17.03.2014 Darren Mar-Elia
Kada se prvi put pojavio Windows PowerShell, mnogi su ljudi pitali je li moguće njime upravljati Aktivni direktorij(AD) koristeći PowerShell. U to vrijeme Microsoftov odgovor nije bio ono što bi većina administratora voljela čuti. PowerShell je imao ugrađeni "akcelerator tipa" Active Directory Service Interfaces (ADSI) za pristup AD objektima, ali korisnik je uglavnom morao sam shvatiti kako koristiti PowerShell za obavljanje AD administrativnih zadataka. Izlaskom su se dogodile značajne promjene Windows poslužitelj 2008 R2, koji je predstavio modul PowerShell za Active Directory. AD modul uključuje skup naredbi za upravljanje AD-om, kao i AD Provider koji vam omogućuje navigaciju AD-om poput simboličnog pogona. U ovom članku ću vam pokazati kako instalirati AD modul i detaljno opisati njegov rad
Kad se prvi put pojavio Windows PowerShell, mnogi su ljudi pitali je li moguće upravljati Active Directoryjem (AD) pomoću PowerShell-a. U to vrijeme Microsoftov odgovor nije bio ono što bi većina administratora voljela čuti. PowerShell je imao ugrađeni Active Directory Service Interfaces (ADSI) "akcelerator tipa" za pristup AD objektima, ali korisnik je uglavnom morao sam shvatiti kako koristiti PowerShell za obavljanje AD administrativnih zadataka. S vremenom je Quest Software ponudio besplatan skup naredbi za AD administrativne zadatke, uključujući stvaranje, modificiranje i brisanje AD objekata i traženje objekata u AD-u. Ovo je stanje upravljanja PowerShell-om i AD-om već duže vrijeme.
Značajne promjene dogodile su se izdanjem Windows Servera 2008 R2, koji je uveo PowerShell modul za Active Directory. AD modul uključuje skup naredbi za upravljanje AD-om, kao i AD Provider koji vam omogućuje navigaciju AD-om poput simboličnog pogona. U ovom članku ću vam pokazati kako instalirati AD modul i detaljno opisati njegov rad.
Instalacija Active Directory modula
Za razliku od prethodnih alata koji su koristili LDAP za komunikaciju s AD-om, AD modul koristi protokole Active Directory Web Services (ADWS) za komunikaciju s AD kontrolerom domene (DC). Ovi su protokoli detaljno opisani u MSDN blogu "Active Directory Web Services Overview", ali dovoljno je primijetiti da PowerShell naredbe u AD modulu i Active Directory Administrative Center (ADAC) koriste ADWS za komunikaciju s AD-om i dohvaćanje informacija iz njega. .
Kada instalirate Windows Server 2012 ili Server 2008 R2 kontrolere domene u AD domenu, ADWS protokol je instaliran i pokrenut prema zadanim postavkama na svakom od njih. Ako se vaša domena u potpunosti sastoji od Windows Server 2008 ili Windows Server 2003 kontrolera domene, ADWS morate instalirati zasebno. Microsoft u tu svrhu besplatno nudi paket usluge Active Directory Management Gateway. Ako instalirate paket na barem jedan kontroler domene AD Server 2008 ili Server 2003, možete koristiti AD modul za PowerShell zajedno s ADAC-om.
Sam AD modul instaliran je prema zadanim postavkama na bilo koji DC koji pokreće Server 2012 ili Server 2008 R2 operativni sustav. Na Windows računala 8 i Windows 7 (ili bilo koje drugo računalo osim DC-a koje pokreće Server 2012 ili Server 2008 R2), morate instalirati Alate za udaljenu administraciju poslužitelja iz Microsoftovog centra za preuzimanje.
Bez obzira na to jesu li alati za udaljenu administraciju poslužitelja instalirani na vašem računalu unaprijed ili zasebno, sljedeći korak je otvaranje odjeljka Dodaj/ukloni programe na upravljačkoj ploči i odaberite Uključivanje ili isključivanje Windows značajki iz izbornika s lijeve strane. . Pomaknite se prema dolje u dijaloškom okviru značajki sustava Windows do odjeljka Alati za udaljenu administraciju poslužitelja. Pronađite potvrdni okvir Active Directory Module za Windows PowerShell u mapi \Remote Server Administration Tools\Role Administration Tools\AD DS i AD LDS Tools, kao što prikazuje slika 1. Označite potvrdni okvir i kliknite OK za instalaciju modula.
Sada biste trebali vidjeti prečac za modul Active Directory za Windows PowerShell u odjeljku Administrativni alati izbornika Start. Kliknite ovaj prečac za pokretanje PowerShell-a s učitanim AD modulom. Ako već radite u PowerShell-u i samo želite učitati modul tako da bude dostupan za korištenje, možete unijeti sljedeću naredbu da dobijete pristup naredbama AD i AD Provider:
Import-Module ActiveDirectory
Pogledajmo sada kako se kretati AD-om pomoću AD Providera.
Korištenje davatelja usluge Active Directory
PowerShell implementira koncept pogona PowerShell, koje ću jednostavno nazivati PS pogonima. Pojednostavljeno rečeno, PS pogon je prikaz resursa, kao što je navigacijski datotečni sustav koji se sastoji od mapa i lisnih stavki. Ne može se svaki resurs zamisliti na ovaj način, ali mnogi (uključujući AD i registar) dobro se uklapaju u ovaj model. AD modul sadrži dobavljača za PS AD disk. U skladu s tim, možete se kretati i čak mijenjati AD kao da je datotečni sustav.
Kako se kretati AD-om pomoću AD Providera? Ovo pretpostavlja da je PowerShell otvoren i da je AD modul učitan. U ovom slučaju, prvi korak je pokretanje naredbe Set-Location, koja ima nekoliko aliasa, uključujući sl i cd:
Oglas za postavljanje lokacije:
Ova naredba mijenja trenutnu radnu lokaciju PS AD pogona. Kao rezultat toga, prompt PowerShell će prikazati AD:\ umjesto C:\. Zatim, da biste vidjeli stavke na PS AD pogonu, možete upotrijebiti naredbu Get-ChildItem s aliasom dir:
Get-ChildItem
Slika 2 prikazuje primjer rezultata na mom računalu.
Kao što vidimo, naredba vraća popis svih dostupnih particija domene. Najzanimljiviji je, po mom mišljenju, dio domene pod nazivom cpandl, koji sadrži imena korisnika i računala. Za promjenu ove domene samo unesite naredbu:
Postavi lokaciju "dc=cpandl,dc=com"
Imajte na umu da se naredba Set-Location koristi s razlikovnim imenom (DN) moje AD domene. Ovo je potrebno za ispravnu navigaciju. Nakon što ste došli do imenika svoje domene (kao što je naznačeno AD:\dc=cpandl,dc=com promptom u PowerShell-u), možete koristiti naredbu Get-ChildItem da biste vidjeli AD strukturu najviše razine (Slika 3).
.jpg) |
| Slika 3: Prikaz najviše razine AD hijerarhije |
Ako želite pogledati korisnike u SDM organizacijskoj jedinici (OU), tada za navigaciju do te OU samo trebate unijeti:
Postavi lokaciju "OU=SDM"
Naredbeni redak PowerShell izgledat će kao AD:\ou=SDM,dc=cpandl,dc=com. Na u ovoj fazi možete koristiti naredbu Get-ChildItem da vidite sve korisničke objekte u ovoj OU. Ako trebam promijeniti svojstvo Description na korisničkom objektu koji predstavlja moj Darren Mar-Elia korisnički račun. Postoji tim za to! Naredba Set-ItemProperty omogućuje promjenu svojstva na AD objektu. Ako trebate promijeniti opis korisničkog računa na Chief Techie, trebali biste pokrenuti naredbu:
Set-ItemProperty -Path ".\CN=Darren Mar-Elia" ` -Name "Description" -Value "Chief Techie"
Kao što vidimo, parametar –Path ovdje se koristi za određivanje mog korisničkog računa u trenutnom direktoriju. Također koristim parametar -Name da naznačim da svojstvo Description treba promijeniti, a parametar –Value da odredim opis glavnog tehničara.
Imajte na umu da ako želite pronaći sve objekte s određenom vrijednošću svojstva, možete koristiti Get-ItemProperty. Ako samo želite dobiti referencu na AD objekt, koristite Get-Item.
Kao što vidite, rad s AD-om na ovaj način prilično je jednostavan. Mehanizam teško da je prikladan za skupne promjene, ali je prikladan za rad s AD-om kao datotečnim sustavom. Međutim, kako sam saznao, većina administratora koristi naredbe umjesto PS AD pogona za upravljanje AD-om. Pogledajmo kako rade neke od ovih naredbi.
Korištenje naredbi Active Directory
AD modul uključen u sustav Windows 7 sadrži 76 naredbi za upravljanje AD-om. Mogu se koristiti za gotovo sve svrhe, uključujući pronalaženje AD objekata, stvaranje i brisanje AD objekata i manipuliranje AD konfiguracijskim informacijama (kao što je šumski način rada i granularna pravila zaporke). Obično su naredbe grupirane prema glagolima kao što su Add-, Remove-, Get- i Set-. Imajte na umu da nema svaka naredba Get odgovarajuću naredbu Set i obrnuto, tako da ponekad morate uložiti malo truda da pronađete prava naredba za zadatak. Na primjer, možete postaviti razinu funkcionalnosti šume AD koristeći Set-ADForestMode, ali da biste saznali trenutnu razinu funkcionalnosti šume, morate koristiti naredbu Get-ADForest i pogledati svojstvo ForestMode na vraćenom objektu.
