телевизори. Конзоли. Проектори и аксесоари. Технологии. Цифрова телевизия

Управление на Active Directory с PowerShell. Нулиране на пароли за потребителски акаунти. Обекти и атрибути

Интелигентност

    Windows6.1-KB958830-x64-RefreshPkg.msu

    Windows6.1-KB958830-x86-RefreshPkg.msu

    Дата на публикуване:

    • **Инструментите за отдалечено администриране на сървър за Windows 7 SP1 могат да се инсталират САМО на работещи компютри Windows контрол 7 или издания Windows 7 Service Pack 1 (SP1) Professional, Enterprise и Ultimate.**

      Инструменти за администриране на отдалечен сървър за Windows 7 SP1 позволява на ИТ администраторите да управляват ролите и функциите, които са инсталирани на отдалечени компютри, работещи Windows сървър 2008 R2 SP1 или Windows Server 2008 R2 (и Windows Server 2008 или Windows Server 2003 за някои роли и функции), с отдалечен компютърработи с Windows 7 или Windows 7 Service Pack 1 (SP1). Тези инструменти осигуряват поддръжка дистанционнокомпютри, работещи под Windows Server 2008 R2 SP1, Windows Server 2008 R2 и Windows Server 2008 (за някои роли и функции), когато инсталирате Server Core или когато пълна инсталациятези операционни системи. Можете да използвате инструментите за отдалечено администриране на сървъра за Windows 7 Service Pack 1 (SP1), за да управлявате дистанционно избрани роли и функции на Windows Server 2003, въпреки че няма опция за инсталиране на Server Core за тази операционна система.

      Тази функция е сравнима по функционалност с инструментите за администриране за Windows Server 2003 и инструментите за администриране на отдалечен сървър за Windows Vista SP1.

    Системни изисквания

      Поддържана операционна система

      Windows 7; Windows 7 Service Pack 1

      • Инструментите за отдалечено администриране на сървъра за Windows 7 SP1 могат да бъдат инсталирани на компютри, работещи под Windows 7 или издания Windows 7 SP1 Professional, Enterprise и Ultimate. Това софтуерможе да се инсталира САМОна компютри, работещи под Windows 7 или Windows 7 Service Pack 1 (SP1) Professional, Enterprise и Ultimate издания; не може да се инсталира на целеви сървъри, които планирате да управлявате.

        От тази страница можете да изтеглите 32-битови и 64-битови версии на инструментите за администриране на отдалечен сървър за Windows 7 SP1. Изтеглете и инсталирайте версията, която отговаря на архитектурата на компютъра, на който планирате да инсталирате инструментите за администриране. Потребителите, които не знаят коя архитектура се използва на техния компютър - x86 или x64, трябва да се обърнат към раздела.

        Можете да използвате Инструменти за отдалечено администриране на сървър за Windows 7 SP1, за да управлявате ролите и функциите, които се изпълняват по време на инсталация на Server Core или пълна инсталация на 64-битов Windows Server 2008 R2 SP1 или операционна система Windows Server 2008 R2. Отдалеченото управление също се поддържа за някои роли и функции, които работят на Windows Server 2008 или Windows Server 2003.

        Инструментите за отдалечено администриране на сървъра за Windows 7 Service Pack 1 (SP1) не трябва да се инсталират на компютър, на който се изпълняват инструменти за администриране на Windows Server 2003 или инструменти за администриране на Windows 2000 Server®. Преди да инсталирате инструменти за администриране на отдалечен сървър за Windows 7 Service Pack 1 (SP1), деинсталирайте всички версии на пакета с инструменти за администриране или инструментите за администриране на отдалечен сървър от вашия компютър.

        Само едно копие на инструментите за отдалечено администриране на сървъра за Windows 7 SP1 може да бъде инсталирано на компютър. Преди да инсталирате новия пакет, трябва да премахнете всички съществуващи копия на инструментите за администриране на отдалечен сървър за Windows 7 SP1. Това включва и копия на различни езици.

        За подробности относно инструментите за администриране на отдалечен сървър за Windows 7 SP1 и поддържаните операционни системи, на които можете да използвате инструментите, вижте.

    инструкции за инсталация

      • Инсталиране на инструменти за администриране на отдалечен сървър за Windows 7 SP1

        Администраторина компютъра, на който искате да инсталирате пакета с административни инструменти, или влезте в компютъра, като използвате вградения акаунт Администратор.

        внимание!Преди да инсталирате инструменти за администриране на отдалечен сървър за Windows 7 Service Pack 1 (SP1), деинсталирайте всички версии на пакета с инструменти за администриране или инструментите за администриране на отдалечен сървър от вашия компютър.

        внимание!Само едно копие на инструментите за отдалечено администриране на сървъра за Windows 7 SP1 може да бъде инсталирано на компютър. Преди да инсталирате новия пакет, трябва да премахнете всички съществуващи копия на инструментите за администриране на отдалечен сървър за Windows 7 SP1. Това включва и копия на различни езици. За инструкции за деинсталиране на съществуващи екземпляри на инструменти за администриране на отдалечен сървър за Windows 7 SP1 вижте на тази страница.

        1. Изтеглете инструментите за администриране на отдалечен сървър за Windows 7 SP1 на компютър с Windows 7 или Windows 7 SP1 от центъра на Microsoft за изтегляния.

        2. Отворете папката, в която сте изтеглили пакета, щракнете двукратно върху нея, за да я извлечете, и стартирайте инструментите за администриране на отдалечен сървър за съветника за инсталиране на Windows 7 SP1.

        . внимание!За да започнете да инсталирате пакета с инструменти за администриране, трябва да приемете условията на лиценза и ограничената гаранция.

        3. Следвайте всички инструкции на съветника и щракнете върху бутона Готовза да завърши работата си след приключване на инсталацията.

        4. Натиснете бутона Започнете, Избери предмет Контролен панели щракнете програми.

        5. В района Програми и компонентиизберете опция.

        6. Ако Контролът на потребителските акаунти ви подкани да разрешите разрешение за отваряне на диалоговия прозорец с функции на Windows, щракнете продължи.

        7. В диалоговия прозорец Компоненти на Windowsразширете елемента.

        8. Изберете инструментите за дистанционно управление, които искате да инсталирате.

        9. Натиснете бутона Добре.

        10. Персонализирайте менюто си Започнететака че прекият път да се показва в него Администрация(при негово отсъствие):

        Щракнете върху бутона Започнетещракнете с десния бутон и изберете команда Имоти;

        В раздела Старт менющракнете върху бутона Настройте;

        В диалоговия прозорец Персонализиране на менюто "Старт".превъртете списъка до елемента Администрацияи поставете отметка в квадратчето Показване във всички програми и менюта "Старт".. Щракнете върху бутона Добре. Към списъка се добавят преки пътища към модули, инсталирани от инструментите за администриране на отдалечен сървър за Windows 7 SP1 Администрацияменю Започнете.

        Преинсталиране или деинсталиране на отделни инструменти за администриране на отдалечен сървър за Windows 7 SP1

        Ако сте премахнали инструмента за отдалечено администриране от компютър, работещ под Windows 7 или Windows 7 Service Pack 1 (SP1), можете да го инсталирате отново, като следвате стъпките по-долу.

        Преинсталиране на отделни инструменти за отдалечено администриране

        1. Щракнете върху бутона Започнете, Избери предмет Контролен панели щракнете програми.

        2. В района Програми и компонентиизберете опция Активиране или деактивиране Компоненти на Windows .

        3. Ако прозорецът за контрол на потребителските акаунти поиска разрешение за отваряне на диалогов прозорец Компоненти на Windows, Натисни бутона продължи.

        4. В диалоговия прозорец Компоненти на Windowsразширете елемента Инструменти за отдалечено администриране на сървър.

        5. Изберете инструментите за дистанционно управление, които искате да инсталирате, или изчистете отметките от квадратчетата за инструментите, които искате да премахнете. Щракнете върху бутона Добре.

        Пълно премахване на инструментите за администриране на отдалечен сървър за Windows 7 SP1

        Трябва да е член на групата Администраторина компютъра, от който искате да премахнете пакета с инструменти за администриране, или влезте в компютъра, като използвате вградения акаунт Администратор.

        Можете да премахнете целия пакет с административни инструменти от вашия компютър, като използвате помощна програма Деинсталиране на програмав контролния панел.

        Деинсталиране на пакета с инструменти за администриране

        1. Щракнете върху бутона Започнете, Избери предмет Контролен панел, а след това в района програмищракнете елемент Деинсталиране на програма.

        2. Щракнете върху елемента Вижте инсталираните актуализации.

        3. Изберете елемент Актуализация за Microsoft Windows (958830) .

        4. Натиснете бутона Изтрий.

Основи на управлението на домейна Активна директория

Редица инструменти в конзолата за управление на Microsoft (MMC) улесняват работата с Active Directory.

Оборудване Потребители и компютри на Active Directory(Active Directory Users and Computers) е MMC, който можете да използвате за администриране и публикуване на информация от директория. Това е основният административен инструмент за Active Directory и се използва за изпълнение на всички задачи, свързани с потребители, групи и компютри, както и за управление на организационни единици. За да стартирате конзолната добавка Active Directory Users and Computers, изберете командата със същото име от менюто Административни инструменти.

Потребители и компютри на Active Directory

По подразбиране конзолата за потребители и компютри на Active Directory работи с домейна, към който принадлежи вашият компютър. Можете да получите достъп до компютърни и потребителски обекти в този домейн чрез дървото на конзолата или да се свържете с друг домейн. Инструментите в същата конзола ви позволяват да преглеждате Допълнителни опциипредмети и да ги търсите.

