17.03.2014 Darren Mar Elia
Keď sa prvýkrát objavil Windows PowerShell, veľa ľudí sa začalo pýtať, či je možné ho spravovať Aktívny adresár(AD) pomocou PowerShell. V tom čase odpoveď Microsoftu nebola taká, akú by väčšina administrátorov chcela počuť. PowerShell mal vstavaný „urýchľovač typov“ rozhrania ADSI (Active Directory Service Interfaces) na prístup k objektom AD, ale používateľ musel väčšinou prísť na to, ako použiť PowerShell na vykonávanie úloh správy AD sám. S vydaním nastali významné zmeny Windows Server 2008 R2, ktorý predstavil modul Active Directory PowerShell. Modul AD obsahuje sadu príkazov na správu AD, ako aj poskytovateľa AD, ktorý vám umožňuje navigovať AD ako symbolickú jednotku. V tomto článku vám ukážem, ako nainštalovať modul AD a podrobne popíšem, ako to funguje.
Keď prvýkrát vyšiel Windows PowerShell, veľa ľudí sa začalo pýtať, či je možné spravovať Active Directory (AD) pomocou PowerShell. V tom čase odpoveď Microsoftu nebola taká, akú by väčšina administrátorov chcela počuť. PowerShell mal vstavaný „urýchľovač typov“ rozhrania ADSI (Active Directory Service Interfaces) na prístup k objektom AD, ale používateľ musel väčšinou prísť na to, ako použiť PowerShell na vykonávanie úloh správy AD sám. O nejaký čas neskôr poskytol Quest Software bezplatnú sadu príkazov pre administratívne úlohy AD, vrátane vytvárania, úpravy a odstraňovania AD objektov a vyhľadávania objektov v AD. Po dlhú dobu je stav PowerShell a správy AD takýto.
Významné zmeny nastali s vydaním systému Windows Server 2008 R2, ktorý predstavil modul PowerShell pre Active Directory. Modul AD obsahuje sadu príkazov na správu AD, ako aj poskytovateľa AD, ktorý vám umožňuje navigovať AD ako symbolickú jednotku. V tomto článku vám ukážem, ako nainštalovať modul AD a podrobne popíšem, ako to funguje.
Inštalácia modulu Active Directory
Na rozdiel od predchádzajúcich nástrojov, ktoré používali LDAP na komunikáciu s AD, modul AD používa protokoly Active Directory Web Services (ADWS) na komunikáciu s radičom domény AD (DC). Tieto protokoly sú podrobne opísané v blogu MSDN „Active Directory Web Services Overview“, ale stačí povedať, že príkazy PowerShell v module AD a Active Directory Administrative Center (ADAC) používajú ADWS na komunikáciu a získavanie informácií z AD.
Keď inštalujete radiče domény Windows Server 2012 alebo Server 2008 R2 v doméne AD, protokol ADWS sa predvolene nainštaluje a spustí na každom z nich. Ak vaša doména pozostáva výlučne z radičov domény Windows Server 2008 alebo Windows Server 2003, musíte nainštalovať ADWS samostatne. Spoločnosť Microsoft poskytuje na tento účel bezplatne balík Active Directory Management Gateway Service. Ak nainštalujete balík aspoň na jeden radič domény AD Server 2008 alebo Server 2003, môžete použiť modul AD pre PowerShell spolu s ADAC.
Samotný modul AD je štandardne nainštalovaný na akomkoľvek DC so systémom Server 2012 alebo Server 2008 R2. Zapnuté Počítače so systémom Windows 8 a Windows 7 (alebo akýkoľvek iný počítač ako DC so systémom Server 2012 alebo Server 2008 R2), musíte nainštalovať Remote Server Administration Tools z Microsoft Download Center.
Bez ohľadu na to, či sú nástroje vzdialenej správy servera nainštalované na počítači vopred alebo samostatne, ďalším krokom je otvorenie sekcie Pridať alebo odstrániť programy v ovládacom paneli a v ponuke vľavo vyberte možnosť Zapnúť alebo vypnúť funkcie systému Windows. V dialógovom okne Funkcia systému Windows prejdite nadol do časti Nástroje správy vzdialeného servera. Nájdite začiarkavacie políčko Modul Active Directory pre Windows PowerShell v priečinku \Nástroje na správu vzdialeného servera\Nástroje na správu rolí\Nástroje AD DS a AD LDS, ako je znázornené na obrázku 1. Označte začiarkavacie políčko a kliknutím na tlačidlo OK nainštalujte modul.
Potom by ste mali vidieť skratku Active Directory Module pre Windows PowerShell v sekcii Nástroje na správu v ponuke Štart. Kliknutím na túto skratku spustíte PowerShell s načítaným modulom AD. Ak už používate PowerShell a chcete len načítať modul, aby bol k dispozícii na použitie, môžete zadať nasledujúci príkaz na prístup k príkazom AD a AD Provider:
Import-modul ActiveDirectory
Teraz sa pozrime, ako navigovať AD pomocou poskytovateľa AD.
Pomocou poskytovateľa služby Active Directory
PowerShell implementuje koncept diskov PowerShell, ktoré budem jednoducho označovať ako disky PS. Zjednodušený výraz pre jednotku PS je reprezentácia zdroja, ako je navigovateľný súborový systém tvorený priečinkami a listami. Nie každý zdroj môže byť reprezentovaný týmto spôsobom, ale mnohé (vrátane AD a registra) do tohto modelu dobre zapadajú. AD modul obsahuje poskytovateľa PS AD disku. V súlade s tým sa môžete pohybovať a dokonca meniť AD, ako keby to bol súborový systém.
Ako teda navigovať v AD pomocou poskytovateľa AD? Predpokladá, že PowerShell je otvorený a AD modul je načítaný. V tomto prípade je prvým krokom spustenie príkazu Set-Location, ktorý má niekoľko aliasov vrátane sl a cd:
Nastaviť umiestnenie AD:
Tento príkaz zmení aktuálnu pracovnú polohu pohonu PS AD. Výsledkom je, že výzva PowerShell zobrazí AD:\ namiesto C:\. Potom, ak chcete zobraziť položky na jednotke PS AD, môžete použiť príkaz Get-ChildItem s aliasom dir:
Get-ChildItem
Obrazovka 2 zobrazuje príklad výsledku na mojom počítači.
Ako vidíme, príkaz vráti zoznam všetkých dostupných oddielov domény. Najzaujímavejšia je podľa mňa sekcia domény s názvom cpandl, ktorá obsahuje mená používateľov a počítačov. Ak chcete zmeniť túto doménu, stačí zadať príkaz:
Nastaviť umiestnenie "dc=cpandl,dc=com"
Všimnite si, že príkaz Set-Location používa rozlišovací názov (DN) mojej domény AD. Je to potrebné pre správnu navigáciu. Po prechode do adresára domény (ako je uvedené v riadku AD:\dc=cpandl,dc=com v PowerShell) môžete použiť príkaz Get-ChildItem na zobrazenie štruktúry AD najvyššej úrovne (obrázok 3).
.jpg) |
| Obrázok 3: Zobrazenie najvyššej úrovne hierarchie AD |
Ak sa chcete pozrieť na používateľov v organizačnej jednotke (OU) SDM, potom na navigáciu do tejto OU stačí zadať:
Nastaviť umiestnenie "OU=SDM"
Príkazový riadok PowerShell bude vyzerať takto: AD:\ou=SDM,dc=cpandl,dc=com. Zapnuté tejto fáze môžete použiť príkaz Get-ChildItem na zobrazenie všetkých používateľských objektov v tejto OU. Ak chcem zmeniť vlastnosť Popis na objekte používateľa, ktorý predstavuje môj používateľský účet Darren Mar-Elia. Je tu na to tím! Príkaz Set-ItemProperty vám umožňuje zmeniť vlastnosť v objekte AD. Ak chcete zmeniť popis používateľského účtu na Chief Techie, spustite príkaz:
Set-ItemProperty -Path ".\CN=Darren Mar-Elia" ` -Názov "Popis" -Hodnota "Hlavný technik"
Ako vidíme, parameter -Path sa tu používa na zadanie môjho používateľského účtu v aktuálnom adresári. Tiež používam parameter -Name na označenie, že vlastnosť Description by sa mala zmeniť a parameter -Value na označenie popisu hlavného technika.
Všimnite si, že ak chcete nájsť všetky objekty s konkrétnou hodnotou vlastnosti, môžete použiť Get-ItemProperty. Ak chcete získať len odkaz na objekt AD, použite Get-Item.
Ako vidíte, práca s AD týmto spôsobom je celkom jednoduchá. Mechanizmus je sotva vhodný na hromadné zmeny, ale je vhodný na prácu s AD ako súborovým systémom. Zistil som však, že väčšina správcov používa na správu AD príkazy namiesto jednotky PS AD. Pozrime sa, ako fungujú niektoré z týchto príkazov.
Použitie príkazov Active Directory
Modul pre AD, ktorý sa dodáva so systémom Windows 7, obsahuje 76 príkazov na správu AD. Možno ich použiť takmer na akýkoľvek účel, vrátane vyhľadávania objektov AD, vytvárania a odstraňovania objektov AD a manipulácie s informáciami o nastaveniach AD (ako je režim lesa a jemná politika hesiel). Príkazy sú zvyčajne zoskupené podľa slovies ako Add-, Remove-, Get- a Set-. Všimnite si, že nie každý príkaz Get- má zodpovedajúci príkaz Set- a naopak, takže niekedy to vyžaduje úsilie nájsť požadovaný príkaz za úlohu. Napríklad môžete nastaviť úroveň funkčnosti lesa AD pomocou Set-ADForestMode, ale ak chcete zistiť aktuálnu úroveň funkčnosti lesa, musíte použiť príkaz Get-ADForest a pozrieť sa na vlastnosť ForestMode na vrátenom objekte.
Pozrime sa na niekoľko bežných úloh, ktoré je možné vykonať pomocou príkazov AD. Predovšetkým vám ukáže, ako pridávať používateľské účty, spravovať členstvo v skupinách, resetovať heslá používateľských účtov a vyhľadávať objekty AD.
