqla və sadə şəkildə cmdlet vasitəsilə edə bilərsiniz Set-ADAccountPassword. Çətin tərəf odur ki, yeni parol təhlükəsiz sətir kimi təsnif edilməlidir: PowerShell sessiyası ərzində şifrələnmiş və yaddaşda saxlanılan mətn parçası. Əvvəlcə yeni parol ilə dəyişən yaradaq:
PS C:\> $new=Read-Host "Yeni parolu daxil edin" -AsSecureString
Sonra yeni parol daxil edin:
İndi hesabı çıxara bilərik (istifadə edərək samHesab adıən yaxşı seçimdir) və yeni parol təyin edin. İstifadəçi Jack Frost üçün bir nümunə:
PS C:\> Set-ADAccountPassword jfrost -NewPassword $new
Təəssüf ki, bu cmdlet ilə bağlı səhv var: -keçid yolu, -birdən, Və - Təsdiq edin işləmir. Qısa yola üstünlük verirsinizsə, aşağıdakıları sınayın:
PS C:\>Set-ADAccountPassword jfrost -NewPassword(ConvertTo-SecureString -AsPlainText -String" [email protected]"-güc)
Növbəti dəfə daxil olanda Cekə parolunu dəyişmək lazım gəlir və istifadə edərək hesabı yeniləyirəm Set-ADUser.
PS C:\> Set-ADUser jfrost -ChangePasswordAtLogon $True
Cmdlet icrasının nəticələri konsola yazılmır. Bunu etmək lazımdırsa, istifadə edin -Doğru. Amma əməliyyatın uğurlu olub-olmadığını cmdletdən istifadə edərək istifadəçi adını çıxarmaqla öyrənə bilərəm Get-ADUser və əmlakın dəqiqləşdirilməsi Parolun vaxtı bitdişəkil 2-də göstərildiyi kimi.
düyü. 2. PasswordExpired xassəsi ilə Get-ADUser Cmdletinin nəticələri
Aşağı xətt: PowerShell ilə istifadəçinin parolunu sıfırlamaq heç də çətin deyil. Etiraf edirəm ki, parolu sıfırlamaq da bir çırpıda asandır. Active Directory İstifadəçiləri və Kompüterlər konsollar Microsoft İdarəetmə Konsolu (MMC). Ancaq bir tapşırığı həvalə etmək lazımdırsa, yuxarıda qeyd olunan əlavə elementi yerləşdirmək istəmirsinizsə və ya böyük avtomatlaşdırılmış İT prosesinin bir hissəsi kimi parolunuzu sıfırlamaq istəmirsinizsə, PowerShell-dən istifadə yaxşıdır.
Tapşırıq 2: Hesabları aktivləşdirin və deaktiv edin
İndi hesabı deaktiv edək. Biz Jack Frost ilə işləməyə davam edəcəyik. Bu kod parametrdən istifadə edir -birdən, əmrimi işə salmadan test etmək üçün dəyişikliklər edən digər cmdletlərdə görə bilərsiniz.
PS C:\> Disable-ADAccount jfrost -whatif Əgər: "CN=Jack Frost, OU=heyət,OU=Testing,DC=GLOBOMANTICS,DC=local" Hədəfdə "Set" əməliyyatının yerinə yetirilməsi.
İndi real olaraq deaktiv edək:
PS C:\> Disable-ADAccount jfrost
Hesabı aktivləşdirmək vaxtı gəldikdə, hansı cmdlet bizə kömək edəcək?
PS C:\> Enable-ADAccount jfrost
Bu cmdletlər, istədiyiniz qədər hesabı aktivləşdirməyə və ya deaktiv etməyə imkan verən boru xətti ifadəsində istifadə oluna bilər. Məsələn, bu kod satış şöbəsindəki bütün hesabları deaktiv edəcək (Satış)
PS C:\> get-auser -filter "department -eq "satış"" | adhesabı deaktiv edin
Əlbəttə ki, bir filtr yazın Get-ADUser olduqca mürəkkəbdir, lakin parametrin istifadəsi buradadır -birdən cmdlet ilə birlikdə Disable-ADAccount köməyə gəlir.
Tapşırıq 3: İstifadəçi hesabının kilidini açın
Yeni parol daxil etməyə çalışarkən Cekin hesabını kilidlədiyi bir vəziyyəti nəzərdən keçirək. Onun hesabını GUI vasitəsilə tapmağa çalışmaq əvəzinə, kilidin açılması proseduru sadə bir əmrlə həyata keçirilə bilər.
PS C:\> Kilidini aç-ADAccount jfrost
Cmdlet həmçinin parametrləri dəstəkləyir -birdən Və -Təsdiq et.
Tapşırıq 4: Hesabı silin
Nə qədər istifadəçi silməyiniz vacib deyil - bunu cmdlet ilə etmək asandır Sil-ADUser. Mən Jack Frost-u silmək istəmirəm, amma istəsəm, bu kodu istifadə edərdim:
PS C:\> Remove-ADUser jfrost -whatif Əgər: "CN=Jack Frost,OU=heyət,OU=Testing,DC=GLOBOMANTICS,DC=local" Hədəfdə "Sil" əməliyyatının yerinə yetirilməsi.
Və ya birdən çox istifadəçi daxil edib onları bir sadə əmrlə silə bilərəm:
PS C:\> get-aduser -filtr "enabled -eq "false"" -property WhenChanged -SearchBase "OU=Employees, DC=Globomantics,DC=Local" | harada ($_.WhenChanged -le (Get-Date).AddDays(-180)) | Sil-ADuser -whatif
Bu əmr, 180 gün və ya daha çox müddət ərzində dəyişməmiş bütün deaktiv edilmiş İşçi OU hesablarını tapacaq və siləcək.
Tapşırıq 5: Boş qrupların tapılması
Qrup idarəçiliyi sonsuz və nankor bir işdir. Boş qrupları tapmağın bir çox yolu var. Bəzi ifadələr təşkilatınızdan asılı olaraq digərlərindən daha yaxşı işləyə bilər. Aşağıdakı kod domendəki bütün qrupları, o cümlədən daxili qrupları tapacaq.