След като имате достъп до домейна, ще видите стандартен комплектпапки:

  • Запазени заявки – запазени критерии за търсене, които ви позволяват бързо да повторите извършено преди това търсене в Active Directory;
  • B uiltin – списък с вградени потребителски акаунти;
  • C компютри – контейнер по подразбиране за компютърни акаунти;
  • Домейн контролери – контейнер по подразбиране за домейн контролери;
  • ForeignSecurityPrincipals – Съдържа информация за обекти от доверен външен домейн. Обикновено тези обекти се създават, когато обект от външен домейн се добави към текущата домейн група;
  • U sers е контейнерът по подразбиране за потребители.

Някои конзолни папки не се показват по подразбиране. За да ги покажете на екрана, изберете Разширени функции от менюто Изглед ( Допълнителни функции). Това са допълнителните папки:

  • L ostAndFound – изгубен собственик, обекти на директория;
  • N TDS Quotas – данни за квотата на директорийната услуга;
  • Програмни данни – данни, съхранявани в директорийната услуга за Microsoft приложения;
  • S system – вградени системни параметри.

Можете независимо да добавяте папки за организационни единици към AD дървото.

Нека да разгледаме пример за създаване на потребителски акаунт на домейн. За да създадете потребителски акаунт, щракнете с десния бутон върху контейнера, в който искате да поставите потребителския акаунт, изберете в контекстно менюНов и след това потребител. Ще се отвори прозорецът на съветника за нов обект – потребител:

  1. Въведете собственото име, инициала и фамилията на потребителя в съответните полета. Тази информация ще ви е необходима, за да създадете екранно име на вашия потребител.
  2. Редактирайте пълното си име. Той трябва да бъде уникален в рамките на домейна и да е с дължина не повече от 64 знака.
  3. Въведете вашето име за вход. Използвайте падащия списък, за да изберете домейна, с който ще бъде свързан акаунтът.
  4. Ако е необходимо, променете потребителското име за вход на системи, работещи под Windows NT 4.0 или по-нова версия по-ранни версии. По подразбиране името за вход за системи с предишни версии Windows използва първите 20 знака от пълното име на потребителя. Това име също трябва да е уникално в рамките на домейна.
  5. Щракнете Напред. Въведете парола за потребителя. Неговите настройки трябва да съответстват на вашата политика за пароли;
    Потвърждение на парола – поле, използвано за потвърждение, че въведената парола е правилна;
    U ser трябва да промени паролата при следващо влизане(Изискване за промяна на паролата при следващо влизане) – ако това квадратче е избрано, потребителят ще трябва да промени паролата при следващо влизане;
    Потребителят не може да промени паролата – ако това квадратче е отметнато, потребителят не може да промени паролата;
    Паролата никога не изтича – Ако това квадратче е избрано, паролата за този акаунт никога няма да изтече (тази настройка отменя правилата за акаунти на домейна);
    Акаунтът е деактивиран – Ако това квадратче е отметнато, акаунтът е деактивиран (тази опция е полезна за временно деактивиране на някой от използването на акаунта).

Сметките ви позволяват да съхранявате Информация за връзкапотребители, както и информация за участие в различни домейн групи, път на профил, скрипт за влизане, път на домашна папка, списък с компютри, от които потребителят има право да влиза в домейна и др.

Скриптовете за влизане дефинират команди, които се изпълняват всеки път, когато влезете в системата. Те ви позволяват да конфигурирате системното време, мрежови принтери, пътища към мрежови устройства и др. Скриптовете се използват за еднократно изпълнение на команди и настройките на средата, зададени от скриптовете, не се записват за по-късна употреба. Скриптовете за влизане могат да бъдат сървърни файлове Windows скриптовес разширения .VBS, .JS и други, групови файлове с разширение .BAT, пакетни файловес разширение.CMD, програми с разширение.EXE.

Можете да зададете на всеки акаунт собствена начална папка за съхраняване и възстановяване на потребителски файлове. Повечето приложения отварят домашната папка по подразбиране за операции по отваряне и запазване на файлове, което улеснява потребителите да намират своите данни. В командния ред домашната папка е началната текуща директория. Домашната папка може да се намира или на локалния твърд диск на потребителя, или на публичен. мрежово устройство.

Към домейн сметкиГруповите правила могат да се прилагат към компютри и потребители. Групова политикаопростява администрирането, като предоставя на администраторите централизиран контрол върху привилегиите, разрешенията и възможностите на потребителите и компютрите. Груповите правила ви позволяват да:

  • създаване на централно управлявани специални папки, като Моите документи;
  • контролирайте достъпа до компонентите на Windows, системата и мрежови ресурси, Инструменти на контролния панел, работен плот и меню "Старт";
  • конфигуриране на потребителски и компютърни скриптове за изпълнение на задача в определено време;
  • Конфигурирайте правила за пароли и блокиране на акаунти, одит, присвояване на потребителски права и сигурност.

В допълнение към задачите за управление на потребителски акаунти и групи, има много други задачи за управление на домейн. Други инструменти и приложения служат за тази цел.

Оборудване Домейни и тръстове на Active Directory(Active Directory - домейни и доверие) се използва за работа с домейни, домейн дървета и домейн гори.

Оборудване Сайтове и услуги на Active Directory(Active Directory - сайтове и услуги) ви позволява да управлявате сайтове и подмрежи, както и репликация между сайтове.

За да управлявате AD обекти, има инструменти за команден ред, които ви позволяват широк обхватадминистративни задачи:

  • D sadd – добавя компютри, контакти, групи, организационни единици и потребители към Active Directory. За получаване справочна информациявъведете dsadd /? , например dsadd computer/?
  • D smod—променя свойствата на компютри, контакти, групи, организационни единици, потребители и сървъри, регистрирани в Active Directory. За помощна информация въведете dsmod /? , например dsmod сървър /?
  • D преместване – Премества единичен обект на ново място в домейн или преименува обект, без да го мести.
  • D sget – Показва свойствата на компютри, контакти, групи, организационни единици, потребители, сайтове, подмрежи и сървъри, регистрирани в Active Directory. За помощна информация въведете dsget /? , например dsget subnet /?
  • D squery – търси компютри, контакти, групи, организационни единици, потребители, сайтове, подмрежи и сървъри в Active Directory по зададени критерии.

17.03.2014 Дарън Мар-Елия

Кога Windows PowerShellтоку-що се появи, мнозина започнаха да питат дали е възможно да се управлява Active Directory (AD) с помощта на PowerShell. По това време отговорът на Microsoft не беше това, което повечето администратори биха искали да чуят. PowerShell имаше вграден „типов ускорител“ на Active Directory Service Interfaces (ADSI) за достъп до AD обекти, но потребителят до голяма степен трябваше сам да разбере как да използва PowerShell за изпълнение на административни задачи на AD. Настъпиха значителни промени с пускането на Windows Server 2008 R2, който въведе модула PowerShell за Active Directory. AD модулът включва набор от команди за управление на AD, както и AD доставчик, който ви позволява да навигирате в AD като символно устройство. В тази статия ще ви покажа как да инсталирате AD модула и ще опиша подробно функционирането му

Когато Windows PowerShell излезе за първи път, много хора попитаха дали е възможно да управляват Active Directory (AD) с помощта на PowerShell. По онова време отговорът на Microsoft не беше това, което повечето администратори биха искали да чуят. PowerShell имаше вграден „типов ускорител“ на Active Directory Service Interfaces (ADSI) за достъп до AD обекти, но потребителят до голяма степен трябваше сам да разбере как да използва PowerShell за изпълнение на административни задачи на AD. С течение на времето Quest Software предостави безплатен набор от команди за административни задачи на AD, включително създаване, модифициране и изтриване на AD обекти и търсене на обекти в AD. Това е състоянието на управлението на PowerShell и AD от дълго време.

Настъпиха значителни промени с пускането на Windows Server 2008 R2, който въведе модула PowerShell за Active Directory. AD модулът включва набор от команди за управление на AD, както и AD доставчик, който ви позволява да навигирате в AD като символно устройство. В тази статия ще ви покажа как да инсталирате AD модула и ще опиша подробно функционирането му.

Инсталиране на модул Active Directory

За разлика от предишните инструменти, които използваха LDAP за комуникация с AD, AD модулът използва протоколи на Active Directory Уеб услуги(ADWS), за да комуникирате с AD домейн контролера (DC). Тези протоколи са описани подробно в блога на MSDN „Преглед на уеб услугите на Active Directory“, но е достатъчно да се отбележи, че командите на PowerShell в модула AD и административния център на Active Directory (ADAC) използват ADWS за комуникация и извличане на информация от AD .

Когато инсталирате Windows Server 2012 или Server 2008 R2 домейн контролери в AD домейн, ADWS протоколът се инсталира и работи по подразбиране на всеки от тях. Ако вашият домейн се състои изцяло от Windows Server 2008 или Windows Server 2003 домейн контролери, трябва да инсталирате ADWS отделно. Microsoft предоставя пакета Active Directory Management Gateway Service безплатно за тази цел. Ако инсталирате пакета на поне един домейн контролер AD Server 2008 или Server 2003, можете да използвате AD модула за PowerShell заедно с ADAC.

Самият AD модул е ​​инсталиран по подразбиране на всеки DC, работещ с операционната система Server 2012 или Server 2008 R2. На Windows компютри 8 и Windows 7 (или който и да е компютър, различен от DC, изпълняващ Server 2012 или Server 2008 R2), трябва да инсталирате инструментите за отдалечено администриране на сървъра от Центъра за изтегляния на Microsoft.

