17.03.2014 Darren Mar Elia
Amikor először megjelent a Windows PowerShell, sokan elkezdték kérdezni, hogy lehet-e kezelni Active Directory(AD) a PowerShell használatával. Akkoriban a Microsoft válasza nem az volt, amit a legtöbb rendszergazda szívesen hallana. A PowerShellben volt egy beépített Active Directory Service Interfaces (ADSI) "típusgyorsító" az AD-objektumok elérésére, de a felhasználónak többnyire azt kellett kitalálnia, hogy a PowerShell segítségével önállóan hajtson végre AD-adminisztrációs feladatokat. Jelentős változások történtek a megjelenéssel Windows Server 2008 R2, amely bemutatta az Active Directory PowerShell modult. Az AD-modul tartalmaz egy parancskészletet az AD-kezeléshez, valamint egy AD-szolgáltatót, amely lehetővé teszi, hogy szimbolikus meghajtóként navigáljon az AD-ben. Ebben a cikkben bemutatom, hogyan kell telepíteni az AD-modult, és részletesen leírom, hogyan működik.
Amikor a Windows PowerShell először megjelent, sokan elkezdték kérdezni, hogy az Active Directory (AD) kezelhető-e a PowerShell segítségével. Akkoriban a Microsoft válasza nem az volt, amit a legtöbb rendszergazda szívesen hallana. A PowerShellben volt egy beépített Active Directory Service Interfaces (ADSI) "típusgyorsító" az AD-objektumok elérésére, de a felhasználónak többnyire azt kellett kitalálnia, hogy a PowerShell segítségével önállóan hajtson végre AD-adminisztrációs feladatokat. Nem sokkal később a Quest Software ingyenes parancskészletet biztosított az AD adminisztrációs feladataihoz, beleértve az AD-objektumok létrehozását, módosítását és törlését, valamint az objektumok keresését az AD-ben. A PowerShell és az AD-kezelés állapota hosszú ideig ilyen volt.
Jelentős változások történtek a Windows Server 2008 R2 kiadásával, amely bevezette a PowerShell modult az Active Directoryhoz. Az AD-modul tartalmaz egy parancskészletet az AD-kezeléshez, valamint egy AD-szolgáltatót, amely lehetővé teszi, hogy szimbolikus meghajtóként navigáljon az AD-ben. Ebben a cikkben bemutatom, hogyan kell telepíteni az AD-modult, és részletesen leírom, hogyan működik.
Az Active Directory modul telepítése
A korábbi eszközökkel ellentétben, amelyek LDAP-t használtak az AD-vel való kommunikációhoz, az AD-modul Active Directory Web Services (ADWS) protokollokat használ az AD-tartományvezérlővel (DC) való kommunikációhoz. Ezeket a protokollokat az MSDN „Active Directory Web Services Overview” című blogja részletezi, de elég annyit mondani, hogy az AD-modulban és az Active Directory felügyeleti központjában (ADAC) található PowerShell-parancsok ADWS-t használnak az AD-vel való kommunikációhoz és információk lekéréséhez.
Amikor Windows Server 2012 vagy Server 2008 R2 tartományvezérlőket telepít egy AD-tartományba, az ADWS-protokoll mindegyiken telepítve és alapértelmezés szerint elindul. Ha a tartománya teljes egészében Windows Server 2008 vagy Windows Server 2003 tartományvezérlőkből áll, az ADWS-t külön kell telepítenie. A Microsoft erre a célra ingyenesen biztosítja az Active Directory Management Gateway Service csomagot. Ha a csomagot legalább egy AD Server 2008 vagy Server 2003 tartományvezérlőre telepíti, használhatja a PowerShell AD-modulját az ADAC-val együtt.
Maga az AD-modul alapértelmezés szerint minden Server 2012-t vagy Server 2008 R2-t futtató DC-re telepítve van. Tovább Windows számítógépek 8 és Windows 7 (vagy a Server 2012 vagy Server 2008 R2 rendszert futtató DC-től eltérő számítógépek) esetén telepítenie kell a Távoli kiszolgálófelügyeleti eszközöket a Microsoft letöltőközpontjából.
Függetlenül attól, hogy a Remote Server Administration Tools előzetesen vagy külön telepítve van-e a számítógépen, a következő lépés a Vezérlőpult Programok telepítése/eltávolítása szakaszának megnyitása, és a bal oldali menü Windows szolgáltatásainak be- és kikapcsolása eleme. Görgessen le a Windows szolgáltatás párbeszédpanelen a Távoli kiszolgálófelügyeleti eszközök szakaszhoz. Keresse meg az Active Directory Module for Windows PowerShell jelölőnégyzetet a \Remote Server Administration Tools\Role Administration Tools\AD DS and AD LDS Tools mappában, az 1. ábrán látható módon. Jelölje be a jelölőnégyzetet, majd kattintson az OK gombra a modul telepítéséhez.
Ekkor a Start menü Felügyeleti eszközök szakaszában látnia kell az Active Directory Module for Windows PowerShell parancsikont. Kattintson erre a parancsikonra a PowerShell elindításához az AD-modul betöltésével. Ha már használja a PowerShellt, és csak egy modult szeretne betölteni, hogy az elérhető legyen, akkor a következő parancs begépelésével hozzáférhet az AD és AD Provider parancsokhoz:
Import-Module ActiveDirectory
Most nézzük meg, hogyan navigálhat az AD-ben az AD Provider segítségével.
Az Active Directory Provider használata
A PowerShell a PowerShell-meghajtók koncepcióját valósítja meg, amelyeket egyszerűen PS-meghajtóknak fogok nevezni. A PS-meghajtó leegyszerűsített kifejezése egy erőforrás reprezentációja, például egy mappákból és levelekből álló navigálható fájlrendszer. Nem minden erőforrás ábrázolható így, de sok (beleértve az AD-t és a registry-t is) jól illeszkedik ebbe a modellbe. Az AD modul tartalmazza a PS AD lemezszolgáltatót. Ennek megfelelően mozoghat, sőt módosíthatja az AD-t, mintha fájlrendszer lenne.
Tehát hogyan navigálhat a hirdetésben az AD Provider segítségével? Feltételezi, hogy a PowerShell nyitva van, és az AD-modul be van töltve. Ebben az esetben az első lépés a Set-Location parancs futtatása, amelynek több álneve van, beleértve az sl-t és a cd-t:
Hely hirdetés beállítása:
Ez a parancs megváltoztatja a PS AD meghajtó aktuális munkapozícióját. Ennek eredményeként a PowerShell prompt az AD:\ szöveget fogja megjeleníteni a C:\ helyett. Ezután a PS AD meghajtón lévő elemek megtekintéséhez használja a Get-ChildItem parancsot a dir álnévvel:
Get-ChildItem
A 2. képernyő egy példát mutat az eredményre a számítógépemen.
Amint látjuk, a parancs az összes elérhető tartománypartíció listáját adja vissza. A legérdekesebb szerintem a cpandl nevű domain szekció, amely felhasználó- és számítógépneveket tartalmaz. A tartomány megváltoztatásához írja be a következő parancsot:
Hely beállítása "dc=cpandl,dc=com"
Vegye figyelembe, hogy a Hely beállítása parancs az AD tartományom megkülönböztető nevét (DN) használja. Ez szükséges a helyes navigációhoz. A tartománykönyvtárba való navigálás után (amint azt az AD:\dc=cpandl,dc=com parancssor jelzi a PowerShellben), a Get-ChildItem paranccsal megtekintheti a legfelső szintű AD-struktúrát (3. ábra).
.jpg) |
| 3. ábra: Az AD-hierarchia legfelső szintjének megtekintése |
Ha egy szervezeti egység (OU) SDM felhasználóit szeretné megtekinteni, akkor ehhez a szervezeti egységhez való navigáláshoz írja be:
Beállítási hely "OU=SDM"
A PowerShell parancssor így fog kinézni: AD:\ou=SDM,dc=cpandl,dc=com. Tovább ezt a szakaszt a Get-ChildItem paranccsal megtekintheti az összes felhasználói objektumot ebben a szervezeti egységben. Ha meg akarom változtatni a Leírás tulajdonságot a Darren Mar-Elia felhasználói fiókomat képviselő felhasználói objektumon. Erre van egy csapat! A Set-ItemProperty parancs lehetővé teszi egy tulajdonság megváltoztatását egy AD-objektumban. Ha a felhasználói fiók leírását Chief Techie-re szeretné módosítani, futtassa a parancsot:
Set-ItemProperty -Path ".\CN=Darren Mar-Elia" ` -Név "Leírás" -Érték "Chief Techie"
Amint látjuk, itt a -Path paramétert használjuk a felhasználói fiókom megadására az aktuális könyvtárban. A -Name paramétert is használom annak jelzésére, hogy a Description tulajdonságot módosítani kell, a -Value paraméterrel pedig a Chief Techie leírását.
Vegye figyelembe, hogy ha egy adott tulajdonságértékkel rendelkező összes objektumot meg szeretne találni, használhatja a Get-ItemProperty parancsot. Ha csak hivatkozást szeretne kapni egy AD objektumra, használja a Get-Item parancsot.
Mint látható, az AD-vel ilyen módon dolgozni meglehetősen egyszerű. A mechanizmus aligha alkalmas tömeges módosításokra, de kényelmes az AD-vel, mint fájlrendszerrel való munkához. Azt tapasztaltam azonban, hogy a legtöbb rendszergazda parancsokat használ a PS AD-meghajtó helyett az AD kezeléséhez. Nézzük meg, hogyan működnek ezek a parancsok.
Active Directory parancsok alkalmazása
A Windows 7 rendszerhez tartozó AD modul 76 parancsot tartalmaz az AD kezeléséhez. Szinte bármilyen célra használhatók, beleértve az AD-objektumok megkeresését, az AD-objektumok létrehozását és törlését, valamint az AD-beállításokkal kapcsolatos információk kezelését (például erdőmód és finomszemcsés jelszóházirend). A parancsokat általában olyan igék szerint csoportosítják, mint az Add-, Remove-, Get- és Set-. Ne feledje, hogy nem minden Get-parancshoz tartozik megfelelő Set-parancs, és fordítva, ezért néha erőfeszítésbe telik megtalálni kívánt parancsot a feladathoz. Például beállíthatja az AD erdő funkcionalitási szintjét a Set-ADForestMode segítségével, de az erdő aktuális funkcionalitási szintjének megállapításához a Get-ADForest parancsot kell használnia, és meg kell néznie a ForestMode tulajdonságot a visszaadott objektumon.