Pogledajmo nekoliko uobičajenih zadataka koji se mogu izvesti pomoću AD naredbi. Konkretno, pokazat ćemo vam kako dodati korisničke račune, upravljati članstvom u grupi, poništiti lozinke korisničkih računa i pretraživati AD objekte.
Dodavanje korisničkih računa
Naredba New-ADUser omogućuje jednostavan način dodavanja korisničkih računa u AD. Ako u organizacijsku jedinicu SDM želite dodati novi korisnički račun pod imenom Bill Smith, tada u najjednostavnijem slučaju možete kreirati novi korisnički račun pomoću naredbe:
New-ADUser -Name "Bill Smith" -SamAccountName "bsmith" ` -GivenName "Bill" -Prezime "Smith" ` -DisplayName "Bill Smith" -Path "OU=SDM,DC=cpandl,DC=com"
Ovom naredbom unose se osnovni podaci o korisničkom računu. Točnije, parametar -SamAccountName se koristi za pružanje imena SAM računa potrebnog za kreiranje korisničkog objekta. Parametar –Path se također koristi da kaže naredbi gdje da postavi objekt - u ovom slučaju, SDM OU u domeni cpandl.com. Osim toga, navedeno je ime korisnika (parametar -GivenName), prezime (parametar -Prezime) i ime za prikaz (parametar -DisplayName).
Pokretanje ove naredbe stvorit će korisnički račun, ali postoje dva problema. Prvo, račun će biti onemogućen. Drugo, račun neće imati povezanu lozinku, koja je obavezna na većini domena.
Kako biste izbjegli potrebu aktiviranja računa i zasebnog dodjeljivanja lozinke, možete izmijeniti naredbu New-ADUser. New-ADUser automatski će omogućiti račun ako u naredbi navedete parametar -Enabled $true. Za aktivaciju je potrebna lozinka, pa je također morate navesti u naredbi.
Za unos lozinke možete koristiti parametar –AccountPassword. Međutim, ne možete unijeti lozinku u obliku običnog teksta u naredbeni redak. Ova opcija zahtijeva unos lozinke u sigurnom nizu (to jest, ima tip podataka SecureString). Postoje dva načina za pretvaranje lozinke u sigurni niz, a oba koriste varijablu.
Prva metoda koristi naredbu ConvertTo-SecureString, koja pretvara nizove običnog teksta u sigurne nizove. Na primjer, ako želite pretvoriti lozinku P@ssw0rd12 u zaštićeni niz i dodijeliti je varijabli $pwd, pokrenuli biste naredbu:
$pwd = ConvertTo-SecureString -string "P@ssw0rd12" ` -AsPlainText –force
Ovo nije najsigurniji način dodjele lozinke jer bi vam netko mogao pogledati preko ramena kada unesete naredbu. Sigurnija metoda je da imate New-ADUser naredbeni redak za lozinku i sakrijte unesene znakove. To se može učiniti pomoću naredbe Read-Hostcmdlet s parametrom –AsSecureString:
$pwd = Read-Host -AsSecureString
Nakon pokretanja ove naredbe, vidjet ćete poznati simbol "*" na svom ekranu kada unesete lozinku. Kada završite, pritisnite tipku Enter.
Nakon što je lozinka pohranjena u varijabli $pwd, možete je proslijediti naredbi New-ADUser:
New-ADUser -Name"Bill Smith"-SamAccountName"bsmith"` -GivenName"Bill"-Surname"Smith"` -DisplayName"Bill Smith"` -Path"OU=SDM,DC=cpandl,DC=com"` - Omogućeno $true -AccountPassword $pwd
Kao što vidimo, naredba sadrži parametre -Enabled i –AccountPassword, koji omogućavaju račun i sigurno mu dodjeljuju lozinku.
Stvaranje jednog po jednog korisničkog računa je zgodan način, ali ponekad morate stvoriti više računa u isto vrijeme. PowerShell je odličan za tu svrhu. Na primjer, ako trebate stvoriti tri korisnička računa, možete pripremiti datoteku s vrijednostima odvojenim zarezima (CSV) koja sadrži informacije o računu i zatim upotrijebiti naredbu Import-CSV za prijenos tih informacija u New-ADUser.
Slika 4 prikazuje CSV datoteku pod nazivom userlist.csv.
Imajte na umu da u ovoj datoteci zaglavlja stupaca odgovaraju nazivima parametara navedenih u prethodnoj naredbi New-ADUser. Ovo je učinjeno namjerno. Kada se CSV podaci proslijede New-ADUser-u, naredba će pokupiti te nazive parametara iz PowerShell cjevovoda i neće morati biti navedena u samoj naredbi. Ovo je naredba koja se koristi za stvaranje tri korisnička računa:
Import-CSV -put C:\data\userlist.csv | New-ADUser -Enabled $true -AccountPassword $pwd
Kao što vidite, izlaz naredbe Import-CSV ide na naredbu New-ADUser. Cjevovod prepoznaje da su zaglavlja stupaca u CSV datoteci nazivi parametara, a preostali redovi sadrže vrijednosti, tako da trebate unijeti samo parametre -Enabled i –AccountPassword. Ovo je izvrsna sposobnost prijenosa. Omogućuje vam mnogo učinkovitiju upotrebu PowerShell-a za ove vrste zadataka automatizacije.
Upravljanje članstvom u grupi
Dodavanje korisničkih i računalnih računa tipičan je zadatak upravljanja AD-om. Korištenjem AD modula to je relativno lako postići. Pomoću naredbe Add-ADGroupMember grupi možete dodati jedan ili više računa. Na primjer, ako trebate dodati tri nova korisnika u grupu Marketinški korisnici. Najlakši način je koristiti naredbu:
Add-ADGroupMember -Identity»Marketing Users«` -Members jadams,tthumb,mtwain
U ovoj naredbi, parametar -Identity koristi se za davanje naziva grupe. Parametar -Members također se koristi za pružanje imena korisničkih SAM računa. Ako postoji više naziva SAM računa, oni bi trebali biti navedeni u datoteci odvojenoj zarezima.
Možete kombinirati operacije stvaranja tri računa i njihovog dodavanja u grupu Marketing Users u jednoj naredbi kako biste riješili problem u jednoj akciji. Međutim, naredba Add-ADGroupMember ne podržava prosljeđivanje imena članova grupe u cjevovod. Stoga morate koristiti naredbu Add-ADPrincipalGroupMembership ako želite koristiti cjevovod. Ova naredba može prihvatiti objekte korisnika, računala ili grupe kao unos iz cjevovoda i dodati te objekte navedenoj grupi.
Možete kombinirati operaciju stvaranja korisnika s operacijom dodavanja novih korisnika u grupu Marketing Users u jednoj naredbi na sljedeći način:
Import-CSV -put C:\data\userlist.csv | New-ADUser -Enabled $true -AccountPassword $pass ` -PassThru | Add-ADPrincipalGroupMembership ` -MemberOf"Marketing Users"
Imajte na umu da je parametar –PassThru dodan dijelu naredbe New-ADUser. Ovaj parametar govori New-ADUser-u da proslijedi stvorene korisničke objekte u cjevovod. Ako ovaj parametar nije naveden, naredba Add-ADPrincipalGroupMembership neće uspjeti.
Također je primjetno da se samo parametar -MemberOf koristi za određivanje naziva grupe u odjeljku Add-ADPrincipalGroupMembership naredbe. Cjevovod se brine za ostalo dodavanjem svakog od tri korisnika u grupu Marketing Users.
Dakle, pomoću jedne PowerShell naredbe stvorena su tri nova korisnika, smješteni su u OU, dobili su lozinke i dodani su u grupu Marketing Users. Sada pogledajmo neke druge uobičajene zadatke održavanja AD-a koji se mogu automatizirati pomoću PowerShell-a i AD modula.
Ponovno postavljanje lozinki korisničkih računa
Ponekad korisnici moraju poništiti zaporku računa. Ovaj se zadatak može jednostavno automatizirati pomoću naredbe Set-ADAccountPassword promjenom ili poništavanjem lozinke računa. Za promjenu lozinke potrebno je znati staru lozinku i unijeti novu. Za ponovno postavljanje lozinke jednostavno unesite novu lozinku. Međutim, morate imati dopuštenje za ponovno postavljanje lozinke na korisničkom objektu u AD-u da biste izvršili ponovno postavljanje lozinke.
Poput parametra -AccountPassword naredbe New-ADUser, naredba Set-ADAccountPassword koristi tip podataka SecureString za lozinke, tako da morate koristiti jednu od metoda za pretvaranje lozinki običnog teksta u sigurne nizove. Na primjer, ako želite poništiti lozinku za Tom Thumb korisnički račun, nakon pohranjivanja nove lozinke kao zaštićenog niza u varijabli $pass, možete pokrenuti naredbu:
Set-ADaccountPassword -Identity»tthumb«` -NewPassword $pass –Reset
U ovoj naredbi koristim parametar –Identity za dodjelu naziva SAM računa korisničkom računu Tom Thumb. Također unosim parametar -NewPassword s varijablom $pass da bih dao novu lozinku. Konačno, parametar –Reset je naveden kako bi označio da se radi resetiranje umjesto promjene lozinke.
Još jedan neobavezan zadatak: uključite/isključite oznaku Tom Thumb korisničkog računa kako biste ga prisilili da promijeni lozinku sljedeći put kada se prijavi. Ovo je uobičajena tehnika kada trebate poništiti korisničku lozinku. Ovaj se zadatak može izvršiti pomoću naredbe Set-ADUser, postavljanjem parametra -ChangePasswordAtLogon na $true:
Set-ADUser -Identity tthumb -ChangePasswordAtLogon $true
Postavlja se pitanje zašto nije korišten cjevovod za prosljeđivanje izlaza naredbe Set-ADAccountPassword naredbi Set-ADUser za izvođenje obje operacije u jednoj PowerShell naredbi. Probao sam ovaj pristup, ne radi. Vjerojatno postoji neko ograničenje u naredbi Set-ADAccountPassword koje onemogućuje uspješno izvođenje pojedinačne naredbe. U svakom slučaju, dovoljno je jednostavno prebaciti zastavu pomoću naredbe Set-ADUser kao što je prikazano gore.
Traženje objekata Active Directoryja
Još jedan tipičan AD zadatak je pronaći AD objekte koji zadovoljavaju određene kriterije. Na primjer, možete pronaći sva računala s određenom verzijom operacijskog sustava Windows u AD domeni. Naredba Get-ADObject najprikladnija je za LDAP pretraživanje. Na primjer, za pronalaženje računala Server 2008 R2 u domeni cpandl.com korištena je naredba:
Get-ADObject -LDAPFilter ` "(&(operatingSystem=Windows Server 2008 R2 Enterprise)` (objectClass=računalo))" -SearchBase"dc=cpandl,dc=com"` -SearchScope Subtree
Ova naredba koristi tri parametra za izvođenje zadatka: -LDAPFilter, -SearchBase i -SearchScope. Parametar -LDAPFilter uzima standardni LDAP upit kao ulaz. Ovaj primjer ispituje sve računalne objekte koji imaju atribut OperatingSystem postavljen na Windows Server 2008 R2 Enterprise. Parametar -SearchBase govori naredbi gdje treba započeti pretraživanje u AD hijerarhiji. U ovom slučaju, pretraga se izvodi iz korijenskog direktorija AD domene, ali nije teško ograničiti pretragu na određeni OU. Parametar –SearchScope govori naredbi treba li indeksirati sve spremnike u bazi pretraživanja, pronalazeći navedene objekte. U ovom slučaju, parametar Subtree koristi se za prisiljavanje naredbe da provjeri sve temeljne spremnike.
Kada pokrenete naredbu, prikazuju se objekti koji odgovaraju kriterijima. Ili možete proslijediti rezultate drugoj naredbi za obradu pronađenih objekata.
Imajte na umu da je za velika pretraživanja korisno koristiti parametar –ResultPageSize za kontrolu načina na koji su rezultati pretraživanja paginirani. Ovaj parametar obično postavljam na 1000, a naredba Get-ADObject vraća 1000 objekata odjednom. U suprotnom, možda nećete dobiti očekivani rezultat jer broj vraćenih objekata premašuje maksimum dopušten pravilom postavljenim za jedan zahtjev za pretraživanje.
Druga naredba za pretraživanje koju nudi Microsoft je Search-ADAccount. Ova je naredba posebno korisna za pretraživanje s različitim unaprijed definiranim uvjetima, kao što su onemogućeni računi, računi s isteklim lozinkama i zaključani računi. Dakle, sljedeća naredba pronalazi sve korisničke račune s isteklim lozinkama u SDM OU:
Search-ADAccount -PasswordExpired -UsersOnly ` -SearchBase"OU=sdm,dc=cpandl,dc=com" -SearchScope OneLevel Search-ADAccount -PasswordExpired -UsersOnly ` -SearchBase"OU=sdm,dc=cpandl,dc=com" ` - SearchScope OneLevel
Ova naredba koristi parametar –PasswordExpired da specificira da su potrebni računi s isteklim lozinkama. Parametar -UsersOnly navodi da se trebaju pretraživati samo korisnički objekti (odnosno, računalni objekti trebaju biti izuzeti). Kao u prethodnom primjeru, parametri -SearchBase i –SearchScope koriste se za određivanje opsega pretraživanja. Ali u ovom slučaju koristim parametar OneLevel za pretraživanje samo najbliže OU (odnosno, isključujući sve podređene organizacijske jedinice).
Ovo je samo površina AD modula, ali nadam se da ste dobili ideju o njegovim mogućnostima. Kao što je gore navedeno, postoji više od 70 naredbi u modulu. Teme koje nisu obuhvaćene ovim člankom uključuju brisanje objekata pomoću naredbe Remove, vraćanje izbrisanih objekata pomoću naredbe Restore-ADObject i uklanjanje UAC svojstava na korisničkim objektima pomoću naredbe Set-ADAccountControl. Postoje naredbe za gotovo svaki AD administrativni zadatak.
Lekcija 7. Administracija aktivnog imenika.
Proces administracije Active Directory uključuje upravljanje:
- Active Directory domene;
- struktura direktorija domene;
- objekti domene (korisnici, kontakti, računala, grupe, pisači itd.);
- stranice i mreže aktivnog imenika;
- replikacija podataka.
Svi ovi zadaci rješavaju se pomoću tri upravljačke konzole koje se instaliraju tijekom instalacije Active Directoryja na kontroleru domene:
- Active Directory - Domene i povjerenje
- Active Directory - korisnici i računala
- Active Directory - stranice i usluge
Ove se konzole mogu instalirati na druga računala u domeni kao dio paketa administrativnih uslužnih programa.
Opis objekata Active Directory.
Sve konzole za upravljanje Active Directory koriste jedan skup ikona za prikaz objekata imenika. Ispod su svi glavni objekti Active Directory i njihove odgovarajuće ikone. Ove informacije će vam pomoći da se lakše krećete kroz Active Directory.
Ikona | Objekt | Opis |
Ponovno pokrenite poslužitelj.
Unesite lozinku za način oporavka usluge imenika.
Potvrdite lokacije mapa za spremanje AD datoteka.
Potvrdite naziv NetBIOS domene.
7. Odaberite razinu sigurnosti za korisnike i grupe:
· Dopuštenja kompatibilna s poslužiteljem prije Windows 2000– ako domena sadrži programe ili usluge koji se izvode na poslužiteljima koji koriste Windows NT ili je računalo dio domene sa Windows NT.
· Dopuštenja kompatibilna samo s Windows 2000 poslužiteljem i Windows Serverom 2003– ako u domeni rade samo poslužitelji s Windows 2000 poslužiteljem i Windows Server 2003.
Administracija Active Directoryja koristi skup dodataka za upravljanje Active Directoryjem. Sastoji se od četiri opreme:
1 Active Directory korisnik i računala – dizajniran za administriranje domenskih korisničkih i računalnih računa.
2 Active Directory domene i povjerenja - koriste se za uspostavljanje odnosa povjerenja između domena.
3 web-mjesta i usluge Active Directory (mjesta i usluge) - dizajnirane za upravljanje web-mjestima i poveznicama na web-mjesta.
4 DNS – administracija DNS poslužitelja integriranog u Active Directory.
Active Directory korisnici i računala.
Korisnički računi Active Directory i računalni računi fizički su objekti poput računala ili korisnika. Korisnički računi također se mogu koristiti kao namjenski unosi usluga za neke aplikacije.
Korisnički račun– objekt Active Directory koji sadrži sve informacije koje identificiraju korisnika u operacijskom sustavu Windows. Ove informacije uključuju:
· osobni podaci korisnika (ime i prezime, broj telefona, e-mail, poštanska adresa, podaci o organizaciji);
· postavke računa (korisničko ime i lozinka potrebni za prijavu korisnika, datum isteka računa, upravljanje lozinkom, opcije šifriranja i autentifikacije);
· imena grupa čiji je korisnik član;
· korisnički profil (sadrži informacije o korisničkim postavkama, kao što su postavke radne površine, stalne mrežne veze i postavke aplikacije);
· ostale informacije (profil usluge terminala, daljinski upravljač, upravljanje sesijom itd.).
Računalni račun- Active Directory objekt koji jedinstveno identificira računalo u domeni. Račun računala odgovara nazivu računala u domeni. Računalo čiji je račun dodan u domenu može sudjelovati u mrežnim operacijama koje koriste sadržaj Active Directory. Na primjer, radna stanica dodana domeni može prepoznati račune i grupe koji postoje u aktivnom imeniku.
@Računala sa sustavom Windows 95, Windows 98 i Windows Me nemaju dodatne sigurnosne značajke i ne mogu im se dodijeliti računi računala.
Skupina je obitelj korisničkih i računalnih računa, kontakata i drugih grupa kojima se može upravljati kao jednom jedinicom. Korisnici i računala koji pripadaju određenoj grupi nazivaju se članovi grupe. Grupe u Active Directoryju su objekti imenika koji se nalaze unutar objekata spremnika domene i organizacijske jedinice.
Grupe u Active Directoryju omogućuju vam sljedeće:
· Pojednostavite administraciju dodjeljivanjem dozvola za dijeljenje grupi, a ne pojedinačnim korisnicima. Ovo osigurava jednak pristup resursu za sve članove te grupe;
· delegirati administraciju dodjeljivanjem prava korisnicima za cijelu grupu odjednom pravila grupe i zatim dodavanje potrebnih članova u grupu, koji moraju imati ista prava kao i grupa;
Grupe se odlikuju opsegom i vrstom. Opseg grupe definira raspon na koji se grupa odnosi unutar domene ili šume. Postoje tri različita opsega: univerzalni, globalni i lokalni na domeni.
· Lokalna domena (lokalno ugrađeno)– Članovi lokalnih grupa domene mogu uključivati druge grupe i račune s domena Windows Server 2003, Windows 2000 ili Windows NT i mogu im se dodijeliti dopuštenja samo unutar domene.
@ Lokalne grupe domene trebale bi se koristiti za kontrolu pristupa resursima unutar iste domene.
· Globalno– Članovi grupa s globalnim opsegom mogu uključiti druge grupe i račune samo iz domene u kojoj je grupa definirana i mogu im se dodijeliti dopuštenja u bilo kojoj domeni u šumi.
@ Grupe s globalnim opsegom preporučuju se za upravljanje objektima imenika koji zahtijevaju svakodnevno održavanje. To uključuje, na primjer, korisničke i računalne račune. Budući da se grupe s globalnim opsegom ne repliciraju izvan svoje domene, računi sadržani u takvim grupama mogu se često mijenjati bez izazivanja dodatnog prometa povezanog s replikacijom na globalni katalog.
· Univerzalni- Članovi grupa s univerzalnim opsegom mogu uključiti druge grupe i račune iz bilo koje domene u stablu domene ili šumi i mogu im se dodijeliti dopuštenja u bilo kojoj domeni u stablu domene ili šumi.
@ Dodijelite univerzalni opseg grupama koje obuhvaćaju domene. Da biste to učinili, dodajte račune u grupe s globalnim opsegom, a zatim ugniježdite te grupe u grupe s univerzalnim opsegom. S ovim pristupom, promjena članstva u grupama s globalnim opsegom ne utječe na grupe s univerzalnim opsegom.
Vrsta grupe određuje može li se grupa koristiti za dodjelu dopuštenja resursima ili samo popisima za distribuciju e-pošte.
Sigurnosne grupe– osigurati učinkovitu kontrolu pristupa mrežnim resursima. Korištenje sigurnosnih grupa omogućuje vam sljedeće:
· Dodijelite korisnička prava sigurnosnoj grupi u Active Directory. Korisnička prava postavljena za sigurnosne grupe određuju što član te grupe može raditi unutar opsega domene (ili šume). Korisnička prava automatski se postavljaju za sigurnosne grupe tijekom instalacije Active Directoryja kako bi pomogla administratorima definirati ulogu administrativnih korisnika u domeni. Na primjer, korisnik dodan u grupu Operatori sigurnosne kopije u Active Directoryju dobiva mogućnost sigurnosnog kopiranja i vraćanja datoteka i direktorija na bilo kojem kontroleru domene u domeni. Možete dodijeliti korisnička prava sigurnosnoj grupi pomoću pravila grupe za delegiranje određenih zadataka. Morate biti oprezni pri dodjeljivanju delegiranih zadataka. Neiskusan korisnik s previše prava u sigurnosnoj grupi potencijalno može prouzročiti ozbiljnu štetu mreži.
· Dodijelite dozvole za resurse sigurnosnim grupama. Dopuštenja ne treba brkati s korisničkim pravima. Dopuštenja su postavljena za sigurnosne grupe koje koriste zajedničke resurse. Dopuštenja određuju tko može pristupiti određenom resursu i razinu pristupa, kao što je potpuna kontrola. Neka dopuštenja postavljena na objekte domene automatski se postavljaju na različite razine pristupa za zadane grupe, kao što su Operatori računa ili Operatori domene. Za više informacija o dozvolama pogledajte Kontrola pristupa u Active Directory.
@Sigurnosne grupe navedene su u tablicama selektivne kontrole pristupa, koje definiraju dopuštenja za resurse i objekte. Administratori bi trebali dodijeliti dozvole za resurse (dijeljene datoteke, pisače itd.) sigurnosnim grupama, a ne pojedinačnim korisnicima. Dozvole se dodjeljuju grupi jednom, umjesto da se dodjeljuju prava svakom pojedinačnom korisniku. Svaki račun, kada se doda u grupu, dobiva prava dodijeljena toj grupi u Active Directory i dopuštenja definirana za tu grupu na resursu.
Distribucijske grupe– Koriste ga samo aplikacije e-pošte za slanje poruka e-pošte grupama korisnika. Distribucijske grupe ne koriste sigurnost, drugim riječima, ne mogu se uključiti u tablice kontrole selektivnog pristupa (DACL). Ako je grupa stvorena za kontrolu pristupa zajedničkim resursima, grupa mora biti sigurnosna grupa.
@Sigurnosne grupe također se mogu koristiti kao odredišta e-pošte, baš kao i distribucijske grupe. Poruka e-pošte poslana grupi šalje se svim članovima grupe.
Također postoje grupe za koje ne možete uređivati niti pregledavati informacije o članstvu. Te se grupe nazivaju posebnim identitetima i koriste se za predstavljanje različitih korisnika u različitim vremenima, ovisno o okolnostima.
(Anonimna prijava, Sve, Mreža, Interaktivno)
Na primjer, grupa Svi predstavljaju sve trenutne korisnike mreže, uključujući goste i korisnike iz drugih domena. Za više informacija pogledajte Posebni identiteti.
Korisnički i računalni računi (i grupe) nazivaju se sigurnosnim principalima. Sigurnosni principali su objekti direktorija kojima se automatski dodjeljuju sigurnosni ID-ovi (SID-ovi) za pristup resursima domene. Korisnički ili računalni račun koristi se u sljedeće svrhe:
· provjera autentičnosti korisnika ili računala.
· dopuštanje ili zabrana pristupa resursima domene.
· administracija drugih sigurnosnih principala (za predstavljanje sigurnosnog principala iz vanjske pouzdane domene).
· revizija radnji izvršenih korištenjem korisničkog računa ili računala.
Za dodjelu prava istovremeno veliki broj za korisnike se koriste sigurnosne grupe. Računi se mogu grupirati pomoću organizacijskih jedinica (spremnika).
Kako biste osigurali sigurnu autentifikaciju korisnika, trebali biste stvoriti zasebne račune za svakog mrežnog korisnika koristeći " Active Directory korisnici i računala ».
Svaki korisnički račun Active Directory ima brojne sigurnosne postavke koje određuju kako se račun provjerava autentičnost prilikom prijave na mrežu.
Posvećen korištenju PowerShell-a za administraciju AD-a. Kao početnu točku, autor je odlučio uzeti 10 uobičajenih AD administrativnih zadataka i pogledati kako se oni mogu pojednostaviti korištenjem PowerShell-a:
- Ponovno postavljanje korisničke lozinke
- Aktivirajte i deaktivirajte račune
- Otključaj korisnički račun
- Izbrišite svoj račun
- Pronađite prazne grupe
- Dodajte korisnike u grupu
- Navedite članove grupe
- Pronađite zastarjele računalne račune
- Deaktivirajte račun računala
- Pronađite računala prema vrsti
Osim toga, autor vodi blog (koristeći PowerShell, naravno), preporučujemo da pogledate - jdhitsolutions.com/blog. A na njegovom Twitteru možete dobiti najsvježije informacije twitter.com/jeffhicks.
Dakle, u nastavku je prijevod članka “Top 10 Active Directory Tasks Solved with PowerShell”.
Upravljanje aktivnim imenikom (AD) pomoću Windows PowerShell lakše je nego što mislite i želim vam to dokazati. Možete jednostavno uzeti skripte ispod i koristiti ih za rješavanje brojnih zadataka upravljanja AD-om.
Zahtjevi
Da biste koristili PowerShell za upravljanje AD-om, morate ispuniti nekoliko zahtjeva. Pokazat ću kako rade AD cmdleti na računalu sa sustavom Windows 7 kao primjeru.
Da biste koristili cmdlete, morate imati Windows Server 2008 R2 kontroler domene ili možete preuzeti i instalirati Active Directory Management Gateway Service na naslijeđene DC-ove. Pažljivo pročitajte dokumentaciju prije instalacije; Potrebno ponovno pokretanje CD-a.
Na strani klijenta preuzmite i instalirajte (RSAT) za Windows 7 ili Windows 8. U sustavu Windows 7 morat ćete se otvoriti Upravljačke ploče poglavlje Programi i izabrati Uključite ili isključite značajke sustava Windows. Pronaći Alati za udaljenu administraciju poslužitelja i proširite odjeljak Alati za administraciju uloga. Odaberite odgovarajuće stavke za AD DS i AD LDS alate, posebno imajte na umu da stavka mora biti odabrana Modul Active Directory za Windows PowerShell, kao što je prikazano na slici 1. (U sustavu Windows 8 svi su alati odabrani prema zadanim postavkama). Sada smo spremni za rad.
Slika 1 Omogućivanje AD DS-a i AD LDS alata
Prijavljen sam s računom s administratorskim pravima domene. Većina cmdleta koje ću pokazati omogućit će vam da navedete alternativne vjerodajnice. U svakom slučaju, preporučam čitanje pomoći ( Dobiti pomoć) i primjere koje ću demonstrirati u nastavku.
Pokrenite PowerShell sesiju i uvezite modul:
PS C:\> Import-Module ActiveDirectory
Uvoz stvara novi PSDrive, ali ga nećemo koristiti. Međutim, možete vidjeti koje su naredbe dostupne u uvezenom modulu.
PS C:\> get-command -module ActiveDirectory
Ljepota ovih naredbi je u tome što ako mogu koristiti naredbu na jednom AD objektu, onda se ona može koristiti na 10, 100, pa čak i 1000. Pogledajmo kako neki od ovih cmdleta rade.
Zadatak 1: Ponovno postavite korisničku lozinku
Počnimo s tipičnim zadatkom: ponovno postavljanje korisničke lozinke. To možete učiniti lako i jednostavno koristeći cmdlet Set-ADaccountPassword. Zamršeno je to što nova lozinka mora biti kvalificirana kao zaštićeni niz: dio teksta koji je šifriran i pohranjen u memoriji tijekom trajanja PowerShell sesije. Prvo, kreirajmo varijablu s novom lozinkom:
PS C:\> $new=Read-Host "Unesite novu lozinku" -AsSecureString
Zatim unesite novu lozinku:
Sada možemo izdvojiti račun (koristeći samAccountname– najbolja opcija) i postavite novu lozinku. Evo primjera za korisnika Jack Frost:
PS C:\> Set-ADAccountPassword jfrost -NewPassword $new
Nažalost, postoji greška s ovim cmdlet-om: -Proći kroz, -Što ako, I – Potvrdi Ne radi. Ako više volite prečac, pokušajte ovo:
PS C:\> Set-ADAccountPassword jfrost -NewPassword (ConvertTo-SecureString -AsPlainText -String "P@ssw0rd1z3" -force)
Kao rezultat toga, potrebno mi je da Jack promijeni svoju zaporku sljedeći put kad se prijavi, tako da mijenjam račun pomoću Postavi-ADUser.
PS C:\> Set-ADUser jfrost -ChangePasswordAtLogon $True
Rezultati pokretanja cmdleta ne zapisuju se na konzolu. Ako to treba učiniti, upotrijebite -Pravi. Ali mogu saznati je li operacija bila uspješna ili ne dohvaćanjem korisničkog imena pomoću cmdleta Get-ADUser i navođenje svojstva Lozinka je istekla, kao što je prikazano na slici 2.
Riža. 2. Rezultati Get-ADUser cmdleta sa svojstvom PasswordExpired
Zaključak: Resetiranje korisničke lozinke pomoću PowerShell-a uopće nije teško. Priznajem da je poništavanje lozinke također lako putem snapa Active Directory korisnici i računala konzole Microsoftova upravljačka konzola (MMC). No korištenje PowerShell-a je prikladno ako trebate delegirati zadatak, ne želite implementirati gore spomenuti dodatak ili ponovno postavljate lozinku kao dio velikog automatiziranog IT procesa.
Zadatak 2: Aktivirajte i deaktivirajte račune
Sada deaktivirajmo račun. Nastavimo raditi s Jackom Frostom. Ovaj kod koristi parametar -Što ako, koje možete pronaći u drugim comadletima koji rade promjene da testiraju moju naredbu bez pokretanja.
PS C:\> Disable-ADAccount jfrost -whatif Što ako: Izvođenje operacije "Set" na cilju "CN=Jack Frost, OU=staff,OU=Testing,DC=GLOBOMANTICS,DC=local".
Sada ga stvarno deaktivirajmo:
PS C:\> Onemogući-ADAAaccount jfrost
A kada dođe vrijeme za aktivaciju računa, koji cmdlet će nam pomoći?
PS C:\> Enable-ADAccount jfrost
Ovi cmdleti mogu se koristiti u cjevovodnom izrazu, omogućujući vam da aktivirate ili deaktivirate onoliko računa koliko želite. Na primjer, ovaj kod će deaktivirati sve račune u odjelu prodaje
PS C:\> get-aduser -filter "department -eq "sales"" | disable-adaccount
Naravno, napišite filter za Get-ADUser prilično komplicirano, ali ovdje je upotreba parametra -Što ako zajedno s cmdletom Onemogući-ADAračun dolazi u pomoć.
Zadatak 3: Otključajte korisnički račun
Razmotrimo situaciju u kojoj je Jack zaključao svoj račun dok je pokušavao unijeti novu lozinku. Umjesto da pokušavate pronaći njegov račun putem GUI-ja, postupak otključavanja može se izvršiti pomoću jednostavne naredbe.
PS C:\> Otključaj-ADAAračun jfrost
Cmdlet također podržava parametre -Što ako I -Potvrdi.
Zadatak 4: Brisanje računa
Nije važno koliko korisnika uklonite - to je lako učiniti pomoću cmdleta Ukloni-ADUser. Ne želim ukloniti Jacka Frosta, ali da želim, upotrijebio bih kod poput ovog:
PS C:\> Remove-ADUser jfrost -whatif Što ako: Izvođenje operacije "Ukloni" na cilju "CN=Jack Frost,OU=staff,OU=Testing,DC=GLOBOMANTICS,DC=local".
Ili mogu unijeti više korisnika i izbrisati ih jednom jednostavnom naredbom:
PS C:\> get-aduser -filter "enabled -eq "false"" -property WhenChanged -SearchBase "OU=Employees, DC=Globomantics,DC=Local" | gdje ($_.WhenChanged -le (Get-Date).AddDays(-180)) | Ukloni-ADuser -što ako
Ova naredba će pronaći i izbrisati sve onemogućene OU račune zaposlenika koji nisu mijenjani 180 dana ili više.
Zadatak 5: Pronalaženje praznih grupa
Upravljanje grupama beskrajan je i nezahvalan zadatak. Postoji mnogo načina za pronalaženje praznih grupa. Neki izrazi mogu funkcionirati bolje od drugih, ovisno o vašoj organizaciji. Kod u nastavku pronaći će sve grupe u domeni, uključujući one ugrađene.
PS C:\> get-adgroup -filter * | gdje (-Ne ($_ | get-adgroupmember)) | Odaberite naziv
Ako imate grupe sa stotinama članova, korištenje ove naredbe može potrajati dugo; Get-ADGroupMember provjerava svaku grupu. Ako možete ograničiti ili prilagoditi, bit će bolje.
Evo još jednog pristupa:
PS C:\> get-adgroup -filter "members -notlike "*" -AND GroupScope -eq "Universal"" -SearchBase "OU=Groups,OU=Employees,DC=Globomantics, DC=local" | Odaberite naziv, grupu*
Ova naredba pronalazi sve univerzalne grupe koje nemaju članstvo u OU grupama i prikazuje neka od svojstava. Rezultat je prikazan na slici 3. 
Riža. 3. Pretraživanje i filtriranje univerzalnih grupa
Zadatak 6: Dodavanje korisnika u grupu
Dodajmo Jacka Frosta IT grupi u Chicagu:
PS C:\> add-adgroupmember "chicago IT" -Članovi jfrost
Da, tako je jednostavno. Također možete jednostavno dodati stotine korisnika u grupe, iako mi je ovo malo nezgodno:
PS C:\> Add-ADGroupMember "Chicago Employees" -member (get-aduser -filter "city -eq "Chicago"")
Koristio sam cjevovodni izraz u zagradama da pronađem sve korisnike koji imaju vlasništvo Grada u Chicagu. Kôd u zagradama se izvršava i rezultirajući objekti se prosljeđuju parametru –Member. Svaki korisnički objekt dodaje se grupi Chicago Employees. Bez obzira radi li se o 5 ili 5000 korisnika, ažuriranje članstva u grupi traje samo nekoliko sekundi. Ovaj se izraz također može napisati pomoću ForEach-Objectšto bi moglo biti zgodnije:
PS C:\> Get-ADUser -filter "city -eq "Chicago"" | foreach (Add-ADGroupMember "Chicago Employees" -Member $_)
Zadatak 7: Navedite članove grupe
Možda želite znati tko je u određenoj skupini. Na primjer, trebali biste povremeno saznati tko je član grupe administratora domene:
PS C:\> Get-ADGroupMember "Administratori domene"
Slika 4 prikazuje rezultat.
Riža. 4. Članovi grupe administratora domene
Cmdlet prikazuje AD objekt za svakog člana grupe. Što učiniti s ugniježđenim grupama? Moja grupa Chicago All Users zbirka je ugniježđenih grupa. Da bih dobio popis svih računa, samo moram upotrijebiti parametar -Ponavljajući.
PS C:\> Get-ADGroupMember "Chicago Svi korisnici" -Rekurzivno | Odaberite DistinguishedName
Ako želite ići drugim putem - pronaći u kojim se grupama korisnik nalazi - koristite svojstvo korisnika Član:
PS C:\> get-aduser jfrost -property Memberof | Odaberite -ExpandProperty memberOf CN=NewTest,OU=Groups,OU=Employees, DC=GLOBOMANTICS,DC=local CN=Chicago Test,OU=Groups,OU=Employees, DC=GLOBOMANTICS,DC=local CN=Chicago IT,OU= Grupe,OU=Zaposlenici, DC=GLOBOMANTICS,DC=lokalno CN=Prodajni korisnici u Chicagu,OU=Grupe,OU=Zaposlenici, DC=GLOBOMANTICS,DC=lokalno
Koristio sam parametar -Proširi svojstvo za prikaz imena Član poput linija.
Zadatak 8: Pronađite zastarjele računalne račune
Često mi postavljaju ovo pitanje: "Kako mogu pronaći zastarjele račune računala?" I uvijek odgovaram: “Što je za vas zastarjelo?” Kompanije imaju različite definicije kada se računalni račun (ili korisnički račun, nije važno) smatra zastarjelim i ne može se više koristiti. Što se mene tiče, obraćam pažnju na one račune čije lozinke nisu promijenjene određeno vrijeme. Ovo razdoblje za mene je 90 dana - ako računalo nije promijenilo lozinku zajedno s domenom tijekom tog razdoblja, najvjerojatnije je offline i zastarjelo. Cmdlet korišten Get-ADComputer:
PS C:\> get-adcomputer -filter "Passwordlastset -lt "1/1/2012"" -properties *| Odaberite ime, posljednju lozinku
Filtar radi odlično s tvrdom vrijednošću, ali ovaj će se kôd ažurirati za sve račune računala koji nisu promijenili svoje lozinke od 1. siječnja 2012. Rezultati su prikazani na slici 5.
Riža. 5. Pronađite zastarjele računalne račune
Druga opcija: pretpostavimo da ste barem na funkcionalnoj razini domene Windows 2003. Filtriraj po svojstvu LastLogontimeStamp. Ova vrijednost je broj intervala od 100 nanosekundi od 1. siječnja 1601. i pohranjena je u GMT-u, pa je rad s ovom vrijednošću malo nezgodan:
PS C:\> get-adcomputer -filter "LastlogonTimestamp -gt 0" -svojstva * | odaberite ime,lastlogontimestamp, @(Name="LastLogon";Expression=(::FromFileTime ($_.Lastlogontimestamp))),passwordlastset | Poredaj LastLogonTimeStamp
Riža. 6. Pretvorite vrijednost LastLogonTimeStamp u poznati format
Da bih stvorio filtar, moram pretvoriti datum, na primjer 1. siječnja 2012., u ispravan format. Konverzija se provodi u FileTime:
PS C:\> $cutoff=(Get-Date "1/1/2012").ToFileTime() PS C:\> $cutoff 129698676000000000
Sada mogu koristiti ovu varijablu u filtru za Get-ADComputer:
PS C:\> Get-ADComputer -Filter "(lastlogontimestamp -lt $cutoff) -or (lastlogontimestamp -notlike "*")" -property * | Odaberite Name,LastlogonTimestamp,PasswordLastSet
Gornji kod pronalazi ista računala koja su prikazana na slici 5.