Независимо дали инструментите за отдалечено администриране на сървъра са инсталирани на вашия компютър предварително или отделно, Следваща стъпка- отворете секцията Добавяне/Премахване на програми в контролния панел и изберете опцията за включване или изключване на функциите на Windows - в менюто вляво. Превъртете надолу диалоговия прозорец с функции на Windows до секцията Инструменти за администриране на отдалечен сървър. Намерете квадратчето за отметка Модул на Active Directory за Windows PowerShell в папката \Remote Server Administration Tools\Role Administration Tools\AD DS and AD LDS Tools Tools, както е показано на фигура 1. Поставете отметка в квадратчето и щракнете върху OK, за да инсталирате модула.

Сега трябва да видите пряк път за модула на Active Directory за Windows PowerShell в раздела Административни инструменти на менюто "Старт". Щракнете върху този пряк път, за да стартирате PowerShell със зареден AD модул. Ако вече работите в PowerShell и просто искате да заредите модула, така че да е достъпен за използване, можете да въведете следната команда, за да получите достъп до командите AD и AD Provider:

Импортиране на модул ActiveDirectory

Сега нека видим как да навигирате в AD с помощта на AD Provider.

Използване на доставчика на Active Directory

PowerShell прилага концепцията за PowerShell устройства, които просто ще наричам PS устройства. Казано по-просто, PS устройството е представяне на ресурс, като файлова система с възможност за навигация, състояща се от папки и крайни елементи. Не всеки ресурс може да се разглежда по този начин, но много (включително AD и регистъра) се вписват добре в този модел. AD модулът съдържа доставчика на PS AD диска. Съответно можете да навигирате и дори да промените AD, сякаш е файлова система.

Как да навигирате в AD с помощта на AD Provider? Това предполага, че PowerShell е отворен и AD модулът е зареден. В този случай първата стъпка е да изпълните командата Set-Location, която има няколко псевдонима, включително sl и cd:

Реклама за задаване на местоположение:

Тази команда променя текущото работно местоположение на PS AD устройството. В резултат на това подканата на PowerShell ще показва AD:\ вместо C:\. След това, за да видите елементите в PS AD устройството, можете да използвате командата Get-ChildItem с псевдонима на dir:

Get-ChildItem

Фигура 2 показва пример за резултата на моя компютър.

Както виждаме, командата връща списък с всички налични дялове на домейн. Най-интересният според мен е разделът на домейна, наречен cpandl, който съдържа потребителски и компютърни имена. За да промените този домейн, просто въведете командата:

Set-Location "dc=cpandl,dc=com"

Имайте предвид, че командата Set-Location се използва с отличителното име (DN) на моя AD домейн. Това е необходимо за правилна навигация. След навигиране до директорията на домейна (както е посочено от подканата AD:\dc=cpandl,dc=com в PowerShell), можете да използвате командата Get-ChildItem, за да видите структурата на AD Най-високо ниво(екран 3).
Фигура 3: Преглед на най-високото ниво на йерархията на AD

Ако искате да разгледате потребителите в организационната единица (OU) на SDM, тогава, за да отидете до тази OU, просто трябва да въведете:

Задаване на местоположение "OU=SDM"

Командният ред на PowerShell ще изглежда като AD:\ou=SDM,dc=cpandl,dc=com. В този момент можете да използвате командата Get-ChildItem, за да видите всички потребителски обекти в тази OU. Ако трябва да променя свойството Description на потребителския обект, представляващ моя потребителски акаунт Darren Mar-Elia. Има екип за това! Командата Set-ItemProperty ви позволява да промените свойство на AD обект. Ако трябва да промените описанието на потребителския акаунт на Chief Techie, трябва да изпълните командата:

Set-ItemProperty -Path ".\CN=Darren Mar-Elia" ` -Name "Description" -Value "Chief Techie"

Както виждаме, параметърът –Path се използва тук, за да посочи моя потребителски акаунт в текущата директория. Също така използвам параметъра -Name, за да укажа, че свойството Description трябва да бъде променено, и параметъра –Value, за да укажа описанието на Chief Techie.

Имайте предвид, че ако искате да намерите всички обекти с определена стойност на свойството, можете да използвате Get-ItemProperty. Ако просто искате да получите препратка към AD обект, използвайте Get-Item.

Както можете да видите, работата с AD по този начин е доста проста. Механизмът едва ли е подходящ за масови промени, но е удобен за работа с AD като a файлова система. Въпреки това, както разбрах, повечето администратори използват команди вместо PS AD устройството за управление на AD. Нека да видим как работят някои от тези команди.

Използване на команди на Active Directory

Модулът AD, включен в Windows 7, съдържа 76 команди за управление на AD. Те могат да се използват за почти всякакви цели, включително намиране на AD обекти, създаване и изтриване на AD обекти и манипулиране на информация за конфигурацията на AD (като горски режим и подробни политики за пароли). Обикновено командите са групирани по глаголи като Add-, Remove-, Get- и Set-. Обърнете внимание, че не всяка Get-команда има съответна Set-команда и обратно, така че понякога са необходими известни усилия, за да се намери правилната команда за задача. Например, можете да зададете нивото на функционалност на AD гората с помощта на Set-ADForestMode, но за да разберете текущото ниво на функционалност на гората, трябва да използвате командата Get-ADForest и да погледнете свойството ForestMode на върнатия обект.

Нека да разгледаме няколко общи задачи, които могат да бъдат изпълнени с помощта на AD команди. По-конкретно, ще ви покажем как да добавяте потребителски акаунти, да управлявате членство в група, да нулирате пароли за потребителски акаунти и да търсите в AD обекти.

Добавяне на потребителски акаунти

Командата New-ADUser осигурява лесен начин за добавяне на потребителски акаунти към AD. Ако искате да добавите нов потребителски акаунт на име Бил Смит към организационната единица на SDM, тогава в най-простия случай можете да създадете нов потребителски акаунт с помощта на командата:

New-ADUser -Име "Bill Smith" -SamAccountName "bsmith" ` -GivenName "Bill" -Surname "Smith" ` -DisplayName "Bill Smith" -Path "OU=SDM,DC=cpandl,DC=com"

Тази команда въвежда основна информация за потребителския акаунт. По-конкретно, параметърът -SamAccountName се използва за предоставяне на името на SAM акаунта, необходим за създаване на потребителски обект. Параметърът –Path също се използва, за да каже на командата къде да постави обекта - в този случай SDM OU в домейна cpandl.com. Освен това се посочват собственото име на потребителя (параметър -GivenName), фамилията (параметър -Surname) и показваното име (параметър -DisplayName).

Изпълнението на тази команда ще създаде потребителски акаунт, но има два проблема. Първо, акаунтът ще бъде деактивиран. На второ място, с сметканяма да има свързана парола, която се изисква в повечето домейни.

За да избегнете необходимостта от активиране на акаунта и задаване на парола отделно, можете да промените командата New-ADUser. New-ADUser автоматично ще активира акаунта, ако посочите параметъра -Enabled $true в командата. Активирането изисква парола, така че трябва да я посочите и в командата.

За да предоставите парола, можете да използвате параметъра –AccountPassword. Не можете обаче да въведете паролата в обикновен текст в командния ред. Тази опция изисква паролата да бъде въведена в защитен низ (т.е. има тип данни SecureString). Има два начина за конвертиране на парола в защитен низ и двата използват променлива.

Първият метод използва командата ConvertTo-SecureString, която преобразува обикновени текстови низове в защитени низове. Например, ако искате да конвертирате паролата P@ssw0rd12 в защитен низ и да я присвоите на променливата $pwd, ще изпълните командата:

$pwd = ConvertTo-SecureString -string "P@ssw0rd12" ` -AsPlainText –force

Това не е най-много безопасен методзадаване на парола, така че някой да може да ви погледне през рамо, когато въвеждате команда. | Повече ▼ надежден начин, ако командата New-ADUser ще поиска парола и ще скрие въведените знаци. Това може да стане с помощта на командата Read-Hostcmdlet с параметъра –AsSecureString:

$pwd = Read-Host -AsSecureString

След като изпълните тази команда, ще видите познатия символ "*" на екрана си, когато въведете паролата си. Когато сте готови, натиснете клавиша Enter.

След като паролата бъде съхранена в променливата $pwd, можете да я предадете на командата New-ADUser:

New-ADUser -Name"Bill Smith"-SamAccountName"bsmith"` -GivenName"Bill"-Surname"Smith"` -DisplayName"Bill Smith"` -Path"OU=SDM,DC=cpandl,DC=com"` - Активирано $true -AccountPassword $pwd

Както виждаме, командата съдържа параметрите -Enabled и –AccountPassword, които активират акаунта и сигурно присвояват парола към него.

Създаването на потребителски акаунти един по един е чист начин, но понякога трябва да създадете няколко акаунта едновременно. PowerShell е страхотен за тази цел. Например, ако трябва да създадете три потребителски акаунта, можете да подготвите файл със стойности, разделени със запетая (CSV), който съдържа информация за акаунта и след това да използвате командата Import-CSV, за да прехвърлите тази информация към New-ADUser.

Фигура 4 показва CSV файл с име userlist.csv.

Имайте предвид, че в този файл заглавията на колоните съответстват на имената на параметрите, предоставени в предишната команда New-ADUser. Това беше направено нарочно. Когато CSV данните се предават на New-ADUser, командата ще вземе тези имена на параметри от конвейера на PowerShell и няма да трябва да се посочват в самата команда. Ето командата, използвана за създаване на три потребителски акаунта:

Import-CSV -Път C:\data\userlist.csv | New-ADUser -Enabled $true -AccountPassword $pwd

Както можете да видите, изходът от командата Import-CSV отива към командата New-ADUser. Конвейерът разпознава, че заглавките на колоните в CSV файла са имена на параметри, а останалите редове съдържат стойности, така че трябва да предоставите само параметрите -Enabled и –AccountPassword. Това е отлична конвейерна способност. Тя ви позволява да използвате PowerShell много по-ефективно за тези типове задачи за автоматизация.