Pridávanie používateľských účtov
Príkaz New-ADUser poskytuje jednoduchý spôsob pridania používateľských účtov do AD. Ak potrebujete pridať nový používateľský účet s názvom Bill Smith do OU SDM, potom v najjednoduchšom prípade môžete vytvoriť nový používateľský účet pomocou príkazu:
Nový ADUser -Meno "Bill Smith" -SamAccountName "bmith" ` -GivenName "Bill" -Priezvisko "Smith" ` -Zobrazované meno "Bill Smith" -Cesta "OU=SDM,DC=cpandl,DC=com"
Tento príkaz zadáva základné informácie o používateľskom účte. Najmä parameter -SamAccountName sa používa na poskytnutie názvu účtu SAM potrebného na vytvorenie objektu používateľa. Parameter –Path sa používa aj na to, aby povedal príkazu, kam umiestniť objekt, v tomto prípade SDM OU v doméne cpandl.com. Okrem toho je špecifikované krstné meno používateľa (parameter -GivenName), priezvisko (parameter -Priezvisko) a zobrazované meno (parameter -DisplayName).
Spustením tohto príkazu sa vytvorí používateľský účet, ale existujú dva problémy. Po prvé, účet bude deaktivovaný. Po druhé, k účtu nebude priradené heslo, ktoré sa vyžaduje vo väčšine domén.
Aby ste nemuseli aktivovať účet a prideľovať heslo samostatne, môžete upraviť príkaz New-ADUser. New-ADUser automaticky povolí účet, ak v príkaze zadáte možnosť -Enabled $true. Aktivácia vyžaduje heslo, preto ho musíte zadať aj v príkaze.
Na zadanie hesla môžete použiť parameter –AccountPassword. Na príkazovom riadku však nemôžete zadať heslo ako obyčajný text. Táto možnosť vyžaduje, aby bolo heslo zadané v zabezpečenom reťazci (t. j. typu údajov SecureString). Existujú dva spôsoby konverzie hesla na bezpečný reťazec a v oboch prípadoch sa používa premenná.
Prvá metóda používa príkaz ConvertTo-SecureString, ktorý konvertuje reťazce obyčajného textu na zabezpečené reťazce. Napríklad, ak potrebujete zmeniť heslo [e-mail chránený] k zabezpečenému reťazcu a priraďte ho k premennej $pwd, spustite príkaz:
$pwd = ConvertTo-SecureString -string " [e-mail chránený]» ` -AsPlainText –force
Toto nie je najbezpečnejšia metóda prideľovania hesla, pretože pri zadávaní príkazu sa vám niekto môže pozrieť cez rameno. Spoľahlivejším spôsobom je, ak si príkaz New-ADUser vyžiada heslo a skryje zadané znaky. Môžete to urobiť pomocou príkazu Read-Hostcmdlet s parametrom -AsSecureString:
$pwd = Read-Host -AsSecureString
Po vykonaní tohto príkazu sa na obrazovke pri zadávaní hesla zobrazí známy symbol „*“ Po dokončení zadávania stlačte kláves Enter.
Keď je heslo uložené v premennej $pwd, môžete ho odovzdať príkazu New-ADUser:
Nový-ADUser -Meno"Bill Smith"-SamAccountName"bmith"` -GivenName"Bill"-Priezvisko"Smith"` -Zobrazované meno"Bill Smith"` -Cesta"OU=SDM,DC=cpandl,DC=com"` - Povolené $true -Heslo účtu $pwd
Ako vidíme, príkaz obsahuje možnosti -Enabled a -AccountPassword, ktoré povolia účet a bezpečne mu priradia heslo.
Vytváranie používateľských účtov po jednom je úhľadný spôsob, no niekedy je potrebné vytvoriť viacero účtov súčasne. PowerShell je na tento účel skvelý. Ak napríklad potrebujete vytvoriť tri používateľské kontá, môžete pripraviť súbor s hodnotami oddelenými čiarkou (CSV), ktorý obsahuje informácie o konte, a potom použiť príkaz Import-CSV na odovzdanie týchto informácií používateľovi New-ADU.
Obrázok 4 zobrazuje súbor CSV s názvom userlist.csv.
Všimnite si, že v tomto súbore sa hlavičky stĺpcov zhodujú s názvami parametrov poskytnutými v predchádzajúcom príkaze New-ADUser. Je to urobené zámerne. Keď sa údaje CSV odošlú novému používateľovi ADU, príkaz prevezme tieto názvy parametrov z kanála PowerShell a nebude potrebné ich špecifikovať v samotnom príkaze. Tu je príkaz, ktorý sa používa na vytvorenie troch používateľských účtov:
Import-CSV -Cesta C:\data\userlist.csv | Nový ADUser -Povolené $true -Heslo účtu $pwd
Ako vidíte, výstupné riadky príkazu Import-CSV idú na príkaz New-ADUser. Potrubie rozpoznáva, že hlavičky stĺpcov v súbore CSV sú názvy parametrov a zvyšok riadkov obsahuje hodnoty, takže potrebuje zadať iba parametre -Enabled a -AccountPassword. Toto je vynikajúca schopnosť potrubia. Vďaka tomu je oveľa efektívnejšie používať PowerShell na tieto typy úloh automatizácie.
Správa členstva v skupine
Pridávanie používateľských a počítačových účtov je bežnou úlohou správy AD. S pomocou AD modulu je to pomerne jednoduché. Pomocou príkazu Add-ADGroupMember môžete pridať jeden alebo viac účtov do skupiny. Napríklad, ak chcete pridať troch nových používateľov do skupiny Marketing Users. Najjednoduchší spôsob je použiť príkaz:
Pridať člena ADGroup -Identita»Marketingoví používatelia«` -Členovia jadams,tthumb,mtwain
V tomto príkaze sa parameter -Identity používa na poskytnutie názvu skupiny. Možnosť -Members sa tiež používa na poskytnutie názvov účtov SAM používateľov. Ak existuje viacero názvov účtov SAM, musia byť uvedené v súbore oddelenom čiarkou.
Môžete skombinovať kroky vytvorenia troch účtov a ich pridania do skupiny Marketing Users v jednom príkaze a dokončiť úlohu v jednom kroku. Príkaz Add-ADGroupMember však nepodporuje odovzdávanie mien členov skupiny do kanála. Preto musíte použiť príkaz Add-ADPrincipalGroupMembership, ak chcete použiť kanál. Tento príkaz môže vziať objekty používateľa, počítača alebo skupiny ako vstup z kanála a pridať tieto objekty do zadanej skupiny.
Operáciu vytvárania používateľov môžete spojiť s operáciou pridávania nových používateľov do skupiny Marketing Users v jednom príkaze takto:
Import-CSV -Cesta C:\data\userlist.csv | Nový ADUser -Povolené $true -Heslo účtu $pass ` -PassThru | Add-ADPrincipalGroupMembership ` -MemberOf"Marketing Users"
Všimnite si, že parameter -PassThru bol pridaný do časti príkazu New-ADUser. Tento parameter dáva pokyn New-ADUser, aby odovzdal vygenerované používateľské objekty do potrubia. Ak tento parameter nie je zadaný, príkaz Add-ADPrincipalGroupMembership zlyhá.
Pozoruhodné je aj to, že na zadanie názvu skupiny v sekcii Add-ADPrincipalGroupMembership príkazu sa používa iba parameter -MemberOf. Kanál sa postará o zvyšok pridaním každého z troch používateľov do skupiny Marketing Users.
Takže pomocou jediného príkazu PowerShell boli vytvorení traja noví používatelia, umiestnení do OU, pridelené heslá a pridaní do skupiny Marketing Users. Teraz sa pozrime na niektoré ďalšie typické úlohy údržby AD, ktoré je možné automatizovať pomocou PowerShell a modulu AD.
Obnovte heslá používateľských účtov
Používatelia niekedy potrebujú obnoviť heslo účtu. Túto úlohu môžete jednoducho automatizovať pomocou príkazu Set-ADAccountPassword zmenou alebo resetovaním hesla účtu. Ak chcete zmeniť heslo, musíte poznať staré heslo a zadať nové. Ak chcete obnoviť svoje heslo, zadajte nové heslo. Na obnovenie hesla však potrebujete povolenie na obnovenie hesla pre objekt používateľa v AD.
Podobne ako voľba -AccountPassword príkazu New-ADUser, aj príkaz Set-ADAccountPassword používa pre heslá dátový typ SecureString, takže na konverziu hesiel vo formáte obyčajného textu na zabezpečené reťazce musíte použiť jednu z metód. Napríklad, ak chcete obnoviť heslo pre používateľský účet Tom Thumb, potom po uložení nového hesla ako zabezpečeného reťazca do premennej $pass môžete spustiť príkaz:
Set-AdccountPassword -Identity"tthumb"` -NewPassword $pass –Reset
V tomto príkaze používam parameter -Identity na priradenie názvu účtu SAM k používateľskému účtu Tom Thumb. Zadávam tiež možnosť -NewPassword s premennou $pass, aby som poskytol nové heslo. Nakoniec je uvedená možnosť -Reset, ktorá označuje, že sa vykonáva reset, a nie zmena hesla.
Ďalšia voliteľná úloha: prepnite príznak používateľského účtu Tom Thumb, aby ste ho prinútili zmeniť si heslo pri ďalšom prihlásení. Toto je bežná technika, pokiaľ ide o obnovenie hesla používateľa. Túto úlohu možno vykonať pomocou príkazu Set-ADUser nastavením parametra -ChangePasswordAtLogon na $true:
Set-ADUser -Identity tthumb -ChangePasswordAtLogon $true
Vynára sa otázka, prečo sa na prepojenie výstupu príkazu Set-ADAccountPassword do príkazu Set-ADUser nepoužil kanál, aby sa obe operácie vykonali v jednom príkaze PowerShell. Skúšal som tento prístup, nefunguje to. V príkaze Set-ADAccountPassword je pravdepodobne nejaké obmedzenie, ktoré bráni úspešnému spusteniu jedného príkazu. V každom prípade stačí jednoducho prepnúť príznak pomocou príkazu Set-ADUser, ako je uvedené vyššie.