Nézzünk meg néhány gyakori feladatot, amelyeket AD-parancsokkal lehet végrehajtani. Különösen azt mutatja meg, hogyan vehet fel felhasználói fiókokat, hogyan kezelheti a csoporttagságot, hogyan állíthatja vissza a felhasználói fiókok jelszavait, és hogyan kereshet AD-objektumokban.
Felhasználói fiókok hozzáadása
A New-ADUser parancs egyszerű módot kínál felhasználói fiókok hozzáadására az AD-hez. Ha új Bill Smith nevű felhasználói fiókot kell hozzáadnia az SDM OU-hoz, akkor a legegyszerűbb esetben a következő paranccsal hozhat létre új felhasználói fiókot:
Új-ADUser -Név "Bill Smith" -SamAccountName "bsmith" ` -GivenName "Bill" -Vezetéknév "Smith" ` -Megjelenítési név "Bill Smith" -Útvonal "OU=SDM,DC=cpandl,DC=com"
Ez a parancs a felhasználói fiók alapvető adatait adja meg. A -SamAccountName paraméter különösen a felhasználói objektum létrehozásához szükséges SAM-fiók nevének megadására szolgál. A –Path paraméter azt is megmondja, hogy a parancs hol helyezze el az objektumot, ebben az esetben az SDM OU-t a cpandl.com tartományban. Ezenkívül a felhasználó keresztneve (-GivenName paraméter), vezetékneve (-Surname paraméter) és megjelenített neve (-DisplayName paraméter) meg van adva.
A parancs futtatásával létrejön egy felhasználói fiók, de két probléma van. Először a fiók letiltásra kerül. Másodszor, a fiókhoz nem lesz társítva jelszó, ami a legtöbb tartományban kötelező.
A fiók aktiválásának és a jelszó külön hozzárendelésének elkerülése érdekében módosíthatja a New-ADUser parancsot. A New-ADUser automatikusan engedélyezi a fiókot, ha a parancsban megadja az -Enabled $true opciót. Az aktiváláshoz jelszó szükséges, ezért azt is meg kell adni a parancsban.
A –AccountPassword paraméterrel megadhat jelszót. A jelszót azonban nem adhatja meg egyszerű szöveggel a parancssorban. Ehhez a beállításhoz a jelszót egy biztonságos karakterláncban kell megadni (azaz SecureString adattípusú). A jelszó biztonságos karakterláncsá alakításának két módja van, és mindkét esetben változót használunk.
Az első módszer a ConvertTo-SecureString parancsot használja, amely az egyszerű szöveges karakterláncokat biztonságos karakterláncokká alakítja. Például, ha meg kell változtatnia a jelszót [e-mail védett] egy biztonságos karakterlánchoz, és rendelje hozzá a $pwd változóhoz, futtassa a parancsot:
$pwd = ConvertTo-SecureString -string " [e-mail védett]» ` -AsPlainText –erő
Ez nem a legbiztonságosabb módszer a jelszó hozzárendelésére, mert előfordulhat, hogy valaki átnéz a válla fölött, amikor beírja a parancsot. Megbízhatóbb módszer, ha a New-ADUser parancs jelszót kér, és elrejti a beírt karaktereket. Ezt megteheti a Read-Hostcmdlet paranccsal az -AsSecureString paraméterrel:
$pwd = Read-Host -AsSecureString
A parancs végrehajtása után a képernyőn a jelszó beírásakor az ismerős “*” szimbólum jelenik meg, majd a beírás befejeztével nyomja meg az Enter billentyűt.
Miután a jelszót a $pwd változóban tárolta, átadhatja a New-ADUser parancsnak:
Új-ADUser -Név"Bill Smith"-SamAccountName"bsmith"` -GivenName"Bill"-Vezetéknév"Smith"` -Megjelenítési név"Bill Smith"` -Útvonal"OU=SDM,DC=cpandl,DC=com"` - Engedélyezve: $true -AccountPassword $pwd
Amint látjuk, a parancs tartalmazza az -Enabled és -AccountPassword opciókat, amelyek engedélyezik a fiókot és biztonságosan hozzárendelnek egy jelszót.
A felhasználói fiókok egyenkénti létrehozása remek módszer, de néha több fiókot is létre kell hoznia egyszerre. A PowerShell kiválóan alkalmas erre a célra. Ha például három felhasználói fiókot kell létrehoznia, elkészíthet egy vesszővel tagolt érték (CSV) fájlt, amely fiókadatokat tartalmaz, majd az Import-CSV paranccsal átadhatja ezeket az információkat a New-ADUsernek.
A 4. ábra egy userlist.csv nevű CSV-fájlt mutat be.
Vegye figyelembe, hogy ebben a fájlban az oszlopfejlécek megegyeznek az előző New-ADUser parancsban megadott paraméternevekkel. Szándékosan készült. Amikor a CSV-adatokat átadja a New-ADUsernek, a parancs ezeket a paraméterneveket veszi fel a PowerShell-folyamatból, és magában a parancsban nem kell megadni. Íme a három felhasználói fiók létrehozásához használt parancs:
Import-CSV -C elérési út:\data\userlist.csv | New-ADUser -Engedélyezve $true -AccountPassword $pwd
Mint látható, az Import-CSV parancs kimeneti sorai a New-ADUser parancshoz mennek. A folyamat felismeri, hogy a CSV-fájl oszlopfejlécei paraméternevek, a többi sor pedig értékeket tartalmaz, ezért csak az -Enabled és -AccountPassword paramétereket kell megadnia. Ez egy kiváló csővezeték-képesség. Ez sokkal hatékonyabbá teszi a PowerShell használatát az ilyen típusú automatizálási feladatokhoz.
Csoporttagság kezelése
A felhasználói és számítógépfiókok hozzáadása gyakori AD-kezelési feladat. Az AD modul segítségével ez viszonylag egyszerűen megtehető. Az Add-ADGroupMember paranccsal egy vagy több fiókot adhat hozzá egy csoporthoz. Például, ha három új felhasználót szeretne hozzáadni a Marketingfelhasználók csoporthoz. A legegyszerűbb módja a parancs használata:
Add-ADGroupMember -Identity»Marketing Users«` -Members jadams,tthumb,mtwain
Ebben a parancsban az -Identity paraméter adja meg a csoport nevét. A -Members opció a felhasználók SAM-fiókneveinek megadására is szolgál. Ha több SAM-fióknév is van, akkor azokat egy vesszővel tagolt fájlban kell megadni.
A feladat egy lépésben történő végrehajtásához kombinálhatja a három fiók létrehozásának és a Marketing-felhasználók csoporthoz való hozzáadásának lépéseit egy paranccsal. Az Add-ADGroupMember parancs azonban nem támogatja a csoporttagnevek átadását a folyamatnak. Ezért a folyamat használatához az Add-ADPrincipalGroupMembership parancsot kell használnia. Ez a parancs felhasználói, számítógépes vagy csoportobjektumokat vehet be a folyamatból, és hozzáadhatja ezeket az objektumokat a megadott csoporthoz.
A felhasználók létrehozásának műveletét a Marketing-felhasználók csoportba új felhasználók hozzáadásának műveletével kombinálhatja egy parancsban az alábbiak szerint:
Import-CSV -C elérési út:\data\userlist.csv | New-ADUser -Enabled $true -AccountPassword $pass ` -PassThru | Add-ADPrincipalGroupMembership ` -MemberOf"Marketing Users"
Vegye figyelembe, hogy a -PassThru paraméter hozzáadásra került a parancs New-ADUser részéhez. Ez a paraméter arra utasítja a New-ADUser-t, hogy adja át a generált felhasználói objektumokat a folyamatnak. Ha ez a paraméter nincs megadva, az Add-ADPrincipalGroupMembership parancs sikertelen lesz.
Figyelemre méltó az is, hogy a parancs Add-ADPrincipalGroupMembership szakaszában csak a -MemberOf paramétert használjuk a csoportnév megadására. A folyamat elvégzi a többit úgy, hogy mind a három felhasználót hozzáadja a Marketingfelhasználók csoporthoz.
Így egyetlen PowerShell-parancs segítségével három új felhasználó jött létre, amelyeket egy szervezeti egységbe helyeztek, jelszavakat kaptak, és hozzáadtak a Marketing-felhasználók csoporthoz. Most nézzünk meg néhány más tipikus AD-karbantartási feladatot, amelyek automatizálhatók a PowerShell és az AD-modul segítségével.
Állítsa vissza a felhasználói fiók jelszavait
Néha a felhasználóknak vissza kell állítaniuk fiókjuk jelszavát. Ezt a feladatot egyszerűen automatizálhatja a Set-ADAccountPassword paranccsal a fiók jelszavának megváltoztatásával vagy visszaállításával. A jelszó megváltoztatásához ismernie kell a régi jelszót, és meg kell adnia egy újat. Jelszava visszaállításához csak adjon meg egy új jelszót. A jelszó visszaállításához azonban jelszó-visszaállítási engedélyre van szüksége a felhasználói objektumhoz az AD-ben.
A New-ADUser parancs -AccountPassword opciójához hasonlóan a Set-ADAccountPassword parancs a SecureString adattípust használja a jelszavakhoz, ezért az egyszerű szöveges jelszavak biztonságos karakterláncokká alakításához az egyik módszert kell használnia. Ha például vissza szeretné állítani a Tom Thumb felhasználói fiók jelszavát, akkor az új jelszó biztonságos karakterláncként való mentése után a $pass változóban futtathatja a következő parancsot:
Set-ADAccountPassword -Identity"tthumb"` -NewPassword $pass -Reset
Ebben a parancsban az -Identity paraméterrel SAM-fióknevet rendelek a Tom Thumb felhasználói fiókhoz. Beírom a -NewPassword opciót is a $pass változóval, hogy új jelszót adjak meg. Végül a -Reset opció azt jelzi, hogy a jelszó megváltoztatása helyett visszaállítás történik.
Egy másik választható feladat: kapcsolja át Tom Thumb felhasználói fiókjának jelzőjét, hogy a következő bejelentkezéskor jelszómódosításra kényszerítse. Ez egy gyakori technika a felhasználó jelszavának visszaállításánál. Ez a feladat a Set-ADUser paranccsal hajtható végre, ha a -ChangePasswordAtLogon paramétert $true értékre állítja:
Set-ADUser -Identity tthumb -ChangePasswordAtLogon $true
Felmerül a kérdés, hogy miért nem használtak egy folyamatot a Set-ADAccountPassword parancs kimenetének a Set-ADUser parancshoz történő továbbításához, hogy mindkét műveletet egyetlen PowerShell-parancsban hajtsák végre. Kipróbáltam ezt a módszert, nem működik. Valószínűleg van néhány korlátozás a Set-ADAccountPassword parancsban, amely megakadályozza egyetlen parancs sikeres futtatását. Mindenesetre elegendő, ha egyszerűen átkapcsolja a jelzőt a Set-ADUser paranccsal, amint az fent látható.
Active Directory objektumok keresése
Egy másik tipikus AD-feladat a bizonyos feltételeknek megfelelő AD objektumok megtalálása. Megtalálhatja például az összes olyan számítógépet, amelyen a Windows operációs rendszer egy adott verziója fut egy AD-tartományban. A Get-ADObject parancs a legkényelmesebb LDAP-keresési parancs. Például a Server 2008 R2 számítógépek megtalálásához a cpandl.com tartományban a következő parancsot használták:
Get-ADOBject -LDAPFilter ` "(&(operatingSystem=Windows Server 2008 R2 Enterprise)` (objectClass=számítógép))"-SearchBase"dc=cpandl,dc=com"` -SearchScope részfa
Ez a parancs három paramétert használ a feladat végrehajtásához: -LDAPFilter, -SearchBase és -SearchScope. Az -LDAPFilter paraméter egy szabványos LDAP lekérdezést vesz be bemenetként. Ez a példa lekérdezi az összes számítógépobjektumot, amelynek OperatingSystem attribútuma Windows Server 2008 R2 Enterprise-ra van állítva. A -SearchBase paraméter megmondja a parancsnak, hogy hol kezdje el a keresést az AD-hierarchiában. Ebben az esetben a keresés az AD tartomány gyökérkönyvtárából történik, de nem nehéz egy adott szervezeti egységre korlátozni a keresést. A -SearchScope paraméter megadja a parancsnak, hogy feltérképezze-e az összes tárolót a keresési alap alatt, és megkeresi a megadott objektumokat. Ebben az esetben a részfa paramétert arra használjuk, hogy a parancs ellenőrizze az összes mögöttes tárolót.
A parancs futtatásakor a feltételeknek megfelelő objektumok jelennek meg. Vagy elküldheti az eredményeket egy másik parancsnak a talált objektumok feldolgozásához.
Vegye figyelembe, hogy nagy keresések esetén hasznos a -ResultPageSize paraméter használata a keresési eredmények oldalszámozásának szabályozására. Általában ezt a paramétert 1000-re állítom, és a Get-ADObject parancs egyszerre 1000 objektumot ad vissza. Ellenkező esetben előfordulhat, hogy nem kapja meg a várt eredményt, mert a visszaadott objektumok száma meghaladja az egyetlen keresési kérelemre beállított házirend által megengedett maximális értéket.
A Microsoft által biztosított másik keresési parancs a Search-ADAccount. Ez a parancs különösen hasznos különféle előre meghatározott feltételekkel való kereséshez, például letiltott fiókok, lejárt jelszavakkal rendelkező fiókok és zárolt fiókok esetén. Például a következő parancs megkeresi az összes lejárt jelszóval rendelkező felhasználói fiókot az SDM szervezeti egységben:
Search-ADAccount -PasswordExpired -UsersOnly ` -SearchBase"OU=sdm,dc=cpandl,dc=com"` -SearchScope OneLevel Search-ADAccount -PasswordExpired -UsersOnly ` -SearchBase"OU=sdm,dc=cpandl",dc=com ` -SearchScope OneLevel
Ez a parancs a -PasswordExpired paramétert használja annak meghatározására, hogy lejárt jelszavakkal rendelkező fiókokra van szükség. A -UsersOnly paraméter határozza meg, hogy csak a felhasználói objektumok között kell keresni (vagyis kizárni a "számítógépes" objektumokat). Az előző példához hasonlóan a -SearchBase és a –SearchScope paraméterek a keresési hatókör meghatározására szolgálnak. De ebben az esetben a OneLevel paramétert használom, hogy csak a legközelebbi szervezeti egységben keressek (vagyis kizárva az alárendelt szervezeti egységeket).
Ez csak egy futó pillantás az AD modulra, de remélem, van fogalmad arról, mire képes. Mint fentebb említettük, a modulban több mint 70 parancs található. A cikkben nem tárgyalt témák közé tartozik az objektumok törlése a Remove- paranccsal, a törölt objektumok visszaállítása a Restore-ADObject paranccsal, valamint a felhasználói objektumok UAC-tulajdonságainak eltávolítása a Set-ADAccountControl paranccsal. Szinte minden AD adminisztrációs feladathoz léteznek parancsok.
7. lecke. Az Active Directory adminisztrációja.
Az Active Directory adminisztrálásának folyamata a következőket tartalmazza:
- Active Directory tartományok;
- tartományi címtárstruktúra;
- tartományi objektumok (felhasználók, névjegyek, számítógépek, csoportok, nyomtatók stb.);
- Active Directory webhelyek és hálózatok;
- adatreplikáció.
Mindezek a feladatok három, az Active Directory tartományvezérlőre történő telepítése során telepített felügyeleti konzol segítségével oldhatók meg:
- Active Directory – Domains and Trusts
- Active Directory – Felhasználók és számítógépek
- Active Directory webhelyek és szolgáltatások
A tartomány más számítógépein ezek a konzolok az adminisztrációs segédprogram-csomag részeként telepíthetők.
Az Active Directory objektumok leírása.
Az összes Active Directory felügyeleti konzol egyetlen ikonkészletet használ a címtárobjektumok megjelenítéséhez. Az alábbiakban az összes fő Active Directory objektum és a hozzájuk tartozó ikonok láthatók. Ez az információ segít abban, hogy könnyebben navigáljon az Active Directoryban.
Ikon | Egy tárgy | Leírás |
Töltse be újra a szervert.
Adja meg a Címtárszolgáltatás-visszaállítási mód jelszavát.
Erősítse meg a mappák helyét az AD-fájlok mentéséhez.
Erősítse meg a NetBIOS tartománynevet.
7. Válassza ki a felhasználók és csoportok biztonsági szintjét:
· A Windows 2000 előtti kiszolgálóval kompatibilis engedélyek– ha a tartományban Windows NT rendszert futtató kiszolgálókon futnak programok vagy szolgáltatások, vagy ha a számítógép egy Windows NT rendszert futtató tartomány tagja.
· Az engedélyek csak a Windows 2000 szerverrel és a Windows Server 2003 rendszerrel kompatibilisek– ha csak Windows 2000 szervert és Windows Server 2003 rendszert futtató kiszolgálók futnak a tartományban.
Az Active Directory adminisztrálására Active Directory felügyeleti beépülő modulok készletét használják. Négy szerelékből áll:
1 Active Directory-felhasználó és számítógépek (felhasználók és számítógépek) – a tartomány felhasználói fiókjainak és számítógépeinek adminisztrálására szolgál.
2 Active Directory Domains and Trusts (tartományok és bizalom) – a tartományok közötti bizalmi kapcsolatok létrehozására szolgál.
3 Active Directory webhelyek és szolgáltatás (webhelyek és szolgáltatások) – webhelyek és webhelyhivatkozások kezelésére szolgál.
4 DNS - az Active Directoryba integrált DNS-kiszolgáló adminisztrációja.
Active Directory felhasználók és számítógépek.
Az Active Directory felhasználói fiókok és a számítógépes fiókok ugyanolyan fizikai entitások, mint egy számítógép vagy felhasználó. A felhasználói fiókok egyes alkalmazások dedikált szolgáltatásbejegyzéseiként is használhatók.
Felhasználói fiók– Active Directory objektum, amely tartalmazza a felhasználót a Windows operációs rendszerben meghatározó összes információt. Ez az információ a következőket tartalmazza:
a felhasználó személyes adatai (név, telefon, e-mail, postacím, szervezetre vonatkozó adatok);
· fiókbeállítások (a felhasználói bejelentkezéshez szükséges felhasználónév és jelszó, fiók lejárati dátuma, jelszókezelés, titkosítási és hitelesítési beállítások);
azoknak a csoportoknak a neve, amelyeknek a felhasználó tagja;
felhasználói profil (információkat tartalmaz egy adott felhasználó beállításairól, például asztali beállításokról, állandó hálózati kapcsolatokról és alkalmazásbeállításokról);
Egyéb információ (terminálszolgáltatási profil, távirányító, munkamenet-kezelés stb.).
Számítógépes fiók- Active Directory objektum, amely egyedileg azonosítja a számítógépet egy tartományban. A számítógépfiók megfelel a tartományban lévő számítógép nevének. Az a számítógép, amelynek fiókja hozzá lett adva egy tartományhoz, részt vehet az Active Directory tartalmát használó hálózati műveletekben. Például egy tartományhoz hozzáadott munkaállomás képes felismerni az Active Directoryban létező fiókokat és csoportokat.
@ A Windows 95, Windows 98 és Windows Me rendszert futtató számítógépek nem rendelkeznek fejlett biztonsági szolgáltatásokkal, és nem rendelhetők hozzá számítógépfiókok.
Csoport felhasználói és számítógépes fiókok, névjegyek és egyéb csoportok gyűjteménye, amelyek egyetlen entitásként kezelhetők. Azokat a felhasználókat és számítógépeket, amelyek egy adott csoporthoz tartoznak, csoporttagoknak nevezzük. Az Active Directory csoportjai olyan címtárobjektumok, amelyek a tartomány és a szervezeti egység tárolóobjektumain belül találhatók.
Az Active Directory csoportjai lehetővé teszik a következőket:
· Egyszerűsítse az adminisztrációt azáltal, hogy a megosztási engedélyeket csoportokhoz rendeli, nem pedig egyéni felhasználókhoz. Ez a csoport minden tagja számára azonos hozzáférést biztosít az erőforráshoz;
delegálhatja az adminisztrációt azáltal, hogy jogokat rendel azonnal a felhasználókhoz az egész csoport számára csoportszabályzat, majd hozzáadjuk a szükséges tagokat a csoporthoz, amelyeknek a csoportéval azonos jogokkal kell rendelkezniük;
A csoportokat hatókörük és típusuk jellemzi. Egy csoport hatóköre határozza meg azt a tartományt, amelyben a csoport érvényes egy tartományon vagy erdőn belül. Három különböző hatókör létezik: univerzális, globális és tartományi helyi.
· Helyi domain (helyi beágyazott)- A tartomány helyi hatókörével rendelkező csoportok tagjai más csoportokat és fiókokat is tartalmazhatnak Windows Server 2003, Windows 2000 vagy Windows NT tartományokból, és csak a tartományon belül kaphatnak engedélyt.
@ Tartományi helyi csoportokat kell használni az azonos tartományon belüli erőforrásokhoz való hozzáférés szabályozására.
