Управление Active Directory (AD) с помощью Windows PowerShell – это проще, чем Вы думаете, и я хочу доказать Вам это. Вы можете просто взять приведенные ниже скрипты и с их помощью решить ряд задач по управлению AD.
Написание и запуск скриптов
Скрипты сохраняются в виде файлов с расширением .ps1. Несмотря на то, что PowerShell уже давно является нативной частью ОС Windows, вы не сможете запустить его скрипты простым двойным щелчком. Для этого надо кликнуть правой кнопкой по скрипту и выбрать «Запустить в PowerShell».
Также существуют системные политики, ограничивающие выполнение скриптов. Можно проверить текущие параметры политики, введя команду Get-ExecutionPolicy. Результатом будет одно из следующих значений:
- Restricted — выполнение скриптов запрещено. Стандартная конфигурация;
- AllSigned — можно запускать скрипты, подписанные доверенным разработчиком; перед запуском скрипта PowerShell запросит у вас подтверждение;
- RemoteSigned — можно запускать собственные скрипты или те, что подписаны доверенным разработчиком;
- Unrestricted — можно запускать любые скрипты.
Для начала работы необходимо изменить настройку политики запуска на RemoteSigned, используя команду Set-ExecutionPolicy:
После выполнения команды можно будет запускать свои скрипты
Комментарии
- ozefele: в 07:08
Wikis are enabled by wiki software, otherwise known as wiki engines.
Ответить - Алексей: в 18:03
Добрый день. Поясните пожалуйста вот эту вашу фразу:”Подразумевается, что в AD прописан не только пользователь, но и компьютер пользователя.” В АД в какие то дополнительный полы прописывается связка логин компьютер? Если не трудно чирканите мне в почту. А то уже третий день бьюсь над аналогичной задачей но пока никуда не продвинулся.
Ответить
- Maks: в 08:38
по нормальному должен быть общий признак, но админы ленивы и редко делают такие связки копм и юзер в AD заводятся отдельно при наличии общего сделать связку в запросе легко
Ответить
- Maks: в 08:38
- Виталий: в 04:33
Данный метод кустарный и не несет никакой безопасности, т.к. клиент может передать серверу произвольный логин и имя компа. Где же тут обмен токенами?
Ответить
- Maks: в 08:31
” Где же тут обмен токенами” — зачем? 1. пользователь не должен иметь прав переименования компа или имени учетки… 2. имя компа вторично 3. юзер считывается с машины и сверяется с доменом 4. имя юзера должно быть = имени в домене... + см пункт 1 Этого достаточно чтобы определить присутствие пользователя в домене и считать его параметры, и нет необходимости в токене при соблюдении всех условий
Ответить
- Maks: в 08:31
- deface: в 05:07
Небольшое дополнение к пункту 5: Зачастую при вводе в домен, специалисты осуществляющие ввод ПК в AD не заморачиваются с длиной имени и правильностью написания, и получаются обрезанные имена. Чтобы учесть этот момент – следует в 1 первой строке примера произвести изменения.
"sAMAccountName=".mb_strtolower ($userlogin));
заменить на
"sAMAccountName=".mb_strtolower ($userlogin)."*"); Ответить
Оставить комментарий Нажмите, чтобы отменить ответ.
Имя
E-mail (не будет опубликован)
Сайт
Для того, чтобы подтвердить капчу, пожалуйста, сделайте доступным JavaScript
Get-ADGroup – получить информацию о группе AD
Получить информацию о группе поможет командлет Get-ADGroup :
Get-ADGroup «TestADGroup»
Даная команда выводит информацию об основных атрибутах группы (DN, тип группы, имя, SID). Чтобы вывести значение всех атрибутов группы домена AD, выполните такую команду:
Get-ADGroup «TestADGroup» -properties *
Как вы видите, теперь стали отображаться такие атрибуты, как время создания и модификации группы, описание и т.д.
С помощью командлета Get-ADGroup можно найти все интересующие вас группы по определенному шаблону. Например, нужно найти все группы AD, в имени которых содержится фраза admins :
Get-ADGroup -LDAPFilter “(name=*admins*)” | Format-Table
Как работают активные директории
Основными принципами работы являются:
Объекты и атрибуты
Объект — совокупность атрибутов, объединенных под собственным названием, представляющих собой ресурс сети.
Атрибут — характеристики объекта в каталоге. Например, к таким относятся ФИО пользователя, его логин. А вот атрибутами учетной записи ПК могут быть имя этого компьютера и его описание.
Пример:
“Сотрудник” – объект, который обладает атрибутами “ФИО”, “Должность” и “ТабN”.
Контейнер и имя LDAP
Контейнер — тип объектов, которые могут состоять из других объектов. Домен, к примеру, может включать в себя объекты учетных записей.
Основное их назначение — упорядочивание объектов по видам признаков. Чаще всего контейнеры применяют для группировки объектов с одинаковыми атрибутами.
Почти все контейнеры отображают совокупность объектов, а ресурсы отображаются уникальным объектом Active Directory. Один из главных видов контейнеров AD — модуль организации, или OU (organizational unit). Объекты, которые помещаются в этот контейнер, принадлежат только домену, в котором они созданы.
Облегченный протокол доступа к каталогам (Lightweight Directory Access Protocol, LDAP) — основной алгоритм подключений TCP/IP. Он создан с целью снизить количество нюанс во время доступа к службам каталога. Также, в LDAP установлены действия, используемые для запроса и редактирования данных каталога.