Zadatak 9: Deaktivirajte račun računala
Možda ćete poželjeti deaktivirati ih kada pronađete neaktivne ili zastarjele račune. Ovo je vrlo lako učiniti. Koristit ćemo isti cmdlet koji smo koristili za rad s korisničkim računima. Možete to pojasniti pomoću samAccountname račun.
PS C:\> Disable-ADAccount -Identity "chi-srv01$" -whatif Što ako: Izvođenje operacije "Set" na cilju "CN=CHI-SRV01, CN=Računala,DC=GLOBOMANTICS,DC=local".
Ili pomoću izraza cjevovoda:
PS C:\> get-adcomputer "chi-srv01" | Onemogući-ADAračun
Također mogu koristiti svoj kod da pronađem zastarjele račune i sve ih deaktiviram:
PS C:\> get-adcomputer -filter "Passwordlastset -lt "1/1/2012"" -properties *| Onemogući-ADAračun
Zadatak 10: Pronađite računala prema vrsti
Također me često pitaju kako pronaći račune računala prema vrsti, kao što su poslužitelji ili radne stanice. To zahtijeva malo kreativnosti s vaše strane. Ništa u AD-u ne razlikuje poslužitelj od klijenta, osim možda OS-a. Ako vaše računalo koristi Windows Server 2008, morat ćete napraviti nekoliko dodatnih koraka.
Najprije trebate dobiti popis operativnih sustava, a zatim filtriramo račune prema dostupnim operativnim sustavima.
PS C:\> Get-ADComputer -Filter * -Properties OperatingSystem | Odaberite OperatingSystem -unique | Poredaj operativni sustav
Rezultati su prikazani na slici 7.
Riža. 7. Dohvaćanje popisa OS-a
Želim pronaći sva računala s operacijskim sustavom poslužitelja:
PS C:\> Get-ADComputer -Filter "OperatingSystem -like "*Server*"" -properties OperatingSystem,OperatingSystem ServicePack | Odaberite Name,Op* | format-list
Rezultati su prikazani na slici 8.
Kao i kod drugih AD Get cmdleta, možete prilagoditi parametre pretraživanja i ograničiti zahtjev na određene OU-ove ako je potrebno. Svi izrazi koje sam pokazao mogu se integrirati u veće PowerShell izraze. Na primjer, možete sortirati, grupirati, primijeniti filtre, izvesti u CSV ili izraditi i poslati e-poštom HTML izvješća - sve iz PowerShell-a! U ovom slučaju nećete morati napisati niti jednu skriptu.
Evo bonusa: izvješće o dobi korisničke lozinke, spremljeno u HTML datoteku:
PS C:\> Get-ADUser -Filter "Omogućeno -eq "True" -AND PasswordNeverExpires -eq "False"" -Svojstva PasswordLastSet,PasswordNeverExpires,PasswordExpired | Odaberite DistinguishedName,Name,pass*,@(Name="PasswordAge"; Expression=((Get-Date)-$_.PasswordLastSet)) |sort PasswordAge -Descending | ConvertTo-Html -Title "Izvješće o starosti lozinke" | Out-File c:\Work\pwage.htm !}
Iako ovaj izraz može izgledati pomalo zastrašujuće, jednostavan je za korištenje uz minimalno znanje o PowerShell-u. I ostaje još samo jedan posljednji savjet: kako definirati prilagođeno svojstvo tzv PasswordAge. Vrijednost predstavlja jaz između današnjeg dana i svojstva PasswordLastSet. Zatim sortiram rezultate za svoj novi posjed. Slika 9 prikazuje izlaz za moju malu testnu domenu.
Ažurirano:
Post sadrži prijevod članka na portalu
Oni koji su se morali nositi sa stvarima poput proračunske tablice u Excelu s popisom 200 novih zaposlenika od sljedećeg tjedna ili korisničkih računa koji su pogrešno konfigurirani jer je netko u Help Desku kliknuo nešto što oni nisu trebali kliknuti, i također, oni koji su zainteresirani za lakši način za upravljanje Active Directory®-om, osim što svaki put otvarate mape Korisnici i Računala, možete koristiti neki od besplatnih administrativnih alata. Neki od njih su ugrađeni izravno u njih operacijski sustav Windows, neki su dostupni u paketu Resource Kit ili Windows Support Toolkit, a neki su besplatni proizvodi trećih strana. Koji su to praktični proizvodi i gdje ih mogu nabaviti? Hajde da vidimo.
Počnimo s ugrađenim alatima naredbenog retka u sustavu Windows Server 2003 koji vam omogućuju stvaranje, brisanje, mijenjanje i pretraživanje objekata u aktivnom imeniku.
Alat CSVDE omogućuje uvoz novih objekata u Active Directory pomoću izvorne CSV datoteke; također pruža mogućnost izvoza postojećih objekata u CSV datoteku. CSVDE se ne može koristiti za izmjenu postojećih objekata; Kada koristite ovaj alat u načinu uvoza, možete stvarati samo nove objekte.
Izvoz popisa postojećih objekata pomoću CSVDE-a vrlo je jednostavan. Sljedeće pokazuje kako eksportirati Active Directory objekte u datoteku pod nazivom ad.csv:
csvde –f oglas.csv
Opcija -f navodi da iza nje slijedi naziv izlazne datoteke. Ali imajte na umu da, ovisno o vašem okruženju, ova osnovna sintaksa može rezultirati ogromnim i nezgodnim izlazom datoteke. Da biste ograničili alat na izvoz samo objekata unutar određene organizacijske jedinice (OU), naredba se može modificirati na sljedeći način:
csvde –f UsersOU.csv –d ou=Korisnici,dc=contoso,dc=com
Pretpostavimo nadalje da samo trebam izvesti korisničke objekte u svoju CSV datoteku. U ovom slučaju, možete dodati opciju –r da navedete filtar LDAP protokola za ovo pretraživanje, što će ograničiti broj izvezenih atributa (imajte na umu da je sve sljedeće u jednom retku):
csvde –f UsersOnly.csv –d ou=Korisnici,dc=contoso,dc=com –r
"(&(objectcategory=osoba)(objectclass=korisnik))" –l
DN,klasa objekta,opis
Opcija –i omogućuje uvoz objekata u Active Directory iz CSV izvorne datoteke. Međutim, stvaranje korisničkih objekata s CSVDE ima jedan važan nedostatak: ne može postaviti korisničke lozinke, tako da ne bih koristio CSVDE za stvaranje korisničkih objekata.
Active Directory pruža drugu ugrađenu skupnu operaciju korisnika nazvanu LDIFDE, koja je snažnija i fleksibilnija od CSVDE-a. Osim stvaranja novih objekata, LDIFDE vam omogućuje izmjenu i brisanje postojećih objekata, pa čak i proširenje sheme Active Directory. Kompromis za fleksibilnost LDIFDE-a je da potrebna ulazna datoteka (LDIF datoteka) s nastavkom .ldf koristi složeniji format od jednostavne CSV datoteke. (Uz malo rada, također možete konfigurirati korisničke lozinke, ali više o tome kasnije.)
Počnimo s jednostavnim primjerom - izvozom korisnika u poslovnoj jedinici u LDF datoteku (imajte na umu da je sljedeće sve u jednom retku):
ldifde -f korisnici.ldf -s DC1.contoso.com -d "ou=UsersOU,dc=contoso,dc=com"
–r "(&(objectcategory=osoba)(objectclass=korisnik))"
Kao i kod većine alata naredbenog retka, potpuni opis LDIFDE opcija može se dobiti pokretanjem LDIFDE /? . prikazani su oni koje sam koristio ovdje. (Imajte na umu da su parametri za naredbe CSVDE i LDIFDE isti.)
Prava snaga LDIFDE-a dolazi od stvaranja i upravljanja objektima. Međutim, prije nego što to učinite, morate stvoriti ulaznu datoteku. Sljedeći kod stvara dva nova korisnička računa - afuller i rking; Da biste stvorili ulaznu datoteku, unesite tekst u Notepad (ili neki drugi uređivač otvorenog teksta) i spremite ga kao NewUsers.ldf:
dn: CN=afuller, OU=UsersOU, DC=contoso, DC=com
vrsta promjene: dodati
cn: punije
objectClass: korisnik
samAccountName: afuller dn: CN=rking, OU=UsersOU, DC=contoso, DC=com
vrsta promjene: dodati
cn:rking
objectClass: korisnik
samAccountName: rking
Nakon što je izrada datoteke dovršena, pokrenite sljedeću naredbu:
ldifde –i –f NewUsers.ldf –s DC1.contoso.com
Jedina nova opcija ovdje je -i, koja, kao što možete pretpostaviti, specificira da je operacija uvoz, a ne izvoz.
Prilikom izmjene ili brisanja postojećih objekata, sintaksa naredbe LDIFDE se ne mijenja; umjesto toga, mijenja se sadržaj LDF datoteke. Da biste izmijenili polje opisa korisničkog računa, stvorite tekstualnu datoteku pod nazivom ModifyUsers.ldf, poput one prikazane na slici. 2.