Управление на членството в групата

Добавянето на потребителски и компютърни акаунти е типична задача за управление на AD. Използвайки AD модула, това е относително лесно за постигане. С помощта на командата Add-ADGroupMember можете да добавите един или повече акаунти към група. Например, ако трябва да добавите трима нови потребители към групата Marketing Users. Най-лесният начин е да използвате командата:

Add-ADGroupMember -Identity»Marketing Users«` -Members jadams,tthumb,mtwain

В тази команда параметърът -Identity се използва за предоставяне на името на групата. Параметърът -Members също се използва за предоставяне на имена на потребителски SAM акаунти. Ако има няколко имена на SAM акаунти, те трябва да бъдат изброени във файл, разделен със запетая.

Можете да комбинирате операциите по създаване на три акаунта и добавянето им към групата Marketing Users в една команда, за да разрешите проблема с едно действие. Командата Add-ADGroupMember обаче не поддържа предаване на имена на членове на групата в конвейера. Следователно трябва да използвате командата Add-ADPrincipalGroupMembership, ако искате да използвате конвейера. Тази команда може да приема потребителски, компютърни или групови обекти като вход от конвейер и да добавя тези обекти към посочената група.

Можете да комбинирате операцията за създаване на потребители с операцията за добавяне на нови потребители към групата Marketing Users в една команда, както следва:

Import-CSV -Път C:\data\userlist.csv | New-ADUser -Enabled $true -AccountPassword $pass ` -PassThru | Add-ADPrincipalGroupMembership ` -MemberOf"Маркетингови потребители"

Имайте предвид, че параметърът –PassThru е добавен към частта New-ADUser на командата. Този параметър казва на New-ADUser да предаде създадените потребителски обекти в конвейера. Ако този параметър не е указан, командата Add-ADPrincipalGroupMembership ще бъде неуспешна.

Забележително е също, че само параметърът -MemberOf се използва за указване на името на групата в секцията Add-ADPrincipalGroupMembership на командата. Конвейерът се грижи за останалото, като добавя всеки от тримата потребители към групата Marketing Users.

И така, използвайки една команда на PowerShell, бяха създадени трима нови потребители, те бяха поставени в OU, получиха им пароли и бяха добавени към групата Marketing Users. Сега нека разгледаме някои други общи задачи за поддръжка на AD, които могат да бъдат автоматизирани с помощта на PowerShell и AD модула.

Нулиране на пароли за потребителски акаунт

Понякога потребителите трябва да нулират паролата за акаунта си. Тази задача може лесно да се автоматизира с помощта на командата Set-ADAccountPassword чрез промяна или нулиране на паролата на акаунта. За да промените паролата си, трябва да знаете Стара паролаи въведете нов. За да нулирате паролата си, просто въведете нова парола. Трябва обаче да имате разрешение за нулиране на парола за потребителския обект в AD, за да извършите нулиране на парола.

Подобно на параметъра -AccountPassword на командата New-ADUser, командата Set-ADAccountPassword използва типа данни SecureString за пароли, така че трябва да използвате един от методите за конвертиране на пароли с обикновен текст в защитени низове. Например, ако искате да нулирате паролата за потребителския акаунт на Tom Thumb, след като съхраните новата парола като защитен низ в променливата $pass, можете да изпълните командата:

Set-ADaccountPassword -Identity»tthumb«` -NewPassword $pass –Reset

В тази команда използвам параметъра –Identity, за да присвоя име на SAM акаунт към потребителския акаунт на Tom Thumb. Също така въвеждам параметъра -NewPassword с променливата $pass, за да предоставя нова парола. И накрая, параметърът –Reset е посочен, за да покаже, че се извършва нулиране, а не промяна на парола.

Друг допълнителна задача: Превключете флага на потребителския акаунт на Tom Thumb, за да го принудите да промени паролата, когато следваща регистрация. Това е обичайна техника, когато трябва да нулирате паролата на потребител. Тази задача може да се изпълни с помощта на командата Set-ADUser, задаване на параметъра -ChangePasswordAtLogon на $true:

Set-ADUser -Identity tthumb -ChangePasswordAtLogon $true

Възниква въпросът защо не е използван конвейер за предаване на изхода от командата Set-ADAccountPassword към командата Set-ADUser за извършване на двете операции в една команда на PowerShell. Пробвах този подход, не работи. Вероятно има някакво ограничение в командата Set-ADAccountPassword, което не позволява на отделната команда да се изпълнява успешно. Във всеки случай е достатъчно просто да превключите флага с помощта на командата Set-ADUser, както е показано по-горе.

Търсене на обекти на Active Directory

Друга типична AD задача е намирането на AD обекти, които отговарят на определени критерии. Например, можете да намерите всички компютри, работещи с определена версия на операционната система Windows в AD домейн. Командата Get-ADObject е най-удобната за LDAP търсене. Например, за да намерите компютри Server 2008 R2 в домейна cpandl.com, беше използвана командата:

Get-ADObject -LDAPFilter ` "(&(operatingSystem=Windows Server 2008 R2 Enterprise)` (objectClass=computer))" -SearchBase"dc=cpandl,dc=com"` -SearchScope Subtree

Тази команда използва три параметъра за изпълнение на задачата: -LDAPFilter, -SearchBase и -SearchScope. Параметърът -LDAPFilter приема стандартна LDAP заявка като вход. Този пример прави заявки за всички компютърни обекти, които имат атрибута OperatingSystem, зададен на Windows Server 2008 R2 Enterprise. Параметърът -SearchBase казва на командата откъде да започне търсенето в йерархията на AD. В този случай търсенето се извършва от главната директория на AD домейна, но не е трудно да се ограничи търсенето до определен OU. Параметърът –SearchScope казва на командата дали да обходи всички контейнери под базата за търсене, намирайки посочените обекти. В този случай параметърът Subtree се използва, за да принуди командата да провери всички подлежащи контейнери.

Когато изпълните командата, се показват обекти, които отговарят на критериите. Или можете да препратите резултатите към друга команда за обработка на намерените обекти.

Обърнете внимание, че за големи търсения е полезно да използвате параметъра –ResultPageSize, за да контролирате как се пагинират резултатите от търсенето. Обикновено задавам този параметър на 1000 и командата Get-ADObject връща 1000 обекта наведнъж. В противен случай може да не получите очаквания резултат, тъй като броят на върнатите обекти надвишава максимума, разрешен от правилата, зададени за една заявка за търсене.

Друга команда за търсене, предоставена от Microsoft, е Search-ADAccount. Тази команда е особено полезна за търсене с различни предварително дефинирани условия, като деактивирани акаунти, акаунти с изтекли пароли и заключени акаунти. И така, следната команда намира всички потребителски акаунти с изтекли пароли в SDM OU:

Search-ADAccount -PasswordExpired -UsersOnly ` -SearchBase"OU=sdm,dc=cpandl,dc=com" -SearchScope OneLevel Search-ADAccount -PasswordExpired -UsersOnly ` -SearchBase"OU=sdm,dc=cpandl,dc=com" ` -SearchScope OneLevel

Тази команда използва параметъра –PasswordExpired, за да посочи, че са необходими акаунти с изтекли пароли. Параметърът -UsersOnly указва, че трябва да се търсят само потребителски обекти (т.е. компютърните обекти трябва да бъдат изключени). Както в предишния пример, параметрите -SearchBase и –SearchScope се използват за указване на обхвата на търсене. Но в този случай използвам параметъра OneLevel, за да търся само най-близкия OU (т.е. изключвам всички дъщерни организационни единици).

Това е само повърхността на AD модула, но се надявам да добиете представа за неговите възможности. Както беше отбелязано по-горе, в модула има повече от 70 команди. Темите, които не са обхванати в тази статия, включват изтриване на обекти с помощта на командата Remove, възстановяване на изтрити обекти с помощта на командата Restore-ADObject и премахване на UAC свойства на потребителски обекти с помощта на командата Set-ADAccountControl. Има команди за почти всяка административна задача на AD.



Посветен на използването на PowerShell за администриране на AD. Като отправна точка авторът реши да вземе 10 общи административни задачи на AD и да разгледа как те могат да бъдат опростени с помощта на PowerShell:

  1. Нулирайте потребителската парола
  2. Активирайте и деактивирайте акаунти
  3. Отключване на потребителски акаунт
  4. Изтрийте акаунта си
  5. Намерете празни групи
  6. Добавете потребители към група
  7. Избройте членовете на групата
  8. Намерете остарели компютърни акаунти
  9. Деактивирайте компютърен акаунт
  10. Намерете компютри по тип

Освен това авторът поддържа блог (използвайки PowerShell, разбира се), препоръчваме да разгледате - jdhitsolutions.com/blog. И можете да получите най-актуалната информация от неговия Twitter twitter.com/jeffhicks.
И така, по-долу е преводът на статията „Топ 10 задачи на Active Directory, решени с PowerShell“.

Управление на Active Directory (AD) с използвайки Windows PowerShell е по-лесен, отколкото си мислите, и искам да ви го докажа. Можете просто да вземете скриптовете по-долу и да ги използвате за решаване на редица задачи за управление на AD.