Дерево и сайт
Дерево доменов – это структура, совокупность доменов, имеющих общие схему и конфигурацию, которые образуют общее пространство имен и связаны доверительными отношениями.
Лес доменов – совокупность деревьев, связанных между собою.
Сайт — совокупность устройств в IP-подсетях, представляющая физическую модель сети, планирование которой совершается вне зависимости от логического представления его построения. Active Directory имеет возможность создания n-ного количества сайтов или объединения n-ного количества доменов под одним сайтом.
— Сменить/Задать пароль учётной записи
Для того чтобы сменить или задать пароль учётной записи пользователя воспользуйтесь командами:
Так же как и при создании учётной записи с паролем, для начала нужно присвоить переменной $UserPassword значение[наш пароль] введенное в безопасной строке. Здесь для примера, мы использовали другой способ ввода пароля, но вы можете использовать и тот, который показан в пункте - 2.2 — Создание учётной записи с паролем
$UserPassword = Read-Host –AsSecureString
После ввода команды, мы вводим пароль, а далее воспользуемся командлетом Set-LocalUser [изменить локальную учётную запись] с параметром -Password.
Set-LocalUser -Name "ПОЛЬЗОВАТЕЛЬ" -Password $UserPassword
В моём случае, я меняю пароль пользователю - firstdeer.[указал -Verbose для вывода сообщения "ПОДРОБНО:..."](Рис.8):
Set-LocalUser -Name "firstdeer" -Password $UserPassword -VerboseРис.8 — Смена пароля пользователю.
Вот и всё, пароль сменён.
Редактирование атрибутов Active Directory в Power Shell
На текущий момент самой актуальной версией power shell является 5-я, и компания Microsoft каждый год расширяет возможности данного языка на несколько сотен командлетов, помогая автоматизировать все, что вы хотите и удовлетворить потребности людей любящих операционные системы семейства Linux, например, CentOS. Чтобы посмотреть атрибуты пользователя, нам поможет командлет Get-ADUser и для того, чтобы изменить атрибут Set-ADUser.
Открываете power shell от имени администратора, первым делом необходимо выполнить импортирование модуля Active Directory, для того, чтобы вам подгрузились команды, отвечающие за доступ и получение информации с контроллеров домена, это можно делать на любой рабочей станции, у которой установлена операционная система не ниже Windows 7.
Вводим команду: Import-Module activedirectory. После чего запросим информацию о пользователе Барбоскине.
Как видите атрибутов Active Directory не так много вывелось, добавим ключик -Properties *
В итоге вывод оказался очень информативным.
Более подробно про вывод командлета Get-ADUser читайте на сайте Microsoft. Теперь давайте изменим, например, для пользователя Барбоскин его домашнюю страницу, для этого пишем:
Set-ADUser -Identity barboskin.g -HomePage ‘’
Как видите операционная система Windows позволяет вам редактировать и взаимодействовать с редактором атрибутов Active Directory разными методами, каждый вы будите использовать в разных ситуациях, для единичных изменений, вероятнее всего ADUC, для автоматизации, это будет несомненно power shell. Наверняка, есть еще и сторонний софт, но зачем он нужен, когда все идет из коробки.
В данной статье поговорим о том, как установить оснастки Active Directory в Windows 7. Как вы, наверное, помните, для того, чтобы в Windows XP появилась оснастка Active Directory Users and Computers (сокращенно ADUC), необходимо установить специальный набор утилит от Microsoft – Windows 2003 Admin Pack. В Windows 7 процесс установки консолей управления Active Directory несколько изменился.
Во -первых , Admin Pak теперь стал называться Remote Server Administration Tools (RSAT). Где найти и скачать RSAT для Windows 7 я уже писал. Обратите внимание, что существует несколько версий RSAT для Windows 7: версии будут отличаться в зависимости от разрядности вашей ОС (32 ил 64 –битная Window 7) и установленного Service Pack (скачать RSAT для Windows 7 SP1). Если вы не знаете, какая версия ОС используется у вас, нажмите кнопку Start, щелкните правой кнопочкой мыши по значку «Computer» и выберите «Properties». Окно с версией системы будет выглядеть примерно так:
В поле «System type:» будет указан тип вашей ОС Windows 7. В том случае, если вы используете 32 битную версию Windows 7, необходимо скачать файл, имя которого начинается с «x86…» (сейчас это «x86fre_GRMRSAT_», но имя может измениться). Для пользователей 64-битных систем, необходимо скачать файл, имя которого начинается с «amd64…» (сейчас это «amd64fre_GRMRSATX_») – это пакет подойдет даже в том случае, если вы используете процессор, отличный от AMD 64-bit.
После того, как вы скачаете RSAT для Windows 7, его нужно установить (в принципе это обычное обновление Microsoft KB).
Во-вторых , после установки RSAT в Windows 7, по умолчанию большинство дополнительных функций управления отключены, и оснастку управления Active Directory в Windows 7 нужно активировать вручную.
- Перейдите в панель управления ControlPanel, выберите раздел Programs.
- В разделе Programs and Features, щелкните по ссылке Turn Windows features on or off.
- Перейдите в раздел Remote Server Administration Tools >Role Administration Tools, и выберите AD DS and AD LDS Tools.
После этого консоль ADUC и другие оснастки управления AD в Windows 7 появится в панели управления в разделе Administrative Tools.
Активировать оснастку «Active Directory User and Computer» в Windows 7 можно и из командной строки, однако в любом случае придется скачать и установить RSAT.
В командной строке с правами администратора наберите следующие команды, добавляющие оснастки Active Directory: