17.03.2014 डैरेन मार-एलिया
जब Windows PowerShell पहली बार सामने आया, तो कई लोगों ने पूछा कि क्या इसे प्रबंधित करना संभव है सक्रिय निर्देशिका(एडी) पॉवरशेल का उपयोग करते हुए। उस समय, माइक्रोसॉफ्ट की प्रतिक्रिया वह नहीं थी जो अधिकांश प्रशासक सुनना पसंद करेंगे। AD ऑब्जेक्ट तक पहुँचने के लिए PowerShell में एक अंतर्निहित सक्रिय निर्देशिका सेवा इंटरफ़ेस (ADSI) "प्रकार त्वरक" था, लेकिन उपयोगकर्ता को बड़े पैमाने पर यह पता लगाना था कि AD प्रशासन कार्यों को करने के लिए PowerShell का उपयोग कैसे किया जाए। रिलीज़ के साथ महत्वपूर्ण परिवर्तन हुए विंडोज़ सर्वर 2008 R2, जिसने सक्रिय निर्देशिका के लिए पॉवरशेल मॉड्यूल पेश किया। AD मॉड्यूल में AD को प्रबंधित करने के लिए कमांड का एक सेट, साथ ही एक AD प्रदाता शामिल है जो आपको AD को एक प्रतीकात्मक ड्राइव की तरह नेविगेट करने की अनुमति देता है। इस लेख में मैं आपको दिखाऊंगा कि एडी मॉड्यूल कैसे स्थापित करें और इसकी कार्यप्रणाली का विस्तार से वर्णन करें
जब Windows PowerShell पहली बार सामने आया, तो कई लोगों ने पूछा कि क्या PowerShell का उपयोग करके सक्रिय निर्देशिका (AD) को प्रबंधित करना संभव है। उस समय, माइक्रोसॉफ्ट की प्रतिक्रिया वह नहीं थी जो अधिकांश प्रशासक सुनना पसंद करेंगे। PowerShell में AD ऑब्जेक्ट तक पहुँचने के लिए एक अंतर्निहित सक्रिय निर्देशिका सेवा इंटरफ़ेस (ADSI) "प्रकार त्वरक" था, लेकिन उपयोगकर्ता को बड़े पैमाने पर यह पता लगाना था कि AD प्रशासन कार्यों को करने के लिए PowerShell का उपयोग कैसे किया जाए। समय के साथ, क्वेस्ट सॉफ़्टवेयर ने AD प्रशासनिक कार्यों के लिए कमांड का एक निःशुल्क सेट प्रदान किया है, जिसमें AD ऑब्जेक्ट बनाना, संशोधित करना और हटाना और AD में ऑब्जेक्ट खोजना शामिल है। लंबे समय से पॉवरशेल और एडी प्रबंधन की यही स्थिति रही है।
Windows Server 2008 R2 की रिलीज़ के साथ महत्वपूर्ण परिवर्तन हुए, जिसने सक्रिय निर्देशिका के लिए पॉवरशेल मॉड्यूल पेश किया। AD मॉड्यूल में AD को प्रबंधित करने के लिए कमांड का एक सेट, साथ ही एक AD प्रदाता शामिल है जो आपको AD को एक प्रतीकात्मक ड्राइव की तरह नेविगेट करने की अनुमति देता है। इस लेख में, मैं आपको दिखाऊंगा कि AD मॉड्यूल कैसे स्थापित करें और इसकी कार्यप्रणाली का विस्तार से वर्णन करें।
सक्रिय निर्देशिका मॉड्यूल स्थापित करना
AD के साथ संचार करने के लिए LDAP का उपयोग करने वाले पिछले टूल के विपरीत, AD मॉड्यूल AD डोमेन नियंत्रक (DC) के साथ संचार करने के लिए सक्रिय निर्देशिका वेब सेवा (ADWS) प्रोटोकॉल का उपयोग करता है। इन प्रोटोकॉल को MSDN ब्लॉग "एक्टिव डायरेक्ट्री वेब सर्विसेज ओवरव्यू" में विस्तार से वर्णित किया गया है, लेकिन यह ध्यान देने योग्य है कि AD मॉड्यूल में PowerShell कमांड और एक्टिव डायरेक्ट्री एडमिनिस्ट्रेटिव सेंटर (ADAC) AD के साथ संचार करने और जानकारी प्राप्त करने के लिए ADWS का उपयोग करते हैं। .
जब आप AD डोमेन में Windows Server 2012 या Server 2008 R2 डोमेन नियंत्रक स्थापित करते हैं, तो ADWS प्रोटोकॉल स्थापित होता है और उनमें से प्रत्येक पर डिफ़ॉल्ट रूप से चलता है। यदि आपके डोमेन में पूरी तरह से Windows Server 2008 या Windows Server 2003 डोमेन नियंत्रक शामिल हैं, तो आपको ADWS को अलग से स्थापित करना होगा। Microsoft इस उद्देश्य के लिए सक्रिय निर्देशिका प्रबंधन गेटवे सेवा पैकेज निःशुल्क प्रदान करता है। यदि आप पैकेज को कम से कम एक AD सर्वर 2008 या सर्वर 2003 डोमेन नियंत्रक पर स्थापित करते हैं, तो आप ADAC के साथ PowerShell के लिए AD मॉड्यूल का उपयोग कर सकते हैं।
AD मॉड्यूल स्वयं सर्वर 2012 या सर्वर 2008 R2 ऑपरेटिंग सिस्टम चलाने वाले किसी भी DC पर डिफ़ॉल्ट रूप से स्थापित होता है। पर विंडोज़ कंप्यूटर 8 और विंडोज 7 (या DC पर चलने वाले सर्वर 2012 या सर्वर 2008 R2 के अलावा किसी भी कंप्यूटर) पर, आपको Microsoft डाउनलोड सेंटर से रिमोट सर्वर एडमिनिस्ट्रेशन टूल्स इंस्टॉल करना होगा।
भले ही आपके कंप्यूटर पर रिमोट सर्वर एडमिनिस्ट्रेशन टूल पहले से इंस्टॉल हों या अलग से, अगला कदम कंट्रोल पैनल में प्रोग्राम जोड़ें/निकालें अनुभाग को खोलना है और बाईं ओर मेनू से विंडोज़ सुविधाओं को चालू या बंद करें का चयन करना है। विंडोज फीचर्स डायलॉग बॉक्स को रिमोट सर्वर एडमिनिस्ट्रेशन टूल्स सेक्शन तक नीचे स्क्रॉल करें। जैसा कि चित्र 1 में दिखाया गया है, \रिमोट सर्वर एडमिनिस्ट्रेशन टूल्स\रोल एडमिनिस्ट्रेशन टूल्स\AD DS और AD LDS टूल्स फ़ोल्डर में Windows PowerShell चेकबॉक्स के लिए सक्रिय निर्देशिका मॉड्यूल का पता लगाएं। चेकबॉक्स का चयन करें और मॉड्यूल स्थापित करने के लिए ओके पर क्लिक करें।
अब आपको स्टार्ट मेनू के प्रशासनिक उपकरण अनुभाग में विंडोज पावरशेल के लिए सक्रिय निर्देशिका मॉड्यूल का शॉर्टकट देखना चाहिए। लोड किए गए AD मॉड्यूल के साथ PowerShell लॉन्च करने के लिए इस शॉर्टकट पर क्लिक करें। यदि आप पहले से ही PowerShell में काम कर रहे हैं और केवल मॉड्यूल को लोड करना चाहते हैं ताकि यह उपयोग के लिए उपलब्ध हो, तो आप AD और AD प्रदाता कमांड तक पहुंच प्राप्त करने के लिए निम्नलिखित कमांड दर्ज कर सकते हैं:
आयात-मॉड्यूल ActiveDirectory
अब आइए देखें कि AD प्रदाता का उपयोग करके AD को कैसे नेविगेट किया जाए।
सक्रिय निर्देशिका प्रदाता का उपयोग करना
पॉवरशेल पॉवरशेल ड्राइव की अवधारणा को लागू करता है, जिसे मैं केवल पीएस ड्राइव के रूप में संदर्भित करूंगा। इसे सीधे शब्दों में कहें तो, एक पीएस ड्राइव एक संसाधन का प्रतिनिधित्व है, जैसे फ़ोल्डर्स और लीफ आइटम से युक्त एक नेविगेट करने योग्य फ़ाइल सिस्टम। प्रत्येक संसाधन के बारे में इस तरह से नहीं सोचा जा सकता है, लेकिन कई (एडी और रजिस्ट्री सहित) इस मॉडल में अच्छी तरह फिट बैठते हैं। AD मॉड्यूल में PS AD डिस्क के लिए प्रदाता शामिल है। तदनुसार, आप AD को नेविगेट कर सकते हैं और यहां तक कि बदल भी सकते हैं जैसे कि यह एक फ़ाइल सिस्टम हो।
AD प्रदाता का उपयोग करके AD को कैसे नेविगेट करें? यह मानता है कि PowerShell खुला है और AD मॉड्यूल लोड है। इस मामले में, पहला कदम सेट-लोकेशन कमांड को चलाना है, जिसमें एसएल और सीडी सहित कई उपनाम हैं:
सेट-स्थान AD:
यह आदेश PS AD ड्राइव के वर्तमान कार्य स्थान को बदल देता है। परिणामस्वरूप, PowerShell प्रॉम्प्ट C:\ के बजाय AD:\ दिखाएगा। फिर, PS AD ड्राइव में आइटम देखने के लिए, आप dir उपनाम के साथ Get-ChildItem कमांड का उपयोग कर सकते हैं:
Get-ChildItem
चित्र 2 मेरे कंप्यूटर पर परिणाम का एक उदाहरण दिखाता है।
जैसा कि हम देख सकते हैं, कमांड सभी उपलब्ध डोमेन विभाजनों की एक सूची लौटाता है। मेरी राय में, सबसे दिलचस्प डोमेन अनुभाग है जिसे cpandl कहा जाता है, जिसमें उपयोगकर्ता और कंप्यूटर के नाम शामिल हैं। इस डोमेन को बदलने के लिए, बस कमांड दर्ज करें:
सेट-स्थान "dc=cpandl,dc=com"
ध्यान दें कि सेट-लोकेशन कमांड का उपयोग मेरे एडी डोमेन के विशिष्ट नाम (डीएन) के साथ किया जाता है। यह सही नेविगेशन के लिए आवश्यक है. एक बार जब आप अपनी डोमेन निर्देशिका में नेविगेट कर लेते हैं (जैसा कि PowerShell में AD:\dc=cpandl,dc=com प्रॉम्प्ट द्वारा दर्शाया गया है), तो आप शीर्ष-स्तरीय AD संरचना (चित्र 3) देखने के लिए Get-ChildItem कमांड का उपयोग कर सकते हैं।
.jpg) |
| चित्र 3: AD पदानुक्रम के शीर्ष स्तर को देखना |
यदि आप एसडीएम संगठनात्मक इकाई (ओयू) में उपयोगकर्ताओं को देखना चाहते हैं, तो उस ओयू पर नेविगेट करने के लिए आपको बस यह दर्ज करना होगा:
सेट-स्थान "ओयू=एसडीएम"
पॉवरशेल कमांड लाइन AD:\ou=SDM,dc=cpandl,dc=com जैसी दिखेगी। पर इस स्तर परआप इस OU में सभी उपयोगकर्ता ऑब्जेक्ट देखने के लिए Get-ChildItem कमांड का उपयोग कर सकते हैं। यदि मुझे अपने डैरेन मार-एलिया उपयोगकर्ता खाते का प्रतिनिधित्व करने वाले उपयोगकर्ता ऑब्जेक्ट पर विवरण संपत्ति को बदलने की आवश्यकता है। उसके लिए एक टीम है! Set-ItemProperty कमांड आपको AD ऑब्जेक्ट पर एक प्रॉपर्टी बदलने की अनुमति देता है। यदि आपको चीफ टेकी पर उपयोगकर्ता खाते का विवरण बदलने की आवश्यकता है, तो आपको कमांड चलाना चाहिए:
सेट-आइटमप्रॉपर्टी -पथ ".\CN=डैरेन मार-एलिया" ` -नाम "विवरण" -मान "मुख्य तकनीकी विशेषज्ञ"
जैसा कि हम देख सकते हैं, वर्तमान निर्देशिका में मेरे उपयोगकर्ता खाते को निर्दिष्ट करने के लिए -Path पैरामीटर का उपयोग यहां किया जाता है। मैं यह इंगित करने के लिए -नाम पैरामीटर का भी उपयोग करता हूं कि विवरण संपत्ति को बदलने की आवश्यकता है, और मुख्य तकनीकी विशेषज्ञ के विवरण को निर्दिष्ट करने के लिए -वैल्यू पैरामीटर का भी उपयोग करता हूं।
ध्यान दें कि यदि आप किसी विशेष संपत्ति मूल्य के साथ सभी ऑब्जेक्ट ढूंढना चाहते हैं, तो आप Get-ItemProperty का उपयोग कर सकते हैं। यदि आप केवल AD ऑब्जेक्ट का संदर्भ प्राप्त करना चाहते हैं, तो Get-Item का उपयोग करें।
जैसा कि आप देख सकते हैं, AD के साथ इस तरह से काम करना काफी सरल है। तंत्र बड़े पैमाने पर परिवर्तनों के लिए शायद ही उपयुक्त है, लेकिन फ़ाइल सिस्टम के रूप में AD के साथ काम करने के लिए यह सुविधाजनक है। हालाँकि, जैसा कि मुझे पता चला, अधिकांश प्रशासक AD को प्रबंधित करने के लिए PS AD ड्राइव के बजाय कमांड का उपयोग करते हैं। आइए देखें कि इनमें से कुछ कमांड कैसे काम करते हैं।
सक्रिय निर्देशिका कमांड का उपयोग करना
विंडोज़ 7 में शामिल AD मॉड्यूल में AD को प्रबंधित करने के लिए 76 कमांड हैं। उनका उपयोग लगभग किसी भी उद्देश्य के लिए किया जा सकता है, जिसमें AD ऑब्जेक्ट ढूंढना, AD ऑब्जेक्ट बनाना और हटाना, और AD कॉन्फ़िगरेशन जानकारी (जैसे फ़ॉरेस्ट मोड और ग्रैन्युलर पासवर्ड नीतियां) में हेरफेर करना शामिल है। आमतौर पर कमांड को ऐड-, रिमूव-, गेट- और सेट- जैसी क्रियाओं द्वारा समूहीकृत किया जाता है। ध्यान दें कि प्रत्येक गेट-कमांड में संबंधित सेट-कमांड नहीं होता है और इसके विपरीत, इसलिए कभी-कभी आपको खोजने के लिए कुछ प्रयास करना पड़ता है सही आदेशकार्य के लिए. उदाहरण के लिए, आप Set-ADForestMode का उपयोग करके AD फ़ॉरेस्ट कार्यक्षमता स्तर सेट कर सकते हैं, लेकिन वर्तमान फ़ॉरेस्ट कार्यक्षमता स्तर का पता लगाने के लिए, आपको Get-ADForest कमांड का उपयोग करना होगा और लौटाए गए ऑब्जेक्ट पर फ़ॉरेस्टमोड प्रॉपर्टी को देखना होगा।
आइए कुछ सामान्य कार्यों पर नजर डालें जिन्हें AD कमांड का उपयोग करके निष्पादित किया जा सकता है। विशेष रूप से, हम आपको दिखाएंगे कि उपयोगकर्ता खाते कैसे जोड़ें, समूह सदस्यता कैसे प्रबंधित करें, उपयोगकर्ता खाता पासवर्ड कैसे रीसेट करें और AD ऑब्जेक्ट कैसे खोजें।
उपयोगकर्ता खाते जोड़ना
New-ADUser कमांड उपयोगकर्ता खातों को AD में जोड़ने का एक आसान तरीका प्रदान करता है। यदि आप एसडीएम संगठनात्मक इकाई में बिल स्मिथ नामक एक नया उपयोगकर्ता खाता जोड़ना चाहते हैं, तो सरलतम स्थिति में आप कमांड का उपयोग करके एक नया उपयोगकर्ता खाता बना सकते हैं:
नया-एडीयूसर -नाम "बिल स्मिथ" -सैमअकाउंटनाम "बीस्मिथ" ` -दिया गया नाम "बिल" -उपनाम "स्मिथ" ` -प्रदर्शननाम "बिल स्मिथ" -पथ "ओयू=एसडीएम, डीसी=सीपैंडल, डीसी=कॉम"
यह कमांड उपयोगकर्ता खाते के बारे में बुनियादी जानकारी दर्ज करता है। विशेष रूप से, -SamAccountName पैरामीटर का उपयोग उपयोगकर्ता ऑब्जेक्ट बनाने के लिए आवश्यक SAM खाते का नाम प्रदान करने के लिए किया जाता है। -पाथ पैरामीटर का उपयोग कमांड को यह बताने के लिए भी किया जाता है कि ऑब्जेक्ट को कहां रखा जाए - इस मामले में, cpandl.com डोमेन में एसडीएम ओयू। इसके अलावा, उपयोगकर्ता का पहला नाम (-GivenName पैरामीटर), अंतिम नाम (-उपनाम पैरामीटर), और डिस्प्ले नाम (-DisplayName पैरामीटर) निर्दिष्ट हैं।
इस कमांड को चलाने से एक उपयोगकर्ता खाता बन जाएगा, लेकिन इसमें दो समस्याएं हैं। सबसे पहले, खाता अक्षम कर दिया जाएगा. दूसरा, खाते के साथ कोई पासवर्ड संबद्ध नहीं होगा, जो अधिकांश डोमेन पर आवश्यक होता है।
खाते को सक्रिय करने और अलग से पासवर्ड निर्दिष्ट करने की आवश्यकता से बचने के लिए, आप न्यू-एडीयूसर कमांड को संशोधित कर सकते हैं। यदि आप कमांड में -Enabled $true पैरामीटर निर्दिष्ट करते हैं तो New-ADUser स्वचालित रूप से खाते को सक्षम कर देगा। सक्रियण के लिए पासवर्ड की आवश्यकता होती है, इसलिए आपको इसे कमांड में भी निर्दिष्ट करना होगा।
पासवर्ड प्रदान करने के लिए, आप -अकाउंटपासवर्ड पैरामीटर का उपयोग कर सकते हैं। हालाँकि, आप कमांड प्रॉम्प्ट पर सादे पाठ में पासवर्ड दर्ज नहीं कर सकते। इस विकल्प के लिए आवश्यक है कि पासवर्ड एक सुरक्षित स्ट्रिंग में दर्ज किया जाए (अर्थात इसमें एक सिक्योरस्ट्रिंग डेटा प्रकार हो)। पासवर्ड को सुरक्षित स्ट्रिंग में बदलने के दो तरीके हैं, और दोनों एक वेरिएबल का उपयोग करते हैं।
पहली विधि ConvertTo-SecureString कमांड का उपयोग करती है, जो सादे टेक्स्ट स्ट्रिंग्स को सुरक्षित स्ट्रिंग्स में परिवर्तित करती है। उदाहरण के लिए, यदि आप पासवर्ड P@ssw0rd12 को एक संरक्षित स्ट्रिंग में कनवर्ट करना चाहते हैं और इसे $pwd वेरिएबल पर असाइन करना चाहते हैं, तो आप कमांड चलाएंगे:
$pwd = ConvertTo-SecureString -string "P@ssw0rd12" ` -AsPlainText –force
यह पासवर्ड निर्दिष्ट करने का सबसे सुरक्षित तरीका नहीं है, क्योंकि जब आप कमांड दर्ज करते हैं तो कोई आपके कंधे की तरफ देख सकता है। पासवर्ड और दर्ज किए गए वर्णों को छुपाने के लिए न्यू-एडीयूसर कमांड प्रॉम्प्ट रखना एक अधिक सुरक्षित तरीका है। यह -AsSecureString पैरामीटर के साथ Read-Hostcmdlet कमांड का उपयोग करके किया जा सकता है:
$pwd = रीड-होस्ट -AsSecureString
इस कमांड को चलाने के बाद, आपको अपना पासवर्ड दर्ज करते समय आपकी स्क्रीन पर परिचित "*" प्रतीक दिखाई देगा। जब आप समाप्त कर लें, तो एंटर कुंजी दबाएं।
एक बार जब पासवर्ड $pwd वेरिएबल में संग्रहीत हो जाता है, तो आप इसे न्यू-ADUser कमांड में भेज सकते हैं:
नया-एडीयूसर -नाम"बिल स्मिथ"-सैमअकाउंटनाम"बीस्मिथ"` -दिया गया नाम"बिल"-उपनाम"स्मिथ"` -प्रदर्शननाम"बिल स्मिथ"` -पथ"ओयू=एसडीएम,डीसी=सीपैंडल,डीसी=कॉम"` - $true -AccountPassword $pwd सक्षम किया गया
जैसा कि हम देख सकते हैं, कमांड में -Enabled और -AccountPassword पैरामीटर शामिल हैं, जो खाते को सक्षम करते हैं और इसे सुरक्षित रूप से एक पासवर्ड असाइन करते हैं।
एक समय में एक उपयोगकर्ता खाता बनाना एक अच्छा तरीका है, लेकिन कभी-कभी आपको एक ही समय में कई खाते बनाने की आवश्यकता होती है। पॉवरशेल इस उद्देश्य के लिए बहुत अच्छा है। उदाहरण के लिए, यदि आपको तीन उपयोगकर्ता खाते बनाने की आवश्यकता है, तो आप एक अल्पविराम से अलग मूल्य (सीएसवी) फ़ाइल तैयार कर सकते हैं जिसमें खाता जानकारी शामिल है और फिर उस जानकारी को न्यू-एडीयूसर में स्थानांतरित करने के लिए आयात-सीएसवी कमांड का उपयोग करें।
चित्र 4 userlist.csv नामक एक CSV फ़ाइल दिखाता है।
ध्यान दें कि इस फ़ाइल में, कॉलम शीर्षक पिछले न्यू-एडीयूसर कमांड में दिए गए पैरामीटर नामों के अनुरूप हैं। यह जानबूझकर किया गया था. जब CSV डेटा न्यू-ADUser को पास किया जाता है, तो कमांड उन पैरामीटर नामों को PowerShell पाइपलाइन से उठाएगा और कमांड में ही निर्दिष्ट करने की आवश्यकता नहीं होगी। यहां तीन उपयोगकर्ता खाते बनाने के लिए उपयोग की जाने वाली कमांड है:
आयात-सीएसवी -पथ C:\data\userlist.csv | नया-ADUser -सक्षम $true -अकाउंटपासवर्ड $pwd
जैसा कि आप देख सकते हैं, आयात-सीएसवी कमांड का आउटपुट न्यू-एडीयूसर कमांड पर जाता है। पाइपलाइन पहचानती है कि CSV फ़ाइल में कॉलम हेडर पैरामीटर नाम हैं और शेष पंक्तियों में मान हैं, इसलिए आपको केवल -Enabled और -AccountPassword पैरामीटर प्रदान करने की आवश्यकता है। यह एक उत्कृष्ट कन्वेयर क्षमता है. यह आपको इस प्रकार के स्वचालन कार्यों के लिए PowerShell का अधिक प्रभावी ढंग से उपयोग करने की अनुमति देता है।
समूह सदस्यता प्रबंधन
उपयोगकर्ता और कंप्यूटर खाते जोड़ना एक विशिष्ट AD प्रबंधन कार्य है। AD मॉड्यूल का उपयोग करके, इसे पूरा करना अपेक्षाकृत आसान है। Add-ADGroupMember कमांड का उपयोग करके, आप किसी समूह में एक या अधिक खाते जोड़ सकते हैं। उदाहरण के लिए, यदि आपको मार्केटिंग उपयोगकर्ता समूह में तीन नए उपयोगकर्ता जोड़ने की आवश्यकता है। कमांड का उपयोग करना सबसे आसान तरीका है:
ऐड-एडीग्रुपमेम्बर -पहचान"विपणन उपयोगकर्ता"` -सदस्य जादम्स, थंब, एमटवेन
इस कमांड में, -आइडेंटिटी पैरामीटर का उपयोग समूह का नाम प्रदान करने के लिए किया जाता है। -सदस्य पैरामीटर का उपयोग उपयोगकर्ता SAM खाता नाम प्रदान करने के लिए भी किया जाता है। यदि एकाधिक एसएएम खाता नाम हैं, तो उन्हें अल्पविराम से अलग की गई फ़ाइल में सूचीबद्ध किया जाना चाहिए।
आप समस्या को एक कार्रवाई में हल करने के लिए तीन खाते बनाने और उन्हें मार्केटिंग उपयोगकर्ता समूह में जोड़ने के संचालन को एक कमांड में जोड़ सकते हैं। हालाँकि, Add-ADGroupMember कमांड समूह सदस्य नामों को पाइपलाइन में पास करने का समर्थन नहीं करता है। इसलिए, यदि आप पाइपलाइन का उपयोग करना चाहते हैं तो आपको Add-ADPrincipalGroupMembership कमांड का उपयोग करना होगा। यह कमांड उपयोगकर्ता, कंप्यूटर या समूह ऑब्जेक्ट को पाइपलाइन से इनपुट के रूप में स्वीकार कर सकता है और उन ऑब्जेक्ट को निर्दिष्ट समूह में जोड़ सकता है।
आप उपयोगकर्ताओं को बनाने के ऑपरेशन को मार्केटिंग उपयोगकर्ता समूह में नए उपयोगकर्ताओं को जोड़ने के ऑपरेशन के साथ एक कमांड में निम्नानुसार जोड़ सकते हैं:
आयात-सीएसवी -पथ C:\data\userlist.csv | नया-ADUser -सक्षम $true -अकाउंटपासवर्ड $pass` -PassThru | ऐड-एडीप्रिंसिपलग्रुपसदस्यता `-"विपणन उपयोगकर्ता" का सदस्य
ध्यान दें कि -PassThru पैरामीटर को कमांड के न्यू-ADUser भाग में जोड़ा गया है। यह पैरामीटर न्यू-एडीयूसर को निर्मित उपयोगकर्ता ऑब्जेक्ट को पाइपलाइन में पास करने के लिए कहता है। यदि यह पैरामीटर निर्दिष्ट नहीं है, तो Add-ADPrincipalGroupMembership कमांड विफल हो जाएगा।
यह भी उल्लेखनीय है कि कमांड के Add-ADPrincipalGroupMembership अनुभाग में समूह का नाम निर्दिष्ट करने के लिए केवल -MemberOf पैरामीटर का उपयोग किया जाता है। पाइपलाइन तीन उपयोगकर्ताओं में से प्रत्येक को मार्केटिंग उपयोगकर्ता समूह में जोड़कर बाकी का ख्याल रखती है।
इसलिए, एक पॉवरशेल कमांड का उपयोग करके, तीन नए उपयोगकर्ता बनाए गए, उन्हें ओयू में रखा गया, उन्हें पासवर्ड दिए गए, और उन्हें मार्केटिंग उपयोगकर्ता समूह में जोड़ा गया। अब आइए कुछ अन्य सामान्य AD रखरखाव कार्यों को देखें जिन्हें PowerShell और AD मॉड्यूल का उपयोग करके स्वचालित किया जा सकता है।
उपयोगकर्ता खाता पासवर्ड रीसेट करना
कभी-कभी उपयोगकर्ताओं को अपने खाते का पासवर्ड रीसेट करने की आवश्यकता होती है। खाता पासवर्ड बदलकर या रीसेट करके Set-ADAccountPassword कमांड का उपयोग करके इस कार्य को आसानी से स्वचालित किया जा सकता है। पासवर्ड बदलने के लिए आपको पुराना पासवर्ड जानना होगा और नया पासवर्ड डालना होगा। अपना पासवर्ड रीसेट करने के लिए, बस एक नया पासवर्ड प्रदान करें। हालाँकि, पासवर्ड रीसेट करने के लिए आपके पास AD में उपयोगकर्ता ऑब्जेक्ट पर पासवर्ड रीसेट करने की अनुमति होनी चाहिए।
न्यू-एडीयूसर कमांड के -अकाउंटपासवर्ड पैरामीटर की तरह, सेट-एडीएकाउंटपासवर्ड कमांड पासवर्ड के लिए सिक्योरस्ट्रिंग डेटा प्रकार का उपयोग करता है, इसलिए आपको सादे टेक्स्ट पासवर्ड को सुरक्षित स्ट्रिंग में बदलने के लिए तरीकों में से एक का उपयोग करना होगा। उदाहरण के लिए, यदि आप टॉम थंब उपयोगकर्ता खाते के लिए पासवर्ड रीसेट करना चाहते हैं, तो नए पासवर्ड को $pass वेरिएबल में संरक्षित स्ट्रिंग के रूप में संग्रहीत करने के बाद, आप कमांड चला सकते हैं:
सेट-एडीएकाउंटपासवर्ड -पहचान»थथम्ब`` -न्यूपासवर्ड $पास -रीसेट
इस आदेश में, मैं टॉम थंब उपयोगकर्ता खाते को एसएएम खाता नाम निर्दिष्ट करने के लिए -पहचान पैरामीटर का उपयोग करता हूं। मैं नया पासवर्ड प्रदान करने के लिए $pass वेरिएबल के साथ -NewPassword पैरामीटर भी दर्ज करता हूं। अंत में, -रीसेट पैरामीटर यह इंगित करने के लिए निर्दिष्ट किया जाता है कि पासवर्ड परिवर्तन के बजाय रीसेट किया जा रहा है।
एक अन्य वैकल्पिक कार्य: अगली बार लॉग इन करने पर उसे अपना पासवर्ड बदलने के लिए मजबूर करने के लिए टॉम थंब उपयोगकर्ता खाता ध्वज को टॉगल करें। यह एक सामान्य तकनीक है जब आपको किसी उपयोगकर्ता का पासवर्ड रीसेट करने की आवश्यकता होती है। यह कार्य Set-ADUser कमांड का उपयोग करके -ChangePasswordAtLogon पैरामीटर को $true पर सेट करके किया जा सकता है:
सेट-ADUser -पहचान ththumb -ChangePasswordAtLogon $true
सवाल उठता है कि एक पॉवरशेल कमांड में दोनों ऑपरेशन करने के लिए सेट-एडीएकाउंटपासवर्ड कमांड के आउटपुट को सेट-एडीयूसर कमांड में पास करने के लिए पाइपलाइन का उपयोग क्यों नहीं किया गया। मैंने यह तरीका आज़माया, यह काम नहीं करता। संभवतः Set-ADAccountPassword कमांड में कुछ सीमाएँ हैं जो एकल कमांड को सफलतापूर्वक चलने से रोकती हैं। किसी भी स्थिति में, ऊपर दिखाए गए अनुसार सेट-एडीयूसर कमांड का उपयोग करके ध्वज को टॉगल करना पर्याप्त है।
सक्रिय निर्देशिका ऑब्जेक्ट की खोज
एक अन्य विशिष्ट AD कार्य AD ऑब्जेक्ट्स को ढूंढना है जो कुछ मानदंडों को पूरा करते हैं। उदाहरण के लिए, आप AD डोमेन में Windows ऑपरेटिंग सिस्टम के विशिष्ट संस्करण पर चलने वाले सभी कंप्यूटर पा सकते हैं। Get-ADObject कमांड LDAP खोज के लिए सबसे सुविधाजनक है। उदाहरण के लिए, cpandl.com डोमेन में सर्वर 2008 R2 कंप्यूटर खोजने के लिए, कमांड का उपयोग किया गया था:
Get-ADObject -LDAPFilter ` "(&(operatingSystem=Windows Server 2008 R2 Enterprise)` (objectClass=computer))" -SearchBase"dc=cpandl,dc=com"` -SearchScope Subtree
यह कमांड कार्य करने के लिए तीन मापदंडों का उपयोग करता है: -LDAPFilter, -SearchBase, और -SearchScope। -LDAPफ़िल्टर पैरामीटर इनपुट के रूप में एक मानक LDAP क्वेरी लेता है। यह उदाहरण उन सभी कंप्यूटर ऑब्जेक्ट्स पर क्वेरी करता है जिनमें ऑपरेटिंग सिस्टम विशेषता Windows Server 2008 R2 एंटरप्राइज़ पर सेट है। -SearchBase पैरामीटर कमांड को बताता है कि AD पदानुक्रम में खोज कहाँ से शुरू करनी है। इस मामले में, खोज AD डोमेन की रूट निर्देशिका से की जाती है, लेकिन खोज को किसी विशिष्ट OU तक सीमित करना मुश्किल नहीं है। -SearchScope पैरामीटर कमांड को बताता है कि क्या खोज आधार के तहत सभी कंटेनरों को क्रॉल करना है, निर्दिष्ट ऑब्जेक्ट ढूंढना है। इस मामले में, सबट्री पैरामीटर का उपयोग कमांड को सभी अंतर्निहित कंटेनरों की जांच करने के लिए मजबूर करने के लिए किया जाता है।
जब आप कमांड चलाते हैं, तो मानदंड से मेल खाने वाली वस्तुएं प्रदर्शित होती हैं। या आप पाए गए ऑब्जेक्ट को संसाधित करने के लिए परिणामों को किसी अन्य कमांड पर अग्रेषित कर सकते हैं।
ध्यान दें कि बड़ी खोजों के लिए खोज परिणामों को पृष्ठांकित करने के तरीके को नियंत्रित करने के लिए -ResultPageSize पैरामीटर का उपयोग करना उपयोगी है। आमतौर पर मैं इस पैरामीटर को 1000 पर सेट करता हूं और Get-ADObject कमांड एक बार में 1000 ऑब्जेक्ट लौटाता है। अन्यथा, आपको अपेक्षित परिणाम नहीं मिल सकता है क्योंकि लौटाई गई वस्तुओं की संख्या एकल खोज अनुरोध के लिए नीति द्वारा निर्धारित अधिकतम सीमा से अधिक है।
माइक्रोसॉफ्ट द्वारा प्रदान किया गया एक अन्य खोज कमांड सर्च-एडीएकाउंट है। यह कमांड विशेष रूप से विभिन्न पूर्वनिर्धारित स्थितियों, जैसे अक्षम खाते, समाप्त पासवर्ड वाले खाते और लॉक आउट खातों के साथ खोज करने के लिए उपयोगी है। तो, निम्न आदेश एसडीएम ओयू में समाप्त हो चुके पासवर्ड वाले सभी उपयोगकर्ता खातों को ढूंढता है:
खोज-एडीएखाता -पासवर्ड समाप्त -उपयोगकर्ता केवल ` -सर्चबेस"ओयू=एसडीएम,डीसी=सीपैंडल,डीसी=कॉम' -सर्चस्कोप वनलेवल
यह कमांड यह निर्दिष्ट करने के लिए -PasswordExpired पैरामीटर का उपयोग करता है कि समाप्त पासवर्ड वाले खातों की आवश्यकता है। -UsersOnly पैरामीटर निर्दिष्ट करता है कि केवल उपयोगकर्ता ऑब्जेक्ट की खोज की जानी चाहिए (अर्थात, कंप्यूटर ऑब्जेक्ट को बाहर रखा जाना चाहिए)। पिछले उदाहरण की तरह, खोज के दायरे को निर्दिष्ट करने के लिए -SearchBase और -SearchScope पैरामीटर का उपयोग किया जाता है। लेकिन इस मामले में, मैं केवल निकटतम ओयू (अर्थात, किसी भी चाइल्ड संगठनात्मक इकाइयों को छोड़कर) को खोजने के लिए वनलेवल पैरामीटर का उपयोग कर रहा हूं।
यह केवल AD मॉड्यूल की सतह है, लेकिन मुझे आशा है कि आपको इसकी क्षमताओं का अंदाजा हो जाएगा। जैसा कि ऊपर बताया गया है, मॉड्यूल में 70 से अधिक कमांड हैं। इस आलेख में शामिल नहीं किए गए विषयों में रिमूव-कमांड का उपयोग करके ऑब्जेक्ट को हटाना, रिस्टोर-एडीओब्जेक्ट कमांड का उपयोग करके हटाए गए ऑब्जेक्ट को पुनर्स्थापित करना और सेट-एडीएकाउंटकंट्रोल कमांड का उपयोग करके उपयोगकर्ता ऑब्जेक्ट पर यूएसी गुणों को हटाना शामिल है। लगभग किसी भी AD प्रशासनिक कार्य के लिए आदेश होते हैं।
पाठ 7. सक्रिय निर्देशिका प्रशासन।
सक्रिय निर्देशिका प्रशासन प्रक्रिया में प्रबंधन शामिल है:
- सक्रिय निर्देशिका डोमेन;
- डोमेन निर्देशिका संरचना;
- डोमेन ऑब्जेक्ट (उपयोगकर्ता, संपर्क, कंप्यूटर, समूह, प्रिंटर, आदि);
- सक्रिय निर्देशिका साइटें और नेटवर्क;
- डेटा प्रतिकृति.
इन सभी कार्यों को तीन प्रबंधन कंसोल का उपयोग करके हल किया जाता है जो डोमेन नियंत्रक पर सक्रिय निर्देशिका की स्थापना के दौरान स्थापित होते हैं:
- सक्रिय निर्देशिका - डोमेन और ट्रस्ट
- सक्रिय निर्देशिका - उपयोगकर्ता और कंप्यूटर
- सक्रिय निर्देशिका - साइटें और सेवाएँ
ये कंसोल प्रशासनिक उपयोगिताओं के पैकेज के हिस्से के रूप में डोमेन में अन्य कंप्यूटरों पर स्थापित किए जा सकते हैं।
सक्रिय निर्देशिका ऑब्जेक्ट का विवरण.
सभी सक्रिय निर्देशिका प्रबंधन कंसोल निर्देशिका ऑब्जेक्ट प्रदर्शित करने के लिए आइकन के एक सेट का उपयोग करते हैं। नीचे सभी मुख्य सक्रिय निर्देशिका ऑब्जेक्ट और उनके संबंधित चिह्न दिए गए हैं। यह जानकारी आपको सक्रिय निर्देशिका को अधिक आसानी से नेविगेट करने में मदद करेगी।
आइकन | एक वस्तु | विवरण |
सर्वर को रीबूट करें.
निर्देशिका सेवा पुनर्प्राप्ति मोड के लिए पासवर्ड दर्ज करें।
AD फ़ाइलें सहेजने के लिए फ़ोल्डर स्थानों की पुष्टि करें।
NetBIOS डोमेन नाम की पुष्टि करें।
7. उपयोगकर्ताओं और समूहों के लिए सुरक्षा स्तर चुनें:
· पूर्व-Windows 2000 सर्वर के साथ संगत अनुमतियाँ- यदि डोमेन में Windows NT चलाने वाले सर्वर पर चलने वाले प्रोग्राम या सेवाएँ हैं, या कंप्यूटर Windows NT चलाने वाले डोमेन का हिस्सा है।
· अनुमतियाँ केवल Windows 2000 सर्वर और Windows Server 2003 के साथ संगत हैं- यदि डोमेन में केवल Windows 2000 सर्वर और Windows Server 2003 चलाने वाले सर्वर ही चल रहे हैं।
सक्रिय निर्देशिका प्रशासन सक्रिय निर्देशिका प्रबंधन स्नैप-इन के एक सेट का उपयोग करता है। इसमें चार उपकरण शामिल हैं:
1 सक्रिय निर्देशिका उपयोगकर्ता और कंप्यूटर - डोमेन उपयोगकर्ता और कंप्यूटर खातों को प्रशासित करने के लिए डिज़ाइन किया गया।
2 सक्रिय निर्देशिका डोमेन और ट्रस्ट - डोमेन के बीच विश्वास संबंध स्थापित करने के लिए उपयोग किया जाता है।
3 सक्रिय निर्देशिका साइटें और सेवा (साइटें और सेवाएँ) - साइटों और साइट लिंक को प्रबंधित करने के लिए डिज़ाइन की गई हैं।
4 डीएनएस - सक्रिय निर्देशिका में एकीकृत डीएनएस सर्वर का प्रशासन।
सक्रिय निर्देशिका उपयोगकर्ता और कंप्यूटर।
सक्रिय निर्देशिका उपयोगकर्ता खाते और कंप्यूटर खाते कंप्यूटर या उपयोगकर्ता की तरह ही भौतिक वस्तुएं हैं। उपयोगकर्ता खातों का उपयोग कुछ अनुप्रयोगों के लिए समर्पित सेवा प्रविष्टियों के रूप में भी किया जा सकता है।
उपभोक्ता खाता- एक सक्रिय निर्देशिका ऑब्जेक्ट जिसमें सभी जानकारी होती है जो विंडोज ऑपरेटिंग सिस्टम में उपयोगकर्ता की पहचान करती है। इस जानकारी में शामिल हैं:
· उपयोगकर्ता का व्यक्तिगत डेटा (पूरा नाम, फोन नंबर, ई-मेल, डाक पता, संगठन के बारे में जानकारी);
· खाता सेटिंग्स (उपयोगकर्ता लॉगिन के लिए आवश्यक उपयोगकर्ता नाम और पासवर्ड, खाता समाप्ति तिथि, पासवर्ड प्रबंधन, एन्क्रिप्शन और प्रमाणीकरण विकल्प);
· उन समूहों के नाम जिनका उपयोगकर्ता सदस्य है;
· उपयोगकर्ता प्रोफ़ाइल (इसमें उपयोगकर्ता-विशिष्ट सेटिंग्स, जैसे डेस्कटॉप सेटिंग्स, लगातार नेटवर्क कनेक्शन और एप्लिकेशन सेटिंग्स के बारे में जानकारी शामिल है);
· अन्य जानकारी (टर्मिनल सेवा प्रोफ़ाइल, रिमोट कंट्रोल, सत्र प्रबंधन, आदि)।
कंप्यूटर खाता- एक सक्रिय निर्देशिका ऑब्जेक्ट जो किसी डोमेन में कंप्यूटर की विशिष्ट पहचान करता है। कंप्यूटर खाता डोमेन में कंप्यूटर नाम से मेल खाता है। एक कंप्यूटर जिसका खाता किसी डोमेन में जोड़ा गया है, सक्रिय निर्देशिका सामग्री का उपयोग करने वाले नेटवर्क संचालन में भाग ले सकता है। उदाहरण के लिए, किसी डोमेन में जोड़ा गया वर्कस्टेशन सक्रिय निर्देशिका में मौजूद खातों और समूहों को पहचानने में सक्षम है।
@Windows 95, Windows 98, और Windows Me चलाने वाले कंप्यूटरों में अतिरिक्त सुरक्षा सुविधाएँ नहीं हैं और उन्हें कंप्यूटर खाते नहीं सौंपे जा सकते।
समूहउपयोगकर्ता और कंप्यूटर खातों, संपर्कों और अन्य समूहों का एक परिवार है जिसे एक इकाई के रूप में प्रबंधित किया जा सकता है। उपयोगकर्ता और कंप्यूटर जो किसी विशेष समूह से संबंधित होते हैं उन्हें समूह सदस्य कहा जाता है। सक्रिय निर्देशिका में समूह निर्देशिका ऑब्जेक्ट हैं जो डोमेन और संगठनात्मक इकाई कंटेनर ऑब्जेक्ट के भीतर रहते हैं।
सक्रिय निर्देशिका में समूह आपको इसकी अनुमति देते हैं:
· व्यक्तिगत उपयोगकर्ताओं के बजाय समूह को शेयर अनुमतियाँ प्रदान करके प्रशासन को सरल बनाएं। यह उस समूह के सभी सदस्यों के लिए संसाधन तक समान पहुंच सुनिश्चित करता है;
· पूरे समूह के लिए उपयोगकर्ताओं को एक ही बार में अधिकार सौंपकर प्रशासन सौंपना समूह नीतिऔर फिर समूह में आवश्यक सदस्यों को जोड़ना, जिनके पास समूह के समान अधिकार होने चाहिए;
समूहों की विशेषता उनके दायरे और प्रकार से होती है। किसी समूह का दायरा उस सीमा को परिभाषित करता है जिस तक समूह किसी डोमेन या फ़ॉरेस्ट के भीतर लागू होता है। तीन अलग-अलग क्षेत्र हैं: सार्वभौमिक, वैश्विक और डोमेन स्थानीय।
· स्थानीय डोमेन (स्थानीय एम्बेडेड)- डोमेन-स्थानीय समूहों के सदस्यों में Windows Server 2003, Windows 2000, या Windows NT डोमेन से अन्य समूह और खाते शामिल हो सकते हैं, और उन्हें केवल डोमेन के भीतर ही अनुमति दी जा सकती है।
@ डोमेन स्थानीय समूहों का उपयोग उसी डोमेन के भीतर संसाधनों तक पहुंच को नियंत्रित करने के लिए किया जाना चाहिए।
· वैश्विक- विश्व स्तर पर दायरे वाले समूहों के सदस्य केवल उस डोमेन से अन्य समूहों और खातों को शामिल कर सकते हैं जिसमें समूह को परिभाषित किया गया है, और उन्हें फ़ॉरेस्ट में किसी भी डोमेन में अनुमति दी जा सकती है।
@ विश्व स्तर पर स्कोप वाले समूहों को उन निर्देशिका वस्तुओं के प्रबंधन के लिए अनुशंसित किया जाता है जिन्हें दैनिक रखरखाव की आवश्यकता होती है। इनमें, उदाहरण के लिए, उपयोगकर्ता और कंप्यूटर खाते शामिल हैं। क्योंकि विश्व स्तर पर दायरे वाले समूह अपने डोमेन के बाहर प्रतिकृति नहीं बनाते हैं, ऐसे समूहों में शामिल खातों को वैश्विक कैटलॉग में प्रतिकृति से जुड़े अतिरिक्त ट्रैफ़िक के बिना बार-बार बदला जा सकता है।
· सार्वभौमिक- सार्वभौमिक रूप से दायरे वाले समूहों के सदस्य डोमेन ट्री या फ़ॉरेस्ट में किसी भी डोमेन से अन्य समूहों और खातों को शामिल कर सकते हैं, और उन्हें डोमेन ट्री या फ़ॉरेस्ट में किसी भी डोमेन में अनुमतियाँ दी जा सकती हैं।
@ डोमेन का विस्तार करने वाले समूहों के लिए एक सार्वभौमिक दायरा निर्दिष्ट करें। ऐसा करने के लिए, वैश्विक दायरे वाले समूहों में खाते जोड़ें, और फिर उन समूहों को सार्वभौमिक दायरे वाले समूहों में रखें। इस दृष्टिकोण के साथ, विश्व स्तर पर दायरे वाले समूहों में सदस्यता बदलने से सार्वभौमिक दायरे वाले समूहों पर कोई प्रभाव नहीं पड़ता है।
समूह प्रकार यह निर्धारित करता है कि समूह का उपयोग संसाधनों को अनुमतियाँ प्रदान करने के लिए किया जा सकता है या केवल ईमेल वितरण सूचियों के लिए।
सुरक्षा समूह- नेटवर्क संसाधनों तक पहुंच का प्रभावी नियंत्रण प्रदान करें। सुरक्षा समूहों का उपयोग करने से आप निम्नलिखित कार्य कर सकते हैं:
· सक्रिय निर्देशिका में एक सुरक्षा समूह को उपयोगकर्ता अधिकार निर्दिष्ट करें. सुरक्षा समूहों के लिए निर्धारित उपयोगकर्ता अधिकार यह निर्धारित करते हैं कि उस समूह का कोई सदस्य डोमेन (या फ़ॉरेस्ट) के दायरे में क्या कर सकता है। प्रशासकों को डोमेन में प्रशासनिक उपयोगकर्ताओं की भूमिका को परिभाषित करने में मदद करने के लिए सक्रिय निर्देशिका स्थापना के दौरान सुरक्षा समूहों के लिए उपयोगकर्ता अधिकार स्वचालित रूप से सेट किए जाते हैं। उदाहरण के लिए, सक्रिय निर्देशिका में बैकअप ऑपरेटर्स समूह में जोड़ा गया उपयोगकर्ता डोमेन में किसी भी डोमेन नियंत्रक पर फ़ाइलों और निर्देशिकाओं का बैकअप लेने और पुनर्स्थापित करने की क्षमता प्राप्त करता है। आप विशिष्ट कार्यों को सौंपने के लिए समूह नीति का उपयोग करके किसी सुरक्षा समूह को उपयोगकर्ता अधिकार निर्दिष्ट कर सकते हैं। प्रत्यायोजित कार्य सौंपते समय सावधानी बरतनी चाहिए। सुरक्षा समूह में बहुत अधिक अधिकारों वाला एक अनुभवहीन उपयोगकर्ता संभावित रूप से नेटवर्क को गंभीर नुकसान पहुंचा सकता है।
· सुरक्षा समूहों को संसाधन अनुमतियाँ निर्दिष्ट करें. अनुमतियों को उपयोगकर्ता अधिकारों के साथ भ्रमित नहीं किया जाना चाहिए। साझा संसाधनों का उपयोग करने वाले सुरक्षा समूहों के लिए अनुमतियाँ निर्धारित की जाती हैं। अनुमतियाँ यह निर्धारित करती हैं कि किसी दिए गए संसाधन और पहुंच के स्तर, जैसे पूर्ण नियंत्रण, तक कौन पहुंच सकता है। डोमेन ऑब्जेक्ट पर सेट की गई कुछ अनुमतियाँ स्वचालित रूप से डिफ़ॉल्ट समूहों, जैसे खाता ऑपरेटर या डोमेन ऑपरेटर के लिए पहुंच के विभिन्न स्तरों पर सेट हो जाती हैं। अनुमतियों के बारे में अधिक जानकारी के लिए, सक्रिय निर्देशिका में पहुंच को नियंत्रित करना देखें।
@सुरक्षा समूह चयनात्मक अभिगम नियंत्रण तालिकाओं में सूचीबद्ध हैं, जो संसाधनों और वस्तुओं पर अनुमतियों को परिभाषित करते हैं। प्रशासकों को व्यक्तिगत उपयोगकर्ताओं के बजाय सुरक्षा समूहों को संसाधनों (फ़ाइल शेयर, प्रिंटर, आदि) की अनुमतियाँ सौंपनी चाहिए। प्रत्येक व्यक्तिगत उपयोगकर्ता को अधिकार सौंपने के बजाय, किसी समूह को अनुमतियाँ एक बार सौंपी जाती हैं। प्रत्येक खाते को, जब किसी समूह में जोड़ा जाता है, तो सक्रिय निर्देशिका में उस समूह को दिए गए अधिकार और संसाधन पर उस समूह के लिए परिभाषित अनुमतियाँ प्राप्त होती हैं।
वितरण समूह- केवल ईमेल अनुप्रयोगों द्वारा उपयोगकर्ताओं के समूहों को ईमेल संदेश भेजने के लिए उपयोग किया जाता है। वितरण समूह सुरक्षा का उपयोग नहीं करते हैं, दूसरे शब्दों में, उन्हें चयनात्मक पहुंच नियंत्रण तालिकाओं (डीएसीएल) में शामिल नहीं किया जा सकता है। यदि कोई समूह साझा संसाधनों तक पहुंच को नियंत्रित करने के लिए बनाया गया है, तो समूह एक सुरक्षा समूह होना चाहिए।
@सुरक्षा समूहों का उपयोग वितरण समूहों की तरह ही ईमेल गंतव्यों के रूप में भी किया जा सकता है। किसी समूह को भेजा गया ईमेल संदेश समूह के सभी सदस्यों को भेजा जाता है।
ऐसे समूह भी हैं जिनकी सदस्यता जानकारी को आप संपादित या देख नहीं सकते हैं। इन समूहों को विशेष पहचान कहा जाता है और परिस्थितियों के आधार पर अलग-अलग समय पर विभिन्न उपयोगकर्ताओं का प्रतिनिधित्व करने के लिए उपयोग किया जाता है।
(गुमनाम लॉगिन, सभी, नेटवर्क, इंटरैक्टिव)
उदाहरण के लिए, हर समूह सभी मौजूदा नेटवर्क उपयोगकर्ताओं का प्रतिनिधित्व करता है, जिसमें अतिथि और अन्य डोमेन के उपयोगकर्ता शामिल हैं। अधिक जानकारी के लिए, विशेष पहचान देखें।
उपयोगकर्ता और कंप्यूटर खाते (और समूह) को सुरक्षा प्रिंसिपल कहा जाता है। सुरक्षा प्रिंसिपल निर्देशिका ऑब्जेक्ट हैं जिन्हें डोमेन संसाधनों तक पहुंचने के लिए स्वचालित रूप से सुरक्षा आईडी (एसआईडी) सौंपी जाती हैं। एक उपयोगकर्ता या कंप्यूटर खाते का उपयोग निम्नलिखित उद्देश्यों के लिए किया जाता है:
· उपयोगकर्ता या कंप्यूटर प्रमाणीकरण.
· डोमेन संसाधनों तक पहुंच की अनुमति देना या अस्वीकार करना।
· अन्य सुरक्षा प्रिंसिपलों का प्रशासन (किसी बाहरी विश्वसनीय डोमेन से सुरक्षा प्रिंसिपल का प्रतिनिधित्व करने के लिए)।
· उपयोगकर्ता खाते या कंप्यूटर का उपयोग करके किए गए कार्यों का ऑडिट।
एक साथ अधिकार सौंपना एक लंबी संख्याउपयोगकर्ताओं के लिए सुरक्षा समूहों का उपयोग किया जाता है। खातों को संगठनात्मक इकाइयों (कंटेनरों) का उपयोग करके समूहीकृत किया जा सकता है।
सुरक्षित उपयोगकर्ता प्रमाणीकरण सुनिश्चित करने के लिए, आपको "का उपयोग करके प्रत्येक नेटवर्क उपयोगकर्ता के लिए अलग खाते बनाना चाहिए" सक्रिय निर्देशिका उपयोगकर्ता और कंप्यूटर ».
प्रत्येक सक्रिय निर्देशिका उपयोगकर्ता खाते में कई सुरक्षा-संबंधी सेटिंग्स होती हैं जो यह निर्धारित करती हैं कि नेटवर्क पर लॉग इन करते समय खाता कैसे प्रमाणित किया जाता है।
AD को प्रशासित करने के लिए PowerShell का उपयोग करने के लिए समर्पित। शुरुआती बिंदु के रूप में, लेखक ने 10 सामान्य AD प्रशासन कार्यों को लेने का निर्णय लिया और देखा कि PowerShell का उपयोग करके उन्हें कैसे सरल बनाया जा सकता है:
- उपयोगकर्ता पासवर्ड रीसेट करें
- खातों को सक्रिय और निष्क्रिय करें
- उपयोगकर्ता खाता अनलॉक करें
- अपने खाते को नष्ट करो
- खाली समूह खोजें
- उपयोगकर्ताओं को किसी समूह में जोड़ें
- समूह के सदस्यों की सूची बनाएं
- पुराने कंप्यूटर खाते ढूंढें
- कंप्यूटर खाता निष्क्रिय करें
- प्रकार के अनुसार कंप्यूटर खोजें
इसके अलावा, लेखक एक ब्लॉग रखता है (निश्चित रूप से पावरशेल का उपयोग करके), हम एक बार देखने की सलाह देते हैं - jdhitsolutions.com/blog। और आप उनके ट्विटर से नवीनतम जानकारी प्राप्त कर सकते हैं twitter.com/jeffhicks.
तो, नीचे लेख "पावरशेल के साथ हल किए गए शीर्ष 10 सक्रिय निर्देशिका कार्य" का अनुवाद है।
Windows PowerShell का उपयोग करके सक्रिय निर्देशिका (AD) को प्रबंधित करना आपके विचार से कहीं अधिक आसान है, और मैं इसे आपको साबित करना चाहता हूँ। आप बस नीचे दी गई स्क्रिप्ट ले सकते हैं और कई एडी प्रबंधन कार्यों को हल करने के लिए उनका उपयोग कर सकते हैं।
आवश्यकताएं
AD को प्रबंधित करने के लिए PowerShell का उपयोग करने के लिए, आपको कई आवश्यकताओं को पूरा करना होगा। मैं उदाहरण के तौर पर विंडोज 7 कंप्यूटर का उपयोग करके यह प्रदर्शित करने जा रहा हूं कि एडी सीएमडीलेट्स कैसे काम करते हैं।
Cmdlet का उपयोग करने के लिए, आपके पास Windows Server 2008 R2 डोमेन नियंत्रक होना चाहिए, या आप लीगेसी DC पर सक्रिय निर्देशिका प्रबंधन गेटवे सेवा डाउनलोड और इंस्टॉल कर सकते हैं। कृपया स्थापना से पहले दस्तावेज़ीकरण को ध्यान से पढ़ें; सीडी रीबूट की आवश्यकता है.
क्लाइंट साइड पर, विंडोज 7 या विंडोज 8 के लिए (आरएसएटी) डाउनलोड और इंस्टॉल करें। विंडोज़ 7 पर, आपको इसे खोलने की आवश्यकता होगी कण्ट्रोल पेनल्सअध्याय कार्यक्रमोंऔर चुनें विण्डोस के सुविधा को बंद या चालू करो. खोजो दूरस्थ सर्वर प्रशासन उपकरणऔर अनुभाग का विस्तार करें भूमिका प्रशासन उपकरण. एडी डीएस और एडी एलडीएस टूल्स के लिए उपयुक्त आइटम का चयन करें, विशेष रूप से ध्यान दें कि आइटम का चयन किया जाना चाहिए Windows PowerShell के लिए सक्रिय निर्देशिका मॉड्यूल, जैसा कि चित्र 1 में दिखाया गया है। (विंडोज 8 में, सभी उपकरण डिफ़ॉल्ट रूप से चयनित होते हैं)। अब हम काम करने के लिए तैयार हैं.
चित्र.1 एडी डीएस और एडी एलडीएस उपकरण सक्षम करना
मैं डोमेन व्यवस्थापक अधिकारों वाले खाते से लॉग इन हूं। मेरे द्वारा दिखाए जाने वाले अधिकांश सीएमडीलेट आपको वैकल्पिक क्रेडेंशियल निर्दिष्ट करने की अनुमति देंगे। किसी भी स्थिति में, मैं सहायता पढ़ने की सलाह देता हूं ( मदद लें) और उदाहरण जिन्हें मैं नीचे प्रदर्शित करूंगा।
PowerShell सत्र प्रारंभ करें और मॉड्यूल आयात करें:
PS C:\>आयात-मॉड्यूल ActiveDirectory
आयात एक नया PSDrive बनाता है, लेकिन हम इसका उपयोग नहीं करेंगे। हालाँकि, आप देख सकते हैं कि आयातित मॉड्यूल में कौन से कमांड उपलब्ध हैं।
पीएस सी:\> गेट-कमांड -मॉड्यूल एक्टिवडायरेक्टरी
इन कमांडों की खूबी यह है कि यदि मैं एक एडी ऑब्जेक्ट पर एक कमांड का उपयोग कर सकता हूं, तो इसका उपयोग 10, 100 और यहां तक कि 1000 पर भी किया जा सकता है। आइए देखें कि इनमें से कुछ सीएमडीलेट कैसे काम करते हैं।
कार्य 1: उपयोगकर्ता पासवर्ड रीसेट करें
आइए एक सामान्य कार्य से शुरुआत करें: उपयोगकर्ता का पासवर्ड रीसेट करना। आप इसे cmdlet का उपयोग करके आसानी से और सरलता से कर सकते हैं सेट-ADAccountPassword. मुश्किल हिस्सा यह है कि नया पासवर्ड एक सुरक्षित स्ट्रिंग के रूप में योग्य होना चाहिए: पाठ का एक टुकड़ा जो एन्क्रिप्ट किया गया है और पावरशेल सत्र की अवधि के लिए मेमोरी में संग्रहीत है। सबसे पहले, आइए नए पासवर्ड के साथ एक वेरिएबल बनाएं:
PS C:\> $new=रीड-होस्ट "नया पासवर्ड दर्ज करें" -AsSecureString
फिर, एक नया पासवर्ड दर्ज करें:
अब हम खाता निकाल सकते हैं (का उपयोग करके)। सैमखातानाम– सबसे बढ़िया विकल्प) और एक नया पासवर्ड सेट करें। यहां उपयोगकर्ता जैक फ्रॉस्ट के लिए एक उदाहरण दिया गया है:
PS C:\> सेट-ADAccountPassword jfrost -NewPassword $new
दुर्भाग्य से, इस cmdlet में एक बग है: -होकर गुज़रना, -क्या हो अगर, और -पुष्टि करनाकाम नहीं करता है। यदि आप शॉर्टकट पसंद करते हैं, तो इसे आज़माएँ:
PS C:\> सेट-ADAccountPassword jfrost -NewPassword (ConvertTo-SecureString -AsPlainText -String "P@ssw0rd1z3" -force)
परिणामस्वरूप, मुझे अगली बार लॉग इन करते समय जैक को अपना पासवर्ड बदलने की आवश्यकता होती है, इसलिए मैं इसका उपयोग करके खाते को संशोधित करता हूं सेट ADUser.
PS C:\> सेट-ADUser jfrost -ChangePasswordAtLogon $True
Cmdlet चलाने के परिणाम कंसोल पर नहीं लिखे जाते हैं। यदि ऐसा करने की आवश्यकता है, तो उपयोग करें -सत्य. लेकिन मैं cmdlet का उपयोग करके उपयोगकर्ता नाम पुनर्प्राप्त करके यह पता लगा सकता हूं कि ऑपरेशन सफल था या नहीं Get-ADUserऔर संपत्ति निर्दिष्ट करना पासवर्ड का समय समाप्त हुआ, जैसा कि चित्र 2 में दिखाया गया है।
चावल। 2. पासवर्डएक्सपायर्ड प्रॉपर्टी के साथ गेट-एडीयूसर सीएमडीलेट के परिणाम
निचली पंक्ति: PowerShell का उपयोग करके उपयोगकर्ता का पासवर्ड रीसेट करना बिल्कुल भी मुश्किल नहीं है। मैं मानता हूं कि स्नैप के माध्यम से पासवर्ड रीसेट करना भी आसान है सक्रिय निर्देशिका उपयोगकर्ता और कंप्यूटरशान्ति माइक्रोसॉफ्ट प्रबंधन कंसोल (एमएमसी)।लेकिन यदि आपको किसी कार्य को सौंपने की आवश्यकता है, आप उपर्युक्त स्नैप-इन को तैनात नहीं करना चाहते हैं, या एक बड़ी स्वचालित आईटी प्रक्रिया के हिस्से के रूप में पासवर्ड रीसेट कर रहे हैं, तो पावरशेल का उपयोग करना उचित है।
कार्य 2: खातों को सक्रिय और निष्क्रिय करें
अब अकाउंट को डीएक्टिवेट करते हैं. आइए जैक फ्रॉस्ट के साथ काम करना जारी रखें। यह कोड पैरामीटर का उपयोग करता है -क्या हो अगर, जिसे आप अन्य कॉमाडलेट्स में पा सकते हैं जो मेरे कमांड को बिना चलाए उसका परीक्षण करने के लिए परिवर्तन करते हैं।
PS C:\> अक्षम करें-ADAaccount jfrost -whatif क्या होगा यदि: लक्ष्य "CN=जैक फ्रॉस्ट, OU=कर्मचारी, OU=परीक्षण, DC=GLOBOMANTICS,DC=स्थानीय" पर ऑपरेशन "सेट" निष्पादित करना।
आइए अब इसे वास्तव में निष्क्रिय करें:
PS C:\> अक्षम करें-ADAAccount jfrost
और जब खाता सक्रिय करने का समय आएगा, तो कौन सा सीएमडीलेट हमारी मदद करेगा?
पीएस सी:\> सक्षम-एडीएखाता जेफ्रॉस्ट
इन सीएमडीलेट्स का उपयोग पाइपलाइन्ड एक्सप्रेशन में किया जा सकता है, जिससे आप जितने चाहें उतने खातों को सक्रिय या निष्क्रिय कर सकते हैं। उदाहरण के लिए, यह कोड बिक्री विभाग के सभी खातों को निष्क्रिय कर देगा
PS C:\> get-aduser -filter "department -eq "sales"" | अक्षम-adaccount
बेशक, इसके लिए एक फ़िल्टर लिखें Get-ADUserकाफी जटिल है, लेकिन यहीं पर पैरामीटर का उपयोग होता है -क्या हो अगरसीएमडीलेट के साथ अक्षम-ADAखाताबचाव के लिए आता है.
कार्य 3: उपयोगकर्ता खाता अनलॉक करें
ऐसी स्थिति पर विचार करें जहां जैक ने नया पासवर्ड दर्ज करने का प्रयास करते समय अपना खाता लॉक कर दिया। जीयूआई के माध्यम से अपना खाता ढूंढने की कोशिश करने के बजाय, अनलॉकिंग प्रक्रिया एक साधारण कमांड का उपयोग करके की जा सकती है।
पीएस सी:\> अनलॉक-एडीएअकाउंट जेफ्रॉस्ट
Cmdlet पैरामीटर्स का भी समर्थन करता है -क्या हो अगरऔर -पुष्टि करना.
कार्य 4: खाता हटाएँ
इससे कोई फर्क नहीं पड़ता कि आप कितने उपयोगकर्ताओं को हटाते हैं - cmdlet का उपयोग करके ऐसा करना आसान है निकालें-ADUser. मैं जैक फ्रॉस्ट को हटाना नहीं चाहता, लेकिन अगर मैं चाहूं, तो मैं इस तरह के कोड का उपयोग करूंगा:
PS C:\> रिमूव-ADUser jfrost -whatif क्या होगा अगर: टारगेट "CN=जैक फ्रॉस्ट, OU=स्टाफ, OU=टेस्टिंग, DC=GLOBOMANTICS, DC=लोकल" पर ऑपरेशन "रिमूव" करना।
या मैं एकाधिक उपयोगकर्ताओं को दर्ज कर सकता हूं और उन्हें एक साधारण आदेश से हटा सकता हूं:
PS C:\> get-aduser -filter "enabled -eq "false"" -propertyWhenChanged -SearchBase "OU=कर्मचारी, DC=ग्लोबोमैंटिक्स,DC=स्थानीय" | कहां ($_.WhenChanged -le (Get-Date).AddDays(-180)) | रिमूव-एयूजर-क्या होगा
यह आदेश किसी भी अक्षम कर्मचारी OU खाते को ढूंढेगा और हटा देगा जिन्हें 180 दिनों या उससे अधिक समय से संशोधित नहीं किया गया है।
कार्य 5: खाली समूह ढूँढना
समूहों का प्रबंधन करना एक अंतहीन और धन्यवाद रहित कार्य है। खाली समूहों को खोजने के कई तरीके हैं। आपके संगठन के आधार पर, कुछ अभिव्यक्तियाँ दूसरों की तुलना में बेहतर काम कर सकती हैं। नीचे दिया गया कोड डोमेन में सभी समूहों को ढूंढेगा, जिनमें अंतर्निहित समूह भी शामिल हैं।
PS C:\> get-adgroup -filter * | जहां (-नहीं ($_ | get-adgroupmember)) | नाम चुनें
यदि आपके पास सैकड़ों सदस्यों वाले समूह हैं, तो इस आदेश का उपयोग करने में लंबा समय लग सकता है; प्राप्त करें-ADGroupMemberप्रत्येक समूह की जाँच करता है। यदि आप इसे सीमित या अनुकूलित कर सकें तो बेहतर होगा।
यहाँ एक और दृष्टिकोण है:
PS C:\> get-adgroup -filter "members -notlike "*" -AND GroupScope -eq "Universal"" -SearchBase "OU=Groups,OU=Employees,DC=Globomantics, DC=local" | नाम, समूह चुनें*
यह आदेश उन सभी यूनिवर्सल समूहों को ढूंढता है जिनके पास OU समूहों में सदस्यता नहीं है और कुछ गुण प्रदर्शित करता है। परिणाम चित्र 3 में दिखाया गया है। 
चावल। 3. सार्वभौमिक समूह खोजें और फ़िल्टर करें
कार्य 6: उपयोगकर्ताओं को समूह में जोड़ना
आइए जैक फ्रॉस्ट को शिकागो आईटी समूह में जोड़ें:
पीएस सी:\> ऐड-एडग्रुपमेंबर "शिकागो आईटी" -सदस्य जेफ्रॉस्ट
हाँ, यह इतना आसान है. आप सैकड़ों उपयोगकर्ताओं को आसानी से समूहों में जोड़ सकते हैं, हालाँकि मुझे यह थोड़ा अजीब लगता है:
पीएस सी:\> ऐड-एडीग्रुपमेम्बर "शिकागो एम्प्लॉइज" -सदस्य (गेट-एड्यूसर -फिल्टर "सिटी -ईक्यू "शिकागो")
मैंने उन सभी उपयोगकर्ताओं को खोजने के लिए कोष्ठक में पाइपलाइनयुक्त अभिव्यक्ति का उपयोग किया जिनके पास शिकागो में सिटी संपत्ति है। कोष्ठक में कोड निष्पादित किया जाता है और परिणामी ऑब्जेक्ट को -सदस्य पैरामीटर में पास कर दिया जाता है। प्रत्येक उपयोगकर्ता ऑब्जेक्ट को शिकागो कर्मचारी समूह में जोड़ा जाता है। इससे कोई फर्क नहीं पड़ता कि हम 5 या 5000 उपयोगकर्ताओं के साथ काम कर रहे हैं, समूह सदस्यता अपडेट करने में बस कुछ सेकंड लगते हैं। इस अभिव्यक्ति को प्रयोग करके भी लिखा जा सकता है प्रत्येक वस्तु के लिएइससे अधिक सुविधाजनक क्या हो सकता है:
PS C:\> Get-ADUser -filter "city -eq "Chicago"" | foreach (जोड़ें-ADGroupMember "शिकागो कर्मचारी" -सदस्य $_)
कार्य 7: समूह के सदस्यों की सूची बनाएं
आप शायद जानना चाहेंगे कि किसी विशेष समूह में कौन है। उदाहरण के लिए, आपको समय-समय पर पता लगाना चाहिए कि डोमेन एडमिन समूह का सदस्य कौन है:
PS C:\> Get-ADGroupMember "डोमेन एडमिन"
चित्र 4 परिणाम दिखाता है।
चावल। 4. डोमेन एडमिन समूह के सदस्य
Cmdlet प्रत्येक समूह सदस्य के लिए AD ऑब्जेक्ट प्रदर्शित करता है। नेस्टेड समूहों के साथ क्या करें? मेरा समूह शिकागो ऑल यूज़र्स नेस्टेड समूहों का एक संग्रह है। सभी खातों की सूची प्राप्त करने के लिए, मुझे बस पैरामीटर का उपयोग करना होगा -पुनरावर्ती.
PS C:\> Get-ADGroupMember "शिकागो सभी उपयोगकर्ता" -पुनरावर्ती | विशिष्ट नाम चुनें
यदि आप दूसरे रास्ते पर जाना चाहते हैं - पता लगाएं कि उपयोगकर्ता किस समूह में है - उपयोगकर्ता संपत्ति का उपयोग करें के सदस्य:
PS C:\> get-aduser jfrost -property memberof | चयन करें -ExpandProperty memberOf CN=NewTest, OU=समूह, OU=कर्मचारी, DC=GLOBOMANTICS, DC=स्थानीय CN=शिकागो परीक्षण, OU=समूह, OU=कर्मचारी, DC=GLOBOMANTICS, DC=स्थानीय CN=शिकागो IT, OU= समूह, OU = कर्मचारी, DC = GLOBOMANTICS, DC = स्थानीय CN = शिकागो बिक्री उपयोगकर्ता, OU = समूह, OU = कर्मचारी, DC = GLOBOMANTICS, DC = स्थानीय
मैंने पैरामीटर का उपयोग किया -संपत्ति का विस्तार करेंनाम प्रदर्शित करने के लिए के सदस्यपंक्तियों की तरह.
कार्य 8: पुराने कंप्यूटर खाते ढूँढ़ें
मुझसे यह प्रश्न अक्सर पूछा जाता है: "मैं पुराने कंप्यूटर खातों का पता कैसे लगाऊं?" और मैं हमेशा उत्तर देता हूं: "आपके लिए क्या पुराना है?" जब किसी कंप्यूटर खाते (या उपयोगकर्ता खाते, इससे कोई फर्क नहीं पड़ता) को अप्रचलित माना जाता है और अब इसका उपयोग नहीं किया जा सकता है, तो कंपनियों की अलग-अलग परिभाषाएँ होती हैं। मेरे लिए, मैं उन खातों पर ध्यान देता हूं जिनके पासवर्ड एक निश्चित अवधि के लिए नहीं बदले गए हैं। मेरे लिए यह अवधि 90 दिन है - यदि इस अवधि के दौरान कंप्यूटर ने डोमेन के साथ पासवर्ड नहीं बदला है, तो सबसे अधिक संभावना है कि यह ऑफ़लाइन और पुराना है। Cmdlet का उपयोग किया गया प्राप्त करें-एडीकंप्यूटर:
PS C:\> get-adcomputer -filter "Passwordlastset -lt "1/1/2012"" -properties *| नाम, पासवर्ड लास्टसेट चुनें
फ़िल्टर हार्ड वैल्यू के साथ बढ़िया काम करता है, लेकिन यह कोड उन सभी कंप्यूटर खातों के लिए अपडेट हो जाएगा जिन्होंने 1 जनवरी 2012 से अपने पासवर्ड नहीं बदले हैं। परिणाम चित्र 5 में दिखाए गए हैं।
चावल। 5. पुराने कंप्यूटर खाते ढूंढें
दूसरा विकल्प: मान लें कि आप कम से कम Windows 2003 डोमेन कार्यात्मक स्तर पर हैं। संपत्ति के आधार पर फ़िल्टर करें लास्टलॉगऑनटाइमस्टैम्प. यह मान 1 जनवरी 1601 से 100 नैनोसेकंड अंतरालों की संख्या है, और GMT में संग्रहीत है, इसलिए इस मान के साथ काम करना थोड़ा मुश्किल है:
PS C:\> get-adcomputer -filter "LastlogonTimestamp -gt 0" -properties * | नाम चुनें, लास्टलॉगऑनटाइमस्टैंप, @(नाम='लास्टलॉगऑन';अभिव्यक्ति=(::FromFileTime ($_.Lastlogontimestamp))), पासवर्डलास्टसेट | LastLogonTimeStamp को सॉर्ट करें
चावल। 6. LastLogonTimeStamp मान को एक परिचित प्रारूप में बदलें
फ़िल्टर बनाने के लिए, मुझे दिनांक, उदाहरण के लिए 1 जनवरी 2012, को सही प्रारूप में परिवर्तित करना होगा। फ़ाइलटाइम में रूपांतरण किया जाता है:
PS C:\> $cutoff=(प्राप्त-दिनांक "1/1/2012").ToFileTime() PS C:\> $cutoff 129698676000000000
अब मैं इस वेरिएबल का उपयोग फ़िल्टर में कर सकता हूँ प्राप्त करें-एडीकंप्यूटर:
PS C:\> Get-ADComputer -Filter "(lastlogontimestamp -lt $cutoff) -or (lastlogontimestamp -notlike "*")" -property * | नाम, लास्टलॉगऑनटाइमस्टैम्प, पासवर्डलास्टसेट चुनें
उपरोक्त कोड उन्हीं कंप्यूटरों को ढूंढता है जो चित्र 5 में दिखाए गए थे।
कार्य 9: कंप्यूटर खाता निष्क्रिय करें
शायद जब आपको निष्क्रिय या पुराने खाते मिलेंगे, तो आप उन्हें निष्क्रिय करना चाहेंगे। ऐसा करना काफी आसान है. हम उसी cmdlet का उपयोग करेंगे जिसका उपयोग हम उपयोगकर्ता खातों के साथ काम करने के लिए करते थे। आप इसका उपयोग करके इसे स्पष्ट कर सकते हैं सैमखातानामखाता।
पीएस सी:\> डिसेबल-एडीएकाउंट -पहचान "ची-एसआरवी01$" -क्या होगा यदि: लक्ष्य "सीएन=सीएचआई-एसआरवी01, सीएन=कंप्यूटर,डीसी=ग्लोबोमैंटिक्स,डीसी=स्थानीय" पर ऑपरेशन "सेट" करना।
या पाइपलाइन अभिव्यक्ति का उपयोग करना:
PS C:\> गेट-एडकंप्यूटर "chi-srv01" | अक्षम-ADAखाता
मैं अपने कोड का उपयोग पुराने खातों को ढूंढने और उन सभी को निष्क्रिय करने के लिए भी कर सकता हूं:
PS C:\> get-adcomputer -filter "Passwordlastset -lt "1/1/2012"" -properties *| अक्षम-ADAखाता
कार्य 10: प्रकार के अनुसार कंप्यूटर खोजें
मुझसे अक्सर यह भी पूछा जाता है कि कंप्यूटर खातों को सर्वर या वर्कस्टेशन जैसे प्रकार के आधार पर कैसे खोजा जाए। इसके लिए आपकी ओर से कुछ रचनात्मकता की आवश्यकता है। AD में ऐसा कुछ भी नहीं है जो सर्वर को क्लाइंट से अलग करता हो, सिवाय शायद OS के। यदि आपका कंप्यूटर Windows Server 2008 चला रहा है, तो आपको कुछ अतिरिक्त कदम उठाने होंगे।
सबसे पहले, आपको ऑपरेटिंग सिस्टम की एक सूची प्राप्त करने की आवश्यकता है, और फिर हम उपलब्ध ऑपरेटिंग सिस्टम के आधार पर खातों को फ़िल्टर करते हैं।
पीएस सी:\> गेट-एडीकंप्यूटर -फ़िल्टर * -प्रॉपर्टीज़ ऑपरेटिंग सिस्टम | ऑपरेटिंग सिस्टम -अद्वितीय | का चयन करें सॉर्ट ऑपरेटिंग सिस्टम
परिणाम चित्र 7 में दिखाए गए हैं।
चावल। 7. ओएस सूची पुनः प्राप्त करना
मैं सर्वर ओएस चलाने वाले सभी कंप्यूटर ढूंढना चाहता हूं:
PS C:\> Get-ADComputer -फ़िल्टर "ऑपरेटिंग सिस्टम जैसा "*सर्वर*"" -प्रॉपर्टीज़ ऑपरेटिंगसिस्टम,ऑपरेटिंगसिस्टम सर्विसपैक | नाम,ऑपरेशन* चुनें | प्रारूप-सूची
परिणाम चित्र 8 में दिखाए गए हैं।
अन्य एडी गेट सीएमडीलेट्स की तरह, आप खोज मापदंडों को अनुकूलित कर सकते हैं और यदि आवश्यक हो तो अनुरोध को विशिष्ट ओयू तक सीमित कर सकते हैं। मेरे द्वारा दिखाए गए सभी भावों को बड़े PowerShell अभिव्यक्तियों में एकीकृत किया जा सकता है। उदाहरण के लिए, आप सॉर्ट कर सकते हैं, समूह बना सकते हैं, फ़िल्टर लागू कर सकते हैं, CSV में निर्यात कर सकते हैं, या HTML रिपोर्ट बना और ईमेल कर सकते हैं - यह सब PowerShell से! इस स्थिति में, आपको एक भी स्क्रिप्ट लिखने की ज़रूरत नहीं होगी।
यहां एक बोनस है: एक उपयोगकर्ता पासवर्ड-आयु रिपोर्ट, एक HTML फ़ाइल में सहेजी गई:
PS C:\> Get-ADUser -Filter "Enabled -eq "True" -AND पासवर्डNeverExpires -eq "False"" -Properties पासवर्डLastSet,PasswordNeverExpires,PasswordExpired | विशिष्ट नाम, नाम, पास*,@(नाम='पासवर्डएज'; अभिव्यक्ति=((गेट-डेट)-$_.पासवर्डलास्टसेट)) चुनें |सॉर्ट पासवर्डएज -अवरोही | ConvertTo-Html -शीर्षक " पासवर्ड आयु रिपोर्ट" | Out-File c:\Work\pwage.htm !}
हालाँकि यह अभिव्यक्ति थोड़ी डरावनी लग सकती है, लेकिन PowerShell के न्यूनतम ज्ञान के साथ इसका उपयोग करना आसान है। और केवल एक आखिरी सलाह बची है: नामक कस्टम प्रॉपर्टी को कैसे परिभाषित किया जाए पासवर्डआयु. मान आज और पासवर्डलास्टसेट संपत्ति के बीच के अंतर को दर्शाता है। फिर मैं अपनी नई संपत्ति के लिए परिणामों को क्रमबद्ध करता हूं। चित्र 9 मेरे छोटे परीक्षण डोमेन के लिए आउटपुट दिखाता है।
अद्यतन:
पोस्ट में पोर्टल पर लेख का अनुवाद शामिल है
जिन लोगों को अगले सप्ताह से शुरू होने वाले 200 नए कर्मचारियों की सूची वाली एक्सेल स्प्रेडशीट जैसी चीजों से निपटना पड़ा है, या उपयोगकर्ता खाते गलत तरीके से कॉन्फ़िगर किए गए हैं क्योंकि हेल्प डेस्क में किसी ने कुछ ऐसा क्लिक किया है जिसे उन्हें क्लिक नहीं करना चाहिए था, और साथ ही, जो लोग आसान तरीके में रुचि रखते हैं सक्रिय निर्देशिका® को प्रबंधित करने के लिए, हर बार उपयोगकर्ता और कंप्यूटर फ़ोल्डर खोलने के अलावा, निःशुल्क प्रशासन टूल में से किसी एक का उपयोग कर सकते हैं। उनमें से कुछ ठीक से निर्मित हैं ऑपरेटिंग सिस्टमविंडोज़, कुछ रिसोर्स किट या विंडोज़ सपोर्ट टूलकिट में प्रदान किए जाते हैं, और कुछ निःशुल्क तृतीय-पक्ष उत्पाद हैं। ये सुविधाजनक उत्पाद क्या हैं और मैं इन्हें कहां से प्राप्त कर सकता हूं? चलो पता करते हैं।
आइए Windows Server 2003 में अंतर्निहित कमांड लाइन टूल से शुरुआत करें जो आपको सक्रिय निर्देशिका में ऑब्जेक्ट बनाने, हटाने, संशोधित करने और खोजने की सुविधा देता है।
CSVDE उपकरण आपको मूल CSV फ़ाइल का उपयोग करके सक्रिय निर्देशिका में नई ऑब्जेक्ट आयात करने की अनुमति देता है; यह मौजूदा ऑब्जेक्ट को CSV फ़ाइल में निर्यात करने की क्षमता भी प्रदान करता है। CSVDE का उपयोग मौजूदा वस्तुओं को संशोधित करने के लिए नहीं किया जा सकता है; आयात मोड में इस टूल का उपयोग करते समय, आप केवल नई ऑब्जेक्ट बना सकते हैं।
CSVDE का उपयोग करके मौजूदा वस्तुओं की सूची निर्यात करना काफी सरल है। निम्नलिखित दिखाता है कि सक्रिय निर्देशिका ऑब्जेक्ट को ad.csv नामक फ़ाइल में कैसे निर्यात किया जाए:
सीएसवीडीई-एफ विज्ञापन.सीएसवी
-f विकल्प निर्दिष्ट करता है कि इसके बाद आउटपुट फ़ाइल का नाम आता है। लेकिन ध्यान रखें कि, आपके परिवेश के आधार पर, इस मूल सिंटैक्स के परिणामस्वरूप एक विशाल और असुविधाजनक फ़ाइल आउटपुट हो सकता है। टूल को केवल विशिष्ट संगठनात्मक इकाई (OU) के भीतर ऑब्जेक्ट निर्यात करने तक सीमित करने के लिए, कमांड को निम्नानुसार संशोधित किया जा सकता है:
csvde –f UsersOU.csv –d ou=Users,dc=contoso,dc=com
आइए आगे मान लें कि मुझे केवल उपयोगकर्ता ऑब्जेक्ट को अपनी CSV फ़ाइल में निर्यात करने की आवश्यकता है। इस मामले में, आप इस खोज के लिए एलडीएपी प्रोटोकॉल फ़िल्टर निर्दिष्ट करने के लिए -r विकल्प जोड़ सकते हैं, जो निर्यात की गई विशेषताओं की संख्या को सीमित कर देगा (ध्यान दें कि निम्नलिखित सभी एक पंक्ति में हैं):
csvde –f UsersOnly.csv –d ou=Users,dc=contoso,dc=com –r
"(&(वस्तुश्रेणी=व्यक्ति)(वस्तुवर्ग=उपयोगकर्ता))" -एल
डीएन, ऑब्जेक्ट क्लास, विवरण
-i विकल्प आपको CSV स्रोत फ़ाइल से ऑब्जेक्ट को सक्रिय निर्देशिका में आयात करने की अनुमति देता है। हालाँकि, CSVDE के साथ उपयोगकर्ता ऑब्जेक्ट बनाने में एक महत्वपूर्ण कमी है: यह उपयोगकर्ता पासवर्ड सेट नहीं कर सकता है, इसलिए मैं उपयोगकर्ता ऑब्जेक्ट बनाने के लिए CSVDE का उपयोग नहीं करूँगा।
सक्रिय निर्देशिका एलडीआईएफडीई नामक दूसरा अंतर्निहित उपयोगकर्ता बैच ऑपरेशन प्रदान करती है, जो सीएसवीडीई की तुलना में अधिक शक्तिशाली और लचीला है। नई ऑब्जेक्ट बनाने के अलावा, एलडीआईएफडीई आपको मौजूदा ऑब्जेक्ट को संशोधित करने और हटाने और यहां तक कि सक्रिय निर्देशिका स्कीमा का विस्तार करने की भी अनुमति देता है। एलडीआईएफडीई के लचीलेपन के लिए समझौता यह है कि .ldf एक्सटेंशन वाली आवश्यक इनपुट फ़ाइल (एलडीआईएफ फ़ाइल) एक साधारण सीएसवी फ़ाइल की तुलना में अधिक जटिल प्रारूप का उपयोग करती है। (थोड़े से काम से, आप उपयोगकर्ता पासवर्ड भी कॉन्फ़िगर कर सकते हैं, लेकिन उस पर बाद में और अधिक जानकारी दी जाएगी।)
आइए एक सरल उदाहरण से शुरू करें - एक व्यावसायिक इकाई में उपयोगकर्ताओं को एलडीएफ फ़ाइल में निर्यात करना (ध्यान दें कि निम्नलिखित सभी एक पंक्ति में हैं):
ldifde -f उपयोगकर्ता.ldf -s DC1.contoso.com -d "ou=UsersOU,dc=contoso,dc=com"
–r "(&(वस्तुश्रेणी=व्यक्ति)(वस्तुवर्ग=उपयोगकर्ता))"
अधिकांश कमांड लाइन टूल की तरह, एलडीआईएफडीई /? चलाकर एलडीआईएफडीई विकल्पों का पूरा विवरण प्राप्त किया जा सकता है। . वे दिखाए गए हैं जिनका मैंने यहां उपयोग किया है। (ध्यान दें कि CSVDE और LDIFDE कमांड के पैरामीटर समान हैं।)
एलडीआईएफडीई की वास्तविक शक्ति वस्तुओं को बनाने और प्रबंधित करने से आती है। हालाँकि, ऐसा करने से पहले, आपको एक इनपुट फ़ाइल बनानी होगी। निम्नलिखित कोड दो नए उपयोगकर्ता खाते बनाता है - afuller और rking; एक इनपुट फ़ाइल बनाने के लिए, नोटपैड (या किसी अन्य प्लेनटेक्स्ट संपादक) में टेक्स्ट दर्ज करें और इसे NewUsers.ldf के रूप में सहेजें:
dn: CN=पूरा, OU=उपयोगकर्ताOU, DC=contoso, DC=com
परिवर्तन प्रकार: जोड़ें
सीएन: फुलर
ऑब्जेक्टक्लास: उपयोगकर्ता
samAccountName: पूर्ण dn: CN=rking, OU=UsersOU, DC=contoso, DC=com
परिवर्तन प्रकार: जोड़ें
सीएन:rking
ऑब्जेक्टक्लास: उपयोगकर्ता
samAccountName: rking
एक बार फ़ाइल निर्माण पूरा हो जाने पर, निम्न आदेश चलाएँ:
ldifde –i –f NewUsers.ldf –s DC1.contoso.com
यहां एकमात्र नया विकल्प -i है, जो, जैसा कि आप अनुमान लगा सकते हैं, निर्दिष्ट करता है कि ऑपरेशन निर्यात के बजाय आयात कर रहा है।
मौजूदा ऑब्जेक्ट को संशोधित या हटाते समय, LDIFDE कमांड का सिंटैक्स नहीं बदलता है; इसके बजाय, एलडीएफ फ़ाइल की सामग्री को संशोधित किया गया है। उपयोगकर्ता खाता विवरण फ़ील्ड को संशोधित करने के लिए, ModifyUsers.ldf नामक एक टेक्स्ट फ़ाइल बनाएं, जैसा कि चित्र में दिखाया गया है। 2.
चावल। 2 एलडीएफ फ़ाइल संशोधित उपयोगकर्ता
परिवर्तन पहले की तरह समान LDIFDE कमांड सिंटैक्स चलाकर, -f विकल्प के बाद नई LDF फ़ाइल निर्दिष्ट करके आयात किए जाते हैं। वस्तुओं को हटाने के लिए एलडीएफ प्रारूप और भी सरल है; जिन उपयोगकर्ताओं के साथ आपने काम किया है उन्हें हटाने के लिए, DeleteUsers.ldf नामक एक फ़ाइल बनाएं और निम्नलिखित दर्ज करें:
dn: CN=फुलर OU=उपयोगकर्ताOU, DC=contoso, DC=com
परिवर्तन प्रकार: dn हटाएं: CN=rking, OU=UsersOU, DC=contoso, DC=com
परिवर्तन प्रकार: हटाएँ
ध्यान दें कि, CSVDE के विपरीत, LDIFDE उपयोगकर्ता पासवर्ड कॉन्फ़िगर कर सकता है। हालाँकि, इससे पहले कि आप उपयोगकर्ता खाते पर यूनिकोडपीडब्ल्यूडी विशेषता को कॉन्फ़िगर कर सकें, आपको अपने डोमेन नियंत्रकों पर एसएसएल/टीएलएस एन्क्रिप्शन को कॉन्फ़िगर करना होगा। इसके अलावा, एलडीआईएफडीई केवल उपयोगकर्ता खाते ही नहीं, बल्कि किसी भी सक्रिय निर्देशिका ऑब्जेक्ट को बना और संशोधित कर सकता है। उदाहरण के लिए, निम्नलिखित LDF फ़ाइल contoso.com फ़ॉरेस्ट स्कीमा में EmployeeID-example नामक एक नया स्कीमा एक्सटेंशन बनाएगी:
dn: cn=कर्मचारीआईडी-उदाहरण,cn=स्कीमा,
cn=कॉन्फ़िगरेशन,dc=contoso,dc=com
परिवर्तन प्रकार: जोड़ें
व्यवस्थापकप्रदर्शननाम: कर्मचारीआईडी-उदाहरण
विशेषताआईडी: 1.2.3.4.5.6.6.6.7
विशेषता सिंटेक्स: 2.5.5.6
सीएन: कर्मचारी-आईडी
उदाहरण प्रकार: 4
isSingleValued: सत्य
एलडीएपीडिस्प्लेनाम: कर्मचारीआईडी-उदाहरण
क्योंकि LDIFDE फ़ाइलें उद्योग मानक LDAP फ़ाइल स्वरूप का उपयोग करती हैं, तृतीय-पक्ष एप्लिकेशन जिन्हें सक्रिय निर्देशिका स्कीमा को संशोधित करने की आवश्यकता होती है, वे अक्सर LDF फ़ाइलें प्रदान करते हैं जिनका उपयोग उत्पादन वातावरण में लागू करने से पहले परिवर्तनों की समीक्षा और अनुमोदन के लिए किया जा सकता है।
बैच आयात और निर्यात संचालन के लिए टूल के अलावा, विंडोज सर्वर 2003 में अंतर्निहित टूल शामिल हैं जो आपको विभिन्न सक्रिय निर्देशिका ऑब्जेक्ट बनाने, हटाने और संशोधित करने की अनुमति देते हैं, साथ ही क्वेरी ऑब्जेक्ट जो कुछ मानदंडों को पूरा करते हैं। (ध्यान दें कि ये उपकरण, dsadd, dsrm, dsget, और dsquery, Windows 2000 पर सक्रिय निर्देशिका द्वारा समर्थित नहीं हैं।)
Dsadd का उपयोग किसी विशिष्ट निर्देशिका विभाजन में सक्रिय निर्देशिका ऑब्जेक्ट क्लास का उदाहरण बनाने के लिए किया जाता है। इन वर्गों में उपयोगकर्ता, कंप्यूटर, संपर्क, समूह, व्यावसायिक इकाइयाँ और कोटा शामिल हैं। ध्यान दें कि बनाए गए प्रत्येक प्रकार के ऑब्जेक्ट के लिए पैरामीटर के एक विशेष सेट की आवश्यकता होती है जो उस प्रकार के लिए उपलब्ध विशेषताओं के अनुरूप हो। यह कमांड विभिन्न विशेषताओं के साथ एक एकल उपयोगकर्ता ऑब्जेक्ट बनाता है (ध्यान दें कि निम्नलिखित सभी एक पंक्ति में हैं):
Dsadd उपयोगकर्ता cn=afuller,ou=IT,dc=contoso,dc=com
-सैमआईडी अफुलर -एफएन एंड्रयू -एलएन फुलर -पीडब्ल्यूडी *
-memberOf cn=IT,ou=समूह,dc=contoso,dc=com "cn=सहायता डेस्क,ou=समूह,
dc=contoso,dc=com"
-desc "विपणन निदेशक"
-memberOf पैरामीटर के लिए प्रत्येक समूह के पूर्णतः योग्य विशिष्ट नाम (DN) की आवश्यकता होती है जिसमें उपयोगकर्ता को जोड़ा जाना चाहिए; यदि आपको उपयोगकर्ता को कई समूहों में जोड़ने की आवश्यकता है, तो आप रिक्त स्थान से अलग किए गए कई DN जोड़ सकते हैं। यदि कोई तत्व है, तो कहें हेल्प डेस्क समूह के डीएन में एक स्थान होता है, इस तत्व को दोहरे उद्धरण चिह्नों में रखा जाना चाहिए। यदि किसी तत्व, मान लीजिए IT\EMEA व्यवसाय इकाई में बैकस्लैश है, तो आपको बैकस्लैश दो बार दर्ज करना होगा: IT\EMEA। (ये आवश्यकताएं सभी डीएस* टूल पर लागू होती हैं।) -pwd * विकल्प का उपयोग करने से आपको कमांड लाइन पर उपयोगकर्ता के लिए एक पासवर्ड दर्ज करने के लिए कहा जाएगा। पासवर्ड को कमांड के भीतर ही निर्दिष्ट किया जा सकता है (-pwd P@ssword1), लेकिन फिर यह स्क्रीन पर या किसी टेक्स्ट या स्क्रिप्ट फ़ाइल में स्पष्ट टेक्स्ट में प्रदर्शित होगा जिसमें कमांड डाला गया है।
इसी प्रकार, आप निम्नलिखित दो आदेशों का उपयोग करके एक समूह ऑब्जेक्ट और एक व्यावसायिक इकाई बना सकते हैं:
dsadd कंप्यूटर cn=WKS1,ou=वर्कस्टेशन,dc=contoso,dc=com
dsadd ou "ou=प्रशिक्षण OU,dc=contoso,dc=com"
Dsmod का उपयोग मौजूदा ऑब्जेक्ट को संशोधित करने के लिए किया जाता है, और संशोधित किए जा रहे ऑब्जेक्ट के प्रकार के आधार पर विभिन्न सबमेनू और सिंटैक्स का उपयोग करके, dsadd के समान ही काम किया जाता है। निम्नलिखित dsmod कमांड उपयोगकर्ता का पासवर्ड बदलता है और उनके खाते को संशोधित करता है ताकि अगली बार लॉग ऑन करने पर उन्हें अपना पासवर्ड बदलने के लिए संकेत दिया जा सके:
dsmod उपयोगकर्ता "cn=afuller,ou=IT,dc=contoso,dc=com" -pwd P@ssw0rd1
-mustchpwd हाँ
यह देखने के लिए कि ये विकल्प कितने समान हैं, कॉन्फ़िगर की गई समान विशेषताओं वाला उपयोगकर्ता बनाने के लिए उपयोग किए गए dsadd सिंटैक्स पर एक नज़र डालें:
उपयोगकर्ता को जोड़ें "cn=afuller,ou=IT,dc=contoso,dc=com" -pwd P@ssw0rd1
-mustchpwd हाँ
जाहिर है, यदि आप dsadd का उपयोग करके ऑब्जेक्ट बनाने के मापदंडों को जानते हैं, तो आप उनका उपयोग dsmod का उपयोग करके उपयोगकर्ताओं को बदलने के लिए कर सकते हैं।
dsadd का विपरीत dsrm है; जैसा कि आप कल्पना कर सकते हैं, इस टूल का उपयोग कमांड लाइन से ऑब्जेक्ट को हटाने के लिए किया जाता है। dsrm के लिए मूल सिंटैक्स काफी सरल है: बस dsrm टाइप करें और उसके बाद उस ऑब्जेक्ट का विशिष्ट नाम लिखें जिसे आप हटाना चाहते हैं, कुछ इस तरह:
dsrm cn=WKS1,ou=वर्कस्टेशन,dc=contoso,dc=com
डिफ़ॉल्ट रूप से, dsrm पूछेगा "क्या आप वाकई इस ऑब्जेक्ट को हटाना चाहते हैं?" Y टाइप करें और Enter दबाएँ। इस अनुरोध को -noprompt पैरामीटर का उपयोग करके अक्षम किया जा सकता है, लेकिन, जाहिर है, इस मामले में, यह पुष्टि करने का मौका कि हटाने से पहले ऑब्जेक्ट को सही ढंग से चुना गया था गायब हो जाएगा। कंटेनर ऑब्जेक्ट को हटाते समय दो अतिरिक्त विकल्प उपयोगी हो सकते हैं, यानी, एक संरचनात्मक इकाई जिसमें संभावित रूप से अन्य ऑब्जेक्ट हो सकते हैं। निम्न आदेश ट्रेनिंगओयू संगठनात्मक इकाई और उसमें मौजूद सभी ऑब्जेक्ट को हटा देता है:
और यह ट्रेनिंगओयू में सभी चाइल्ड ऑब्जेक्ट्स को हटा देता है, लेकिन संरचनात्मक इकाई को नहीं छूता है:
dsrm ou=TrainingOU,dc=contoso,dc=com -subtree
-निकालना
आप सक्रिय निर्देशिका में किसी ऑब्जेक्ट को स्थानांतरित करने या उसका नाम बदलने के लिए dsmove टूल का उपयोग कर सकते हैं, लेकिन ध्यान दें कि इसका उपयोग केवल डोमेन के भीतर ऑब्जेक्ट को स्थानांतरित करने के लिए किया जा सकता है। डोमेन या फ़ॉरेस्ट के बीच ऑब्जेक्ट को स्थानांतरित करने के लिए, सक्रिय निर्देशिका माइग्रेशन टूल (ADMT) का उपयोग करें, जो Microsoft से निःशुल्क डाउनलोड है। Dsmove दो मापदंडों पर निर्भर करता है, जिनका उपयोग अलग-अलग या एक साथ किया जा सकता है। यह आदेश स्टीव कॉन उपयोगकर्ता खाते पर अंतिम नाम बदलता है:
dsmove "cn=Conn, स्टीव,ou=IT,dc=contoso,dc=com"
-नया नाम "स्टीव कॉन"
यह आदेश स्टीव खाते को आईटी संगठनात्मक इकाई से प्रशिक्षण संगठनात्मक इकाई में ले जाता है:
dsmove "cn=Conn, स्टीव,ou=IT,dc=contoso,dc=com" -newparent
ou=प्रशिक्षण,dc=contoso,dc=com
दोनों मापदंडों को एक साथ निर्दिष्ट करके एक ऑपरेशन में नाम बदलना और स्थानांतरण किया जा सकता है:
dsmove "cn=Conn, स्टीव,ou=IT,dc=contoso,dc=com" – नया नाम
"स्टीव कॉन" -न्यूपेरेंट कहां=प्रशिक्षण,डीसी=कॉन्टोसो,डीसी=कॉम
Dsget और Dsquery
डीएस* कमांड-लाइन टूल में दो टूल भी शामिल हैं जिनका उपयोग ऑब्जेक्ट बनाने या संशोधित करने के बजाय सक्रिय निर्देशिका जानकारी को क्वेरी करने के लिए किया जाता है।
Dsget किसी ऑब्जेक्ट के विशिष्ट नाम (DN) को इनपुट के रूप में लेता है और निर्दिष्ट विशेषता या विशेषताओं का मान लौटाता है। Dsget dsadd और dsmod के समान सबमेनू का उपयोग करता है - "उपयोगकर्ता", "कंप्यूटर", "संपर्क", "समूह", "विभाजन" और "कोटा"।
उपयोगकर्ता खाते का एसएएम खाता नाम और सुरक्षा आईडी (एसआईडी) प्राप्त करने के लिए, निम्नलिखित कमांड दर्ज करें (ध्यान दें कि निम्नलिखित सभी एक पंक्ति में हैं):
dsget उपयोगकर्ता cn=afuller,ou=IT,dc=contoso,dc=com
–samAccountName –sid
परिणाम चित्र में दिखाए गए परिणामों के समान होंगे। 3.