Riža. 2 LDF datoteke ModifyUsers
Promjene se uvoze pokretanjem iste sintakse LDIFDE naredbe kao i prije, navodeći novu LDF datoteku nakon opcije -f. LDF format za brisanje objekata još je jednostavniji; Za brisanje korisnika s kojima ste radili, kreirajte datoteku pod nazivom DeleteUsers.ldf i unesite sljedeće:
dn: CN=afuller OU=UsersOU, DC=contoso, DC=com
changetype: brisanje dn: CN=rking, OU=UsersOU, DC=contoso, DC=com
vrsta izmjene: brisanje
Imajte na umu da, za razliku od CSVDE, LDIFDE može konfigurirati korisničke lozinke. Međutim, prije nego što možete konfigurirati atribut unicodePWD na korisničkom računu, morate konfigurirati SSL/TLS enkripciju na svojim kontrolerima domene. Osim toga, LDIFDE može kreirati i mijenjati bilo koje objekte Active Directory, ne samo korisničke račune. Na primjer, sljedeća LDF datoteka stvorit će novo proširenje sheme pod nazivom EmployeeID-example u shemi šume contoso.com:
dn: cn=EmployeeID-example,cn=shema,
cn=Konfiguracija,dc=contoso,dc=com
vrsta promjene: dodati
adminDisplayName: EmployeeID-Example
atributID: 1.2.3.4.5.6.6.6.7
atributSintaksa: 2.5.5.6
cn: ID zaposlenika
vrsta instance: 4
isSingleValued: True
lDAPDisplayName: ID zaposlenika-primjer
Budući da LDIFDE datoteke koriste industrijski standardni LDAP format datoteke, aplikacije trećih strana koje trebaju modificirati shemu Active Directory često isporučuju LDF datoteke koje se mogu koristiti za pregled i odobravanje promjena prije njihove primjene u proizvodnom okruženju.
Uz alate za skupne operacije uvoza i izvoza, Windows Server 2003 uključuje ugrađene alate koji vam omogućuju stvaranje, brisanje i izmjenu različitih objekata Active Directory, kao i objekata upita koji zadovoljavaju određene kriterije. (Imajte na umu da ove alate, dsadd, dsrm, dsget i dsquery, ne podržava Active Directory na Windows 2000.)
Dsadd se koristi za stvaranje instance klase objekta Active Directory u određenoj particiji direktorija. Ove klase uključuju korisnike, računala, kontakte, grupe, poslovne jedinice i kvote. Imajte na umu da svaka vrsta stvorenog objekta zahtijeva poseban skup parametara koji odgovaraju atributima dostupnim za tu vrstu. Ova naredba stvara jedan korisnički objekt s različitim popunjenim atributima (imajte na umu da je sve sljedeće u jednom retku):
dsadd korisnika cn=afuller,ou=IT,dc=contoso,dc=com
–samID afuller –fn Andrew –ln Fuller –pwd *
-memberOf cn=IT,ou=Grupe,dc=contoso,dc=com "cn=Desk za pomoć,ou=Grupe,
dc=contoso,dc=com"
– desc "Direktor marketinga"
Parametar -memberOf zahtijeva potpuno kvalificirano razlikovno ime (DN) svake grupe u koju treba dodati korisnika; ako trebate dodati korisnika u više grupa, možete dodati više DN-ova odvojenih razmacima. Ako je element, recite DN grupe Help Desk, sadrži razmak, ovaj element mora biti stavljen u dvostruke navodnike. Ako element, recimo IT\EMEA poslovna jedinica, sadrži obrnutu kosu crtu, morate unijeti obrnutu kosu crtu dvaput: IT\\EMEA. (Ovi se zahtjevi odnose na sve ds* alate.) Korištenje opcije -pwd * od vas će tražiti da u naredbeni redak unesete lozinku za korisnika. Lozinka se može odrediti unutar same naredbe (-pwd P@ssword1), ali tada će biti prikazana u jasnom tekstu na ekranu ili u bilo kojoj tekstualnoj ili skriptnoj datoteci u koju je naredba umetnuta.
Slično, možete stvoriti grupni objekt i poslovnu jedinicu pomoću sljedeće dvije naredbe:
dsadd računalo cn=WKS1,ou=radne stanice,dc=contoso,dc=com
dsadd ou "ou=OU za obuku,dc=contoso,dc=com"
Dsmod se koristi za izmjenu postojećih objekata i radi na isti način kao i dsadd, koristeći različite podizbornike i sintaksu ovisno o vrsti objekta koji se mijenja. Sljedeća naredba dsmod mijenja korisničku lozinku i modificira njihov račun tako da se od njih traži promjena lozinke sljedeći put kada se prijave:
dsmod korisnik "cn=afuller,ou=IT,dc=contoso,dc=com" –pwd P@ssw0rd1
–mustchpwd da
Da vidite koliko su ove opcije slične, pogledajte sintaksu dsadd koja se koristi za stvaranje korisnika s istim konfiguriranim atributima:
dsadd korisnik "cn=afuller,ou=IT,dc=contoso,dc=com" –pwd P@ssw0rd1
–mustchpwd da
Očito, ako znate parametre za stvaranje objekata pomoću dsadd, možete ih koristiti za promjenu korisnika pomoću dsmod.
Suprotno od dsadd je dsrm; Kao što možete zamisliti, ovaj se alat koristi za uklanjanje objekata iz naredbenog retka. Osnovna sintaksa za dsrm prilično je jednostavna: samo upišite dsrm nakon čega slijedi razlikovno ime objekta koji želite izbrisati, otprilike ovako:
dsrm cn=WKS1,ou=Radne stanice,dc=contoso,dc=com
Prema zadanim postavkama, dsrm će pitati "Jeste li sigurni da želite izbrisati ovaj objekt?" Upišite Y i pritisnite Enter. Ovaj se zahtjev može onemogućiti pomoću parametra –noprompt, ali očito će u ovom slučaju nestati mogućnost da se potvrdi da je objekt ispravno odabran prije brisanja. Dvije dodatne opcije mogu biti korisne prilikom brisanja objekta spremnika, odnosno strukturne jedinice koja potencijalno može sadržavati druge objekte. Sljedeća naredba briše organizacijsku jedinicu TrainingOU i sve objekte koje sadrži:
A ovaj briše sve podređene objekte u TrainingOU, ali ne dira samu strukturnu jedinicu:
dsrm ou=TrainingOU,dc=contoso,dc=com –podstablo
-isključiti
Možete koristiti alat dsmove za premještanje ili preimenovanje objekta u Active Directory, ali imajte na umu da se može koristiti samo za premještanje objekata unutar domene. Za migriranje objekata između domena ili šuma upotrijebite Active Directory Migration Tool (ADMT), besplatno preuzimanje od Microsofta. Dsmove se oslanja na dva parametra, koji se mogu koristiti odvojeno ili zajedno. Ova naredba mijenja prezime na korisničkom računu Steve Conn:
dsmove "cn=Conn, Steve,ou=IT,dc=contoso,dc=com"
– novo ime "Steve Conn"
Ova naredba premješta Steve račun iz organizacijske jedinice IT u organizacijsku jedinicu Trening:
dsmove "cn=Conn, Steve,ou=IT,dc=contoso,dc=com" –novi roditelj
ou=Obuka,dc=contoso,dc=com
Preimenovanje i prijenos mogu se izvršiti u jednoj operaciji navođenjem oba parametra odjednom:
dsmove "cn=Conn, Steve,ou=IT,dc=contoso,dc=com" –novo ime
"Steve Conn" –novi roditelj ou=Training,dc=contoso,dc=com
Dsget i Dsquery
Alati naredbenog retka ds* također uključuju dva alata koji se koriste za upite informacija Active Directory-a, a ne za stvaranje ili modificiranje objekata.
Dsget uzima kao ulaz razlikovno ime (DN) objekta i vraća vrijednost navedenog atributa ili atributa. Dsget koristi iste podizbornike kao dsadd i dsmod - "korisnik", "računalo", "kontakt", "grupa", "podjela" i "kvota".
Da biste dobili naziv SAM računa i sigurnosni ID (SID) korisničkog računa, unesite sljedeću naredbu (imajte na umu da je sve sljedeće u jednom retku):
dsget korisnik cn=afuller,ou=IT,dc=contoso,dc=com
–samAccountName –sid
Rezultati će biti slični onima prikazanim na sl. 3.
Riža. 3 Kako radi dsget
Dquery vraća popis Active Directory objekata koji odgovaraju navedenim kriterijima.
Dsquery može koristiti sljedeće podizbornike, svaki sa svojom vlastitom sintaksom, za ObjectType: "računalo", "kontakt", "podmreža", "grupa", "poslovna jedinica", "web stranica", "poslužitelj" (imajte na umu da podizbornik Server dohvaća podatke o kontrolerima domena, a ne poslužiteljima u vašem okruženju), "korisnik", "kvota" i "particija". A ako jedna od ovih vrsta upita nije ono što vam treba, možete koristiti podizbornik * za unos slobodnog oblika LDAP upita. StartNode navodi lokaciju stabla Active Directory gdje će započeti pretraživanje. Možete koristiti određeni DN, kao što je ou=IT,dc=contoso,dc=com, ili jedan od sljedećih deskriptora kratke staze: domainroot, počevši od korijena određene domene, ili forestroot, počevši od korijena šumska korijenska domena, koristeći poslužitelj globalnog kataloga za izvođenje pretraživanja.Na kraju, parametar opsega pretraživanja određuje kako dsquery treba pretraživati stablo Active Directory. Ankete podstabla (zadana opcija) pristupaju navedenom početnom čvoru i svim njegovim potomcima, srodne ankete pristupaju samo neposrednim potomcima početnog čvora, a osnovne ankete pristupaju samo objektu početni čvor. Da biste bolje razumjeli opsege pretraživanja, zamislite organizacijsku jedinicu (OU) koji sadrži i korisničke objekte i podređeni OU, koji također sadrži dodatne objekte. Kada koristite podstablo kao opseg, OU, svi korisnički objekti unutar njega, podređeni OU i njegov sadržaj bit će upitani. S jednorazinskim opsegom, samo će korisnici sadržani u OU-u biti upitani, ali ne i podređeni OU i njegov sadržaj. Osnovni upit postavlja upit samo OU-u, bez upita za objekte koje sadrži. Na kraju, možete koristiti izlazni format za kontrolu formatiranja rezultata dsqueryja. Prema zadanim postavkama, dsquery vraća različita imena svih objekata koji odgovaraju upitu, otprilike ovako:
"cn=afuller,ou=Training,dc=contoso,dc=com"
"cn=rking,ou=ITTraining,ou=Training,dc=contoso,dc=com" Za postavljanje upita svim korisničkim objektima sadržanim u IT poslovnoj jedinici i njezinim podređenim OU-ovima, koristite sljedeće:
dsquery korisnik ou=IT,dc=contoso,dc=com
Upit se može učiniti još preciznijim dodavanjem dodatnih opcija, kao što je -disabled, koja vraća samo onemogućene korisničke račune; -neaktivan x, vraća samo korisnike koji se nisu povezali x ili više tjedana; ili -stalepwd x, vraća samo korisnike koji nisu promijenili svoje lozinke x dana ili više.
Ovisno o broju objekata u direktoriju, možda ćete morati navesti opciju -limit x prilikom pokretanja upita. Prema zadanim postavkama, dsquery vraća do 100 objekata koji odgovaraju parametrima upita; ali možete navesti veći broj, kao što je -limit 500, ili koristiti -limit 0 da bi dsquery vratio sve podudarne objekte.
Također možete koristiti druge podizbornike za izvođenje korisnih upita za druge vrste objekata. Razmotrite sljedeći upit koji vraća svaku podmrežu definiranu u stranicama i uslugama aktivnog imenika i uključenu u adresni prostor 10.1.x.x:
dsquery subnet – naziv 10.1.*
I sljedeća naredba može se koristiti za vraćanje svake podmreže koja se nalazi na web stranici Corp:
dsquery subnet – site Corp
Pomoću sljedećeg podizbornika možete brzo odrediti koliko je kontrolera domene u šumi konfigurirano da rade kao poslužitelji globalnog kataloga:
dsquery poslužitelj –šuma –isgc
Također možete upotrijebiti ovu sintaksu da biste lakše identificirali kontroler domene u određenoj domeni koja sadrži FSMO ulogu emulatora primarnog kontrolera domene (PDC):
dsquery poslužitelj –hasfsmo pdc
Kao i kod drugih ds* naredbi koje uključuju podizbornike, sve opcije dostupne u određenom dsquery podizborniku mogu se vidjeti unosom naredbeni redak i unos dsquery korisnik /?, dsquery računalo /?, dsquery subnet /?, i tako dalje.
Dodatni je trik prenijeti odlazne dsquery podatke u drugi alat, kao što je dsmod, koristeći | (SHIFT+obrnuta kosa crta za engleski raspored tipkovnice). Na primjer, tvrtka je preimenovala odjel iz "Obuka" u "Interni razvoj" i sada treba ažurirati polje opisa za svakog korisnika koji pripada tom odjelu. Pomoću jedne naredbene linije možete postaviti upit svim korisničkim objektima koji imaju polje opisa opskrbe, a zatim zamijeniti to polje opisa za cijeli paket na sljedeći način:
dsquery korisnik – opis "Obuka" | dsmod
-opis "Interni razvoj"
Neki nalazi trećih strana
Budući da se Active Directory temelji na LDAP standardima, možete postavljati upite i mijenjati ga pomoću bilo kojeg alata koji razumije LDAP. Mnogi dobavljači trećih strana izdali su plaćene alate za pomoć u administraciji Active Directoryja, ali ponekad možete pronaći prave dragulje koji su besplatni. To se posebno odnosi na zbirku koju je stvorio Joe Richards, MVP imeničkih usluga i koja je dostupna za preuzimanje na joeware.net/freetools. U njemu možete pronaći brojne alate koji služe za rješavanje raznih problema. Tri od njih kojima se stalno vraćam su adfind, admod i oldcmp.
Adfind i Admod
Adfind i admod slični su dsquery i dsmod; adfind je alat za upite naredbenog retka za Active Directory, a admod može stvarati, brisati ili mijenjati objekte Active Directoryja.
Za razliku od ds* alata, koji imaju više podizbornika i različite opcije ovisno o vrsti objekta, adfind i admod koriste istu sintaksu bez obzira na vrstu upita ili promjene koja se izvodi. Osnovna sintaksa za adfind je:
adfind –b -s -f
atributiŽeljeni
Upit za razlikovno ime i opis svih računalnih objekata u domeni izgledao bi ovako:
adfind –b dc=contoso,dc=com –s podstablo –f (objectclass=računalo) dn
opis
Upit za sve korisničke objekte izgledao bi ovako:
adfind –b dc=contoso,dc=com –s podstablo –f "(&(objectcategory=osoba)
(objectclass=user))" dn opis
Imajte na umu da osim upita za LDAP sadržaj, sintaksa nije promijenjena.
Kada radite s adfindom, možete pronaći nekoliko prečaca za pisanje parametara koji eliminiraju nepotrebno tipkanje. Na primjer, opcija -default mogla bi zamijeniti -b dc=contoso,dc=com u prethodnom primjeru i pretražiti cijelu domenu; -gc pretražuje na temelju skupljanja smeća (GC) i vraća sve korisnike u vašoj šumi aktivnog imenika. Opcija -rb također se može koristiti za postavljanje relativne baze za pretraživanje; ako, recimo, trebate pronaći strukturnu jedinicu "Obuka" u domeni phl.east.us.contoso.com, tada možete značajno uštedjeti vrijeme jednostavnim navođenjem –default –rb ou=Training, umjesto –b ou= Obuka, dc=phl, dc=east,dc=us,dc=contoso,dc=com.
Adfind također može izvesti niz naprednih funkcija pretraživanja kojima je teško upravljati iz naredbenog retka bez njega.
Primjer koji koristi opciju -asq zahtijevao bi "Pokaži mi članstvo u grupi članova HelpDeska" ovako:
adfind –default –rb cn=HelpDesk,ou=IT –asq member memberOf
Admod, kao što naziv programa sugerira, koristi se za modificiranje objekata u Active Directory. Kao i kod adfind-a, ne postoje specijalizirani podizbornici s vlastitom sintaksom koju trebate zapamtiti; admod koristi istu sintaksu bez obzira na vrstu objekta koji se obrađuje. Admod se također može koristiti za dodavanje, premještanje, preimenovanje, brisanje, pa čak i vraćanje objekata jednostavnim dodavanjem odgovarajuće opcije, recimo -add, -rm, -move, -undel. I baš kao u dsquery i dsmod, | može se koristiti za usmjeravanje podataka zahtjeva adfind u admod.
Imajte na umu da je izvođenje vraćanja pomoću admoda jednostavna operacija vraćanja nadgrobnog objekta u kojem je većina atributa objekta već uklonjena. Za potpuno vraćanje objekta sa svim atributima, morat ćete izvršiti prisilno vraćanje objekta.
Postoji još jedan alat iz Joeove zbirke programa koji smatram bitnim dijelom svog alata za automatizaciju: oldcmp, koji pretražuje bazu podataka Active Directory za vjerodajnice računala koja nisu korištena određeni broj tjedana i može učiniti sljedeće:
- kreirati izvješća o računima bez poduzimanja bilo kakve radnje na njima;
- onemogućiti račune koji se ne koriste;
- premjestiti račune računala u drugu, unaprijed određenu strukturnu jedinicu;
- potpuno izbrisati računalne račune.
Napominjem da, budući da oldcmp može uzrokovati ozbiljnu pustoš imenika, dolazi s nekoliko ugrađenih sigurnosnih značajki. Ne briše račune koji prethodno nisu bili onemogućeni (osim ako ste rekli "Ne, stvarno želim to učiniti!" u naredbenom retku). Ne mijenja više od 10 objekata odjednom (osim ako je, opet, izričito navedeno drugačije), i nikada neće učiniti ništa s računom računala kontrolera domene.
Joe je sada ažurirao oldcmp tako da također može izvoditi slične funkcije na korisničkim računima koji nisu korišteni određeno vremensko razdoblje.
Za malo okruženje Active Directory, ili ono u kojem radite sa samo jednim ili dva dodatka ili promjene odjednom, GUI alati kao što su Active Directory korisnici i računala mogu biti dovoljni za svakodnevnu administraciju, ali treba ih dodati na dnevnoj bazi.ili mijenjanje velikog broja objekata ili jednostavno u želji za pronalaženjem učinkovitijeg rješenja za administrativne zadatke, prebacivanje na naredbeni redak može uvelike ubrzati proces kreiranja, mijenjanja i brisanja objekata u Active Directory. Kao što je gore prikazano, postoji niz fleksibilnih i snažnih besplatnih alata koji su ugrađeni u sustav Windows i distribuirani od strane članova zajednice Active Directory. Svaki od njih može uvelike poboljšati produktivnost Active Directory administratora, a zajedno postaju još važniji za njegov svakodnevni rad.
Laura E. Hunter četverostruka je Microsoftova MVP za Windows Server Networking Tools. Autorica je drugog izdanja Referentnog vodiča za Active Directory (O'Reilly, 2006.). S deset godina iskustva u IT industriji, Laura sada radi kao dizajnerica Active Directoryja za inženjersku tvrtku svjetske klase. Ona također ima nekoliko industrijskih certifikata i čest je govornik na sastancima korisničkih grupa i industrijskim konferencijama.