Изисквания

За да използвате PowerShell за управление на AD, трябва да отговаряте на няколко изисквания. Ще демонстрирам как работят кратки команди на AD, като използвам компютър с Windows 7 като пример.
За да използвате кратки команди, трябва да имате домейн контролер Ниво на Windows Server 2008 R2 или можете да изтеглите и инсталирате Active Directory Management Gateway Service на наследени домейн контролери (наследени DC). Моля, прочетете внимателно документацията преди инсталиране; Необходимо е рестартиране на CD.
От страната на клиента изтеглете и инсталирайте (RSAT) за Windows 7 или Windows 8. В Windows 7 ще трябва да отворите Контролни панелиглава програмии изберете Включване или изключване Функции на Windows(Включване или изключване на функции на Уиндоус). намирам Инструменти за администриране на отдалечен сървъри разширете секцията Инструменти за администриране на роли. Изберете подходящите елементи за AD DS и AD LDS инструменти, особено имайте предвид, че елементът трябва да бъде избран Модул на Active Directory за Windows PowerShell, както е показано на фигура 1. (В Windows 8 всички инструменти са избрани по подразбиране). Сега сме готови за работа.

Фиг.1 Активиране на AD DS и AD LDS инструменти

Влязъл съм с акаунт с администраторски права на домейн. Повечето от кратки команди, които ще покажа, ще ви позволят да посочите алтернативни идентификационни данни. Във всеки случай препоръчвам да прочетете помощта ( Извикай помощ) и примери, които ще демонстрирам по-долу.
Стартирайте сесия на PowerShell и импортирайте модула:

PS C:\> Импортиране на модул ActiveDirectory

Импортирането създава нов PSDrive, но ние няма да го използваме. Въпреки това можете да видите какви команди са налични в импортирания модул.

PS C:\> get-command -module ActiveDirectory

Красотата на тези команди е, че ако мога да използвам команда на един AD обект, тя може да се използва на 10, 100 и дори 1000. Нека да видим как работят някои от тези кратки команди.

Задача 1: Нулирайте потребителската парола

Нека започнем с типична задача: нулиране на потребителска парола. Можете да направите това лесно и просто с помощта на cmdlet Set-ADaccountPassword. Сложната част е, че новата парола трябва да бъде квалифицирана като защитен низ: част от текста, който е криптиран и се съхранява в паметта за продължителността на сесията на PowerShell. Първо, нека създадем променлива с новата парола:
PS C:\> $new=Read-Host "Въведете новотопарола" -AsSecureString

След това въведете нова парола:

Сега можем да извлечем акаунта (използвайки samAccountname– най-добрият вариант) и задайте нова парола. Ето пример за потребител Jack Frost:

PS C:\> Set-ADAccountPassword jfrost -NewPassword $new

За съжаление има грешка с тази кратка команда: -Преминаване, -Какво ако, И – Потвърдетене работи. Ако предпочитате пряк път, опитайте това:

PS C:\> Set-ADAccountPassword jfrost -NewPassword (ConvertTo-SecureString -AsPlainText -String "P@ssw0rd1z3" -force)

В резултат на това трябва Джак да промени паролата си следващия път, когато влезе, така че променям акаунта с помощта на Set-ADUser.

PS C:\> Set-ADUser jfrost -ChangePasswordAtLogon $True

Резултатите от изпълнението на cmdlet не се записват в конзолата. Ако това трябва да се направи, използвайте -Вярно. Но мога да разбера дали операцията е била успешна или не, като извлека потребителското име с помощта на кратката команда Get-ADUserи уточняване на имота Паролата е изтекла, както е показано на фигура 2.


Ориз. 2. Резултати от командата Get-ADUser със свойството PasswordExpired

В крайна сметка: нулирайте потребителската парола от използвайки PowerShellизобщо не е трудно. Признавам, че нулирането на паролата също е лесно чрез щракване Потребители и компютри на Active Directoryконзоли Конзола за управление на Microsoft (MMC).Но използването на PowerShell е подходящо, ако трябва да делегирате задача, не искате да разположите гореспоменатата добавка или нулирате парола като част от голям автоматизиран ИТ процес.

Задача 2: Активирайте и деактивирайте акаунти

Сега нека деактивираме акаунта. Нека продължим да работим с Джак Фрост. Този код използва параметъра -Какво ако, който можете да намерите в други comadlets, които правят промени, за да тестват моята команда, без да я изпълняват.

PS C:\> Disable-ADAccount jfrost -whatif Какво става, ако: Извършване на операция "Set" върху цел "CN=Jack Frost, OU=staff,OU=Testing,DC=GLOBOMANTICS,DC=local".

Сега нека го деактивираме наистина:

PS C:\> Деактивиране на ADAAaccount jfrost

И когато дойде моментът да активираме акаунта, кой cmdlet ще ни помогне?

PS C:\>Разрешаване на ADAAкаунт jfrost

Тези командлети могат да се използват в конвейерни изрази, което ви позволява да активирате или деактивирате толкова акаунти, колкото искате. Например, този код ще деактивира всички акаунти в отдел Продажби

PS C:\> get-aduser -filter "department -eq "sales"" | disable-adaccount

Разбира се, напишете филтър за Get-ADUserдоста сложно, но тук е използването на параметъра -Какво акозаедно с cmdlet Деактивиране-ADAccountидва на помощ.

Задача 3: Отключете потребителския акаунт

Помислете за ситуация, в която Джак е заключил акаунта си, докато се опитва да въведе нова парола. Вместо да се опитвате да намерите неговия акаунт чрез GUI, процедурата по отключване може да се извърши с помощта на проста команда.

PS C:\> Отключване-ADAAкаунт jfrost

Командлетът също така поддържа параметри -Какво акоИ -Потвърдете.

Задача 4: Изтриване на акаунт

Няма значение колко потребители премахвате - лесно се прави с помощта на кратката команда Премахване-ADUser. Не искам да премахвам Джак Фрост, но ако исках, бих използвал код като този:

PS C:\> Remove-ADUser jfrost -whatif Какво става, ако: Извършване на операция "Премахване" на цел "CN=Jack Frost,OU=staff,OU=Testing,DC=GLOBOMANTICS,DC=local".

Или мога да въведа множество потребители и да ги изтрия с една проста команда:

PS C:\> get-aduser -filter "enabled -eq "false"" -property WhenChanged -SearchBase "OU=Employees, DC=Globomantics,DC=Local" | където ($_.WhenChanged -le (Get-Date).AddDays(-180)) | Премахване-ADuser -какво ако

Тази команда ще намери и изтрие всички деактивирани OU акаунти на служители, които не са били модифицирани в продължение на 180 дни или повече.

Задача 5: Намиране на празни групи

Управлението на групи е безкрайна и неблагодарна задача. Има много начини да намерите празни групи. Някои изрази може да работят по-добре от други, в зависимост от вашата организация. Кодът по-долу ще намери всички групи в домейна, включително вградените.

PS C:\> get-adgroup -filter * | където (-Не ($_ | get-adgroupmember)) | Изберете Име

Ако имате групи със стотици членове, използването на тази команда може да отнеме много време; Get-ADGroupMemberпроверява всяка група. Ако можете да ограничите или персонализирате, ще бъде по-добре.
Ето още един подход:

PS C:\> get-adgroup -filter "members -notlike "*" -AND GroupScope -eq "Universal"" -SearchBase "OU=Groups,OU=Employees,DC=Globomantics, DC=local" | Изберете име, група*

Тази команда намира всички универсални групи, които нямат членство в OU групи и показва някои от свойствата. Резултатът е показан на фигура 3.


Ориз. 3. Търсене и филтриране на универсални групи

Задача 6: Добавяне на потребители към група

Нека добавим Джак Фрост към ИТ групата в Чикаго:

PS C:\> add-adgroupmember "chicago IT" -Членове jfrost

Да, толкова е просто. Можете също така лесно да добавяте стотици потребители към групи, въпреки че намирам това за малко неудобно:

PS C:\> Add-ADGroupMember "Chicago Employees" -member (get-aduser -filter "city -eq "Chicago"")

Използвах конвейерния израз в скоби, за да намеря всички потребители, които имат собственост на City в Чикаго. Кодът в скобите се изпълнява и получените обекти се предават на параметъра –Member. Всеки потребителски обект се добавя към групата Chicago Employees. Няма значение дали имаме работа с 5 или 5000 потребители, актуализирането на членството в групата отнема само няколко секунди. Този израз може да бъде написан и с помощта на ForEach-Objectкакво може да е по-удобно:

PS C:\> Get-ADUser -filter "city -eq "Chicago"" | foreach (Add-ADGroupMember "Chicago Employees" -Member $_)

Задача 7: Избройте членовете на групата

Може да искате да знаете кой е в определена група. Например, трябва периодично да откривате кой е член на групата на администраторите на домейни:

PS C:\> Get-ADGroupMember "Администратори на домейн"

Фигура 4 показва резултата.


Ориз. 4. Членове на групата администратори на домейни

Кратката команда показва AD обекта за всеки член на групата. Какво да правим с вложените групи? Моята група Chicago All Users е колекция от вложени групи. За да получа списък с всички акаунти, просто трябва да използвам параметъра – Рекурсивно.

PS C:\> Get-ADGroupMember "Чикаго Всички потребители" -Рекурсивно | Изберете DistinguishedName

Ако искате да отидете по друг начин - да намерите в кои групи е даден потребител - използвайте свойството потребител MemberOf:

PS C:\> get-aduser jfrost -property Memberof | Изберете -ExpandProperty memberOf CN=NewTest,OU=Groups,OU=Employees, DC=GLOBOMANTICS,DC=local CN=Chicago Test,OU=Groups,OU=Employees, DC=GLOBOMANTICS,DC=local CN=Chicago IT,OU= Групи, OU=Служители, DC=GLOBOMANTICS,DC=локален CN=Чикаго продажби потребители,OU=Групи,OU=Служители, DC=GLOBOMANTICS,DC=локален

Използвах параметъра -ExpandPropertyза показване на имена MemberOfкато линии.