· Globális- A globális hatókörű csoportok tagjai csak más csoportokat és fiókokat tartalmazhatnak abból a tartományból, amelyben a csoport meg van határozva, és engedélyt kaphatnak az erdő bármely tartományában.
@Globális hatókörű csoportok ajánlottak a napi karbantartást igénylő címtárobjektumok kezelésére. Ilyenek például a felhasználói és számítógépes fiókok. Mivel a globális hatókörű csoportok nem replikálódnak a tartományukon kívül, az ilyen csoportokban lévő fiókok gyakran módosíthatók anélkül, hogy a globális katalógusba történő replikációhoz kapcsolódó további forgalmat okoznának.
· Egyetemes- Az univerzális hatókörű csoportok tagjai a tartományfában vagy erdőben bármely tartományból tartalmazhatnak más csoportokat és fiókokat, és engedélyeket kaphatnak a tartományfa vagy erdő bármely tartományában.
@ Rendeljen univerzális hatókört a tartományokon átívelő csoportokhoz. Ehhez adja hozzá a fiókokat globális hatókörű csoportokhoz, majd ágyazza be ezeket a csoportokat univerzális hatókörű csoportokba. Ezzel a megközelítéssel a globális hatókörű csoportok tagságának megváltoztatása nem érinti az univerzális hatókörű csoportokat.
A csoport típusa határozza meg, hogy a csoport használható-e engedélyek hozzárendelésére az erőforrásokhoz vagy csak az e-mail terjesztési listákhoz.
Biztonsági csoportok– hatékony hozzáférés-szabályozás biztosítása a hálózati erőforrásokhoz. A biztonsági csoportok használatával a következőket teheti:
· Rendeljen felhasználói jogokat egy biztonsági csoporthoz az Active Directoryban. A biztonsági csoportokhoz beállított felhasználói jogok határozzák meg, hogy a csoport egy tagja mit tehet a tartomány (vagy erdő) hatókörén belül. A felhasználói jogosultságok automatikusan be vannak állítva a biztonsági csoportokhoz az Active Directory telepítése során, hogy segítsenek a rendszergazdáknak meghatározni az adminisztrátori felhasználók szerepét a tartományban. Például az Active Directory Biztonsági mentési operátorai csoportjába felvett felhasználó a tartomány bármely tartományvezérlőjén képes biztonsági másolatot készíteni és visszaállítani fájlokat és könyvtárakat. A csoportházirend segítségével beállíthat felhasználói jogokat egy biztonsági csoporthoz bizonyos feladatok delegálásához. A delegált feladatok kiosztásánál körültekintően kell eljárni. Egy tapasztalatlan felhasználó, aki túl sok jogot kapott egy biztonsági csoportban, komoly károkat okozhat a hálózatban.
· Rendeljen erőforrás-engedélyeket a biztonsági csoportokhoz. Ne keverje össze az engedélyeket a felhasználói jogokkal. Az engedélyek megosztott erőforrásokat használó biztonsági csoportokhoz vannak beállítva. Az engedélyek határozzák meg, hogy ki férhet hozzá egy adott erőforráshoz, valamint a hozzáférés szintjét, például a teljes irányítást. Egyes tartományobjektumokra beállított engedélyek automatikusan be vannak állítva az alapértelmezett csoportokhoz, például a fiókkezelőkhöz vagy a tartományüzemeltetőkhöz való hozzáférés különböző szintjeihez. Az engedélyekkel kapcsolatos további információkért lásd: Hozzáférés-vezérlés az Active Directoryban.
@ A biztonsági csoportok a szelektív hozzáférés-vezérlési táblázatokban vannak felsorolva, amelyek meghatározzák az erőforrások és objektumok engedélyeit. A rendszergazdáknak az erőforrásokhoz (megosztott fájlok, nyomtatók és így tovább) biztonsági csoportokhoz kell hozzárendelni az engedélyeket, nem pedig az egyes felhasználókhoz. Az engedélyek egy csoporthoz egyszer kerülnek hozzárendelésre, ahelyett, hogy minden egyes felhasználóhoz hozzárendelnék a jogokat. Minden fiók, amikor hozzáadódik egy csoporthoz, megkapja az adott csoporthoz beállított jogosultságokat az Active Directoryban, és az adott csoporthoz beállított engedélyeket az erőforráson.
Elosztási csoportok– csak az e-mail alkalmazások használják e-mail üzenetek küldésére felhasználói csoportoknak. Az elosztási csoportok nem használnak biztonságot, vagyis nem szerepelhetnek a szelektív hozzáférés-vezérlési táblákban (DACL). Ha egy csoport jön létre a megosztott erőforrásokhoz való hozzáférés szabályozására, ennek a csoportnak biztonsági csoportnak kell lennie.
@ A biztonsági csoportok e-mail célállomásként is használhatók, csakúgy, mint a terjesztési csoportok. Egy csoportnak küldött e-mail üzenetet a rendszer a csoport összes tagjának elküld.
Vannak olyan csoportok is, amelyekhez nem szerkesztheti vagy tekintheti meg a tagsági adatokat. Ezeket a csoportokat egyéni identitásoknak nevezzük, és a körülményektől függően különböző időpontokban különböző felhasználókat képviselnek.
(Névtelen bejelentkezés, Összes, Hálózat, Interaktív)
Például a Mindenki csoport az összes jelenlegi hálózati felhasználót képviseli, beleértve a vendégeket és a más tartományokból származó felhasználókat is. További információkért lásd: Különleges identitások.
A felhasználói és számítógépes fiókokat (valamint a csoportokat) biztonsági elveknek nevezzük. Az egyszerű biztonsági azonosítók olyan címtárobjektumok, amelyekhez automatikusan biztonsági azonosítók (SID) vannak hozzárendelve a tartományi erőforrásokhoz való hozzáféréshez. A felhasználói vagy számítógépes fiókot a következő célokra használják:
felhasználói vagy számítógépes hitelesítés.
A domain erőforrásaihoz való hozzáférés engedélyezése vagy letiltása.
· egyéb biztonsági alapelvek adminisztrációja (egy külső megbízható tartományból származó biztonsági alap képviseletére).
· felhasználói vagy számítógépes fiókkal végzett tevékenységek auditálása.
A jogok egyidejű kiosztása egy nagy szám a felhasználók biztonsági csoportokat használnak. A fiókok szervezeti egységek (tárolók) segítségével csoportosíthatók.
A felhasználói hitelesítés biztonsága érdekében minden hálózati felhasználó számára külön fiókot kell létrehoznia a " Active Directory felhasználók és számítógépek ».
Minden Active Directory felhasználói fiók számos, a biztonsággal kapcsolatos beállítással rendelkezik, amelyek meghatározzák a fiók hitelesítését a hálózatra való bejelentkezéskor.
A PowerShell használatának szentelve az AD felügyeletét. Kiindulópontként a szerző úgy döntött, hogy 10 tipikus AD-adminisztrációs feladatot vesz át, és megvizsgálja, hogyan lehet ezeket egyszerűsíteni a PowerShell segítségével:
- Felhasználói jelszó visszaállítása
- Fiókok aktiválása és deaktiválása
- Felhasználói fiók feloldása
- Törölje fiókját
- Keressen üres csoportokat
- Felhasználók hozzáadása egy csoporthoz
- Csoporttagok listázása
- Keressen elavult számítógépes fiókokat
- Inaktiválja a számítógépes fiókot
- Keressen számítógépeket típus szerint
Ezen kívül a szerző blogot is tart fenn (természetesen a PowerShell-en), javasoljuk, hogy nézze meg - jdhitsolutions.com/blog. És a legfrissebb, amit a twitteréből kaphat twitter.com/jeffhicks.
Tehát az alábbiakban olvasható a „PowerShell segítségével megoldott 10 legjobb Active Directory-feladat” cikk fordítása.
Az Active Directory (AD) kezelése a Windows PowerShell segítségével egyszerűbb, mint gondolná, és ezt szeretném bebizonyítani Önnek. Egyszerűen használhatja az alábbi szkripteket, és számos AD-kezelési feladat megoldására használhatja őket.
Követelmények
A PowerShell használatához az AD kezeléséhez néhány követelménynek meg kell felelnie. Bemutatom, hogyan működnek az AD-parancsmagok egy példa Windows 7-es gépen.
A parancsmagok használatához Windows Server 2008 R2 tartományvezérlővel kell rendelkeznie, vagy letöltheti és telepítheti az Active Directory Management Gateway szolgáltatást a régi DC-kre. A telepítés előtt figyelmesen olvassa el a dokumentációt; Újraindítás szükséges.
Az ügyféloldalon töltse le és telepítse (RSAT) Windows 7 vagy Windows 8 rendszerhez. Windows 7 rendszerben meg kell nyitnia Vezérlőpultok fejezet Programokés válassz Windows-szolgáltatások be-és kikapcsolása. megtalálja Távoli kiszolgálófelügyeleti eszközökés bontsa ki a részt Szerepkör-felügyeleti eszközök. Válassza ki a megfelelő elemeket az AD DS és az AD LDS eszközök számára, különösen vegye figyelembe, hogy az elemet ki kell választani Active Directory modul a Windows PowerShellhez, ahogy az 1. ábrán látható. (A Windows 8 rendszerben alapértelmezés szerint minden eszköz ki van választva). Most készen állunk a munkára.
1. ábra Az AD DS és az AD LDS eszközök engedélyezése
Egy domain rendszergazdai jogokkal rendelkező fiókkal vagyok bejelentkezve. A legtöbb bemutatott parancsmag lehetővé teszi alternatív hitelesítő adatok megadását. Mindenesetre javaslom a súgó elolvasását ( Kaphat segítséget) és példákat, amelyeket alább bemutatok.
Indítson el egy PowerShell-munkamenetet, és importálja a modult:
PS C:\> Import-Module ActiveDirectory
Az importálás egy új PSDrive-ot hoz létre, de nem fogjuk használni. Azonban láthatja, hogy milyen parancsok vannak az importált modulban.
PS C:\> get-command -module ActiveDirectory
Ezeknek a parancsoknak az a szépsége, hogy ha tudok egy parancsot használni egy AD-objektumhoz, akkor azt 10, 100 és akár 1000-hez is használhatom. Nézzük meg, hogyan működnek ezek a parancsmagok.
1. feladat: Felhasználói jelszó visszaállítása
Kezdjük egy tipikus feladattal: a felhasználó jelszavának visszaállításával. Ezt egyszerűen és egyszerűen megteheti a parancsmagon keresztül Set-ADAccountPassword. A trükkös rész az, hogy az új jelszót biztonságos karakterláncnak kell minősíteni: olyan szövegrésznek, amely titkosítva van és a memóriában tárolódik a PowerShell-munkamenet idejére. Először is hozzunk létre egy változót új jelszóval:
PS C:\> $new=Read-Host "Adja meg az új jelszót" -AsSecureString
Ezután írjon be egy új jelszót:
Most kibonthatjuk a fiókot (a samAccountname– a legjobb lehetőség), és állítson be új jelszót. Íme egy példa Jack Frost felhasználó számára:
PS C:\> Set-ADAccountPassword jfrost -NewPassword $új
Sajnos van egy hiba ebben a parancsmagban: -passthru, -mi van ha, És -Megerősít nem működik. Ha inkább a parancsikont választja, próbálkozzon a következővel:
PS C:\>Set-ADAccountPassword jfrost -NewPassword(ConvertTo-SecureString -AsPlainText -String" [e-mail védett]"-Kényszerítés)
A következő bejelentkezéskor Jacknek meg kell változtatnom a jelszavát, és ezzel frissítem a fiókot Set-ADUser.
PS C:\> Set-ADUser jfrost -ChangePasswordAtLogon $True
A parancsmag végrehajtásának eredményei nem kerülnek a konzolra. Ha meg kell tenni, használja -Igaz. De megtudhatom, hogy a művelet sikeres volt-e vagy sem, ha kivonom a felhasználónevet a cmdlet segítségével Get-ADUserés megadja az ingatlant A jelszó lejárt a 2. ábrán látható módon.
Rizs. 2. A Get-ADUser parancsmag eredménye a PasswordExpired tulajdonsággal
A lényeg: A felhasználó jelszavának visszaállítása a PowerShell segítségével egyáltalán nem nehéz. Bevallom, hogy a jelszó visszaállítása is egyszerű egy pillanat alatt. Active Directory felhasználók és számítógépek konzolok Microsoft Management Console (MMC). De a PowerShell használata megfelelő, ha át kell ruháznia egy feladatot, nem szeretné telepíteni a fent említett beépülő modult, vagy visszaállítani a jelszavát egy nagy automatizált informatikai folyamat részeként.
2. feladat: Fiókok aktiválása és deaktiválása
Most deaktiváljuk a fiókot. Továbbra is együtt fogunk dolgozni Jack Frosttal. Ez a kód a paramétert használja -mi van ha, amelyet más olyan parancsmagokban is láthat, amelyek módosításokat hajtanak végre a parancs futtatása nélkül tesztelve.
PS C:\> Disable-ADAccount jfrost -whatif Mi van, ha: "Set" művelet végrehajtása a "CN=Jack Frost, OU=staff,OU=Testing,DC=GLOBOMANTICS,DC=helyi" célon.
És most tényleg deaktiváljuk:
PS C:\> Disable-ADAccount jfrost
És amikor eljön a fiók aktiválásának ideje, melyik cmdlet segít nekünk?
PS C:\> Enable-ADAccount jfrost
Ezek a parancsmagok csővezetékes kifejezésekben használhatók, így tetszőleges számú fiókot aktiválhat vagy deaktiválhat. Ez a kód például deaktiválja az összes fiókot az értékesítési osztályon (értékesítés)
PS C:\> get-aduser -filter "department -eq "sales"" | letilt-fiók
Természetesen egy szűrő írása Get-ADUser meglehetősen bonyolult, de ez az, ahol a paraméter használata -mi van ha parancsmaggal együtt Disable-ADAccount jön a mentő.
3. feladat: Oldja fel a felhasználói fiókot
Vegyünk egy olyan helyzetet, amikor Jack zárolta fiókját, miközben megpróbált új jelszót megadni. Ahelyett, hogy a grafikus felhasználói felületen keresztül próbálná megtalálni a fiókját, a feloldási eljárás elvégezhető egy egyszerű paranccsal.
PS C:\> Unlock-ADAccount jfrost
A parancsmag a paramétereket is támogatja -mi van haÉs -Megerősít.
4. feladat: Fiók törlése
Nem számít, hány felhasználót töröl – ez könnyen megtehető egy cmdlet segítségével Remove-ADUser. Nem szeretném eltávolítani Jack Frostot, de ha akarnám, ezt a kódot használnám:
PS C:\> Remove-ADUser jfrost -whatif Mi van, ha: "Remove" művelet végrehajtása a "CN=Jack Frost,OU=személyzet,OU=Tesztelés,DC=GLOBOMANTICS,DC=helyi" célon.
Vagy megadhatok több felhasználót, és egyetlen egyszerű paranccsal eltávolíthatom őket:
PS C:\> get-aduser -filter "enabled -eq "false"" -property WhenChanged -SearchBase "OU=Alkalmazottak, DC=Globomantics,DC=Helyi" | ahol ($_.WhenChanged -le (Get-Date).AddDays(-180)) | Remove-ADuser -Whatif
Ez a parancs megkeresi és eltávolítja az összes deaktivált Employees OU-fiókot, amely 180 napig vagy tovább nem változott.
5. feladat: Üres csoportok keresése
A csoportvezetés végtelen és hálátlan feladat. Az üres csoportok sokféleképpen kereshetők. A szervezettől függően egyes kifejezések jobban működhetnek, mint mások. Az alábbi kód a domain összes csoportját megtalálja, beleértve a beépített csoportokat is.
PS C:\> get-adgroup -filter * | ahol (-Nem ($_ | get-adgroupmember)) | válasszon nevet
Ha több száz tagot számláló csoportjai vannak, akkor ennek a parancsnak a használata sokáig tarthat; Get-ADGroupMember ellenőrzi az egyes csoportokat. Ha korlátozhatja vagy testreszabhatja, jobb lesz.
Íme egy másik megközelítés:
PS C:\> get-adgroup -filter "members -notlike "*" -AND GroupScope -eq "Universal"" -SearchBase "OU=Csoportok,OU=Alkalmazottak,DC=Globomantika, DC=helyi" | Válassza ki a nevet, csoportot*
Ez a parancs megkeresi az összes olyan univerzális csoportot, amely nem rendelkezik OU Groups tagsággal, és kinyomtat néhány tulajdonságot. Az eredmény a 3. ábrán látható. 
Rizs. 3. Univerzális csoportok keresése és szűrése
6. feladat: Felhasználók hozzáadása egy csoporthoz
Adjuk hozzá Jack Frostot a chicagói IT csoporthoz:
PS C:\> add-adgroupmember "chicago IT" -Members jfrost
Igen, ez ilyen egyszerű. Könnyedén több száz felhasználót is hozzáadhat a csoportokhoz, bár ez szerintem kissé kínos:
PS C:\> Add-ADGroupMember "Chicago Employees" -tag (get-aduser -filter "city -eq "Chicago"")
A zárójeles csővezetékes kifejezést használtam az összes olyan felhasználó megkeresésére, aki rendelkezik City-tulajdonnal Chicagóban. A zárójelben lévő kód végrehajtásra kerül, és az eredményül kapott objektumok átadódnak a –Member paraméternek. Minden felhasználói objektum hozzáadódik a Chicago Alkalmazottak csoporthoz. Mindegy, hogy 5 vagy 5000 felhasználóval van dolgunk, mindössze néhány másodpercet vesz igénybe a csoporttagságok frissítése. Ez a kifejezés a használatával is írható ForEach-Object melyik lehet kényelmesebb:
PS C:\> Get-ADUser -szűrő "city -eq "Chicago"" | foreach(Add-ADGroupMember "Chicago Alkalmazottak" -Tag $_)
7. feladat: Csoporttagok listájának megjelenítése
Érdemes tudni, hogy kik tartoznak egy adott csoportba. Például rendszeresen ellenőriznie kell, hogy ki van a Domain Admins csoportban:
PS C:\> Get-ADGroupMember "Domain Admins"
A 4. ábra mutatja az eredményt.
Rizs. 4. A Domain Admins csoport tagjai
A parancsmag minden csoporttaghoz AD-objektumot ad ki. Mi a helyzet a beágyazott csoportokkal? A Chicago All Users csoportom beágyazott csoportok gyűjteménye. Az összes fiók listájának megtekintéséhez csak a paramétert kell használnom – Rekurzív.
PS C:\> Get-ADGroupMember "Chicago All Users" -Rekurzív | Válassza a DistinguishedName lehetőséget
Ha a másik irányba akar menni - hogy megtudja, melyik csoporthoz tartozik a felhasználó - használja a felhasználói tulajdonságot Tagja valaminek:
PS C:\> get-aduser jfrost -property Memberof | Válassza a -ExpandProperty memberOf CN=NewTest,OU=Csoportok,OU=Alkalmazottak, DC=GLOBOMANTICS,DC=helyi CN=Chicagói teszt,OU=Csoportok,OU=Alkalmazottak, DC=GLOBOMANTICS,DC=helyi CN=Chicago IT,OU= lehetőséget Csoportok,OU=Alkalmazottak, DC=GLOBOMANTICS,DC=helyi CN=Chicago Sales Users,OU=Csoportok,OU=Alkalmazottak, DC=GLOBOMANTICS,DC=helyi
A paramétert használtam -Bővítse ki a Tulajdonságot a nevek megjelenítéséhez Tagja valaminek mint a húrok.
8. feladat: Elavult számítógépfiókok keresése
Gyakran felteszik nekem ezt a kérdést: „Hogyan találhatom meg az elavult számítógépes fiókokat?”. És én mindig azt válaszolom: „Mi az, ami neked elavult?” A vállalatok eltérően határozzák meg, hogy egy számítógépes fiók (vagy felhasználói fiók) mikor minősül elavultnak és már nem használhatónak. Ami engem illet, azokra a fiókokra figyelek, amelyek jelszavait egy bizonyos ideig nem változtatták meg. Ez az időszak számomra 90 nap - ha a számítógép nem változtatta meg a jelszót és a domaint ezalatt az időszak alatt, akkor valószínűleg offline és elavult. Cmdlet használt Get-ADComputer:
PS C:\> get-adcomputer -filter "Passwordlastset -lt "1/1/2012"" -properties *| Válassza ki a nevet, az utolsó jelszókészletet
A szűrő remekül működik kemény értékkel, de ez a kód minden olyan számítógépfióknál frissül, amely 2012. január 1. óta nem változtatta meg jelszavát. Az eredményeket az 5. ábra mutatja.