PS C:\> get-adgroup -filter * | harada (-Not ($_ | get-adgroupmember)) | adı seçin
Əgər yüzlərlə üzvü olan qruplarınız varsa, bu əmrdən istifadə uzun müddət çəkə bilər; Get-ADGroupMember hər qrupu yoxlayır. Əgər məhdudlaşdıra bilsəniz və ya fərdiləşdirə bilsəniz, daha yaxşı olar.
Budur başqa bir yanaşma:
PS C:\> get-adgroup -filter "üzvlər -bəyənmir"*" -AND GroupScope -eq "Universal"" -SearchBase "OU=Qruplar,OU=İşçilər,DC=Globomantics, DC=yerli" | Ad, Qrup seçin*
Bu əmr OU Qruplarına üzv olmayan bütün Universal qrupları tapır və bəzi xassələri çap edir. Nəticə Şəkil 3-də göstərilmişdir. 
düyü. 3. Universal qrupları axtarın və süzün
Tapşırıq 6: İstifadəçiləri Qrupa əlavə etmək
Cek Frost-u Çikaqo İT qrupuna əlavə edək:
PS C:\> "chicago IT" reklam qrupu əlavə edin - Üzvlər jfrost
Bəli, bu qədər sadədir. Məncə, bir az yöndəmsiz olsa da, yüzlərlə istifadəçini qruplara asanlıqla əlavə edə bilərsiniz:
PS C:\> Add-ADGroupÜzvü "Chicago Employees" -üzv (get-auser -filter "city -eq "Chicago"")
Çikaqoda City mülkiyyətinə malik olan bütün istifadəçiləri tapmaq üçün mötərizəli boru xətti ifadəsindən istifadə etdim. Mötərizədə olan kod yerinə yetirilir və nəticədə alınan obyektlər –Member parametrinə ötürülür. Hər bir istifadəçi obyekti Chicago Employees qrupuna əlavə olunur. 5 və ya 5000 istifadəçi ilə məşğul olmağımızın fərqi yoxdur, qrup üzvlüyünü yeniləmək cəmi bir neçə saniyə çəkir. Bu ifadə istifadə etməklə də yazıla bilər ForEach-Object hansı daha əlverişli ola bilər:
PS C:\> Get-ADUser -filtr "city -eq "Chicago"" | foreach(Əlavə-ADGroupÜzvü "Çikaqo İşçiləri" -Üzv $_)
Tapşırıq 7: Qrup üzvlərinin siyahısını göstərmək
Müəyyən bir qrupda kimin olduğunu bilmək istəyə bilərsiniz. Məsələn, Domen Adminləri qrupunda kimin olduğunu vaxtaşırı yoxlamalısınız:
PS C:\> Get-ADGroupÜzvü "Domen Adminləri"
Şəkil 4 nəticəni göstərir.
düyü. 4. Domain Admins qrupunun üzvləri
Cmdlet hər bir qrup üzvü üçün AD obyekti çıxarır. Bəs iç-içə qruplar? Mənim Çikaqo Bütün İstifadəçilərim qrupu iç-içə qruplar toplusudur. Bütün hesabların siyahısını əldə etmək üçün sadəcə parametrdən istifadə etməliyəm -Rekursiv.
PS C:\> Get-ADGroupMember "Chicago All Users" -Rekursiv | DistingishedName seçin
Əgər başqa yolla getmək istəyirsinizsə - istifadəçinin hansı qruplara aid olduğunu tapmaq üçün - istifadəçi mülkiyyətindən istifadə edin Üzvü:
PS C:\> get-auser jfrost -property Memberof | -ExpandProperty memberOf seçin CN=NewTest,OU=Qruplar,OU=İşçilər, DC=GLOBOMANTICS,DC=yerli CN=Çikaqo Testi,OU=Qruplar,OU=İşçilər, DC=GLOBOMANTICS,DC=yerli CNIT=OU=Chicago= Qruplar,OU=İşçilər, DC=GLOBOMANTICS,DC=yerli CN=Çikaqo Satış İstifadəçiləri,OU=Qruplar,OU=İşçilər, DC=GLOBOMANTICS,DC=yerli
Parametrdən istifadə etdim -ExpandProperty adları göstərmək üçün Üzvü simlər kimi.
Tapşırıq 8: köhnəlmiş kompüter hesablarını tapın
Mənə tez-tez bu sual verilir: "Köhnə kompüter hesablarını necə tapa bilərəm?". Mən həmişə cavab verirəm: "Sənin üçün köhnəlmiş nədir?" Şirkətlər kompüter hesabının (və ya istifadəçi hesabının, hər nə olursa olsun) nə vaxt köhnəlmiş və artıq istifadə oluna bilməyəcəyinə dair tərifləri ilə fərqlənirlər. Mənə gəlincə, müəyyən müddət ərzində parolu dəyişdirilməyən hesablara diqqət yetirirəm. Mənim üçün bu müddət 90 gündür - bu müddət ərzində kompüter domenlə birlikdə parolu dəyişməyibsə, çox güman ki, oflayndır və köhnəlmişdir. Cmdlet istifadə olunur Get-ADComputer:
PS C:\> get-adcomputer -filtr "Parollastset -lt "1/1/2012"" -xassələr *| Adı, parolun son dəstini seçin
Filtr çətin bir dəyərlə əla işləyir, lakin bu kod 2012-ci il yanvarın 1-dən parollarını dəyişməmiş bütün kompüter hesabları üçün yenilənəcək. Nəticələr Şəkil 5-də göstərilmişdir.