Задача 8: Намерете остарели компютърни акаунти

Често ми задават този въпрос: „Как да намеря остарели компютърни акаунти?“ И винаги отговарям: „Кое е остаряло за вас?“ Компаниите имат различни дефиниции за това кога компютърен (или потребителски, каквото и да е) акаунт се счита за остарял и не може повече да се използва. За мен обръщам внимание на тези акаунти, чиито пароли не са променяни за определен период от време. Този период за мен е 90 дни - ако компютърът не е променил паролата заедно с домейна през този период, най-вероятно е офлайн и остарял. Използвана команда Get-ADComputer:

PS C:\> get-adcomputer -filter "Passwordlastset -lt "1/1/2012"" -properties *| Изберете име, последна парола

Филтърът работи чудесно с твърда стойност, но този код ще се актуализира за всички компютърни акаунти, които не са променили паролите си от 1 януари 2012 г. Резултатите са показани на фигура 5.


Ориз. 5. Намерете остарели компютърни акаунти

Друг вариант: да приемем, че сте поне на функционално ниво на домейна на Windows 2003 Филтриране по свойство LastLogontimeStamp. Тази стойност е броят на интервалите от 100 наносекунди от 1 януари 1601 г. и се съхранява в GMT, така че работата с тази стойност е малко трудна:

PS C:\> get-adcomputer -filter "LastlogonTimestamp -gt 0" -properties * | изберете име,lastlogontimestamp, @(Name="LastLogon";Expression=(::FromFileTime ($_.Lastlogontimestamp))),passwordlastset | Сортиране на LastLogonTimeStamp


Ориз. 6. Преобразувайте стойността на LastLogonTimeStamp в познат формат

За да създам филтър, трябва да преобразувам датата, например 1 януари 2012 г., в правилния формат. Преобразуването се извършва във FileTime:

PS C:\> $cutoff=(Get-Date "1/1/2012").ToFileTime() PS C:\> $cutoff 129698676000000000

Сега мога да използвам тази променлива във филтъра, за да Get-ADComputer:

PS C:\> Get-ADComputer -Filter "(lastlogontimestamp -lt $cutoff) -or (lastlogontimestamp -notlike "*")" -свойство * | Изберете Name,LastlogonTimestamp,PasswordLastSet

Горният код намира същите компютри, които са показани на фигура 5.

Задача 9: Деактивирайте акаунта на компютъра

Може би, когато намерите неактивни или остарели акаунти, ще искате да ги деактивирате. Това е доста лесно да се направи. Ще използваме същата кратка команда, която използвахме за работа с потребителски акаунти. Можете да го изясните, като използвате samAccountnameсметка.

PS C:\> Disable-ADAccount -Identity "chi-srv01$" -whatif Какво става, ако: Извършване на операция "Set" върху цел "CN=CHI-SRV01, CN=Компютри,DC=GLOBOMANTICS,DC=local".

Или използвайки тръбопроводен израз:

PS C:\> get-adcomputer "chi-srv01" | Деактивиране-ADAccount

Мога също да използвам моя код, за да намеря остарели акаунти и да ги деактивирам всички:

PS C:\> get-adcomputer -filter "Passwordlastset -lt "1/1/2012"" -properties *| Деактивиране-ADAccount

Задача 10: Намерете компютри по тип

Също така често ме питат как да намеря компютърни акаунти по тип, като сървъри или работни станции. Това изисква известна креативност от ваша страна. Няма нищо в AD, което да отличава сървър от клиент, освен може би операционната система. Ако вашият компютър работи с Windows Server 2008, ще трябва да направите няколко допълнителни стъпки.
Първо трябва да получите списък с операционни системи и след това ние филтрираме акаунтите по налични операционни системи.

PS C:\> Get-ADComputer -Filter * -Properties OperatingSystem | Изберете OperatingSystem -unique | Сортиране на операционна система

Резултатите са показани на фигура 7.


Ориз. 7. Извличане на списък с ОС

Искам да намеря всички компютри, работещи със сървърна операционна система:

PS C:\> Get-ADComputer -Filter "OperatingSystem -like "*Server*"" -properties OperatingSystem,OperatingSystem ServicePack | Изберете Name,Op* | формат-списък

Резултатите са показани на фигура 8.

Подобно на други кратки команди на AD Get, можете да персонализирате параметрите за търсене и да ограничите заявката до конкретни OU, ако е необходимо. Всички изрази, които показах, могат да бъдат интегрирани в по-големи изрази на PowerShell. Например, можете да сортирате, групирате, прилагате филтри, експортирате в CSV или създавате и изпращате по имейл HTML отчети – всичко от PowerShell! В този случай няма да се налага да пишете нито един скрипт.
Ето бонус: отчет за възрастта на потребителската парола, записан в HTML файл:

PS C:\> Get-ADUser -Filter "Enabled -eq "True" -AND PasswordNeverExpires -eq "False"" -Properties PasswordLastSet,PasswordNeverExpires,PasswordExpired | Изберете DistinguishedName,Name,pass*,@(Name="PasswordAge"; Expression=((Get-Date)-$_.PasswordLastSet)) |sort PasswordAge -Descending | ConvertTo-Html -Title "Доклад за възрастта на паролата" | Out-File c:\Work\pwage.htm !}

Въпреки че този израз може да изглежда малко смущаващ, той е лесен за използване с минимални познания за PowerShell. И остава само един последен съвет: как да дефинирате персонализирано свойство, наречено PasswordAge. Стойността представлява разликата между днес и свойството PasswordLastSet. След това сортирам резултатите за моя нов имот. Фигура 9 показва изхода за моя малък тестов домейн.

Актуализация:
Публикацията съдържа превод на статията в портала

Тези, които е трябвало да се справят с неща като електронна таблица в Excel, изброяваща 200 нови служители от следващата седмица, или потребителски акаунти, конфигурирани неправилно, защото някой в ​​бюрото за помощ е щракнал върху нещо, което не е трябвало да щракне, и също тези, които се интересуват от по-лесен начин за да управлявате Active Directory®, в допълнение към отварянето на папките Users и Computers всеки път, можете да използвате един от безплатните инструменти за администриране. Някои от тях са вградени директно в операционната зала Windows система, някои се предоставят в Resource Kit или Windows Support Toolkit, а някои са безплатни продукти на трети страни. Какви са тези удобни продукти и от къде мога да ги намеря? Нека разберем.
Нека започнем с вградените инструменти на командния ред в Windows Server 2003, които ви позволяват да създавате, изтривате, модифицирате и търсите обекти в Active Directory.

Инструментът CSVDE ви позволява да импортирате нови обекти в Active Directory, като използвате оригиналния CSV файл; също така ви позволява да експортирате съществуващи съоръжениякъм CSV файл. CSVDE не може да се използва за модифициране на съществуващи обекти; Когато използвате този инструмент в режим на импортиране, можете да създавате само нови обекти.

Експортирането на списък със съществуващи обекти с помощта на CSVDE е доста лесно. Следното показва как да експортирате обекти на Active Directory във файл, наречен ad.csv:

csvde –f ad.csv

Опцията -f указва, че е последвана от името на изходния файл. Но имайте предвид, че в зависимост от вашата среда този основен синтаксис може да доведе до огромен и неудобен изходен файл. За да ограничите инструмента до експортиране само на обекти в рамките на конкретна организационна единица (OU), командата може да бъде променена, както следва:

csvde –f UsersOU.csv –d ou=Потребители,dc=contoso,dc=com

Нека допълнително приемем, че трябва само да експортирам потребителски обекти в моя CSV файл. В този случай можете да добавите параметъра –r, за да укажете филтъра на LDAP протокола на това търсенекоето ще ограничи броя на експортираните атрибути (обърнете внимание, че всичко по-долу е на един ред):

csvde –f UsersOnly.csv –d ou=Потребители,dc=contoso,dc=com –r
"(&(objectcategory=person)(objectclass=user))" –l
DN, клас обект, описание

Опцията –i ви позволява да импортирате обекти в Active Directory от CSV изходен файл. Създаването на потребителски обекти с CSVDE обаче има един важен недостатък: не може да задава потребителски пароли, така че не бих използвал CSVDE за създаване на потребителски обекти.

Active Directory предоставя втора вградена потребителска пакетна операция, наречена LDIFDE, която е по-мощна и гъвкава от CSVDE. В допълнение към създаването на нови обекти, LDIFDE ви позволява да променяте и изтривате съществуващи обекти и дори да разширявате схемата на Active Directory. Компромисът за гъвкавостта на LDIFDE е, че необходимият входен файл (LDIF файл) с разширение .ldf използва по-сложен формат от обикновен CSV файл. (С малко работа можете също да конфигурирате потребителски пароли, но повече за това по-късно.)

Да започнем с прост пример- експортирайте потребители в бизнес единица в LDF файл (обърнете внимание, че всичко по-долу е един ред):

ldifde -f users.ldf -s DC1.contoso.com -d "ou=UsersOU,dc=contoso,dc=com"
–r "(&(objectcategory=person)(objectclass=user))"

Както при повечето инструменти на командния ред, Пълно описание LDIFDE параметрите могат да бъдат получени чрез изпълнение на командата LDIFDE /? . показани са тези, които използвах тук. (Имайте предвид, че параметрите за командите CSVDE и LDIFDE са еднакви.)