Hľadanie objektov služby Active Directory
Ďalšou typickou úlohou AD je nájsť AD objekty, ktoré zodpovedajú určitým kritériám. Môžete napríklad nájsť všetky počítače s konkrétnou verziou operačného systému Windows v doméne AD. Príkaz Get-ADObject je najpohodlnejší príkaz na vyhľadávanie LDAP. Napríklad na nájdenie počítačov Server 2008 R2 v doméne cpandl.com sa použil príkaz:
Get-ADObject -LDAPFilter ` "(&(operatingSystem=Windows Server 2008 R2 Enterprise)` (objectClass=počítač))"-SearchBase"dc=cpandl,dc=com"` -Podstrom SearchScope
Tento príkaz používa na dokončenie úlohy tri parametre: -LDAPFilter, -SearchBase a -SearchScope. Parameter -LDAPFilter berie ako vstup štandardný dotaz LDAP. Tento príklad zisťuje všetky počítačové objekty, ktoré majú atribút OperatingSystem nastavený na Windows Server 2008 R2 Enterprise. Parameter -SearchBase hovorí príkazu, kde má začať hľadať v hierarchii AD. V tomto prípade sa vyhľadávanie vykonáva z koreňového adresára AD domény, ale nie je ťažké obmedziť vyhľadávanie na konkrétne OU. Parameter -SearchScope hovorí príkazu, či má prehľadávať všetky kontajnery pod vyhľadávacou základňou, pričom nájde zadané objekty. V tomto prípade sa parameter Subtree používa na to, aby príkaz skontroloval všetky základné kontajnery.
Keď spustíte príkaz, zobrazia sa objekty, ktoré zodpovedajú kritériám. Alebo môžete poslať výsledky inému príkazu na spracovanie nájdených objektov.
Upozorňujeme, že pri veľkých vyhľadávaniach je užitočné použiť parameter -ResultPageSize na ovládanie stránkovania výsledkov vyhľadávania. Zvyčajne nastavím tento parameter na 1000 a príkaz Get-ADObject vráti 1000 objektov naraz. V opačnom prípade nemusíte získať očakávaný výsledok, pretože počet vrátených objektov prekračuje maximum povolené politikou nastavenou pre jednu požiadavku na vyhľadávanie.
Ďalším vyhľadávacím príkazom poskytovaným spoločnosťou Microsoft je Search-ADAccount. Tento príkaz je užitočný najmä pri vyhľadávaní s rôznymi preddefinovanými podmienkami, ako sú napríklad deaktivované účty, účty s vypršanými heslami a zamknuté účty. Napríklad nasledujúci príkaz nájde všetky používateľské účty s heslami, ktorých platnosť vypršala v OU SDM:
Search-ADAccount -PasswordExpired -UsersOnly ` -SearchBase"OU=sdm,dc=cpandl,dc=com"` -SearchScope OneLevel Search-ADAccount -PasswordExpired -UsersOnly ` -SearchBase"OU=sdm,dc=cpandl,dc=com" ` -SearchScope OneLevel
Tento príkaz používa parameter -PasswordExpired na určenie, že sú potrebné účty s heslami, ktorých platnosť vypršala. Parameter -UsersOnly určuje, že by sa mali prehľadávať iba používateľské objekty (to znamená vylúčiť "počítačové" objekty). Rovnako ako v predchádzajúcom príklade sa parametre -SearchBase a -SearchScope používajú na určenie rozsahu vyhľadávania. Ale v tomto prípade používam parameter OneLevel na vyhľadávanie iba najbližšej OU (teda bez akýchkoľvek podriadených OU).
Toto je len zbežný pohľad na modul AD, ale dúfam, že máte predstavu o tom, čo dokáže. Ako je uvedené vyššie, v module je viac ako 70 príkazov. Témy, ktoré nie sú zahrnuté v tomto článku, zahŕňajú odstraňovanie objektov pomocou príkazu Remove-, obnovenie odstránených objektov pomocou príkazu Restore-ADObject a odstraňovanie vlastností UAC na používateľských objektoch pomocou príkazu Set-ADAccountControl. Existujú príkazy pre takmer akúkoľvek administratívnu úlohu AD.
Lekcia 7. Správa služby Active Directory.
Proces administrácie Active Directory je riadiť:
- domény Active Directory;
- doménová adresárová štruktúra;
- doménové objekty (používatelia, kontakty, počítače, skupiny, tlačiarne atď.);
- lokality a siete Active Directory;
- replikácia údajov.
Všetky tieto úlohy sa riešia pomocou troch konzol na správu nainštalovaných počas inštalácie služby Active Directory na radič domény:
- Active Directory – domény a dôveryhodnosti
- Active Directory – Používatelia a počítače
- Stránky a služby Active Directory
Na iných počítačoch v doméne je možné tieto konzoly nainštalovať ako súčasť balíka administratívnych pomôcok.
Popis objektov Active Directory.
Všetky konzoly na správu služby Active Directory používajú na zobrazenie objektov adresára jednu sadu ikon. Nižšie sú uvedené všetky hlavné objekty služby Active Directory a im zodpovedajúce ikony. Tieto informácie vám pomôžu ľahšie sa orientovať v adresári Active Directory.
Ikona | Objekt | Popis |
Znova načítajte server.
Zadajte heslo pre režim obnovenia adresárovej služby.
Potvrďte umiestnenie priečinkov na ukladanie súborov AD.
Potvrďte názov domény NetBIOS.
7. Vyberte úroveň zabezpečenia pre používateľov a skupiny:
· Povolenia kompatibilné so serverom starším ako Windows 2000– ak sú v doméne spustené programy alebo služby na serveroch so systémom Windows NT, alebo ak je počítač členom domény so systémom Windows NT.
· Povolenia kompatibilné iba so serverom Windows 2000 a Windows Server 2003– ak v doméne bežia iba servery so systémom Windows 2000 server a Windows Server 2003.
Sada modulov snap-in správy služby Active Directory sa používa na správu služby Active Directory. Skladá sa zo štyroch súprav:
1 Active Directory User and Computers (používatelia a počítače) – určený na správu používateľských účtov a počítačov v doméne.
2 Active Directory Domains and Trusts (domény a dôveryhodnosť) – používa sa na vytvorenie dôveryhodných vzťahov medzi doménami.
3 Stránky a služba Active Directory (stránky a služby) – určené na správu lokalít a odkazov na lokality.
4 DNS - správa DNS servera integrovaného do Active Directory.
Používatelia a počítače služby Active Directory.
Používateľské účty služby Active Directory a počítačové účty sú rovnako fyzické entity ako počítač alebo používateľ. Používateľské účty môžu byť tiež použité ako vyhradené položky služieb pre niektoré aplikácie.
Užívateľský účet– objekt Active Directory, ktorý obsahuje všetky informácie, ktoré definujú používateľa v operačnom systéme Windows. Tieto informácie zahŕňajú:
osobné údaje používateľa (meno, telefón, e-mail, poštová adresa, informácie o organizácii);
· nastavenia účtu (používateľské meno a heslo potrebné na prihlásenie používateľa, dátum vypršania platnosti účtu, správu hesiel, nastavenia šifrovania a autentifikácie);
názvy skupín, ktorých je používateľ členom;
užívateľský profil (obsahuje informácie o nastaveniach pre konkrétneho užívateľa, ako sú nastavenia pracovnej plochy, trvalé sieťové pripojenia a nastavenia aplikácií);
Ďalšie informácie (profil terminálových služieb, diaľkové ovládanie, správa relácie atď.).
Počítačový účet- objekt Active Directory, ktorý jednoznačne identifikuje počítač v doméne. Účet počítača zodpovedá názvu počítača v doméne. Počítač, ktorého účet bol pridaný do domény, sa môže zúčastniť sieťových operácií, ktoré využívajú obsah služby Active Directory. Napríklad pracovná stanica pridaná do domény je schopná rozpoznať účty a skupiny, ktoré existujú v Active Directory.
@ Počítače so systémom Windows 95, Windows 98 a Windows Me nemajú pokročilé funkcie zabezpečenia a nemožno im priradiť účty počítača.
Skupina je kolekcia používateľských a počítačových účtov, kontaktov a iných skupín, ktoré možno spravovať ako jeden celok. Používatelia a počítače, ktoré patria do určitej skupiny, sa nazývajú členovia skupiny. Skupiny v Active Directory sú adresárové objekty, ktoré sa nachádzajú v kontajnerových objektoch domény a organizačnej jednotky.
Skupiny v Active Directory vám umožňujú:
· Zjednodušte správu pridelením oprávnení na zdieľanie skupine a nie jednotlivým používateľom. To poskytuje rovnaký prístup k zdroju pre všetkých členov tejto skupiny;
delegovať správu okamžitým pridelením práv používateľom pre celú skupinu skupinové pravidlá a potom pridaním potrebných členov do skupiny, ktorí musia mať rovnaké práva ako skupina;
Skupiny sa vyznačujú rozsahom a typom. Rozsah skupiny určuje rozsah, v ktorom skupina platí v rámci domény alebo lesa. Existujú tri rôzne rozsahy: univerzálny, globálny a lokálny.
· Lokálna doména (lokálna vložená)- Členovia skupín s lokálnym rozsahom domény môžu zahŕňať iné skupiny a účty z domén Windows Server 2003, Windows 2000 alebo Windows NT a môžu im byť udelené povolenia iba v rámci domény.
@ Lokálne skupiny domény by sa mali používať na riadenie prístupu k prostriedkom v rámci rovnakej domény.
· globálne- Členovia globálne vymedzených skupín môžu zahŕňať iba iné skupiny a účty z domény, v ktorej je skupina definovaná, a môžu im byť udelené povolenia v akejkoľvek doméne v lese.
Skupiny s rozsahom @Global sa odporúčajú na spravovanie objektov adresára, ktoré vyžadujú každodennú údržbu. Príkladmi sú používateľské a počítačové účty. Pretože skupiny s globálnym rozsahom sa nereplikujú mimo svojej domény, účty obsiahnuté v takýchto skupinách možno často meniť bez toho, aby spôsobovali dodatočnú prevádzku spojenú s replikáciou do globálneho katalógu.