चावल। 3 डीएसगेट कैसे काम करता है
Dsquery सक्रिय निर्देशिका ऑब्जेक्ट्स की एक सूची लौटाता है जो निर्दिष्ट मानदंडों से मेल खाते हैं।
ऑब्जेक्ट टाइप के लिए Dsquery निम्नलिखित सबमेनू का उपयोग कर सकता है, प्रत्येक अपने स्वयं के सिंटैक्स के साथ: "कंप्यूटर", "संपर्क", "सबनेट", "समूह", "बिजनेस यूनिट", "वेबसाइट", "सर्वर" (ध्यान दें कि सबमेनू सर्वर डोमेन नियंत्रकों के बारे में डेटा पुनर्प्राप्त करता है, न कि आपके वातावरण में सर्वर), "उपयोगकर्ता", "कोटा" और "विभाजन"। और यदि इनमें से एक क्वेरी प्रकार वह नहीं है जिसकी आपको आवश्यकता है, तो आप फ्री-फॉर्म एलडीएपी क्वेरी दर्ज करने के लिए * सबमेनू का उपयोग कर सकते हैं। स्टार्टनोड सक्रिय निर्देशिका ट्री का स्थान निर्दिष्ट करता है जहां खोज शुरू होगी। आप एक विशिष्ट डीएन का उपयोग कर सकते हैं, जैसे कि ou=IT,dc=contoso,dc=com, या निम्न लघु पथ वर्णनकर्ताओं में से एक: डोमेनरूट, एक विशिष्ट डोमेन की जड़ से शुरू, या फ़ॉरेस्टरूट, की जड़ से शुरू फ़ॉरेस्ट रूट डोमेन, खोज करने के लिए वैश्विक कैटलॉग सर्वर का उपयोग करता है। अंत में, खोज स्कोप पैरामीटर निर्दिष्ट करता है कि dsquery को सक्रिय निर्देशिका ट्री को कैसे खोजना चाहिए। सबट्री सर्वेक्षण (डिफ़ॉल्ट विकल्प) निर्दिष्ट स्टार्टनोड और उसके सभी बच्चों तक पहुंचते हैं, सहोदर सर्वेक्षण केवल स्टार्टनोड के तत्काल बच्चों तक पहुंचते हैं, और आधार सर्वेक्षण केवल स्टार्टनोड ऑब्जेक्ट तक पहुंचते हैं। खोज स्कोप को बेहतर ढंग से समझने के लिए, एक संगठनात्मक इकाई (ओयू) की कल्पना करें जिसमें उपयोगकर्ता ऑब्जेक्ट और चाइल्ड OU दोनों शामिल हैं, जिसमें अतिरिक्त ऑब्जेक्ट भी शामिल हैं। स्कोप के रूप में एक सबट्री का उपयोग करते समय, ओयू, इसके भीतर सभी उपयोगकर्ता ऑब्जेक्ट, चाइल्ड ओयू और इसकी सामग्री से पूछताछ की जाएगी। एकल-स्तरीय दायरे के साथ, केवल ओयू में शामिल उपयोगकर्ताओं से पूछताछ की जाएगी, लेकिन चाइल्ड ओयू और उसकी सामग्री से नहीं। एक बुनियादी क्वेरी केवल ओयू से ही पूछताछ करेगी, इसमें शामिल वस्तुओं से पूछताछ किए बिना। अंत में, आप यह नियंत्रित करने के लिए आउटपुट प्रारूप का उपयोग कर सकते हैं कि डीएसक्वेरी परिणाम कैसे स्वरूपित किए जाते हैं। डिफ़ॉल्ट रूप से, dsquery क्वेरी से मेल खाने वाले सभी ऑब्जेक्ट के विशिष्ट नाम लौटाता है, कुछ इस तरह:
"cn=afuller,ou=प्रशिक्षण,dc=contoso,dc=com"
"cn=rking,ou=ITTraining,ou=Training,dc=contoso,dc=com" किसी आईटी बिजनेस यूनिट और उसके चाइल्ड OUs में मौजूद सभी उपयोगकर्ता ऑब्जेक्ट को क्वेरी करने के लिए, निम्नलिखित का उपयोग करें:
dsquery उपयोगकर्ता ou=IT,dc=contoso,dc=com
अतिरिक्त विकल्प जोड़कर क्वेरी को और भी सटीक बनाया जा सकता है, जैसे -अक्षम, जो केवल अक्षम उपयोगकर्ता खाते लौटाता है; -निष्क्रिय x, केवल उन उपयोगकर्ताओं को लौटाता है जो x या अधिक सप्ताहों से कनेक्ट नहीं हुए हैं; या -stalepwd x, केवल उन उपयोगकर्ताओं को लौटाता है जिन्होंने x दिनों या उससे अधिक समय से अपना पासवर्ड नहीं बदला है।
निर्देशिका में ऑब्जेक्ट की संख्या के आधार पर, आपको क्वेरी चलाते समय -limit x विकल्प निर्दिष्ट करने की आवश्यकता हो सकती है। डिफ़ॉल्ट रूप से, dsquery क्वेरी पैरामीटर से मेल खाते हुए 100 ऑब्जेक्ट तक लौटाता है; लेकिन आप एक बड़ी संख्या निर्दिष्ट कर सकते हैं, जैसे -limit 500, या dsquery से सभी मेल खाने वाली वस्तुओं को लौटाने के लिए -limit 0 का उपयोग कर सकते हैं।
आप अन्य प्रकार की वस्तुओं पर उपयोगी क्वेरी करने के लिए अन्य सबमेनू का भी उपयोग कर सकते हैं। निम्नलिखित क्वेरी पर विचार करें, जो सक्रिय निर्देशिका साइट्स और सेवाओं में परिभाषित और 10.1.x.x एड्रेस स्पेस में शामिल प्रत्येक सबनेट को लौटाता है:
डीएसक्वेरी सबनेट-नाम 10.1.*
और निम्नलिखित कमांड का उपयोग कॉर्प वेबसाइट पर स्थित प्रत्येक सबनेट को वापस करने के लिए किया जा सकता है:
डीएसक्वेरी सबनेट-साइट कार्पोरेशन
अगले सबमेनू का उपयोग करके, आप तुरंत यह निर्धारित कर सकते हैं कि फ़ॉरेस्ट में कितने डोमेन नियंत्रक वैश्विक कैटलॉग सर्वर के रूप में काम करने के लिए कॉन्फ़िगर किए गए हैं:
डीएसक्वेरी सर्वर-वन-आईएसजीसी
आप इस सिंटैक्स का उपयोग किसी विशिष्ट डोमेन में डोमेन नियंत्रक की पहचान करना आसान बनाने के लिए भी कर सकते हैं जिसमें प्राथमिक डोमेन नियंत्रक (पीडीसी) एमुलेटर की एफएसएमओ भूमिका शामिल है:
डीएसक्वेरी सर्वर-हैसएफएसएमओ पीडीसी
अन्य डीएस* कमांड की तरह, जिसमें सबमेनू शामिल है, किसी विशेष डीएसक्वेरी सबमेनू में उपलब्ध सभी विकल्पों को दर्ज करके देखा जा सकता है कमांड लाइनऔर dsquery उपयोगकर्ता /?, dsquery कंप्यूटर /?, dsquery सबनेट /?, इत्यादि दर्ज करना।
एक अतिरिक्त तरकीब यह है कि | का उपयोग करके आउटगोइंग dsquery डेटा को किसी अन्य टूल, जैसे dsmod, पर पाइप किया जाए (अंग्रेजी कीबोर्ड लेआउट के लिए SHIFT+बैकस्लैश)। उदाहरण के लिए, एक कंपनी ने एक विभाग का नाम बदलकर "प्रशिक्षण" से "आंतरिक विकास" कर दिया है, और अब इस विभाग से संबंधित प्रत्येक उपयोगकर्ता के लिए विवरण फ़ील्ड को अपडेट करने की आवश्यकता है। एक कमांड लाइन के साथ, आप उन सभी उपयोगकर्ता ऑब्जेक्ट्स को क्वेरी कर सकते हैं जिनमें प्रोविजनिंग विवरण फ़ील्ड है, और फिर पूरे पैकेज के लिए उस विवरण फ़ील्ड को निम्नानुसार बदलें:
dsquery उपयोगकर्ता-विवरण "प्रशिक्षण" | dsmod
-विवरण "आंतरिक विकास"
कुछ तृतीय पक्ष पाते हैं
क्योंकि सक्रिय निर्देशिका एलडीएपी मानकों पर आधारित है, आप एलडीएपी को समझने वाले किसी भी उपकरण का उपयोग करके इसमें क्वेरी कर सकते हैं और बदलाव कर सकते हैं। कई तृतीय-पक्ष विक्रेताओं ने सक्रिय निर्देशिका प्रशासन में सहायता के लिए सशुल्क टूल जारी किए हैं, लेकिन कभी-कभी आप वास्तविक रत्न पा सकते हैं जो मुफ़्त हैं। यह निर्देशिका सेवाओं एमवीपी जो रिचर्ड्स द्वारा बनाए गए संग्रह के लिए विशेष रूप से सच है और joeware.net/freetools पर डाउनलोड के लिए उपलब्ध है। इसमें आप कई उपकरण पा सकते हैं जो विभिन्न समस्याओं को हल करने में मदद करते हैं। उनमें से तीन जिन पर मैं लगातार लौटता रहता हूं वे हैं एडफाइंड, एडमॉड और ओल्डसीएमपी।
एडफ़ाइंड और एडमॉड
Adfind और admod dsquery और dsmod के समान हैं; adfind सक्रिय निर्देशिका के लिए एक कमांड लाइन क्वेरी टूल है, और admod सक्रिय निर्देशिका ऑब्जेक्ट बना सकता है, हटा सकता है या संशोधित कर सकता है।
डीएस* टूल के विपरीत, जिसमें ऑब्जेक्ट के प्रकार के आधार पर कई सबमेनू और अलग-अलग विकल्प होते हैं, एडफाइंड और एडमॉड क्वेरी के प्रकार या किए जा रहे परिवर्तन की परवाह किए बिना एक ही सिंटैक्स का उपयोग करते हैं। ऐडफ़ाइंड के लिए मूल सिंटैक्स है:
ऐडफाइंड -बी -एस -एफ
विशेषताएँवांछित
किसी डोमेन में सभी कंप्यूटर ऑब्जेक्ट के विशिष्ट नाम और विवरण के लिए एक क्वेरी इस तरह दिखेगी:
adfind –b dc=contoso,dc=com –s सबट्री –f (ऑब्जेक्टक्लास=कंप्यूटर) dn
विवरण
सभी उपयोगकर्ता ऑब्जेक्ट के लिए एक क्वेरी इस तरह दिखेगी:
adfind –b dc=contoso,dc=com –s सबट्री –f "(&(objectcategory=person)
(ऑब्जेक्टक्लास=उपयोगकर्ता))" डीएन विवरण
ध्यान दें कि एलडीएपी सामग्री को क्वेरी करने के अलावा, सिंटैक्स नहीं बदला है।
ऐडफ़ाइंड के साथ काम करते समय, आप पैरामीटर लिखने के लिए कई शॉर्टकट पा सकते हैं जो अनावश्यक टाइपिंग कार्य को समाप्त कर देते हैं। उदाहरण के लिए, -डिफ़ॉल्ट विकल्प पिछले उदाहरण में -b dc=contoso,dc=com को प्रतिस्थापित कर सकता है और संपूर्ण डोमेन खोज सकता है; -जीसी कचरा संग्रहण (जीसी) के आधार पर खोज करता है और आपके सक्रिय निर्देशिका फ़ॉरेस्ट में सभी उपयोगकर्ताओं को लौटाता है। -आरबी विकल्प का उपयोग खोज के लिए सापेक्ष आधार निर्धारित करने के लिए भी किया जा सकता है; यदि, मान लीजिए, आपको phl.east.us.contoso.com डोमेन में "प्रशिक्षण" संरचनात्मक इकाई ढूंढने की आवश्यकता है, तो आप -b ou= के बजाय केवल -default -rb ou=Training निर्दिष्ट करके समय की काफी बचत कर सकते हैं। प्रशिक्षण, डीसी=पीएचएल, डीसी=ईस्ट, डीसी=यूएस, डीसी=कॉन्टोसो, डीसी=कॉम।
एडफाइंड कई उन्नत खोज कार्य भी कर सकता है जिन्हें इसके बिना कमांड लाइन से प्रबंधित करना मुश्किल है।
-asq विकल्प का उपयोग करने वाला एक उदाहरण "मुझे हेल्पडेस्क सदस्यों की समूह सदस्यता दिखाएं" का अनुरोध इस प्रकार करेगा:
adfind –default –rb cn=HelpDesk,ou=IT –asq member memberOf
एडमॉड, जैसा कि प्रोग्राम के नाम से पता चलता है, सक्रिय निर्देशिका में ऑब्जेक्ट को संशोधित करने के लिए उपयोग किया जाता है। एडफ़ाइंड की तरह, अपने स्वयं के सिंटैक्स के साथ कोई विशेष सबमेनू नहीं है जिसे आपको याद रखने की आवश्यकता हो; संसाधित किए जा रहे ऑब्जेक्ट के प्रकार की परवाह किए बिना एडमॉड समान सिंटैक्स का उपयोग करता है। एडमॉड का उपयोग वस्तुओं को जोड़ने, स्थानांतरित करने, नाम बदलने, हटाने और यहां तक कि उचित विकल्प जोड़कर पुनर्स्थापित करने के लिए भी किया जा सकता है, जैसे -add, -rm, -move, -undel। और बिल्कुल dsquery और dsmod की तरह, | ऐडफाइंड अनुरोध डेटा को एडमॉड में पाइप करने के लिए उपयोग किया जा सकता है।
ध्यान दें कि एडमॉड का उपयोग करके पुनर्स्थापना करना एक टॉम्बस्टोन ऑब्जेक्ट को पुनर्स्थापित करने का एक सरल ऑपरेशन है जिसमें ऑब्जेक्ट के अधिकांश गुण पहले ही हटा दिए गए हैं। किसी ऑब्जेक्ट को सभी विशेषताओं के साथ पूरी तरह से पुनर्स्थापित करने के लिए, आपको ऑब्जेक्ट की जबरन बहाली करने की आवश्यकता होगी।
जो के कार्यक्रमों के संग्रह से एक और उपकरण है जिसे मैं अपने स्वचालन टूलकिट का एक अनिवार्य हिस्सा मानता हूं: ओल्डसीएमपी, जो उन कंप्यूटरों के क्रेडेंशियल्स के लिए सक्रिय निर्देशिका डेटाबेस की खोज करता है जिनका उपयोग निर्दिष्ट संख्या में हफ्तों से नहीं किया गया है और निम्नलिखित कार्य कर सकता है:
- खातों पर कोई कार्रवाई किए बिना रिपोर्ट बनाना;
- अप्रयुक्त कंप्यूटर खाते अक्षम करें;
- कंप्यूटर खातों को किसी अन्य, पूर्व-निर्दिष्ट संरचनात्मक इकाई में ले जाएं;
- कंप्यूटर खाते पूरी तरह से हटा दें.
मैं ध्यान देता हूं कि चूंकि ओल्डसीएमपी गंभीर निर्देशिका विनाश का कारण बन सकता है, यह कई अंतर्निहित सुरक्षा सुविधाओं के साथ आता है। यह उन खातों को नहीं हटाता जो पहले अक्षम नहीं थे (जब तक कि आपने कमांड लाइन पर "नहीं, मैं वास्तव में यह करना चाहता हूं!" नहीं कहा)। यह एक समय में 10 से अधिक ऑब्जेक्ट को संशोधित नहीं करता है (जब तक कि, फिर से, विशेष रूप से अन्यथा न कहा गया हो), और यह डोमेन नियंत्रक के कंप्यूटर खाते में कभी भी कुछ नहीं करेगा।
जो ने अब पुराने सीएमपी को अपडेट कर दिया है ताकि यह उन उपयोगकर्ता खातों पर भी समान कार्य कर सके जिनका उपयोग निर्दिष्ट अवधि के लिए नहीं किया गया है।
एक छोटे सक्रिय निर्देशिका वातावरण के लिए, या जहां आप एक समय में केवल एक या दो अतिरिक्त या परिवर्तनों के साथ काम कर रहे हैं, सक्रिय निर्देशिका उपयोगकर्ता और कंप्यूटर जैसे जीयूआई उपकरण दिन-प्रतिदिन के प्रशासन के लिए पर्याप्त हो सकते हैं, लेकिन इन्हें जोड़ने की आवश्यकता है दैनिक आधार पर। या बड़ी संख्या में ऑब्जेक्ट बदलना या बस प्रशासनिक कार्यों के लिए अधिक कुशल समाधान ढूंढना चाहते हैं, कमांड लाइन पर स्विच करने से सक्रिय निर्देशिका में ऑब्जेक्ट बनाने, बदलने और हटाने की प्रक्रिया में काफी तेजी आ सकती है। जैसा कि ऊपर दिखाया गया है, कई लचीले और शक्तिशाली मुफ़्त टूल उपलब्ध हैं, दोनों विंडोज़ में निर्मित हैं और सक्रिय निर्देशिका समुदाय के सदस्यों द्वारा वितरित किए गए हैं। उनमें से कोई भी एक सक्रिय निर्देशिका प्रशासक की उत्पादकता में काफी सुधार कर सकता है, और साथ में वे उसके दैनिक कार्य के लिए और भी महत्वपूर्ण हो जाते हैं।
लॉरा ई. हंटर विंडोज सर्वर नेटवर्किंग टूल्स के लिए चार बार माइक्रोसॉफ्ट एमवीपी हैं। वह सक्रिय निर्देशिका संदर्भ गाइड (ओ'रेली, 2006) के दूसरे संस्करण की लेखिका हैं। आईटी उद्योग में दस वर्षों के अनुभव के साथ, लौरा अब एक विश्व स्तरीय इंजीनियरिंग फर्म के लिए सक्रिय निर्देशिका डिजाइनर के रूप में काम करती है। वह भी उनके पास कई उद्योग प्रमाणपत्र हैं। प्रमाणन और वह उपयोगकर्ता समूह की बैठकों और उद्योग सम्मेलनों में लगातार वक्ता हैं।