Истинската сила на LDIFDE идва от създаването и управлението на обекти. Преди обаче да направите това, трябва да създадете входен файл. Следният код създава два нови потребителски акаунта - afuller и rking; За да създадете входен файл, въведете текста в Notepad (или друг текстов редактор) и го запазете като NewUsers.ldf:

dn: CN=afuller, OU=UsersOU, DC=contoso, DC=com
тип промяна: добавяне
cn: afuller
objectClass: потребител
samAccountName: afuller dn: CN=rking, OU=UsersOU, DC=contoso, DC=com
тип промяна: добавяне
cn:rking
objectClass: потребител
samAccountName: rking

След като създаването на файла приключи, изпълнете следната команда:

ldifde –i –f NewUsers.ldf –s DC1.contoso.com

Единствения нов параметъртук е -i, което, както можете да предположите, показва, че операцията е импортиране, а не експортиране.

При модифициране или изтриване на съществуващи обекти, синтаксисът на командата LDIFDE не се променя; вместо това съдържанието на LDF файла се променя. За да промените полето за описание на потребителския акаунт, създайте текстов файл, наречен ModifyUsers.ldf, като този, показан на фигура. 2.


Ориз. 2 LDF файла ModifyUsers

Промените се импортират чрез изпълнение на същия синтаксис на командата LDIFDE, както преди, като се указва новият LDF файл след опцията -f. LDF форматът за изтриване на обекти е още по-прост; За да изтриете потребители, с които сте работили, създайте файл с име DeleteUsers.ldf и въведете следното:

dn: CN=afuller OU=UsersOU, DC=contoso, DC=com
changetype: изтриване на dn: CN=rking, OU=UsersOU, DC=contoso, DC=com
промяна на типа: изтриване

Имайте предвид, че за разлика от CSVDE, LDIFDE може да конфигурира потребителски пароли. Въпреки това, преди да можете да конфигурирате атрибута unicodePWD на потребителски акаунт, трябва да конфигурирате SSL/TLS криптиране на вашите контролери на домейн Освен това LDIFDE може да създава и променя всякакви обекти на Active Directory, а не само потребителски акаунти. Например следният LDF файл ще създаде ново разширение на схема, наречено EmployeeID-example в схемата на гората contoso.com:
dn: cn=EmployeeID-пример,cn=Схема,
cn=Конфигурация,dc=contoso,dc=com
тип промяна: добавяне
adminDisplayName: EmployeeID-Пример
атрибутID: 1.2.3.4.5.6.6.6.7
атрибут Синтаксис: 2.5.5.6
cn: Идентификационен номер на служител
инстанцияТип: 4
isSingleValued: Вярно
lDAPDisplayName: ИД на служител-пример

Тъй като LDIFDE файловете използват индустриалния стандартен файлов формат LDAP, приложенията на трети страни, които трябва да променят схемата на Active Directory, често предоставят LDF файлове, които могат да се използват за преглед и одобряване на промените, преди да ги приложат към производствената среда.

В допълнение към инструментите за пакетни операции за импортиране и експортиране, Windows Server 2003 включва вградени инструменти, които ви позволяват да създавате, изтривате и модифицирате различни обекти на Active Directory, както и обекти за заявки, които отговарят на определени критерии. (Имайте предвид, че тези инструменти, dsadd, dsrm, dsget и dsquery, не се поддържат от Active Directory на Windows 2000.)

Dsadd се използва за създаване на екземпляр на обектен клас на Active Directory в конкретен дял на директория. Тези класове включват потребители, компютри, контакти, групи, бизнес единици и квоти. Обърнете внимание, че всеки създаден тип обект изисква специален набор от параметри, които съответстват на атрибутите, налични за този тип. Тази команда създава един потребителски обект с попълнени различни атрибути (обърнете внимание, че всичко по-долу е на един ред):

dsadd потребител cn=afuller,ou=IT,dc=contoso,dc=com
–samID afuller –fn Andrew –ln Fuller –pwd *
-memberOf cn=IT,ou=Groups,dc=contoso,dc=com "cn=Help Desk,ou=Groups,
dc=contoso,dc=com"
– desc "Маркетинг директор"
Параметърът -memberOf изисква пълното отличително име (DN) на всяка група, към която трябва да се добави потребителят, ако трябва да добавите потребителя към множество групи, можете да добавите множество DN, разделени с интервали DN на групата Help Desk, съдържа интервал, този елемент трябва да бъде поставен в двойни кавички. Ако даден елемент, например бизнес единицата IT\EMEA, съдържа обратна наклонена черта, трябва да въведете обратната наклонена черта два пъти: IT\\EMEA. (Тези изисквания се отнасят за всички ds* инструменти.) Използването на опцията -pwd * ще ви подкани да въведете парола за потребителя в командния ред. Паролата може да бъде зададена в самата команда (-pwd P@ssword1), но след това тя ще бъде показана в ясен текст на екрана или във всеки текстов или скриптов файл, в който е вмъкната командата.

По подобен начин можете да създадете групов обект и бизнес единица, като използвате следните две команди:

dsadd компютър cn=WKS1,ou=Работни станции,dc=contoso,dc=com
dsadd ou "ou=OU за обучение,dc=contoso,dc=com"

Dsmod се използва за модифициране на съществуващи обекти и работи с него почти по същия начин като dsadd, използвайки различни подменюта и синтаксис в зависимост от типа променлив обект. Следната команда dsmod променя паролата на потребителя и променя акаунта му, така че да бъде подканен да промени паролата си следващия път, когато влезе:

dsmod потребител "cn=afuller,ou=IT,dc=contoso,dc=com" –pwd P@ssw0rd1
–mustchpwd да

За да видите колко подобни са тези опции, погледнете синтаксиса dsadd, използван за създаване на потребител със същите конфигурирани атрибути:

dsadd потребител "cn=afuller,ou=IT,dc=contoso,dc=com" –pwd P@ssw0rd1
–mustchpwd да

Очевидно, ако знаете параметрите за създаване на обекти с помощта на dsadd, можете да ги използвате, за да промените потребителите с помощта на dsmod.

Обратното на dsadd е dsrm; Както можете да си представите, този инструмент се използва за премахване на обекти от командния ред. Основният синтаксис за dsrm е доста ясен: просто въведете dsrm, последвано от отличителното име на обекта, който искате да изтриете, нещо подобно:

dsrm cn=WKS1,ou=Работни станции,dc=contoso,dc=com

По подразбиране dsrm ще попита "Сигурни ли сте, че искате да изтриете този обект?" Въведете Y и натиснете Enter. Тази заявка може да бъде деактивирана с помощта на параметъра –noprompt, но очевидно в този случай шансът да се потвърди, че обектът е избран правилно преди изтриването, ще изчезне. Две допълнителни опции могат да бъдат полезни при изтриване на контейнерен обект, т.е. структурна единица, която потенциално може да съдържа други обекти. Следната команда изтрива организационната единица TrainingOU и всички обекти, които съдържа:

А този изтрива всички дъщерни обекти в TrainingOU, но не докосва самата структурна единица:

dsrm ou=TrainingOU,dc=contoso,dc=com –поддърво
– изключване

Можете да използвате инструмента dsmove, за да преместите или преименувате обект в Active Directory, но имайте предвид, че той може да се използва само за преместване на обекти в домейн. За да мигрирате обекти между домейни или гори, използвайте инструмента за мигриране на Active Directory (ADMT), безплатно изтегляне от Microsoft. Dsmove разчита на два параметъра, които могат да се използват поотделно или заедно. Тази команда променя фамилното име на потребителския акаунт на Steve Conn:

dsmove "cn=Conn, Steve,ou=IT,dc=contoso,dc=com"
– ново име „Стив Кон“

Тази команда премества акаунта Steve от ИТ организационната единица към организационната единица Обучение:

dsmove "cn=Conn, Steve,ou=IT,dc=contoso,dc=com" –нов родител
ou=Обучение,dc=contoso,dc=com

Преименуването и прехвърлянето могат да се извършат в една операция, като посочите и двата параметъра наведнъж:

dsmove "cn=Conn, Steve,ou=IT,dc=contoso,dc=com" –ново име
„Стив Кон“ – нов родител ou=Обучение,dc=contoso,dc=com

Dsget и Dsquery

Инструментите на командния ред ds* също включват два инструмента, които се използват за запитване към информация от Active Directory, а не за създаване или модифициране на обекти.

Dsget приема като вход отличителното име (DN) на обект и връща стойността на посочения атрибут или атрибути. Dsget използва същите подменюта като dsadd и dsmod - "потребител", "компютър", "контакт", "група", "разделение" и "квота".

За да получите името на SAM акаунта и идентификатора за защита (SID) на потребителския акаунт, въведете следната команда (обърнете внимание, че всичко по-долу е на един ред):

dsget потребител cn=afuller,ou=IT,dc=contoso,dc=com
–samAccountName –sid

Резултатите ще бъдат подобни на тези, показани на фиг. 3.

Ориз. 3 Как работи dsget

Dquery връща списък с обекти на Active Directory, които отговарят на посочените критерии.

Dsquery може да използва следните подменюта, всяко със собствен синтаксис, за ObjectType: "компютър", "контакт", "подмрежа", "група", "бизнес единица", "уебсайт", "сървър" (обърнете внимание, че подменюто Сървър извлича данни за домейн контролери, а не за сървъри във вашата среда), „потребител“, „квота“ и „дял“. И ако някой от тези типове заявка не е това, от което се нуждаете, можете да използвате подменюто *, за да въведете LDAP заявка в свободна форма, която указва местоположението на дървото на Active Directory, където ще започне търсенето. Можете да използвате конкретен DN, като ou=IT,dc=contoso,dc=com, или един от следните кратки дескриптори на пътя: domainroot, започвайки от основата на конкретен домейн, или forestroot, започвайки от основата на Накрая, параметърът за обхват на търсене указва как dsquery трябва да търси в дървото на Active Directory. Проучванията на поддървото (опцията по подразбиране) имат достъп до посочения StartNode и всичките му дъщерни, родствените анкети имат достъп само до непосредствените деца на StartNode, а базовите проучвания имат достъп само до обекта StartNode. За да разберете по-добре обхватите на търсене, представете си организационна единица (OU). съдържащ както потребителски обекти, така и дъщерен OU, който също съдържа допълнителни обекти. Когато използвате поддърво като обхват, OU, всички потребителски обекти в него, дъщерният OU и неговото съдържание ще бъдат запитвани. При обхват на едно ниво само потребителите, съдържащи се в OU, ще бъдат запитвани, но не и дъщерният OU и неговото съдържание. Основната заявка ще отправя заявка само към самата OU, без да прави заявки към обектите, които съдържа. И накрая, можете да използвате изходния формат, за да контролирате как се форматират резултатите от dsquery. По подразбиране dsquery връща отличителните имена на всички обекти, които съответстват на заявката, нещо подобно:

"cn=afuller,ou=Обучение,dc=contoso,dc=com"
"cn=rking,ou=ITTraining,ou=Training,dc=contoso,dc=com" За да направите заявка за всички потребителски обекти, съдържащи се в ИТ бизнес единица и нейните дъщерни OU, използвайте следното:

dsquery потребител ou=IT,dc=contoso,dc=com

Заявката може да бъде направена още по-прецизна чрез добавяне на допълнителни опции, като например -disabled, която връща само деактивирани потребителски акаунти; -неактивен x, връща само потребители, които не са се свързвали от x или повече седмици; или -stalepwd x, връща само потребители, които не са променили паролите си от x дни или повече.

В зависимост от броя на обектите в директорията, може да се наложи да посочите опцията -limit x, когато изпълнявате заявката. По подразбиране dsquery връща до 100 обекта, съответстващи на параметрите на заявката; но можете да посочите по-голямо число, като -limit 500 или да използвате -limit 0, за да накарате dsquery да върне всички съвпадащи обекти.

Можете също да използвате други подменюта, за да извършвате полезни заявки за други типове обекти. Помислете за следната заявка, която връща всяка подмрежа, дефинирана в сайтове и услуги на Active Directory и включена в адресното пространство 10.1.x.x:

dsquery subnet – име 10.1.*

И следната команда може да се използва за връщане на всяка подмрежа, намираща се на уебсайта на Corp:

dsquery subnet –site Corp

Използвайки следващото подменю, можете бързо да определите колко домейн контролери в гората са конфигурирани да работят като сървъри за глобален каталог:

dsquery сървър –forest –isgc

Можете също да използвате този синтаксис, за да улесните идентифицирането на домейн контролер в конкретен домейн, който съдържа FSMO ролята на емулатора на основния домейн контролер (PDC):

dsquery сървър –hasfsmo pdc

Както при другите ds* команди, които включват подменюта, всички налични опции в конкретно подменю на dsquery могат да се видят чрез въвеждане командна линияи въвеждане на dsquery потребител /?, dsquery компютър /?, dsquery подмрежа /? и т.н.

Допълнителен трик е да насочите изходящите dsquery данни към друг инструмент, като dsmod, като използвате | (SHIFT+наклонена черта за английска клавиатурна подредба). Например, компания е преименувала отдел от „Обучение“ на „Вътрешно развитие“ и сега трябва да актуализира полето за описание за всеки потребител, принадлежащ към този отдел. С един команден ред можете да правите заявки за всички потребителски обекти, които имат поле за описание на осигуряване, и след това да замените това поле за описание за целия пакет, както следва:

dsquery потребител – описание „Обучение“ | dsmod
-описание "Вътрешно развитие"

Някои находки от трети страни

Тъй като Active Directory е базиран на LDAP стандарти, можете да правите запитвания и промени в него, като използвате всеки инструмент, който разбира LDAP. Много доставчици на трети страни пуснаха платени средстваза подпомагане на администрирането на Active Directory, но понякога можете да намерите истински съкровища, които се разпространяват безплатно. Това е особено вярно за колекцията, създадена от директорските услуги MVP Джо Ричардс и достъпна за изтегляне на joeware.net/freetools. В него можете да намерите множество инструменти, които служат за решаване на различни проблеми. Три от тях, към които се връщам постоянно, са adfind, admod и oldcmp.

Adfind и Admod

Adfind и admod са подобни на dsquery и dsmod; adfind е инструмент за заявки от командния ред за Active Directory, а admod може да създава, изтрива или модифицира обекти на Active Directory.

За разлика от ds* tools, които имат няколко подменюта и различни параметрив зависимост от типа обект, adfind и admod използват един и същ синтаксис, независимо от вида на заявката или промяната, която се прави. Основният синтаксис за adfind е:

adfind –b -s -f
атрибутиЖелани

Заявка за разграничително име и описание на всички компютърни обекти в домейн ще изглежда така:

adfind –b dc=contoso,dc=com –s поддърво –f (objectclass=компютър) dn
описание

Заявка за всички потребителски обекти ще изглежда така:

adfind –b dc=contoso,dc=com –s поддърво –f "(&(objectcategory=person)
(objectclass=user))" dn описание

Обърнете внимание, че с изключение на заявката за съдържанието на LDAP, синтаксисът не е променен.

Когато работите с adfind, можете да намерите няколко преки пътища за писане на параметри, които елиминират ненужната работа по въвеждане. Например опцията -default може да замени -b dc=contoso,dc=com в предишния пример и да търси в целия домейн; -gc търси въз основа на събиране на отпадъци (GC) и връща всички потребители във вашата гора на Active Directory. Опцията -rb може също да се използва за задаване на относителната база за търсене; ако, да речем, трябва да намерите структурната единица „Обучение“ в домейна phl.east.us.contoso.com, тогава можете значително да спестите време, като просто посочите –по подразбиране –rb ou=Обучение, вместо –b ou= Обучение, dc=phl, dc=east,dc=us,dc=contoso,dc=com.

Adfind може също така да изпълнява редица функции за разширено търсене, които е трудно да се управляват от командния ред без него.

Пример с използване на опцията -asq би поискал „Покажи ми членството в групата на членовете на HelpDesk“ по следния начин:

adfind –default –rb cn=HelpDesk,ou=IT –asq member memberOf

Admod, както подсказва името на програмата, се използва за модифициране на обекти в Active Directory. Както при adfind, няма специализирани подменюта със собствен синтаксис, който трябва да запомните; admod използва един и същ синтаксис, независимо от типа обект, който се обработва. Admod може също да се използва за добавяне, преместване, преименуване, изтриване и дори възстановяване на обекти, като просто добавите подходящата опция, да речем -add, -rm, -move, -undel. И точно както в dsquery и dsmod, | може да се използва за препращане на данни за искане на adfind към admod.

Обърнете внимание, че извършването на възстановяване с помощта на admod е проста операция за възстановяване на надгробен обект, в който повечето от атрибутите на обекта вече са премахнати. За да възстановите напълно обект с всички атрибути, ще трябва да извършите принудително възстановяване на обекта.

Има друг инструмент от колекцията от програми на Джо, който считам за съществена част от моя набор от инструменти за автоматизация: oldcmp, който търси в базата данни на Active Directory идентификационните данни на компютри, които не са били използвани за определен брой седмици и може да прави следното:

  • създавате отчети за акаунти, без да предприемате никакви действия по тях;
  • деактивирайте неизползваните компютърни акаунти;
  • преместване на компютърни акаунти в друга, предварително посочена структурна единица;
  • напълно изтриване на компютърни акаунти.

Имайте предвид, че тъй като oldcmp може да причини сериозен хаос в директорията, той идва с няколко вградени функции за сигурност. Той не изтрива акаунти, които преди това не са били деактивирани (освен ако не сте казали „Не, наистина искам да направя това!“ на командния ред). Той не променя повече от 10 обекта наведнъж (освен ако отново не е изрично посочено друго) и никога няма да направи нищо с акаунта на компютъра на домейн контролера.

Joe вече актуализира oldcmp, така че да може да изпълнява подобни функции на потребителски акаунти, които не са били използвани за определен период от време.

За малка среда на Active Directory или такава, в която работите само с едно или две допълнения или промени наведнъж, GUI инструменти като Active Directory Users and Computers може да са достатъчни за ежедневно администриране, но трябва да се добавят на ежедневна база или промяна на голям брой обекти или просто искате да намерите по-ефективно решение за административни задачи, превключването към командния ред може значително да ускори процеса на създаване, промяна и изтриване на обекти в Active Directory. Както е показано по-горе, има редица гъвкави и мощни безплатни инструменти, както вградени в Windows, така и разпространявани от членовете на общността на Active Directory. Всеки един от тях може значително да подобри производителността на администратор на Active Directory и заедно те стават още по-важни за ежедневната му работа.

Лора Е. Хънтър е четирикратен носител на наградата за MVP на Microsoft за инструменти за продуктивност. Windows мрежасървър. Тя е автор на второто издание на Справочника за Active Directory (O'Reilly, 2006 г.) С десет години опит в ИТ индустрията, Лора също работи като дизайнер на Active Directory за инженерна фирма от световна класа притежава няколко индустриални сертификати и често говори на срещи на потребителски групи и индустриални конференции.



Сподели с приятели:
Свързани публикации