· Univerzálny- Členovia skupín s univerzálnym rozsahom môžu zahŕňať ďalšie skupiny a účty z ľubovoľnej domény v strome domény alebo v lese a môžu im byť udelené povolenia v ľubovoľnej doméne v strome domény alebo lese.
@ Priraďte univerzálny rozsah skupinám, ktoré zahŕňajú domény. Ak to chcete urobiť, pridajte účty do skupín s globálnym rozsahom a potom tieto skupiny vnorte do skupín s univerzálnym rozsahom. Pri tomto prístupe zmena členstva v skupinách s globálnym rozsahom neovplyvní skupiny s univerzálnym rozsahom.
Typ skupiny určuje, či je možné skupinu použiť na prideľovanie povolení k zdrojom alebo iba k e-mailovým distribučným zoznamom.
Bezpečnostné skupiny– poskytujú efektívne riadenie prístupu k sieťovým zdrojom. Používanie skupín zabezpečenia vám umožňuje:
· Priraďte používateľské práva skupine zabezpečenia v službe Active Directory. Užívateľské práva, ktoré sú nastavené pre bezpečnostné skupiny, určujú, čo môže člen tejto skupiny robiť v rámci domény (alebo lesa). Užívateľské práva sú automaticky nastavené pre bezpečnostné skupiny počas inštalácie Active Directory, aby pomohli administrátorom určiť rolu administrátorov v doméne. Napríklad používateľ pridaný do skupiny Backup Operators v Active Directory získa možnosť zálohovať a obnovovať súbory a adresáre na ľubovoľnom radiči domény v doméne. Používateľské práva na bezpečnostnú skupinu môžete nastaviť pomocou skupinovej politiky na delegovanie konkrétnych úloh. Pri zadávaní delegovaných úloh treba byť opatrný. Neskúsený používateľ, ktorý dostane príliš veľa práv v bezpečnostnej skupine, môže potenciálne spôsobiť vážne poškodenie siete.
· Priraďte oprávnenia prostriedkov bezpečnostným skupinám. Nezamieňajte si povolenia s používateľskými právami. Povolenia sú nastavené pre bezpečnostné skupiny, ktoré používajú zdieľané prostriedky. Povolenia určujú, kto môže pristupovať k danému zdroju a úroveň prístupu, ako je úplná kontrola. Niektoré povolenia, ktoré sú nastavené na doménových objektoch, sú automaticky nastavené pre rôzne úrovne prístupu k predvoleným skupinám, ako sú Account Operators alebo Domain Operators. Ďalšie informácie o povoleniach nájdete v časti Riadenie prístupu v službe Active Directory.
@ Skupiny zabezpečenia sú uvedené v tabuľkách selektívneho riadenia prístupu, ktoré definujú povolenia na prostriedky a objekty. Správcovia by mali prideľovať povolenia k prostriedkom (zdieľané súbory, tlačiarne atď.) bezpečnostným skupinám, nie jednotlivým používateľom. Povolenia sa skupine pridelia raz, namiesto pridelenia práv každému jednotlivému používateľovi. Každé konto po pridaní do skupiny získa práva nastavené pre túto skupinu v službe Active Directory a povolenia, ktoré sú nastavené pre túto skupinu na prostriedku.
Distribučné skupiny– používajú sa iba e-mailové aplikácie na odosielanie e-mailových správ skupinám používateľov. Distribučné skupiny nepoužívajú bezpečnosť, inými slovami, nemôžu byť zahrnuté do selektívnych tabuliek riadenia prístupu (DACL). Ak je vytvorená skupina na riadenie prístupu k zdieľaným prostriedkom, táto skupina musí byť bezpečnostnou skupinou.
@ Bezpečnostné skupiny možno použiť aj ako e-mailové ciele, rovnako ako distribučné skupiny. E-mailová správa odoslaná skupine sa odošle všetkým členom skupiny.
Existujú aj skupiny, pre ktoré nemôžete upravovať ani zobrazovať informácie o členstve. Tieto skupiny sa nazývajú vlastné identity a používajú sa na zastupovanie rôznych používateľov v rôznych časoch v závislosti od okolností.
(Anonymné prihlásenie, Všetko, Sieť, Interaktívne)
Napríklad skupina Všetci predstavujú všetkých aktuálnych používateľov siete vrátane hostí a používateľov z iných domén. Ďalšie informácie nájdete v časti Špeciálne identity.
Používateľské a počítačové účty (ako aj skupiny) sa nazývajú princípy zabezpečenia. Principy zabezpečenia sú objekty adresára, ktorým sú automaticky priradené bezpečnostné ID (SID) na prístup k prostriedkom domény. Používateľský alebo počítačový účet sa používa na nasledujúce účely:
overenie používateľa alebo počítača.
Povoliť alebo zakázať prístup k zdrojom domény.
· administrácia iných princípov zabezpečenia (na zastupovanie princípu zabezpečenia z externej dôveryhodnej domény).
· auditovanie činností vykonávaných pomocou používateľského alebo počítačového účtu.
Na pridelenie práv súčasne Vysoké číslo užívatelia používajú bezpečnostné skupiny. Účty je možné zoskupovať pomocou organizačných jednotiek (kontajnerov).
Na zaistenie bezpečnosti overenia používateľa by ste mali vytvoriť samostatné účty pre každého používateľa siete pomocou „ Používatelia a počítače služby Active Directory ».
Každý používateľský účet služby Active Directory má množstvo nastavení súvisiacich so zabezpečením, ktoré určujú, ako sa toto konto overuje pri prihlasovaní sa do siete.
Venované používaniu PowerShell na správu AD. Ako východiskový bod sa autor rozhodol vziať 10 typických úloh správy AD a zistiť, ako ich možno zjednodušiť pomocou PowerShell:
- Obnoviť heslo používateľa
- Aktivujte a deaktivujte účty
- Odomknúť používateľský účet
- Odstráňte svoj účet
- Nájdite prázdne skupiny
- Pridajte používateľov do skupiny
- Zoznam členov skupiny
- Nájdite zastarané účty počítača
- Deaktivujte počítačový účet
- Nájdite počítače podľa typu
Okrem toho autor vedie blog (samozrejme na PowerShell), odporúčame pozrieť - jdhitsolutions.com/blog. A to najaktuálnejšie, čo môžete získať z jeho twitteru twitter.com/jeffhicks.
Nižšie je teda preklad článku „10 najlepších úloh služby Active Directory vyriešených pomocou PowerShell“.
Správa služby Active Directory (AD) pomocou prostredia Windows PowerShell je jednoduchšia, než si myslíte, a chcem vám to dokázať. Môžete si jednoducho vziať nižšie uvedené skripty a použiť ich na riešenie množstva úloh správy AD.
Požiadavky
Ak chcete použiť PowerShell na správu AD, musíte splniť niekoľko požiadaviek. Ukážem, ako fungujú rutiny AD na príklade počítača so systémom Windows 7.
Ak chcete používať rutiny cmdlet, musíte mať radič domény Windows Server 2008 R2 alebo si môžete stiahnuť a nainštalovať službu Active Directory Management Gateway Service na starších DC. Pred inštaláciou si pozorne prečítajte dokumentáciu; Vyžaduje sa reštart.
Na strane klienta si stiahnite a nainštalujte (RSAT) pre Windows 7 alebo Windows 8. V systéme Windows 7 budete musieť otvoriť ovládacie panely kapitola programy a vyberte si Zapnite alebo vypnite funkcie systému Windows. Nájsť Nástroje vzdialenej správy servera a rozšírte sekciu Nástroje na správu rolí. Vyberte vhodné položky pre nástroje AD DS a AD LDS, najmä si všimnite, že položka musí byť vybratá Modul Active Directory pre Windows PowerShell, ako je znázornené na obrázku 1. (V systéme Windows 8 sú predvolene vybraté všetky nástroje). Teraz sme pripravení pracovať.
Obrázok 1 Povolenie služby AD DS a nástrojov AD LDS
Som prihlásený pomocou účtu s právami správcu domény. Väčšina cmdletov, ktoré vám ukážem, vám umožní zadať alternatívne poverenia. V každom prípade odporúčam prečítať si nápovedu ( Získajte pomoc) a príklady, ktoré uvediem nižšie.
Spustite reláciu PowerShell a importujte modul:
PS C:\> Import-modul ActiveDirectory
Import vytvorí nový disk PSDrive, ktorý však nebudeme používať. Môžete však vidieť, aké príkazy sú v importovanom module.
PS C:\> get-command -modul ActiveDirectory
Krása týchto príkazov je v tom, že ak môžem použiť príkaz pre jeden objekt AD, potom ho možno použiť pre 10, 100 a dokonca 1000. Pozrime sa, ako fungujú niektoré z týchto cmdletov.
Úloha 1: Obnovte heslo používateľa
Začnime typickou úlohou: resetovanie hesla používateľa. Môžete to urobiť jednoducho a jednoducho prostredníctvom cmdlet Set-AdccountPassword. Zložitou časťou je, že nové heslo musí byť kvalifikované ako bezpečný reťazec: kus textu, ktorý je zašifrovaný a uložený v pamäti počas trvania relácie PowerShell. Najprv vytvorte premennú s novým heslom:
PS C:\> $new=Read-Host "Zadajte nové heslo" -AsSecureString
Potom zadajte nové heslo:
Teraz môžeme extrahovať účet (pomocou samNázov účtu– najlepšia možnosť) a nastavte nové heslo. Tu je príklad pre používateľa Jack Frost:
PS C:\> Set-AdccountPassword jfrost -NewPassword $new
Bohužiaľ, v tomto cmdlet je chyba: -prejsť cez, -čo ak, A – Potvrďte nefunguje. Ak dávate prednosť skratke, vyskúšajte nasledovné:
PS C:\>Set-ADAccountPassword jfrost -NewPassword(ConvertTo-SecureString -AsPlainText -String" [e-mail chránený]"-sila)
Nakoniec potrebujem, aby si Jack pri ďalšom prihlásení zmenil heslo a aktualizujem účet pomocou Set-ADUser.
PS C:\> Set-ADUser jfrost -ChangePasswordAtLogon $True
Výsledky spustenia cmdlet sa nezapisujú do konzoly. Ak je to potrebné, použite – Pravda. Môžem však zistiť, či bola operácia úspešná alebo nie, extrahovaním používateľského mena pomocou cmdlet Get-ADUser a špecifikácia nehnuteľnosti Platnosť hesla vypršala ako je znázornené na obrázku 2.
Ryža. 2. Výsledky rutiny Get-ADUser s vlastnosťou PasswordExpired
Zrátané a podčiarknuté: Obnovenie hesla používateľa pomocou PowerShell nie je vôbec ťažké. Priznávam, že resetovanie hesla je tiež jednoduché pomocou snapu. Používatelia a počítače služby Active Directory konzol Microsoft Management Console (MMC). Používanie PowerShell je však v poriadku, ak potrebujete delegovať úlohu, nechcete nasadiť spomínaný modul snap-in alebo resetovať heslo ako súčasť veľkého automatizovaného IT procesu.
Úloha 2: Aktivujte a deaktivujte účty
Teraz poďme deaktivovať účet. Budeme pokračovať v spolupráci s Jackom Frostom. Tento kód používa parameter -čo ak, ktorý môžete vidieť v iných cmdletoch, ktoré vykonávajú zmeny na testovanie môjho príkazu bez jeho spustenia.
PS C:\> Zakázať-ADAccount jfrost -whatif Čo ak: Vykonanie operácie "Nastaviť" na cieli "CN=Jack Frost, OU=zamestnanci,OU=Testovanie,DC=GLOBOMANTICS,DC=lokálne".
A teraz poďme deaktivovať naozaj:
PS C:\> Disable-ADAccount jfrost
A keď príde čas na aktiváciu účtu, ktorý cmdlet nám pomôže?
PS C:\> Povoliť-ADAccount jfrost
Tieto rutiny cmdlet možno použiť v zreťazených výrazoch, čo vám umožní aktivovať alebo deaktivovať toľko účtov, koľko chcete. Napríklad tento kód deaktivuje všetky účty v oddelení predaja (predaj)
PS C:\> get-aduser -filter "oddelenie -eq "predaj"" | disable-adaccount
Samozrejme, písanie filtra pre Get-ADUser pomerne komplikované, ale tu je použitie parametra -čo ak spolu s cmdlet Zakázať-ADÚčet prichádza na pomoc.
Úloha 3: Odomknite používateľský účet
Predstavte si situáciu, keď Jack zablokoval svoj účet pri pokuse zadať nové heslo. Namiesto toho, aby ste sa snažili nájsť jeho účet cez GUI, odomknutie sa dá vykonať jednoduchým príkazom.
PS C:\> Unlock-ADAccount jfrost
Rutina cmdlet podporuje aj parametre -čo ak A -Potvrdiť.
Úloha 4: Odstráňte účet
Nezáleží na tom, koľko používateľov odstránite – pomocou cmdlet je to jednoduché Remove-ADUser. Nechcem odstrániť Jacka Frosta, ale ak by som chcel, použil by som tento kód:
PS C:\> Remove-ADUser jfrost -whatif Čo ak: Vykonanie operácie "Odstrániť" na cieli "CN=Jack Frost,OU=zamestnanci,OU=Testovanie,DC=GLOBOMANTICS,DC=lokálne".
Alebo môžem zadať viacerých používateľov a odstrániť ich jedným jednoduchým príkazom:
PS C:\> get-aduser -filter "povolené -eq "false"" -vlastnosť WhenChanged -SearchBase "OU=Zamestnanci, DC=Globomantics,DC=Miestne" | kde ($_.WhenChanged -le (Get-Date).AddDays(-180)) | Remove-ADuser -whatif
Tento príkaz nájde a odstráni všetky deaktivované účty OU zamestnancov, ktoré sa nezmenili 180 dní alebo dlhšie.
Úloha 5: Hľadanie prázdnych skupín
Riadenie skupiny je nekonečná a nevďačná úloha. Existuje mnoho spôsobov, ako nájsť prázdne skupiny. Niektoré výrazy môžu fungovať lepšie ako iné v závislosti od vašej organizácie. Nižšie uvedený kód nájde všetky skupiny v doméne vrátane vstavaných skupín.
PS C:\> get-adgroup -filter * | kde (-Nie ($_ | get-adgroupmember)) | vyberte meno
Ak máte skupiny so stovkami členov, použitie tohto príkazu môže trvať dlho; Get-ADGroupMember kontroluje každú skupinu. Ak môžete obmedziť alebo prispôsobiť, bude to lepšie.
Tu je ďalší prístup:
PS C:\> get-adgroup -filter "členovia -nie ako "*" -AND GroupScope -eq "Universal"" -SearchBase "OU=Skupiny,OU=Zamestnanci,DC=Globomantics, DC=miestne" | Vyberte meno, skupinu*
Tento príkaz nájde všetky univerzálne skupiny, ktoré nemajú členstvo v organizačných skupinách a vytlačí niektoré vlastnosti. Výsledok je znázornený na obrázku 3. 
Ryža. 3. Vyhľadávajte a filtrujte univerzálne skupiny
Úloha 6: Pridanie používateľov do skupiny
Pridajme Jacka Frosta do skupiny Chicago IT:
PS C:\> add-adgroupmember "chicago IT" -Členovia jfrost
Áno, je to také jednoduché. Môžete tiež ľahko pridať stovky používateľov do skupín, aj keď je to podľa môjho názoru trochu nepríjemné:
PS C:\> Add-ADGroupMember "Chicago Employees" -člen (get-aduser -filter "city -eq "Chicago"")
Na nájdenie všetkých používateľov, ktorí majú nehnuteľnosť City v Chicagu, som použil združený výraz v zátvorkách. Kód v zátvorkách sa vykoná a výsledné objekty sa odovzdajú parametru –Member. Každý užívateľský objekt sa pridá do skupiny Chicago Employees. Nezáleží na tom, či máme do činenia s 5 alebo 5 000 používateľmi, aktualizácia členstva v skupine trvá len niekoľko sekúnd. Tento výraz možno napísať aj pomocou Pre každý objektčo by mohlo byť pohodlnejšie:
PS C:\> Get-ADUser -filter "city -eq "Chicago"" | foreach(Add-ADGroupMember "Zamestnanci z Chicaga" -Member $_)
Úloha 7: Zobrazenie zoznamu členov skupiny
Možno budete chcieť vedieť, kto je v konkrétnej skupine. Mali by ste napríklad pravidelne kontrolovať, kto je v skupine Domain Admins:
PS C:\> Get-ADGroupMember "Správcovia domény"
Obrázok 4 ukazuje výsledok.
Ryža. 4. Členovia skupiny Domain Admins
Rutina cmdlet vypíše objekt AD pre každého člena skupiny. A čo vnorené skupiny? My Chicago All Users group je kolekcia vnorených skupín. Na získanie zoznamu všetkých účtov stačí použiť parameter – rekurzívne.
PS C:\> Get-ADGroupMember "Chicago All Users" -Rekurzívne | Vyberte možnosť DistinguishedName
Ak chcete ísť inou cestou – zistiť, do ktorých skupín používateľ patrí – použite vlastnosť používateľa Člen:
PS C:\> get-aduser jfrost -property Memberof | Vyberte -Rozbaliť Vlastníctvo Člen CN=NovýTest,OU=Skupiny,OU=Zamestnanci, DC=GLOBOMANTICS,DC=miestne CN=Test Chicago,OU=Skupiny,OU=Zamestnanci, DC=GLOBOMANTICS,DC=miestne CN=Chicago IT,OU= Skupiny,OU=Zamestnanci, DC=GLOBOMANTICS,DC=miestne CN=Používatelia predaja v Chicagu,OU=Skupiny,OU=Zamestnanci, DC=GLOBOMANTICS,DC=miestne
Použil som parameter -Rozbaliť vlastnosť na zobrazenie mien Člen ako struny.
Úloha 8: Nájdite zastarané účty počítača
Často dostávam túto otázku: „Ako nájdem zastarané počítačové účty?“. A ja vždy odpovedám: "Čo je pre teba zastarané?" Spoločnosti sa líšia v definícii toho, kedy sa počítačový účet (alebo používateľský účet, čokoľvek) považuje za zastaraný a už nie je použiteľný. Pokiaľ ide o mňa, dávam pozor na tie účty, ktorých heslá neboli zmenené po určitú dobu. Táto lehota je pre mňa 90 dní - ak počítač počas tejto doby nezmenil heslo spolu s doménou, s najväčšou pravdepodobnosťou je offline a neaktuálny. Použitá rutina Get-ADComputer:
PS C:\> get-adcomputer -filter "Passwordlastset -lt "1/1/2012"" -properties *| Vyberte meno, poslednú sadu hesla
Filter funguje skvele s tvrdou hodnotou, ale tento kód bude aktualizovaný pre všetky počítačové účty, ktoré si od 1. januára 2012 nezmenili svoje heslá. Výsledky sú znázornené na obrázku 5.
Ryža. 5. Nájdite zastarané počítačové účty
Prípadne predpokladajme, že ste aspoň na funkčnej úrovni domény Windows 2003. Filtrujte podľa vlastnosti LastLogontimeStamp. Táto hodnota je počet 100 nanosekundových intervalov od 1. januára 1601 a je uložená v GMT, takže práca s touto hodnotou je trochu zložitejšia:
PS C:\> get-adcomputer -filter "LastlogonTimestamp -gt 0" -properties * | vybrať meno,časová pečiatka posledného prihlásenia, @(Name="Posledné prihlásenie";Výraz=(::Čas_odsúboru ($_.Čas posledného prihlásenia))),posledná sada hesla | SortLastLogonTimeStamp
Ryža. 6. Preveďte hodnotu LastLogonTimeStamp na známy formát
Na vytvorenie filtra potrebujem previesť dátum, napríklad 1. január 2012, do správneho formátu. Konverzia sa vykonáva v FileTime:
PS C:\> $cutoff=(Get-Date "1/1/2012").ToFileTime() PS C:\> $cutoff 129698676000000000
Teraz môžem použiť túto premennú vo filtri pre Get-ADComputer:
PS C:\> Get-ADComputer -Filter "(lastlogontimestamp -lt $cutoff) -alebo (lastlogontimestamp -notlike "*")" -vlastnosť * | Vyberte Meno, LastlogonTimestamp,PasswordLastSet
Vyššie uvedený kód nájde tie isté počítače, ktoré sú zobrazené na obrázku 5.
Úloha 9: Deaktivujte počítačový účet
Možno ich budete chcieť deaktivovať, keď nájdete neaktívne alebo zastarané účty. Urobiť to je celkom jednoduché. Budeme používať rovnaký cmdlet, aký sme použili s používateľskými účtami. Môžete to upraviť pomocou samNázov účtuúčtu.
PS C:\> Zakázať-ADAccount -Identita "chi-srv01$" -čo ak: Vykonanie operácie "Nastaviť" na cieli "CN=CHI-SRV01, CN=Počítače,DC=GLOBOMANTICS,DC=lokálne".
Alebo pomocou výrazu potrubia:
PS C:\> get-adcomputer "chi-srv01" | Zakázať-ADÚčet
Môžem tiež použiť svoj kód na nájdenie zastaraných účtov a deaktiváciu všetkých z nich:
PS C:\> get-adcomputer -filter "Passwordlastset -lt "1/1/2012"" -properties *| Zakázať-ADÚčet
Úloha 10: Nájdite počítače podľa typu
Často sa ma tiež pýtajú, ako nájsť počítačové účty podľa typu, ako sú servery alebo pracovné stanice. To si vyžaduje určitú kreativitu z vašej strany. V AD nie je nič, čo by odlišovalo server od klienta, snáď okrem OS. Ak váš počítač používa systém Windows Server 2008, budete musieť vykonať niekoľko ďalších krokov.
Najprv musíte získať zoznam OS a potom filtrujeme účty podľa dostupných OS.
PS C:\> Get-ADComputer -Filter * -Vlastnosti Operačný systém | Vyberte Operačný systém – jedinečný | Zoradiť operačný systém
Výsledky sú znázornené na obrázku 7.
Ryža. 7. Extrahujte zoznam OS
Chcem nájsť všetky počítače so serverovým OS:
PS C:\> Get-ADComputer -Filter "Operačný systém - ako "*Server*"" -Vlastnosti Operačný systém,Operačný systém ServicePack | Vyberte Meno,Op* | format-list
Výsledky sú znázornené na obrázku 8.
Rovnako ako v prípade iných cmdletov AD Get si môžete prispôsobiť parametre vyhľadávania a v prípade potreby obmedziť dopyt na konkrétne organizačné jednotky. Všetky výrazy, ktoré som ukázal, možno integrovať do veľkých výrazov PowerShell. Môžete napríklad triediť, zoskupovať, používať filtre, exportovať do CSV alebo vytvárať a posielať e-mailom HTML správy – to všetko z PowerShell! V tomto prípade nemusíte písať ani jeden skript.
Tu je bonus pre vás: správa o veku používateľa uložená v súbore HTML:
PS C:\> Get-ADUser -Filter "Enabled -eq "True" -AND PasswordNeverExpires -eq "False"" -Vlastnosti PasswordLastSet,PasswordNeverExpires,PasswordExpires | Vyberte DistinguishedName,Name,pass*,@(Name="PasswordAge"; Expression=((Get-Date)-$_.PasswordLastSet)) |zoradiť Vek hesla -Zostupne | ConvertTo-Html -Title "Správa o veku hesla" | Out-File c:\Work\pwage.htm !}
Hoci tento výraz môže vyzerať trochu odstrašujúco, s minimálnou znalosťou prostredia PowerShell sa ľahko používa. A je tu už len posledný tip: ako definovať vlastnú vlastnosť tzv PasswordAge. Hodnota je rozdiel medzi dneškom a vlastnosťou PasswordLastSet. Potom triedim výsledky pre moju novú nehnuteľnosť. Obrázok 9 zobrazuje výstup pre moju malú testovaciu doménu.
Aktualizácia:
Príspevok obsahuje preklad článku na portáli
Tí, ktorí sa museli potýkať s vecami, ako je excelová tabuľka so zoznamom 200 nových zamestnancov od budúceho týždňa, alebo nesprávne nakonfigurované používateľské účty, pretože niekto z podpory klikol na niečo, na čo kliknúť nemal, a tiež tí, ktorí majú záujem o jednoduchší spôsob spravovania Active Directory® okrem toho, že zakaždým otvára priečinky Users a Computers, môže využívať jeden z bezplatných nástrojov na správu. Niektoré z nich sú priamo zabudované operačný systém Windows, niektoré sú súčasťou Resource Kit alebo Windows Support Toolkit a niektoré sú bezplatné produkty tretích strán. Aké sú tieto praktické nástroje a kde ich môžem získať? Poďme zistiť.
Začnime so vstavanými nástrojmi príkazového riadka v systéme Windows Server 2003, ktoré vám umožňujú vytvárať, odstraňovať, upravovať a vyhľadávať objekty v službe Active Directory.
Nástroj CSVDE vám umožňuje importovať nové objekty do Active Directory pomocou pôvodného súboru CSV; tiež vám dáva možnosť exportovať existujúce objekty do súboru CSV. CSVDE nemožno použiť na úpravu existujúcich objektov; pri použití tohto nástroja v režime importu môžete vytvárať iba nové objekty.
Export zoznamu existujúcich objektov pomocou CSVDE je pomerne jednoduchý. Nasledujúci text ukazuje, ako exportovať objekty služby Active Directory do súboru s názvom ad.csv:
csvde –f ad.csv
Voľba -f určuje, že za ňou nasleduje názov výstupného súboru. Uvedomte si však, že v závislosti od prostredia môže táto základná syntax viesť k veľkému a nepraktickému výstupnému súboru. Ak chcete obmedziť nástroj len na export objektov v rámci konkrétnej organizačnej jednotky (OU), príkaz možno upraviť takto:
csvde –f UsersOU.csv –d ou=Users,dc=contoso,dc=com
Predpokladajme ďalej, že potrebujem iba exportovať používateľské objekty do môjho súboru CSV. V takom prípade môžete pridať voľbu -r na zadanie filtra protokolu LDAP pre toto vyhľadávanie, čím sa obmedzí počet exportovaných atribútov (všimnite si, že všetko nasledujúce je jeden riadok):
csvde –f UsersOnly.csv –d ou=Users,dc=contoso,dc=com –r
"(&(kategória objektu=osoba)(trieda objektu=používateľ))" –l
DN,trieda objektu,popis
Voľba -i vám umožňuje importovať objekty do Active Directory zo zdrojového súboru CSV. Vytváranie užívateľských objektov pomocou CSVDE má však jednu veľkú nevýhodu: nedokáže nastaviť užívateľské heslá, takže CSVDE by som na vytváranie užívateľských objektov nepoužíval.
Služba Active Directory poskytuje druhé vstavané dávkové zariadenie používateľov s názvom LDIFDE, ktoré je výkonnejšie a flexibilnejšie ako CSVDE. Okrem vytvárania nových objektov vám LDIFDE umožňuje upravovať a odstraňovať existujúce objekty a dokonca rozširovať schému Active Directory. Kompromisom flexibility LDIFDE je, že požadovaný vstupný súbor (súbor LDIF) s príponou .ldf používa zložitejší formát ako jednoduchý súbor CSV. (S trochou práce môžete nastaviť aj používateľské heslá, ale o tom neskôr.)
Začnime jednoduchým príkladom, exportovaním používateľov v obchodnej jednotke do súboru LDF (všimnite si, že všetko nasledujúce je jeden riadok):
ldifde -f users.ldf -s DC1.contoso.com -d "ou=UsersOU,dc=contoso,dc=com"
–r "(&(kategória objektu=osoba)(trieda objektu=používateľ))"
Ako pri väčšine nástrojov príkazového riadka, úplný popis možností LDIFDE možno získať spustením príkazu LDIFDE /? . zobrazené sú tie, ktoré som použil tu. (Všimnite si, že voľby pre príkazy CSVDE a LDIFDE sú rovnaké.)
Skutočná sila LDIFDE je, keď vytvárate a manipulujete s objektmi. Predtým však musíte vytvoriť vstupný súbor. Nasledujúci kód vytvorí dva nové používateľské účty, afuller a rking; Ak chcete vytvoriť vstupný súbor, napíšte do poznámkového bloku (alebo iného editora obyčajného textu) a uložte ho ako NewUsers.ldf:
dn: CN=afuller, OU=UsersOU, DC=contoso, DC=com
typ zmeny: pridať
cn: plnší
objectClass: používateľ
samAccountName: afuller dn: CN=rking, OU=UsersOU, DC=contoso, DC=com
typ zmeny: pridať
cn:rking
objectClass: používateľ
samAccountName: king
Po dokončení vytvárania súboru spustite nasledujúci príkaz:
ldifde -i -f NewUsers.ldf -s DC1.contoso.com
Jedinou novou možnosťou je tu -i, čo, ako by ste mohli hádať, označuje, že sa vykonáva operácia importu, nie operácia exportu.
Úprava alebo vymazanie existujúcich objektov nezmení syntax príkazu LDIFDE; namiesto toho sa zmení obsah súboru LDF. Ak chcete upraviť pole popisu používateľského účtu, vytvorte textový súbor s názvom ModifyUsers.ldf, ako je znázornené na obrázku 1-1. 2.
Ryža. 2 LDF súbor ModifyUsers
Zmeny sa importujú spustením rovnakej syntaxe príkazu LDIFDE ako predtým, pričom za voľbou -f zadáte nový súbor LDF. Formát LDF na mazanie objektov je ešte jednoduchší; ak chcete odstrániť používateľov, s ktorými ste pracovali, vytvorte súbor s názvom DeleteUsers.ldf a zadajte nasledujúce:
dn: CN=afuller OU=UsersOU, DC=contoso, DC=com
changetype: delete dn: CN=king, OU=UsersOU, DC=contoso, DC=com
typ zmeny: vymazať
Upozorňujeme, že na rozdiel od CSVDE môže LDIFDE prispôsobiť heslá používateľov. Pred nastavením atribútu unicodePWD na používateľskom účte však musíte nastaviť šifrovanie SSL/TLS na radičoch domény Okrem toho môže LDIFDE vytvárať a upravovať akýkoľvek objekt Active Directory, nielen používateľské účty. Napríklad nasledujúci súbor LDF vytvorí nové rozšírenie schémy s názvom EmployeeID-example v schéme lesa contoso.com:
dn: cn=Príklad ID zamestnanca,cn=Schéma,
cn=Konfigurácia,dc=contoso,dc=com
typ zmeny: pridať
adminDisplayName: Príklad ID zamestnanca
atribút ID: 1.2.3.4.5.6.6.6.7
atribútSyntax: 2.5.5.6
cn: ID zamestnanca
Typ inštancie: 4
isSingleValued: Pravda
lDAPDisplayName: zamestnanec ID-príklad
Pretože súbory LDIFDE používajú štandardný formát súboru LDAP, aplikácie tretích strán, ktoré potrebujú upraviť schému Active Directory, často poskytujú súbory LDF, ktoré možno použiť na kontrolu a schválenie zmien pred ich aplikáciou na produkčné prostredie.
Okrem nástrojov na operácie hromadného importu a exportu obsahuje systém Windows Server 2003 vstavanú sadu nástrojov, ktoré vám umožňujú vytvárať, odstraňovať a upravovať rôzne objekty služby Active Directory, ako aj objekty dotazov, ktoré spĺňajú určité kritériá. (Upozorňujeme, že tieto nástroje dsadd, dsrm, dsget a dsquery nie sú podporované službou Active Directory v systéme Windows 2000.)
Dsadd sa používa na vytvorenie inštancie triedy objektov Active Directory na konkrétnom oddiele adresára. Medzi tieto triedy patria „používatelia“, „počítače“, „kontakty“, „skupiny“, „štrukturálne jednotky“ a „kvóty“. Všimnite si, že každý typ objektu, ktorý vytvoríte, vyžaduje špecifickú sadu parametrov súvisiacich s atribútmi dostupnými pre daný typ. Tento príkaz vytvorí jeden užívateľský objekt s vyplnenými rôznymi atribútmi (všimnite si, že všetko je jeden riadok):
Používateľ dsadd cn=afuller,ou=IT,dc=contoso,dc=com
–samID afuller –fn Andrew –ln Fuller –pwd *
-memberOf cn=IT,ou=Skupiny,dc=contoso,dc=com "cn=Help Desk,ou=Skupiny,
dc=contoso,dc=com"
-desc "Marketingový riaditeľ"
Voľba -memberOf vyžaduje plne rozlišujúci názov (DN) každej skupiny, do ktorej sa má používateľ pridať, ak má byť používateľ pridaný do viacerých skupín, možno pridať viacero DN oddelených medzerami. Prvok musí byť uzavretý v dvojité úvodzovky. Ak prvok, povedzme organizačná jednotka IT\EMEA, obsahuje spätnú lomku, opačnú lomku je potrebné zadať dvakrát: IT\\EMEA. (Tieto požiadavky platia pre všetky nástroje ds*.) Ak použijete voľbu -pwd *, na príkazovom riadku sa zobrazí výzva na zadanie hesla pre používateľa. Heslo je možné zadať v samotnom príkaze (-pwd [e-mail chránený]), ale potom sa zobrazí ako čistý text na obrazovke alebo v akomkoľvek textovom alebo skriptovom súbore, do ktorého je vložený príkaz.
Podobne môžete vytvoriť skupinový objekt a obchodnú jednotku pomocou nasledujúcich dvoch príkazov:
dsadd počítač cn=WKS1,ou=Pracovné stanice,dc=contoso,dc=com
dsadd ou "ou=Training OU,dc=contoso,dc=com"
dsmod sa používa na úpravu existujúcich objektov a ovláda sa v podstate rovnakým spôsobom ako dsadd, pričom používa rôzne podponuky a syntax v závislosti od typu upravovaného objektu. Nasledujúci príkaz dsmod zmení heslo používateľa a upraví jeho účet tak, aby bol pri ďalšom prihlásení vyzvaný na zmenu hesla:
Používateľ dsmod "cn=afuller,ou=IT,dc=contoso,dc=com" –pwd [e-mail chránený]
--muschpwd áno
Ak chcete zistiť, aké podobné sú tieto nastavenia, pozrite sa na syntax dsadd, ktorá sa používa na vytvorenie používateľa s rovnakými nakonfigurovanými atribútmi:
používateľ dsadd "cn=afuller,ou=IT,dc=contoso,dc=com" –pwd [e-mail chránený]
--muschpwd áno
Je zrejmé, že ak poznáte možnosti vytvárania objektov pomocou dsadd, môžete ich použiť na zmenu používateľov pomocou dsmod.
Opakom dsadd je dsrm; ako si viete predstaviť, tento nástroj sa používa na odstránenie objektov z príkazového riadku. Základná syntax pre dsrm je celkom jednoduchá: stačí zadať dsrm a za ním charakteristický názov objektu, ktorý chcete odstrániť, niečo takéto:
dsrm cn=WKS1,ou=Workstations,dc=contoso,dc=com
V predvolenom nastavení sa dsrm vyzve "Naozaj chcete odstrániť túto položku?". Napíšte Y a stlačte tlačidlo Enter. Túto výzvu možno deaktivovať voľbou --noprompt, ale v tomto prípade samozrejme nebude možné potvrdiť, že objekt bol vybratý správne pred odstránením. Dve ďalšie možnosti môžu byť užitočné pri odstraňovaní kontajnerového objektu, teda štrukturálneho podrozdelenia, ktoré môže potenciálne obsahovať ďalšie objekty. Nasledujúci príkaz odstráni organizačnú jednotku TrainingOU a všetky objekty, ktoré obsahuje:
A tento vymaže všetky podradené objekty v TrainingOU, ale nedotkne sa samotnej štrukturálnej jednotky:
dsrm ou=TrainingOU,dc=contoso,dc=com –podstrom
-- vylúčiť
Nástroj dsmove sa používa na presun alebo premenovanie objektu v Active Directory, ale všimnite si, že ho možno použiť len na presun objektov v rámci domény. Ak chcete migrovať objekty medzi doménami alebo lesmi, použite nástroj ADMT (Active Directory Migration Tool), ktorý si môžete bezplatne stiahnuť z webovej lokality spoločnosti Microsoft. Dsmove sa spolieha na dve možnosti, ktoré možno použiť samostatne alebo spoločne. Tento príkaz zmení priezvisko na používateľskom účte Steve Conn:
dsmove "cn=Conn, Steve,ou=IT,dc=contoso,dc=com"
--nové meno "Steve Conn"
Tento príkaz presunie účet Steve z IT oddelenia do školiaceho oddelenia:
dsmove "cn=Conn, Steve,ou=IT,dc=contoso,dc=com" --newparent
ou=Tréning,dc=contoso,dc=com
Premenovanie a presun je možné vykonať v jednej operácii zadaním oboch parametrov naraz:
dsmove "cn=Conn, Steve,ou=IT,dc=contoso,dc=com" –newname
"Steve Conn" --newparent ou=Tréning,dc=contoso,dc=com
dsget a dsquery
Súprava nástrojov príkazového riadka ds* obsahuje aj dva nástroje, ktoré sa používajú na vyhľadávanie informácií zo služby Active Directory, nie na vytváranie alebo úpravu objektov.
Dsget berie ako vstup rozlišovací názov (DN) objektu a vracia hodnotu zadaného atribútu alebo atribútov. dsget používa rovnaké podponuky ako dsadd a dsmod – „používateľ“, „počítač“, „kontakt“, „skupina“, „štrukturálna jednotka“ a „kvóta“.
Ak chcete získať názov účtu SAM a ID zabezpečenia (SID) používateľského účtu, zadajte nasledujúci príkaz (všimnite si, že všetky nasledujúce položky sú v jednom riadku):
Používateľ dsget cn=afuller,ou=IT,dc=contoso,dc=com
–samAccountName –sid
Výsledky budú podobné tým, ktoré sú znázornené na obr. 3.
Ryža. 3 Práca s dsget
Dsquery vráti zoznam objektov služby Active Directory, ktoré zodpovedajú zadaným kritériám.
Dsquery môže použiť nasledujúce podponuky, z ktorých každá má svoju vlastnú syntax, pre ObjectType: "počítač", "kontakt", "podsieť", "skupina", "štrukturálna jednotka", "webová stránka", "server" (všimnite si, že server podponuky získava údaje o radičoch domény, nie serveroch vo vašom prostredí), „používateľovi“, „kvóte“ a „oddiele“. A ak jeden z týchto typov dotazov nie je to, čo chcete, môžete použiť podponuku * na zadanie dotazu LDAP vo voľnom formáte StartNode určuje umiestnenie stromu Active Directory, kde sa spustí vyhľadávanie. Môžete použiť špecifické DN, ako napríklad ou=IT,dc=contoso,dc=com, alebo jeden z nasledujúcich špecifikátorov krátkej cesty: domainroot, začínajúci v koreňovom adresári špecifickej domény, alebo Forestroot, začínajúci v koreňovom adresári domény koreňová doména lesa pomocou servera globálneho katalógu na vyhľadávanie Nakoniec parameter rozsahu vyhľadávania určuje, ako má dsquery prehľadávať strom Active Directory. Prieskumy podstromu (predvolená možnosť) pristupujú k určenému počiatočnému uzlu a všetkým jeho potomkom, súrodenecké prieskumy pristupujú iba k bezprostredným potomkom počiatočného uzla a základné prieskumy pristupujú iba k počiatočnému uzlu. Ak chcete lepšie porozumieť rozsahom vyhľadávania, predstavte si organizačnú jednotku (OU) obsahujúcu : užívateľské objekty a podriadená OU, ktorá obsahuje aj ďalšie objekty. Pri použití podstromu ako rozsahu sa bude dopytovať OU, všetky používateľské objekty v nej, podriadená OU a jej obsah. V prípade súrodeneckého rozsahu sa budú vyžadovať iba používatelia obsiahnutí v OU, nie však podriadená OU a jej obsah. Základný dotaz bude dotazovať iba samotnú OU bez dotazovania sa na objekty, ktoré obsahuje.Nakoniec môžete použiť výstupný formát na riadenie formátovania výsledkov dsquery. V predvolenom nastavení dsquery vracia rozlišujúce názvy všetkých objektov, ktoré zodpovedajú dotazu, niečo také:
"cn=afuller,ou=Training,dc=contoso,dc=com"
"cn=rking,ou=ITTraining,ou=Training,dc=contoso,dc=com" Ak chcete dotazovať všetky používateľské objekty obsiahnuté v organizačnej jednotke IT a jej podriadených organizačných jednotkách, použite nasledovné:
Používateľ dsquery ou=IT,dc=contoso,dc=com
Dotaz je možné ešte spresniť pridaním ďalších možností, ako napríklad -disabled, ktorá vráti iba deaktivované používateľské účty; -inactive x, vracajúci sa iba používatelia, ktorí sa nepripojili x alebo viac týždňov; alebo -stalepwd x, ktorý vráti iba používateľov, ktorí si nezmenili heslo x alebo viac dní.
V závislosti od počtu objektov v adresári možno budete musieť pri spustení dotazu zadať voľbu -limit x. Štandardne dsquery vracia až 100 objektov, ktoré zodpovedajú parametrom dotazu; ale môžete zadať väčšie číslo, napríklad -limit 500, alebo použiť -limit 0, aby dsquery vrátil všetky zodpovedajúce objekty.
Na vykonávanie užitočných dotazov na iné typy objektov môžete použiť aj ďalšie podponuky. Zvážte nasledujúci dotaz, ktorý vráti každú podsieť definovanú v lokalitách a službách Active Directory, ktorá sa nachádza v adresnom priestore 10.1.x.x:
dsquery subnet -name 10.1.*
A nasledujúci príkaz možno použiť na vrátenie každej podsiete, ktorá sa nachádza na webovej stránke spoločnosti:
dsquery subnet –site Corp
Pomocou ďalšej podponuky môžete rýchlo určiť, koľko radičov domény v lese je nakonfigurovaných tak, aby fungovali ako servery globálneho katalógu:
dsquery server –forest –isgc
Túto syntax môžete použiť aj na uľahčenie identifikácie radiča domény v konkrétnej doméne, ktorá obsahuje rolu FSMO emulátora primárneho radiča domény (PDC):
dsquery server –hasfsmo pdc
Rovnako ako v prípade iných príkazov ds*, ktoré obsahujú podponuky, všetky možnosti dostupné v konkrétnej podponuke dsquery je možné zobraziť zadaním príkazový riadok a napísaním dsquery user /?, dsquery computer /?, dsquery subnet /? atď.
Ďalším trikom je presmerovanie odchádzajúcich údajov dsquery do iného nástroja, ako je dsmod, pomocou | (SHIFT+obrátená lomka pre anglické rozloženie klávesnice). Napríklad spoločnosť premenovala oddelenie z "Školenia" na "Interný rozvoj" a teraz potrebuje aktualizovať pole popisu pre každého používateľa v tomto oddelení. Pomocou jediného príkazového riadka môžete dotazovať všetky užívateľské objekty, ktoré majú pole Pripraviť popis, a potom nahradiť toto pole popisu pre celý balík nasledovne:
dsquery užívateľ -- popis "Školenie" | dsmod
- popis "Interný rozvoj"
Niektoré nálezy od výrobcov tretích strán
Pretože je služba Active Directory založená na štandardoch LDAP, možno ju vyhľadávať a upravovať pomocou akéhokoľvek nástroja, ktorý rozumie LDAP. Mnoho dodávateľov tretích strán vydalo platené nástroje, ktoré vám pomôžu spravovať Active Directory, no niekedy môžete nájsť skutočné poklady, ktoré sú distribuované zadarmo. Platí to najmä pre kolekciu, ktorú vytvoril MVP Directory Services Joe Richards a je k dispozícii na stiahnutie na joeware.net/freetools. Obsahuje množstvo nástrojov, ktoré slúžia na riešenie rôznych problémov. Tri z nich, ku ktorým sa stále vraciam, sú adfind, admod a oldcmp.
adfind a admod
adfind a admod sú ako dsquery a dsmod; adfind je dotazovací nástroj príkazového riadka pre Active Directory a admod môže vytvárať, odstraňovať alebo upravovať objekty Active Directory.
Na rozdiel od nástrojov ds*, ktoré majú viacero podmenu a rôzne možnosti v závislosti od typu objektu, adfind a admod používajú rovnakú syntax bez ohľadu na typ dotazu alebo vykonávanej zmeny. Základná syntax pre adfind:
nájsť -b -s -f
atribúty Požadované
Dotaz na rozlišovací názov a popis všetkých počítačových objektov v doméne by vyzeral takto:
adfind -b dc=contoso,dc=com -s podstrom -f (trieda objektu=počítač) dn
popis
Dotaz na všetky používateľské objekty by vyzeral takto:
adfind –b dc=contoso,dc=com –s podstrom –f "(&(kategória objektu=osoba)
(objectclass=user))" popis dn
Všimnite si, že s výnimkou dotazovania na obsah LDAP sa syntax nezmenila.
Pri práci s adfind môžete nájsť niekoľko možností skrátenia zápisu parametrov, ktoré vám ušetria prácu navyše pri písaní. Napríklad voľba -default môže nahradiť -b dc=contoso,dc=com v predchádzajúcom príklade a prehľadať celú doménu; -gc vyhľadáva na základe garbage collection (GC) a vracia všetkých používateľov vo vašom lese Active Directory. Voľba -rb sa môže použiť aj na nastavenie relatívnej bázy vyhľadávania; ak povedzme potrebujete nájsť organizačnú jednotku „Tréning“ v doméne phl.east.us.contoso.com, potom môžete výrazne ušetriť čas jednoduchým zadaním -default -rb ou=Tréning, namiesto -b ou= Školenie, dc=phl, dc=východ,dc=us,dc=contoso,dc=com.
Adfind dokáže vykonávať aj množstvo pokročilých funkcií vyhľadávania, ktoré sa bez neho ťažko ovládajú z príkazového riadku.
Príklad s použitím voľby -asq by vyžadoval „Zobraziť členstvo členov HelpDesk v skupinách“ nasledovne:
adfind --default --rb cn=HelpDesk,ou=IT --asq člen memberOf
Admod, ako už názov programu napovedá, slúži na úpravu objektov v Active Directory. Rovnako ako pri adfind, neexistujú žiadne špecializované podponuky s vlastnými syntaxami, ktoré by ste si mali pamätať; admod používa rovnakú syntax bez ohľadu na typ spracovávaného objektu. Admod je možné použiť aj na pridávanie, presúvanie, premenovanie, mazanie a dokonca aj obnovenie objektov jednoduchým pridaním vhodnej možnosti, povedzme -add, -rm, -move, -undel. A rovnako ako v dsquery a dsmod, | možno použiť na presmerovanie údajov žiadosti o pridanie do admod.
Všimnite si, že vykonanie obnovy pomocou admod je jednoduchá operácia obnovenia náhrobného objektu, z ktorého už bola odstránená väčšina atribútov objektu. Ak chcete úplne obnoviť objekt so všetkými atribútmi, budete musieť vykonať vynútenú obnovu objektu.
V Joeovej zbierke nástrojov je ďalší nástroj, ktorý považujem za nenahraditeľnú súčasť mojej sady nástrojov pre automatizáciu: oldcmp, ktorý vyhľadáva v databáze Active Directory poverenia počítačov, ktoré sa nepoužívali určený počet týždňov, a dokáže:
- vytvárať správy o účtoch bez akejkoľvek akcie v súvislosti s nimi;
- zakázať nepoužívané počítačové účty;
- presunúť počítačové účty do inej, predtým špecifikovanej štrukturálnej jednotky;
- Úplne odstráňte účty počítača.
Upozorňujeme, že pretože oldcmp môže spôsobiť vážne poškodenie adresára, prichádza s niekoľkými vstavanými bezpečnostnými funkciami. Neodstráni účty, ktoré predtým neboli deaktivované (pokiaľ ste na príkazovom riadku nepovedali „Nie, naozaj to chcem urobiť!“). Neupravuje viac ako 10 objektov naraz (pokiaľ nie je špecificky uvedené inak) a nikdy neurobí nič s počítačovým účtom radiča domény.
Joe teraz aktualizoval oldcmp, aby mohol vykonávať podobné funkcie aj na používateľských účtoch, ktoré neboli používané počas určeného času.
Pre malé prostredie Active Directory alebo prostredie, kde pracujete iba s jedným alebo dvoma doplnkami alebo zmenami naraz, môžu byť nástroje GUI, ako napríklad Active Directory Users and Computers, postačujúce na každodennú správu, ale v prípade potreby ich pridávajte denne. alebo úpravou veľkého počtu objektov alebo jednoducho chcete nájsť lepšie riešenie pre administratívne úlohy, prepnutie na príkazový riadok môže výrazne urýchliť proces vytvárania, úpravy a odstraňovania objektov v Active Directory. Ako je uvedené vyššie, existuje súbor flexibilných a výkonných bezplatných nástrojov zabudovaných do systému Windows a distribuovaných členmi komunity Active Directory. Každý z nich môže výrazne zvýšiť produktivitu správcu Active Directory, no spoločne sa stávajú ešte dôležitejšími pre jeho každodennú prácu.
Laura E. Hunter je štvornásobnou MVP spoločnosti Microsoft v nástrojoch Windows Server Networking Tools. Je autorkou druhého vydania referenčnej príručky Active Directory (vydalo O "Reilly, 2006). S desiatimi rokmi skúseností v IT priemysle teraz Laura pracuje ako návrhárka Active Directory v špičkovej inžinierskej firme Je tiež vlastníkom niekoľkých priemyselných certifikátov a často vystupuje na stretnutiach užívateľských skupín a priemyselných konferenciách.