düyü. 5. Köhnəlmiş kompüter hesablarını tapın
Alternativ olaraq, düşünək ki, siz ən azı Windows 2003 domeninin funksional səviyyəsindəsiniz. Mülkiyyət üzrə filtrləyin LastLogontimeStamp. Bu dəyər 1601-ci il yanvarın 1-dən etibarən 100 nanosaniyə intervallarının sayıdır və GMT-də saxlanılır, ona görə də bu dəyərlə işləmək bir qədər çətin olur:
PS C:\> get-adcomputer -filtr "LastlogonTimestamp -gt 0" -xassələr * | ad seçin,son logontimestamp, @(Name="LastLogon";Expression=(::FromFileTime ($_.Lastlogontimestamp))),passwordlastset | SortLastLogonTimeStamp
düyü. 6. LastLogonTimeStamp dəyərini tanış formata çevirin
Filtr yaratmaq üçün 1 yanvar 2012-ci il kimi tarixi düzgün formata çevirməliyəm. Dönüşüm FileTime-də həyata keçirilir:
PS C:\> $cutoff=(Get-Tarixi "1/1/2012").ToFileTime() PS C:\> $cutoff 129698676000000000
İndi mən bu dəyişəni filtrdə istifadə edə bilərəm Get-ADComputer:
PS C:\> Get-ADComputer -Filter "(lastlogontimestamp -lt $cutoff) -ya da (son logontimestamp -"*" kimi deyil)" -property * | Ad, Son Giriş Zamanı, ParolSon Dəst seçin
Yuxarıdakı kod Şəkil 5-də göstərilən eyni kompüterləri tapır.
Tapşırıq 9: Kompüter hesabını deaktiv edin
Siz qeyri-aktiv və ya köhnəlmiş hesablar tapdığınız zaman onları deaktiv etmək istəyə bilərsiniz. Bunu etmək olduqca sadədir. İstifadəçi hesabları ilə istifadə etdiyimiz eyni cmdletdən istifadə edəcəyik. Onu istifadə edərək dəqiqləşdirə bilərsiniz samHesab adı hesab.
PS C:\> Disable-ADAccount -Identity "chi-srv01$" -whatif Əgər: "CN=CHI-SRV01, CN=Computers,DC=GLOBOMANTICS,DC=local" Hədəfdə "Set" əməliyyatının yerinə yetirilməsi.
Və ya boru xətti ifadəsindən istifadə edərək:
PS C:\> get-adcomputer "chi-srv01" | Disable-ADAccount
Mən həmçinin köhnə hesabları tapmaq və onların hamısını deaktiv etmək üçün kodumdan istifadə edə bilərəm:
PS C:\> get-adcomputer -filtr "Parollastset -lt "1/1/2012"" -xassələr *| Disable-ADAccount
Tapşırıq 10: Növlərə görə kompüterləri tapın
Məndən də tez-tez soruşurlar ki, serverlər və ya iş stansiyaları kimi növlərə görə kompüter hesablarını necə tapmaq olar. Bu, sizdən müəyyən yaradıcılıq tələb edir. AD-də serveri müştəridən fərqləndirən heç bir şey yoxdur, ola bilsin ki, ƏS-dən başqa. Əgər kompüteriniz Windows Server 2008 ilə işləyirsə, bir neçə əlavə addım atmalısınız.
Əvvəlcə OS siyahısını əldə etməlisiniz, sonra isə mövcud OS ilə hesabları süzgəcdən keçiririk.
PS C:\> Get-ADComputer -Filter * -Properties Əməliyyat Sistemi | OperatingSystem -unikal | seçin Çeşidləmə əməliyyat sistemi
Nəticələr Şəkil 7-də göstərilmişdir.
düyü. 7. OS siyahısını çıxarın
Mən server əməliyyat sistemi ilə işləyən bütün kompüterləri tapmaq istəyirəm:
PS C:\> Get-ADComputer -Filtr "Əməliyyat Sistemi -kimi "*Server*"" -xassələr Əməliyyat Sistemi,OperatingSystem ServicePack | Ad seçin,Op* | format siyahısı
Nəticələr Şəkil 8-də göstərilmişdir.
Digər AD Get cmdletlərində olduğu kimi, siz axtarış parametrlərini fərdiləşdirə və lazım gələrsə, sorğunu xüsusi OU-larla məhdudlaşdıra bilərsiniz. Göstərdiyim bütün ifadələr böyük PowerShell ifadələrinə inteqrasiya oluna bilər. Məsələn, siz çeşidləyə, qruplaşdıra, filtrlər tətbiq edə, CSV-yə ixrac edə və ya HTML hesabatları yarada və e-poçtla göndərə bilərsiniz - hamısı PowerShell-dən! Bu vəziyyətdə tək bir skript yazmaq lazım deyil.
Budur sizin üçün bonus: HTML faylında saxlanılan istifadəçi parolu ilə bağlı hesabat:
PS C:\> Get-ADUser -Filtr "Enabled -eq "True" -AND PasswordNeverExpires -eq "False"" -Properties PasswordLastSet,PasswordNeverExpires,PasswordExpired | Seçin DistinguishedName,Name,pass*,@(Name="PasswordAge"; Expression=((Get-Date)-$_.PasswordLastSet)) |Sort PasswordAge -Azalan | ConvertTo-Html -Title "Parol Yaş Hesabatı" | Out-File c:\Work\pwage.htm !}
Bu ifadə bir az qorxuducu görünsə də, minimum PowerShell biliyi ilə istifadə etmək asandır. Və yalnız son ipucu var: adlı xüsusi mülkiyyəti necə təyin etmək olar Şifrə Yaşı. Dəyər bu gün və PasswordLastSet xüsusiyyəti arasındakı boşluqdur. Sonra yeni mülküm üçün nəticələri çeşidləyirəm. Şəkil 9 mənim kiçik test domenim üçün çıxışı göstərir.
Yeniləmə:
Yazıda portaldakı məqalənin tərcüməsi var
Gələn həftədən başlayaraq 200 yeni işə götürülənlərin siyahısını təqdim edən Excel cədvəli və ya dəstəkdə olan kimsə klikləməməli olduğu bir şeyi kliklədiyi üçün səhv konfiqurasiya edilmiş istifadəçi hesabları kimi şeylərlə məşğul olmaq məcburiyyətində qalanlar, həmçinin idarə etməyin daha asan yolu ilə maraqlananlar Active Directory® hər dəfə İstifadəçilər və Kompüterlər qovluqlarını açmaqla yanaşı, pulsuz idarəetmə vasitələrindən birini istifadə edə bilər. Bəziləri birbaşa Windows əməliyyat sistemində qurulub, bəziləri Resurs Dəstində və ya Windows Dəstək Alət dəstində, bəziləri isə pulsuz üçüncü tərəf məhsullarıdır. Bu lazımlı alətlər nədir və onları haradan əldə edə bilərəm? Gəlin öyrənək.
Windows Server 2003-də Active Directory-də obyektlər yaratmağa, silməyə, dəyişdirməyə və axtarmağa imkan verən daxili əmr xətti alətlərindən başlayaq.
CSVDE aləti orijinal CSV faylından istifadə edərək Active Directory-yə yeni obyektləri idxal etməyə imkan verir; o, həmçinin mövcud obyektləri CSV faylına ixrac etmək imkanı verir. CSVDE mövcud obyektləri dəyişdirmək üçün istifadə edilə bilməz; bu aləti idxal rejimində istifadə edərkən yalnız yeni obyektlər yarada bilərsiniz.
CSVDE istifadə edərək mövcud obyektlərin siyahısını ixrac etmək olduqca sadədir. Aşağıda Active Directory obyektlərinin ad.csv adlı fayla necə ixrac ediləcəyi göstərilir:
csvde –f ad.csv
-f seçimi ondan sonra çıxış faylının adının gəldiyini müəyyən edir. Ancaq unutmayın ki, mühitdən asılı olaraq, bu əsas sintaksis nəhəng və çətin çıxış faylı ilə nəticələnə bilər. Aləti yalnız xüsusi təşkilat bölməsi (OU) daxilindəki obyektləri ixrac etmək üçün məhdudlaşdırmaq üçün əmr aşağıdakı kimi dəyişdirilə bilər:
csvde –f UsersOU.csv –d ou=İstifadəçilər,dc=contoso,dc=com
Tutaq ki, mən yalnız istifadəçi obyektlərini CSV faylıma ixrac etməliyəm. Bu halda, siz bu axtarış üçün ixrac edilən atributların sayını məhdudlaşdıracaq LDAP protokol filtrini təyin etmək üçün -r seçimini əlavə edə bilərsiniz (aşağıdakıların hamısı bir sətirdir):
csvde –f UsersOnly.csv –d ou=İstifadəçilər,dc=contoso,dc=com –r
"(&(objectcategory=insan)(objectclass=user))" –l
DN, obyekt Sinfi, təsvir
-i seçimi mənbə CSV faylından obyektləri Active Directory-yə idxal etməyə imkan verir. Bununla belə, CSVDE ilə istifadəçi obyektləri yaratmağın bir böyük çatışmazlığı var: o, istifadəçi parollarını təyin edə bilmir, ona görə də istifadəçi obyektləri yaratmaq üçün CSVDE-dən istifadə etməzdim.
Active Directory CSVDE-dən daha güclü və çevik olan LDIFDE adlı ikinci daxili istifadəçi toplu qurğusu təqdim edir. Yeni obyektlər yaratmaqla yanaşı, LDIFDE mövcud obyektləri dəyişdirməyə və silməyə, hətta Active Directory sxemini genişləndirməyə imkan verir. LDIFDE-nin çevikliyi üçün üstünlük ondan ibarətdir ki, .ldf uzantılı tələb olunan daxiletmə faylı (LDIF faylı) sadə CSV faylından daha mürəkkəb formatdan istifadə edir. (Bir az işləməklə, siz həmçinin istifadəçi parollarını təyin edə bilərsiniz, lakin bu barədə daha sonra.)
Biznes bölməsindəki istifadəçilərin LDF faylına ixracının sadə nümunəsi ilə başlayaq (aşağıdakıların hamısı bir sətirdir).
ldifde -f users.ldf -s DC1.contoso.com -d "ou=UsersOU,dc=contoso,dc=com"
–r "(&(obyektkateqoriya=şəxs)(objectclass=istifadəçi))"
Əksər komanda xətti alətlərində olduğu kimi, LDIFDE seçimlərinin tam təsviri LDIFDE /? . göstərilənlər burada istifadə etdiyimlərdir. (Qeyd edək ki, CSVDE və LDIFDE əmrləri üçün seçimlər eynidir.)
LDIFDE-nin əsl gücü obyektləri yaratdığınız və manipulyasiya etdiyiniz zamandır. Ancaq bundan əvvəl bir giriş faylı yaratmalısınız. Aşağıdakı kod iki yeni istifadəçi hesabı yaradır, afuller və rking; Daxiletmə faylı yaratmaq üçün notepad-a (və ya digər sadə mətn redaktoru) yazın və onu NewUsers.ldf kimi yadda saxlayın:
dn: CN=afuller, OU=UsersOU, DC=contoso, DC=com
növü dəyişdirin: əlavə edin
cn: daha dolğun
objectClass: istifadəçi
samAccountName: afuller dn: CN=rking, OU=UsersOU, DC=contoso, DC=com
növü dəyişdirin: əlavə edin
cn:rkinq
objectClass: istifadəçi
samAccountName: rking
Fayl yaradılması tamamlandıqdan sonra aşağıdakı əmri yerinə yetirin:
ldifde -i -f NewUsers.ldf -s DC1.contoso.com
Burada yeganə yeni seçim -i-dir ki, bu, təxmin etdiyiniz kimi, ixrac əməliyyatının deyil, idxal əməliyyatının həyata keçirildiyini göstərir.