Rizs. 5. Keresse meg az elavult számítógépes fiókokat
Alternatív megoldásként tegyük fel, hogy Ön legalább a Windows 2003 tartomány működési szintjén van. Szűrés a tulajdonság alapján LastLogontimeStamp. Ez az érték az 1601. január 1-je óta eltelt 100 nanomásodperces intervallumok száma, és a GMT-ben van tárolva, így ezzel az értékkel dolgozni kissé körülményes:
PS C:\> get-adcomputer -filter "LastlogonTimestamp -gt 0" -properties * | válasszon nevet,lastlogontimestamp, @(Name="LastLogon";Expression=(::FromFileTime ($_.Lastlogontimestamp))),passwordlastset | SortLastLogonTimeStamp
Rizs. 6. Alakítsa át a LastLogonTimeStamp értéket az ismert formátumra
Szűrő létrehozásához át kell konvertálnom egy dátumot, például 2012. január 1-jét, a megfelelő formátumba. Az átalakítás FileTime-ban történik:
PS C:\> $cutoff=(Get-Date "1/1/2012").ToFileTime() PS C:\> $cutoff 129698676000000000
Most már használhatom ezt a változót a szűrőben Get-ADComputer:
PS C:\> Get-ADComputer -Filter "(lastlogontimestamp -lt $cutoff) -or (lastlogontimestamp -notlike "*")" -property * | Válassza a Név,LastlogonTimestamp,PasswordLastSet lehetőséget
A fenti kód ugyanazokat a számítógépeket találja meg, amelyek az 5. ábrán láthatók.
9. feladat: Inaktiválja a számítógépfiókot
Érdemes lehet deaktiválni őket, ha inaktív vagy elavult fiókokat talál. Ennek végrehajtása meglehetősen egyszerű. Ugyanazt a parancsmagot fogjuk használni, amit a felhasználói fiókoknál is. Használatával finomíthatod samAccountname fiókot.
PS C:\> Disable-ADAccount -Identity "chi-srv01$" -Whatif Mi van, ha: "Set" művelet végrehajtása a "CN=CHI-SRV01, CN=Computers,DC=GLOBOMANTICS,DC=local" célon.
Vagy egy folyamatjellel:
PS C:\> get-adcomputer "chi-srv01" | Disable-ADAccount
A kódomat arra is használhatom, hogy megkeressem az elavult fiókokat, és deaktiváljam mindegyiket:
PS C:\> get-adcomputer -filter "Passwordlastset -lt "1/1/2012"" -properties *| Disable-ADAccount
10. feladat: Keressen számítógépeket típus szerint
Azt is gyakran kérdezik tőlem, hogyan találhatok meg számítógépfiókokat típus szerint, például szerverek vagy munkaállomások szerint. Ehhez némi kreativitásra van szükség. Az AD-ben semmi sem különbözteti meg a szervert a klienstől, kivéve talán az operációs rendszert. Ha számítógépén Windows Server 2008 fut, néhány további lépést kell tennie.
Először be kell szereznie az operációs rendszerek listáját, majd szűrjük a fiókokat az elérhető operációs rendszer szerint.
PS C:\> Get-ADComputer -Filter * -Properties OperatingSystem | Válassza az OperatingSystem -unique | Operációs rendszer rendezése
Az eredményeket a 7. ábra mutatja.
Rizs. 7. Az operációs rendszer lista kibontása
Meg akarom találni az összes számítógépet, amelyen szerver operációs rendszer fut:
PS C:\> Get-ADComputer -Szűrő "OperatingSystem -like "*Server*"" -properties Operációs rendszer,OperatingSystem ServicePack | Válassza a Név,Op* | lehetőséget formátum-lista
Az eredményeket a 8. ábra mutatja.
A többi AD Get-parancsmaghoz hasonlóan testreszabhatja a keresési paramétereket, és szükség esetén korlátozhatja a lekérdezést bizonyos szervezeti egységekre. Az általam bemutatott kifejezések mindegyike integrálható nagy PowerShell-kifejezésekbe. Például rendezhet, csoportosíthat, alkalmazhat szűrőket, exportálhat CSV formátumba, vagy létrehozhat és elküldhet HTML-jelentéseket – mindezt a PowerShellből! Ebben az esetben nem kell egyetlen szkriptet sem írnia.
Íme egy bónusz az Ön számára: egy HTML-fájlba mentett felhasználói jelszó-életkor jelentés:
PS C:\> Get-ADUser -Szűrő "Engedélyezve -eq "True" -AND PasswordNeverExpires -eq "False"" -Tulajdonságok PasswordLastSet,PasswordNeverExpires,PasswordExpired | Jelölje ki a DistinguishedName,Name,pass*,@(Name="PasswordAge"; Expression=((Get-Date)-$_.PasswordLastSet)) |resort PasswordAge -Csökkenő | ConvertTo-Html -Title "Password Age Report" | Out-File c:\Work\pwage.htm !}
Bár ez a kifejezés kissé ijesztőnek tűnhet, a PowerShell minimális ismeretével könnyen használható. És csak az utolsó tipp van: hogyan definiáljunk egy egyedi tulajdonságot JelszóKor. Az érték a mai nap és a PasswordLastSet tulajdonság közötti különbség. Ezután rendezem az eredményeket az új ingatlanomra vonatkozóan. A 9. ábra a kis teszttartományom kimenetét mutatja.
Frissítés:
A bejegyzés a portálon található cikk fordítását tartalmazza
Azok, akiknek olyan dolgokkal kellett megküzdeniük, mint például egy Excel-táblázat, amelyen a jövő héttől kezdődően 200 új alkalmazott szerepel, vagy a felhasználói fiókok rosszul lettek konfigurálva, mert a támogatók olyasmire kattintottak, amire nem kellett volna, és azok is, akik a kezelés egyszerűbb módja iránt érdeklődnek. Az Active Directory® amellett, hogy minden alkalommal megnyitja a Felhasználók és Számítógépek mappákat, használhatja az egyik ingyenes adminisztrációs eszközt. Némelyikük közvetlenül be van építve operációs rendszer A Windows némelyike a Resource Kitben vagy a Windows Support Toolkitben található, néhány pedig harmadik féltől származó ingyenes termék. Mik ezek a praktikus eszközök és hol lehet beszerezni? Találjuk ki.
Kezdjük a Windows Server 2003 beépített parancssori eszközeivel, amelyek lehetővé teszik objektumok létrehozását, törlését, módosítását és keresését az Active Directoryban.
A CSVDE eszköz lehetővé teszi új objektumok importálását az Active Directoryba az eredeti CSV-fájl használatával; lehetőséget ad meglévő objektumok CSV-fájlba exportálására is. A CSVDE nem használható meglévő objektumok módosítására; ha ezt az eszközt import módban használja, csak új objektumokat hozhat létre.
A meglévő objektumok listájának exportálása CSVDE használatával meglehetősen egyszerű. Az alábbiakban bemutatjuk, hogyan exportálhatunk Active Directory-objektumokat egy ad.csv nevű fájlba:
csvde –f ad.csv
Az -f kapcsoló megadja, hogy utána a kimeneti fájl neve legyen. De ne feledje, hogy a környezettől függően ez az alapvető szintaxis hatalmas és nehézkes kimeneti fájlt eredményezhet. Ha az eszközt csak egy adott szervezeti egységen (OU) belüli objektumokra szeretné korlátozni, a parancs a következőképpen módosítható:
csvde –f UsersOU.csv –d ou=Felhasználók,dc=contoso,dc=com
Tegyük fel továbbá, hogy csak felhasználói objektumokat kell exportálnom a CSV-fájlomba. Ebben az esetben a -r kapcsolóval megadhat egy LDAP protokollszűrőt ehhez a kereséshez, amely korlátozza az exportált attribútumok számát (vegye figyelembe, hogy a következők mindegyike egy sor):
csvde –f UsersOnly.csv –d ou=Users,dc=contoso,dc=com –r
"(&(objectcategory=person)(objectclass=user))" –l
DN,objectClass,leírás
Az -i kapcsoló lehetővé teszi objektumok importálását az Active Directoryba egy forrás-CSV-fájlból. A felhasználói objektumok CSVDE-vel való létrehozásának azonban van egy nagy hátránya: nem tud felhasználói jelszavakat beállítani, ezért nem használnám a CSVDE-t felhasználói objektumok létrehozására.
Az Active Directory egy második beépített felhasználói kötegelt szolgáltatást biztosít, LDIFDE néven, amely erősebb és rugalmasabb, mint a CSVDE. Az új objektumok létrehozása mellett az LDIFDE lehetővé teszi a meglévő objektumok módosítását és törlését, sőt az Active Directory séma kiterjesztését is. Az LDIFDE rugalmasságának kompromisszuma az, hogy a szükséges .ldf kiterjesztésű bemeneti fájl (LDIF fájl) összetettebb formátumot használ, mint egy egyszerű CSV-fájl. (Kis munkával beállíthatunk felhasználói jelszavakat is, de erről később.)
Kezdjük egy egyszerű példával az üzleti egység felhasználóinak LDF-fájlba történő exportálására (vegye figyelembe, hogy a következők mindegyike egy sor):
ldifde -f users.ldf -s DC1.contoso.com -d "ou=UsersOU,dc=contoso,dc=com"
–r "(&(objectcategory=person)(objectclass=user))"
A legtöbb parancssori eszközhöz hasonlóan az LDIFDE opciók teljes leírását az LDIFDE /? . láthatók azok, amelyeket itt használtam. (Ne feledje, hogy a CSVDE és az LDIFDE parancsok beállításai megegyeznek.)
Az LDIFDE igazi ereje az objektumok létrehozása és manipulálása. Előtte azonban létre kell hoznia egy bemeneti fájlt. A következő kód két új felhasználói fiókot hoz létre, afullert és rkinget; Bemeneti fájl létrehozásához írja be a Jegyzettömbbe (vagy más egyszerű szövegszerkesztőbe), és mentse el NewUsers.ldf néven:
dn: CN=afuller, OU=UsersOU, DC=contoso, DC=com
változástípus: hozzáadás
cn: teljesebb
objectClass: felhasználó
samAccountName: afuller dn: CN=rking, OU=UsersOU, DC=contoso, DC=com
változástípus: hozzáadás
cn:rking
objectClass: felhasználó
samAccountName: rking
A fájl létrehozása után futtassa a következő parancsot:
ldifde -i -f NewUsers.ldf -s DC1.contoso.com
Az egyetlen új opció itt az -i, amely, ahogy sejthető, azt jelzi, hogy import műveletet hajtanak végre, nem pedig export műveletet.
A meglévő objektumok módosítása vagy törlése nem változtatja meg az LDIFDE parancs szintaxisát; ehelyett az LDF fájl tartalma módosul. A felhasználói fiók leírása mező módosításához hozzon létre egy ModifyUsers.ldf nevű szöveges fájlt, az 1-1. ábrán látható módon. 2.
Rizs. 2 LDF fájl ModifyUsers
A módosítások importálása ugyanazon LDIFDE parancsszintaxis futtatásával történik, mint korábban, az új LDF fájl megadásával az -f kapcsoló után. Az objektumok törlésére szolgáló LDF formátum még egyszerűbb; a felhasználók törléséhez, akikkel dolgozott, hozzon létre egy DeleteUsers.ldf nevű fájlt, és írja be a következőket:
dn: CN=afuller OU=UsersOU, DC=contoso, DC=com
változástípus: törlés dn: CN=rking, OU=UsersOU, DC=contoso, DC=com
változástípus: törlés
Vegye figyelembe, hogy a CSVDE-vel ellentétben az LDIFDE testreszabhatja a felhasználói jelszavakat. Mielőtt azonban beállítaná az unicodePWD attribútumot egy felhasználói fiókon, be kell állítania az SSL/TLS titkosítást a tartományvezérlőkön, továbbá az LDIFDE nem csak felhasználói fiókokat, hanem bármely Active Directory objektumot is létrehozhat és módosíthat. Például a következő LDF-fájl új sémakiterjesztést hoz létre EmployeeID-example néven a contoso.com erdősémában:
dn: cn=EmployeeID-example,cn=Séma,
cn=Konfiguráció,dc=contoso,dc=com
változástípus: hozzáadás
adminDisplayName: EmployeeID-Example
attribútumazonosító: 1.2.3.4.5.6.6.6.7
attribútumSzintaxis: 2.5.5.6
cn: Alkalmazotti azonosító
példánytípus: 4
isSingleValued: Igaz
lDAPDisplayName: munkavállalóazonosító-példa
Mivel az LDIFDE-fájlok az ipari szabvány LDAP-fájlformátumát használják, az Active Directory-sémát módosítani kívánó harmadik féltől származó alkalmazások gyakran biztosítanak LDF-fájlokat, amelyek segítségével áttekinthetők és jóváhagyhatók a változtatások, mielőtt éles környezetben alkalmaznák azokat.
A tömeges importálási és exportálási műveletek eszközei mellett a Windows Server 2003 beépített eszközkészletet is tartalmaz, amely lehetővé teszi különböző Active Directory-objektumok létrehozását, törlését és módosítását, valamint bizonyos feltételeknek megfelelő lekérdezési objektumokat. (Ne feledje, hogy ezeket az eszközöket, a dsadd, dsrm, dsget és dsquery, az Active Directory nem támogatja a Windows 2000 rendszeren.)
A Dsadd egy Active Directory objektumosztály példányának létrehozására szolgál egy adott címtárpartíción. Ezek az osztályok magukban foglalják a „felhasználókat”, „számítógépeket”, „kapcsolattartókat”, „csoportokat”, „szerkezeti egységeket” és „kvótákat”. Vegye figyelembe, hogy minden létrehozott objektumtípushoz egy adott paraméterkészlet szükséges az adott típushoz elérhető attribútumokhoz. Ez a parancs egyetlen felhasználói objektumot hoz létre, különféle attribútumokkal kitöltve (vegye figyelembe, hogy a következő egy sor):
dsadd felhasználó cn=afuller,ou=IT,dc=contoso,dc=com
–samID afuller –fn Andrew –ln Fuller –pwd *
-memberOf cn=IT,ou=Csoportok,dc=contoso,dc=com "cn=Help Desk,ou=Csoportok,
dc=contoso,dc=com"
–desc "Marketing igazgató"
A -memberOf opció megköveteli minden olyan csoport teljes megkülönböztető nevét (DN), amelyhez a felhasználót hozzá kell adni, ha a felhasználót több csoportba kívánja hozzáadni, akkor több szóközzel elválasztott megkülönböztetett név adható hozzá. Az elemet be kell zárni dupla idézőjelek. Ha egy elem, mondjuk az IT\EMEA szervezeti egység tartalmaz fordított perjelet, a fordított perjelet kétszer kell beírni: IT\\EMEA. (Ezek a követelmények az összes ds* eszközre vonatkoznak.) Ha a -pwd * kapcsolót használja, a rendszer kéri a felhasználó jelszavát a parancssorban. A jelszó magában a parancsban adható meg (-pwd [e-mail védett]), de ezután tiszta szöveggel jelenik meg a képernyőn vagy bármely szöveg- vagy szkriptfájlban, amelybe a parancs be van szúrva.
Hasonlóképpen létrehozhat egy csoportobjektumot és egy üzleti egységet a következő két paranccsal:
dsadd computer cn=WKS1,ou=Munkaállomások,dc=contoso,dc=com
dsadd ou "ou=Oktatási szervezeti egység,dc=contoso,dc=com"
A dsmod a meglévő objektumok módosítására szolgál, és nagyjából ugyanúgy működik, mint a dsadd, különböző almenüket és szintaxist használva a módosítandó objektum típusától függően. A következő dsmod parancs megváltoztatja a felhasználó jelszavát, és módosítja a fiókját, így a következő bejelentkezéskor a rendszer felszólítja a jelszó megváltoztatására:
dsmod felhasználó "cn=afuller,ou=IT,dc=contoso,dc=com" –pwd [e-mail védett]
--mustchpwd igen
Ha látni szeretné, hogy ezek a beállítások mennyire hasonlítanak egymásra, nézze meg a dsadd szintaxist, amelyet ugyanazokkal az attribútumokkal rendelkező felhasználó létrehozására használnak:
dsadd felhasználó "cn=afuller,ou=IT,dc=contoso,dc=com" –pwd [e-mail védett]
--mustchpwd igen
Nyilvánvalóan, ha ismeri a dsadd-del való objektumok létrehozásának lehetőségeit, használhatja őket a felhasználók megváltoztatására a dsmod segítségével.
A dsadd ellentéte a dsrm; elképzelhető, hogy ez az eszköz objektumok eltávolítására szolgál a parancssorból. A dsrm alapvető szintaxisa meglehetősen egyszerű: csak írja be a dsrm parancsot, majd az eltávolítani kívánt objektum megkülönböztető nevét, valami ilyesmit:
dsrm cn=WKS1,ou=Munkaállomások,dc=contoso,dc=com
Alapértelmezés szerint a dsrm megkérdezi: "Biztosan törölni szeretné ezt az elemet?". Írja be az Y-t, és nyomja meg az Enter gombot. Ez a prompt a --noprompt kapcsolóval letiltható, de nyilvánvalóan ebben az esetben nincs esélye annak ellenőrzésére, hogy az objektum helyesen lett kiválasztva a törlés előtt. Két további beállítás hasznos lehet egy konténerobjektum, azaz egy olyan szerkezeti felosztás törlésekor, amely potenciálisan más objektumokat is tartalmazhat. A következő parancs eltávolítja a TrainingOU szervezeti egységet és az abban található összes objektumot:
Ez pedig törli az összes gyermekobjektumot a TrainingOU-ban, de magát a szerkezeti egységet nem érinti:
dsrm ou=TrainingOU,dc=contoso,dc=com –alfa
-- kizárni
A dsmove eszköz egy objektum áthelyezésére vagy átnevezésére szolgál az Active Directoryban, de vegye figyelembe, hogy csak tartományon belüli objektumok mozgatására használható. Az objektumok tartományok vagy erdők közötti áttelepítéséhez használja az Active Directory Migration Tool (ADMT) eszközt, amely ingyenesen letölthető a Microsoft webhelyéről. A Dsmove két lehetőségre támaszkodik, amelyek egyedül vagy együtt használhatók. Ez a parancs megváltoztatja a Steve Conn felhasználói fiók vezetéknevét:
dsmove "cn=Conn, Steve,ou=IT,dc=contoso,dc=com"
--új név "Steve Conn"
Ez a parancs áthelyezi a Steve-fiókot az IT-részlegről a képzési részlegre:
dsmove "cn=Conn, Steve,ou=IT,dc=contoso,dc=com" --újszülő
ou=Tréning,dc=contoso,dc=com
Az átnevezés és az áthelyezés egy műveletben végezhető el, mindkét paraméter egyszerre megadásával:
dsmove "cn=Conn, Steve,ou=IT,dc=contoso,dc=com" –újnév
"Steve Conn" --newparent ou=Training,dc=contoso,dc=com
dsget és dsquery
A ds* parancssori eszközkészlet két olyan eszközt is tartalmaz, amelyek az Active Directory-adatok lekérdezésére szolgálnak, nem pedig objektumok létrehozására vagy módosítására.
A Dsget az objektum megkülönböztetett nevét (DN) veszi be bemenetként, és visszaadja a megadott attribútum vagy attribútumok értékét. A dsget ugyanazokat az almenüket használja, mint a dsadd és a dsmod - "felhasználó", "számítógép", "kapcsolat", "csoport", "szerkezeti egység" és "kvóta".
A SAM-fiók nevének és a felhasználói fiók biztonsági azonosítójának (SID) lekéréséhez írja be a következő parancsot (vegye figyelembe, hogy a következők mindegyike egy sor):
dsget felhasználó cn=afuller,ou=IT,dc=contoso,dc=com
–samAccountName –sid
Az eredmények hasonlóak lesznek az ábrán láthatókhoz. 3.
Rizs. 3 A dsget használata
A Dsquery a megadott feltételeknek megfelelő Active Directory objektumok listáját adja vissza.
A Dsquery a következő, saját szintaxissal rendelkező almenüket használhatja az ObjectType-hoz: "számítógép", "kapcsolat", "alhálózat", "csoport", "szerkezeti egység", "webhely", "szerver" (vegye figyelembe, hogy az almenüszerver a tartományvezérlők adatait kéri le, nem a környezetében lévő szerverekről), "felhasználó", "kvóta" és "partíció". Ha pedig ezen lekérdezéstípusok valamelyike nem az, amit szeretne, akkor a * almenü segítségével szabad formátumú LDAP-lekérdezést adhat meg. Használhat egy adott megkülönböztetett nevet, például ou=IT,dc=contoso,dc=com, vagy a következő rövid elérési út-leírók egyikét: domainroot, amely egy adott tartomány gyökerétől kezdődik, vagy forestroot, amely a tartomány gyökerétől kezdődik. erdő gyökértartománya, globális katalógusszerver segítségével keresve. Végül a keresési hatókör paraméter határozza meg, hogy a dsquery hogyan keressen az Active Directory fában. A részfa-lekérdezések (az alapértelmezett beállítás) hozzáférnek a megadott StartNode-hoz és annak összes utódjához, a testvér-lekérdezések csak a StartNode közvetlen gyermekeihez, az alapvonali lekérdezések pedig csak a StartNode-hoz. A keresési hatókörök jobb megértéséhez képzeljünk el egy szervezeti egységet (OU) : felhasználói objektumok és egy gyermek szervezeti egység, amely további objektumokat is tartalmaz. Ha részfát használ hatókörként, a rendszer lekérdezi az OU-t, a benne lévő összes felhasználói objektumot, az utód OU-t és annak tartalmát. Testvéri hatókörrel csak az OU-ban szereplő felhasználókat kell kérni, az alárendelt OU-t és annak tartalmát azonban nem. Az alaplekérdezés csak magát az OU-t fogja lekérdezni, a benne lévő objektumok lekérdezése nélkül. Végül a kimeneti formátum segítségével szabályozhatja a dsquery eredmények formázását. Alapértelmezés szerint a dsquery a lekérdezésnek megfelelő összes objektum megkülönböztető nevét adja vissza, valami ilyesmi:
"cn=afuller,ou=Képzés,dc=contoso,dc=com"
"cn=rking,ou=ITTraining,ou=Training,dc=contoso,dc=com" Az IT szervezeti egységben és annak alárendelt szervezeti egységeiben található összes felhasználói objektum lekérdezéséhez használja a következőket:
dsquery felhasználó ou=IT,dc=contoso,dc=com
A lekérdezés még pontosabbá tehető további opciók hozzáadásával, mint például a -disabled, amely csak a letiltott felhasználói fiókokat adja vissza; -inaktív x, csak azokat a felhasználókat adja vissza, akik x vagy több hete nem csatlakoztak; vagy -stalepwd x, amely csak azokat a felhasználókat adja vissza, akik nem változtatták meg jelszavukat x vagy több napja.
A könyvtárban lévő objektumok számától függően előfordulhat, hogy meg kell adnia a -limit x kapcsolót a lekérdezés futtatásakor. Alapértelmezés szerint a dsquery legfeljebb 100 olyan objektumot ad vissza, amelyek megfelelnek a lekérdezési paramétereknek; de megadhat nagyobb számot is, például -limit 500, vagy használhatja a -limit 0-t, hogy a dsquery minden egyező objektumot visszaadjon.
Más almenüket is használhat más típusú objektumokra vonatkozó hasznos lekérdezések végrehajtására. Vegyük fontolóra a következő lekérdezést, amely az Active Directory Sites and Servicesben meghatározott minden olyan alhálózatot ad vissza, amely a 10.1.x.x címtérben található:
dsquery alhálózat -név 10.1.*
A következő paranccsal visszaadható minden egyes alhálózat, amely a Corp webhelyén található:
dsquery subnet –site Corp
A következő almenü segítségével gyorsan meghatározhatja, hogy az erdőben hány tartományvezérlő van beállítva globális katalógusszerverként:
dsquery server –forest –isgc
Ezt a szintaxist arra is használhatja, hogy megkönnyítse a tartományvezérlő azonosítását egy adott tartományban, amely tartalmazza az Elsődleges tartományvezérlő (PDC) emulátor FSMO szerepkörét:
dsquery szerver –hasfsmo pdc
Más almenüket tartalmazó ds* parancsokhoz hasonlóan az adott dsquery almenüben elérhető összes beállítás megtekinthető a parancs sorés írja be a dsquery user /?, dsquery computer /?, dsquery subnet /? és így tovább.
További trükk, hogy a kimenő dsquery adatokat egy másik eszközbe, például a dsmodba továbbítjuk, a | (SHIFT+fordított perjel az angol billentyűzetkiosztáshoz). Például egy vállalat átnevezte egy részlegét „Tréning”-ről „Belső fejlesztés”-re, és most frissítenie kell a leírási mezőt az adott részleg minden egyes felhasználójához. Egyetlen parancssorral lekérdezhet minden olyan felhasználói objektumot, amely rendelkezik Leírás előkészítése mezővel, majd lecserélheti ezt a leírási mezőt a teljes csomagra az alábbiak szerint:
dsquery user --description "Képzés" | dsmod
- "Belső fejlesztés" leírása
Néhány lelet harmadik féltől származó gyártóktól
Mivel az Active Directory az LDAP szabványokon alapul, lekérdezhető és módosítható bármilyen, az LDAP-t megértő eszközzel. Sok külső gyártó fizetős eszközöket adott ki az Active Directory adminisztrálására, de néha valódi kincseket találhat, amelyeket ingyenesen terjesztenek. Ez különösen igaz a Directory Services MVP Joe Richards által létrehozott gyűjteményére, amely letölthető a joeware.net/freetools webhelyről. Számos eszközt tartalmaz, amelyek különféle problémák megoldására szolgálnak. Közülük három, amihez folyamatosan visszatérek, az adfin, az admod és az oldcmp.
adfind és admod
az adfind és az admod olyanok, mint a dsquery és a dsmod; Az adfind egy parancssori lekérdező eszköz az Active Directoryhoz, és az admod képes Active Directory objektumokat létrehozni, törölni vagy módosítani.
Ellentétben a ds* eszközökkel, amelyek több almenüvel és az objektum típusától függően különböző opciókkal rendelkeznek, az adfind és az admod ugyanazt a szintaxist használja, függetlenül a lekérdezés vagy a végrehajtott változtatás típusától. Az adfind alapvető szintaxisa:
adfind -b -s -f
attribútumokKívánt
A tartományban lévő összes számítógépes objektum megkülönböztető nevére és leírására vonatkozó lekérdezés így néz ki:
adfind -b dc=contoso,dc=com -s részfa -f (objektumosztály=számítógép) dn
leírás
Az összes felhasználói objektum lekérdezése így néz ki:
adfind –b dc=contoso,dc=com –s részfa –f "(&(objectcategory=person)
(objectclass=user))" dn leírás
Vegye figyelembe, hogy az LDAP-tartalom lekérdezése kivételével a szintaxis nem változott.
Az adfind használatakor számos gyorsírási lehetőséget találhat a paraméterek írásához, amelyek megóvják Önt a gépelési munkától. Például a -default beállítás helyettesítheti a -b dc=contoso,dc=com az előző példában, és kereshet a teljes tartományban; A -gc a szemétgyűjtés (GC) alapján keres, és visszaadja az Active Directory erdő összes felhasználóját. Az -rb kapcsolóval relatív keresési alap is megadható; ha mondjuk meg kell találnia a "Képzés" szervezeti egységet a phl.east.us.contoso.com tartományban, akkor jelentősen időt takaríthat meg, ha egyszerűen megadja a -b ou= helyett a -default -rb ou=Training értéket. Képzés, dc=phl, dc=east,dc=us,dc=contoso,dc=com.
Az Adfind számos speciális keresési funkciót is végrehajthat, amelyeket e nélkül nehéz parancssorból irányítani.
Az -asq kapcsolót használó példa a következőképpen kérné a "Mutasd meg a HelpDesk-tagok csoporttagságát":
adfind --default --rb cn=HelpDesk,ou=IT --asq memberOf
Az Admod, ahogy a program neve is sugallja, az Active Directory objektumok módosítására szolgál. Az adfindhez hasonlóan nincsenek speciális almenük, amelyeknek saját szintaxisuk lenne megjegyezni; az admod ugyanazt a szintaxist használja, függetlenül a feldolgozott objektum típusától. Az Admod használható objektumok hozzáadására, áthelyezésére, átnevezésére, törlésére és visszaállítására is, egyszerűen hozzáadva a megfelelő opciót, mondjuk -add, -rm, -move, -undel. És csakúgy, mint a dsquery és a dsmod esetében, a | használható az adfin kérés adatainak az admod felé történő továbbítására.
Vegye figyelembe, hogy az admod segítségével történő visszaállítás egy egyszerű művelet egy olyan sírkő objektum visszaállítására, amelynél az objektum attribútumainak többségét már eltávolították. Az összes attribútummal rendelkező objektum teljes visszaállításához végre kell hajtania az objektum kényszerített visszaállítását.
Van egy másik eszköz is Joe eszközgyűjteményében, amelyet az automatizálási eszközkészletem nélkülözhetetlen részének tartok: az oldcmp, amely az Active Directory adatbázisban keresi a meghatározott számú hétig nem használt számítógépek hitelesítő adatait, és a következőkre képes:
- jelentéseket készíteni a számlákról anélkül, hogy bármit tenne velük kapcsolatban;
- tiltsa le a nem használt számítógépes fiókokat;
- számítógépes fiókok áthelyezése egy másik, korábban meghatározott szerkezeti egységbe;
- Teljesen törölje a számítógépes fiókokat.
Vegye figyelembe, hogy mivel az oldcmp komoly károkat okozhat egy könyvtárban, számos beépített biztonsági funkcióval rendelkezik. Nem távolítja el a korábban nem letiltott fiókokat (kivéve, ha a parancssorban azt mondta, hogy "Nem, tényleg ezt szeretném!"). Egyszerre nem módosít 10 objektumnál többet (hacsak nincs külön megjelölve másként), és soha nem tesz semmit a tartományvezérlő számítógépfiókjával.
Joe most frissítette az oldcmp-t, hogy hasonló funkciókat tudjon végrehajtani a megadott ideig nem használt felhasználói fiókokon is.
Egy kis Active Directory-környezetben, vagy olyan környezetben, ahol egyszerre csak egy vagy két kiegészítéssel vagy módosítással dolgozik, a grafikus felhasználói felületek, például az Active Directory-felhasználók és a számítógépek elegendőek lehetnek a napi adminisztrációhoz, de szükség esetén naponta hozzáadhatók. vagy nagyszámú objektum módosítása, vagy egyszerűen csak jobb megoldást szeretne találni az adminisztrációs feladatokra, a parancssorra váltás nagymértékben felgyorsíthatja az Active Directory objektumok létrehozásának, módosításának és törlésének folyamatát. Mint fentebb látható, létezik egy sor rugalmas és hatékony ingyenes eszköz, amelyek a Windowsba be vannak építve, és az Active Directory közösség tagjai terjesztik. Mindegyikük nagymértékben növelheti az Active Directory adminisztrátor termelékenységét, de együtt még fontosabbá válnak a mindennapi munkája szempontjából.
Laura E. Hunter négyszeres Microsoft MVP a Windows Server Networking Tools területén. Ő a szerzője az Active Directory Reference Guide második kiadásának (kiadó: O "Reilly, 2006.) Az IT-iparban szerzett tíz éves tapasztalattal Laura jelenleg Active Directory tervezőként dolgozik egy világszínvonalú mérnöki cégnél. Emellett számos iparági tanúsítvány tulajdonosa, és gyakori előadó a felhasználói csoportok találkozóin és iparági konferenciákon.