Mövcud obyektlərin dəyişdirilməsi və ya silinməsi LDIFDE əmrinin sintaksisini dəyişmir; əvəzinə LDF faylının məzmunu dəyişdirilir. İstifadəçi hesabının təsviri sahəsini dəyişdirmək üçün Şəkil 1-1-də göstərildiyi kimi ModifyUsers.ldf adlı mətn faylı yaradın. 2.
düyü. 2 LDF faylı ModifyUsers
Dəyişikliklər -f seçimindən sonra yeni LDF faylı göstərilməklə əvvəlki kimi eyni LDIFDE əmr sintaksisini işlətməklə idxal edilir. Obyektlərin silinməsi üçün LDF formatı daha sadədir; işlədiyiniz istifadəçiləri silmək üçün DeleteUsers.ldf adlı fayl yaradın və aşağıdakıları daxil edin:
dn: CN=afuller OU=UsersOU, DC=contoso, DC=com
dəyişiklik növü: dn sil: CN=rking, OU=UsersOU, DC=contoso, DC=com
dəyişdirmə növü: silin
Qeyd edək ki, CSVDE-dən fərqli olaraq LDIFDE istifadəçi parollarını fərdiləşdirə bilər. Bununla belə, istifadəçi hesabında unicodePWD atributunu təyin etməzdən əvvəl siz domen kontrollerlərində SSL/TLS şifrələməsini qurmalısınız.Bundan əlavə, LDIFDE yalnız istifadəçi hesablarını deyil, istənilən Active Directory obyektini yarada və dəyişdirə bilər. Məsələn, aşağıdakı LDF faylı contoso.com meşə sxemində EmployeeID-example adlı yeni sxem genişləndirilməsi yaradacaq:
dn: cn=İşçi ID-nümunəsi,cn=Sxem,
cn=Konfiqurasiya,dc=contoso,dc=com
növü dəyişdirin: əlavə edin
adminDisplayName: EmployeeID-Misal
atribut ID: 1.2.3.4.5.6.6.6.7
attributeSintaksis: 2.5.5.6
cn: İşçi şəxsiyyət vəsiqəsi
nümunə növü: 4
isSingleValued: Doğrudur
lDAPDisplayName: işçi ID-nümunəsi
LDIFDE faylları sənaye standartı LDAP fayl formatından istifadə etdiyinə görə, Active Directory sxemini dəyişdirməli olan üçüncü tərəf proqramları tez-tez dəyişiklikləri istehsal mühitinə tətbiq etməzdən əvvəl nəzərdən keçirmək və təsdiqləmək üçün istifadə edilə bilən LDF faylları təqdim edir.
Toplu idxal və ixrac əməliyyatları üçün alətlərə əlavə olaraq, Windows Server 2003 müxtəlif Active Directory obyektlərini, həmçinin müəyyən meyarlara cavab verən sorğu obyektlərini yaratmağa, silməyə və dəyişdirməyə imkan verən daxili alətlər dəstini ehtiva edir. (Qeyd edək ki, bu alətlər, dsadd, dsrm, dsget və dsquery Windows 2000-də Active Directory tərəfindən dəstəklənmir.)
Dsadd, müəyyən bir kataloq bölməsində Active Directory obyekt sinfinin nümunəsini yaratmaq üçün istifadə olunur. Bu siniflərə "istifadəçilər", "kompüterlər", "əlaqələr", "qruplar", "struktur bölmələr" və "kvotalar" daxildir. Nəzərə alın ki, yaratdığınız hər bir obyekt növü həmin tip üçün mövcud olan atributlarla əlaqəli xüsusi parametrlər dəsti tələb edir. Bu əmr doldurulmuş müxtəlif atributlarla tək istifadəçi obyekti yaradır (aşağıdakıların hamısı bir sətir olduğunu qeyd edin):
dsadd istifadəçisi cn=afuller,ou=IT,dc=contoso,dc=com
–samID afuller –fn Andrew –ln Fuller –pwd *
-memberOf cn=IT,ou=Qruplar,dc=contoso,dc=com "cn=Yardım Masası,ou=Qruplar,
dc=contoso,dc=com"
– aşağı “Marketinq Direktoru”
-memberOf seçimi istifadəçinin əlavə olunacağı hər bir qrupun tam fərqlənən adını (DN) tələb edir, əgər istifadəçi bir neçə qrupa əlavə olunacaqsa, boşluqlarla ayrılmış bir neçə DN əlavə edilə bilər. ikiqat sitatlar. Element, məsələn, IT\EMEA təşkilat bölməsində əks kəsik işarəsi varsa, əks xətti iki dəfə daxil edilməlidir: IT\\EMEA. (Bu tələblər bütün ds* alətlərinə aiddir.) Əgər -pwd * seçimini istifadə etsəniz, komanda xəttində istifadəçi üçün parol tələb olunacaq. Parol əmrin özündə müəyyən edilə bilər (-pwd [email protected]), lakin sonra o, ekranda aydın mətndə və ya əmrin daxil edildiyi hər hansı mətn və ya skript faylında göstəriləcək.
Eynilə, siz aşağıdakı iki əmrlə qrup obyekti və biznes vahidi yarada bilərsiniz:
dsadd kompüter cn=WKS1,ou=İş stansiyaları,dc=contoso,dc=com
dsadd ou "ou=Təlim OU,dc=contoso,dc=com"
dsmod mövcud obyektləri dəyişdirmək üçün istifadə olunur və dəyişdirilən obyektin növündən asılı olaraq müxtəlif alt menyular və sintaksisdən istifadə edərək, dsadd ilə eyni şəkildə idarə olunur. Aşağıdakı dsmod əmri istifadəçinin parolunu dəyişdirir və hesabını belə dəyişdirir ki, növbəti dəfə daxil olduqda parolunu dəyişmək tələb olunsun:
dsmod istifadəçisi "cn=afuller,ou=IT,dc=contoso,dc=com" –pwd [email protected]
--mustchpwd bəli
Bu parametrlərin nə qədər oxşar olduğunu görmək üçün konfiqurasiya edilmiş eyni atributlara malik istifadəçi yaratmaq üçün istifadə edilən dsadd sintaksisinə nəzər salın:
dsadd istifadəçisi "cn=afuller,ou=IT,dc=contoso,dc=com" –pwd [email protected]
--mustchpwd bəli
Aydındır ki, dsadd ilə obyektlərin yaradılması variantlarını bilirsinizsə, onlardan istifadə edərək dsmod ilə istifadəçiləri dəyişdirə bilərsiniz.
Dsadd-ın əksi dsrm-dir; təsəvvür etdiyiniz kimi, bu alət əmr satırından obyektləri silmək üçün istifadə olunur. Dsrm üçün əsas sintaksis olduqca sadədir: sadəcə olaraq dsrm yazın və sonra silmək istədiyiniz obyektin görkəmli adını yazın, buna bənzər bir şey:
dsrm cn=WKS1,ou=İş stansiyaları,dc=contoso,dc=com
Varsayılan olaraq, dsrm "Bu elementi silmək istədiyinizə əminsinizmi?" Y yazın və Enter düyməsini basın. Bu xəbərdarlığı --noprompt seçimi ilə söndürmək olar, lakin aydındır ki, bu halda silinməzdən əvvəl obyektin düzgün seçildiyini təsdiqləmək şansı olmayacaq. Konteyner obyektini, yəni potensial olaraq digər obyektləri ehtiva edə bilən struktur bölməni silərkən iki əlavə seçim faydalı ola bilər. Aşağıdakı əmr TrainingOU təşkilat bölməsini və onun tərkibində olan bütün obyektləri silir:
Və bu, TrainingOU-da bütün uşaq obyektləri silir, lakin struktur bölmənin özünə toxunmur:
dsrm ou=TrainingOU,dc=contoso,dc=com –alt ağac
--istisna etmək
Dsmove aləti Active Directory-də obyekti köçürmək və ya adını dəyişmək üçün istifadə olunur, lakin nəzərə alın ki, o, yalnız domen daxilində obyektləri köçürmək üçün istifadə edilə bilər. Obyektləri domenlər və ya meşələr arasında köçürmək üçün Microsoft Veb saytından pulsuz yükləmə olan Active Directory Miqrasiya Alətindən (ADMT) istifadə edin. Dsmove tək və ya birlikdə istifadə edilə bilən iki seçimə əsaslanır. Bu əmr Steve Conn istifadəçi hesabındakı soyadı dəyişir:
dsmove "cn=Conn, Steve,ou=IT,dc=contoso,dc=com"
--yeni adı "Steve Conn"
Bu əmr Steve hesabını İT departamentindən Təlim şöbəsinə köçürür:
dsmove "cn=Conn, Steve,ou=IT,dc=contoso,dc=com" --newparent
ou=Təlim,dc=contoso,dc=com
Adının dəyişdirilməsi və daşınması hər iki parametri eyni anda göstərərək bir əməliyyatda edilə bilər:
dsmove "cn=Conn, Steve,ou=IT,dc=contoso,dc=com" –yeni ad
"Steve Conn" --newparent ou=Təlim,dc=contoso,dc=com
dsget və dsquery
ds* komanda xətti alət dəstinə obyektləri yaratmaq və ya dəyişdirmək üçün deyil, Active Directory məlumatlarını sorğulamaq üçün istifadə olunan iki alət də daxildir.
Dsget giriş kimi obyektin seçilən adını (DN) götürür və müəyyən edilmiş atribut və ya atributların dəyərini qaytarır. dsget dsadd və dsmod kimi eyni alt menyulardan istifadə edir - "istifadəçi", "kompüter", "əlaqə", "qrup", "struktur vahidi" və "kvota".
İstifadəçi hesabının SAM hesabının adını və təhlükəsizlik ID-sini (SID) əldə etmək üçün aşağıdakı əmri daxil edin (aşağıdakıların hamısının bir sətir olduğunu qeyd edin):
dsget istifadəçisi cn=afuller,ou=IT,dc=contoso,dc=com
–samAccountName –sid
Nəticələr Şəkildə göstərilənlərə oxşar olacaq. 3.
düyü. 3 dsget ilə işləmək
Dsquery müəyyən edilmiş kriteriyalara uyğun gələn Active Directory obyektlərinin siyahısını qaytarır.
Dsquery ObjectType üçün hər birinin öz sintaksisi olan aşağıdakı alt menyulardan istifadə edə bilər: "kompüter", "əlaqə", "alt şəbəkə", "qrup", "struktur bölmə", "veb-sayt", "server" (qeyd edək ki, alt menyu serveri ətrafınızdakı serverlər deyil, domen nəzarətçiləri haqqında məlumatları alır), "istifadəçi", "kvota" və "bölmə". Və bu sorğu növlərindən biri istədiyiniz kimi deyilsə, siz sərbəst formada LDAP sorğusu daxil etmək üçün * alt menyusundan istifadə edə bilərsiniz.StartNode axtarışın başlayacağı Active Directory ağacının yerini müəyyən edir. Siz ou=IT,dc=contoso,dc=com kimi xüsusi DN-dən və ya aşağıdakı qısa yol təyinedicilərindən birini istifadə edə bilərsiniz: spesifik domenin kökündən başlayaraq domainroot və ya kökündən başlayaraq forestroot. axtarış üçün qlobal kataloq serverindən istifadə edərək meşə kök domeni. Nəhayət, axtarış əhatəsi parametri dsquery-nin Active Directory ağacında necə axtarış etməli olduğunu müəyyən edir. Alt ağac sorğuları (standart seçim) müəyyən edilmiş StartNode-a və onun bütün uşaqlarına, bacı sorğular yalnız StartNode-un bilavasitə övladlarına, baza sorğuları isə yalnız StartNode-a daxil olur. Axtarış əhatə dairəsini daha yaxşı başa düşmək üçün aşağıdakıları ehtiva edən təşkilat bölməsini (OU) təsəvvür edin. : istifadəçi obyektləri və əlavə obyektləri ehtiva edən uşaq OU. Alt ağacdan əhatə dairəsi kimi istifadə edildikdə, OU, onun içindəki bütün istifadəçi obyektləri, uşaq OU və onun məzmunu sorğulanacaq. Qardaş əhatə dairəsi ilə yalnız OU-da olan istifadəçilər tələb olunacaq, lakin uşaq OU və onun məzmunu yox. Əsas sorğu tərkibindəki obyektləri sorğulamadan yalnız OU-nun özünə sorğu verəcək.Nəhayət, siz dsquery nəticələrinin formatlaşdırılmasına nəzarət etmək üçün çıxış formatından istifadə edə bilərsiniz. Varsayılan olaraq, dsquery sorğuya uyğun gələn bütün obyektlərin fərqli adlarını qaytarır, buna bənzər:
"cn=afuller,ou=Təlim,dc=contoso,dc=com"
"cn=rking,ou=ITTraining,ou=Training,dc=contoso,dc=com" İT təşkilati bölməsində və onun uşaq OU-larında olan bütün istifadəçi obyektlərini sorğulamaq üçün aşağıdakılardan istifadə edin:
dsquery istifadəçisi ou=IT,dc=contoso,dc=com
Sorğu əlavə seçimlər əlavə etməklə daha dəqiq edilə bilər, məsələn, yalnız əlil istifadəçi hesablarını qaytaran -disabled; -hərəkətsiz x, yalnız x və ya daha çox həftə ərzində qoşulmayan istifadəçiləri qaytarır; və ya -stalepwd x, yalnız x və ya daha çox gün parolunu dəyişməmiş istifadəçiləri qaytarır.
Kataloqdakı obyektlərin sayından asılı olaraq, sorğunu yerinə yetirərkən -limit x seçimini təyin etməlisiniz. Varsayılan olaraq, dsquery sorğu parametrlərinə uyğun gələn 100-ə qədər obyekti qaytarır; lakin siz -limit 500 kimi daha böyük rəqəm təyin edə bilərsiniz və ya dsquery-nin bütün uyğun gələn obyektləri qaytarması üçün -limit 0-dan istifadə edə bilərsiniz.
Digər növ obyektlər üzrə faydalı sorğuları yerinə yetirmək üçün digər alt menyulardan da istifadə edə bilərsiniz. 10.1.x.x ünvan məkanında olan Active Directory Saytları və Xidmətlərində müəyyən edilmiş hər alt şəbəkəni qaytaran aşağıdakı sorğunu nəzərdən keçirin:
dsquery alt şəbəkəsi - adı 10.1.*
Corp veb saytında olan hər bir alt şəbəkəni qaytarmaq üçün aşağıdakı əmrdən istifadə edilə bilər:
dsquery subnet –site Corp
Növbəti alt menyudan istifadə edərək, meşədəki neçə domen nəzarətçisinin qlobal kataloq serverləri kimi fəaliyyət göstərməsi üçün konfiqurasiya olunduğunu tez bir zamanda müəyyən edə bilərsiniz:
dsquery server –meşə –isgc
Siz həmçinin FSMO rolunu ehtiva edən Primary Domain Controller (PDC) emulyatorunu ehtiva edən xüsusi domendə domen nəzarətçisinin müəyyən edilməsini asanlaşdırmaq üçün bu sintaksisdən istifadə edə bilərsiniz:
dsquery server – hasfsmo pdc
Altmenyunu ehtiva edən digər ds* əmrlərində olduğu kimi, müəyyən dsquery alt menyusunda mövcud olan bütün seçimlərə komanda xəttinə daxil olaraq və dsquery user /?, dsquery computer /?, dsquery subnet /? və s. yazmaqla baxmaq olar.
Əlavə hiylə, gedən dsquery məlumatlarını dsmod kimi başqa alətə ötürməkdir. (İngilis klaviatura düzümü üçün SHIFT+əks xətti). Məsələn, şirkət bir departamentin adını "Təlim"dən "Daxili İnkişaf"a dəyişdirdi və indi həmin şöbədəki hər bir istifadəçi üçün təsvir sahəsini yeniləməli olur. Tək komanda xətti ilə siz təsviri hazırla sahəsi olan bütün istifadəçi obyektlərini sorğulaya və sonra həmin təsvir sahəsini bütün paket üçün aşağıdakı kimi əvəz edə bilərsiniz:
dsquery user --təsviri "Təlim" | dsmod
- təsviri "Daxili inkişaf"
Üçüncü tərəf istehsalçılarından bəzi tapıntılar
Active Directory LDAP standartlarına əsaslandığı üçün LDAP-ı anlayan istənilən alətdən istifadə etməklə sorğulana və dəyişdirilə bilər. Bir çox üçüncü tərəf satıcıları Active Directory-ni idarə etməyə kömək etmək üçün pullu alətlər buraxdılar, lakin bəzən siz pulsuz paylanan real xəzinələri tapa bilərsiniz. Bu, xüsusilə Directory Services MVP Joe Richards tərəfindən yaradılmış və joeware.net/freetools saytından yükləmək üçün mövcud kolleksiyaya aiddir. O, müxtəlif problemləri həll etməyə xidmət edən çoxsaylı vasitələrdən ibarətdir. Onlardan üçü adfind, admod və oldcmp-dir.
əlavə et və idarə et
adfind və admod dsquery və dsmod kimidir; adfind Active Directory üçün əmr xətti sorğu alətidir və admod Active Directory obyektlərini yarada, silə və ya dəyişdirə bilər.
Çoxlu alt menyular və obyektin növündən asılı olaraq müxtəlif seçimləri olan ds* alətlərindən fərqli olaraq, adfind və admod yerinə yetirilən sorğu və ya dəyişikliyin növündən asılı olmayaraq eyni sintaksisdən istifadə edir. Əlavə etmək üçün əsas sintaksis:
-b -s -f əlavə edin
atributlar arzu edilir
Domendəki bütün kompüter obyektlərinin fərqləndirici adı və təsviri üçün sorğu belə görünür:
əlavə et -b dc=contoso,dc=com -s alt ağacı -f (objectclass=kompüter) dn
təsviri
Bütün istifadəçi obyektləri üçün sorğu belə görünür:
əlavə et –b dc=contoso,dc=com –s alt ağacı –f "(&(obyektkateqoriya=şəxs)
(objectclass=user))" dn təsviri
Qeyd edək ki, LDAP məzmununun sorğulanması istisna olmaqla, sintaksis dəyişməyib.
Adfind ilə işləyərkən, yazmaq üçün əlavə işdən xilas edən parametrləri yazmaq üçün bir neçə stenoqram variantı tapa bilərsiniz. Məsələn, -default seçimi əvvəlki misalda -b dc=contoso,dc=com əvəz edə və bütün domeni axtara bilər; -gc zibil toplama (GC) əsasında axtarış aparır və Active Directory meşənizdəki bütün istifadəçiləri qaytarır. -rb seçimi nisbi axtarış bazası qurmaq üçün də istifadə edilə bilər; əgər, deyək ki, phl.east.us.contoso.com domenində "Təlim" təşkilati bölməsini tapmalısan, onda -b ou= əvəzinə -default -rb ou=Təlim təyin etməklə vaxta xeyli qənaət edə bilərsiniz. Təlim, dc=phl, dc=şərq,dc=us,dc=contoso,dc=com.
Adfind, onsuz da komanda xəttindən idarə etmək çətin olan bir sıra qabaqcıl axtarış funksiyalarını yerinə yetirə bilər.
-asq seçimini istifadə edən bir nümunə aşağıdakı kimi "Mənə HelpDesk üzvlərinin qrup üzvlüyünü göstər" tələbini verə bilər:
əlavə et --default --rb cn=HelpDesk,ou=IT --asq memberOf
Admod, proqramın adından göründüyü kimi, Active Directory-də obyektləri dəyişdirmək üçün istifadə olunur. Adfind ilə olduğu kimi, yadda saxlamaq üçün öz sintaksisləri olan xüsusi alt menyular yoxdur; admod emal olunan obyektin növündən asılı olmayaraq eyni sintaksisdən istifadə edir. Admod həmçinin sadəcə müvafiq variantı əlavə etməklə obyektləri əlavə etmək, köçürmək, adını dəyişmək, silmək və hətta bərpa etmək üçün istifadə edilə bilər, deyək ki, -add, -rm, -move, -undel. Və dsquery və dsmod-da olduğu kimi, | əlavə sorğu məlumatlarını admod-a köçürmək üçün istifadə edilə bilər.
Qeyd edək ki, admod ilə bərpa əməliyyatı obyektin atributlarının çoxu artıq silinmiş qəbir daşı obyektini bərpa etmək üçün sadə əməliyyatdır. Bütün atributları olan obyekti tam bərpa etmək üçün obyektin məcburi bərpasını yerinə yetirməli olacaqsınız.
Co-nun alətlər kolleksiyasında avtomatlaşdırma alətləri dəstinin əvəzedilməz hissəsi hesab etdiyim başqa bir alət var: oldcmp, müəyyən həftələr ərzində istifadə olunmayan kompüterlərin etimadnamələri üçün Active Directory verilənlər bazasını axtarır və aşağıdakıları edə bilər:
- hesablarla bağlı heç bir hərəkət etmədən hesabatlar yaratmaq;
- istifadə olunmamış kompüter hesablarını deaktiv edin;
- kompüter hesablarını başqa, əvvəllər müəyyən edilmiş struktur bölməyə köçürmək;
- Kompüter hesablarını tamamilə silin.
Qeyd edək ki, oldcmp kataloqa ciddi ziyan vura bildiyi üçün o, bir neçə daxili təhlükəsizlik xüsusiyyətləri ilə gəlir. O, əvvəllər deaktiv edilməmiş hesabları silmir (əmr xəttində “Xeyr, mən bunu həqiqətən etmək istəyirəm!” deməsəniz). O, eyni vaxtda 10-dan çox obyekti dəyişdirmir (yenidən başqa cür qeyd olunmayıbsa) və heç vaxt domen nəzarətçisinin kompüter hesabına heç nə etməyəcək.
Joe indi oldcmp-i yenilədi ki, o, müəyyən müddət ərzində istifadə olunmayan istifadəçi hesablarında da oxşar funksiyaları yerinə yetirə bilsin.
Kiçik bir Active Directory mühiti və ya eyni vaxtda yalnız bir və ya iki əlavə və ya dəyişikliklə işlədiyiniz mühit üçün Active Directory İstifadəçiləri və Kompüterlər kimi GUI alətləri gündəlik idarəetmə üçün kifayət ola bilər, lakin zəruri hallarda gündəlik əlavə edin. və ya çoxlu sayda obyektləri dəyişdirmək və ya sadəcə olaraq inzibati tapşırıqlar üçün daha yaxşı həll yolu tapmaq istəmək, komanda xəttinə keçid Active Directory-də obyektlərin yaradılması, dəyişdirilməsi və silinməsi prosesini xeyli sürətləndirə bilər. Yuxarıda göstərildiyi kimi, həm Windows-da quraşdırılmış, həm də Active Directory icmasının üzvləri tərəfindən paylanmış çevik və güclü pulsuz alətlər dəsti mövcuddur. Onların hər biri Active Directory administratorunun məhsuldarlığını xeyli artıra bilər, lakin birlikdə onun gündəlik işi üçün daha da vacib olurlar.
Laura E. Hunter Windows Server Şəbəkə Alətlərində dörd dəfə Microsoft MVP-dir. O, Active Directory Referans Bələdçisinin ikinci nəşrinin müəllifidir (O "Reilly, 2006-cı ildə nəşr edilmişdir). İT sənayesində on illik təcrübəyə malik olan Laura hazırda dünya səviyyəli mühəndislik firmasında Active Directory dizayneri kimi çalışır. O, həmçinin bir neçə sənaye sertifikatının sahibidir və istifadəçi qrupu görüşlərində və sənaye konfranslarında tez-tez məruzəçidir.
