Společnost Microsoft poskytla několik rutin prostředí Active Directory PowerShell s Windows Server 2008 R2 (a novějšími), což výrazně zjednodušit úkoly, které dříve vyžadovaly sestavování zdlouhavých řádků kódu zahrnujících ADSI.
Na klienta Windows nainstalujte nástroje Remote Sever Administration Tools (RSAT) a zkontrolujte, zda je nainstalován modul Active Directory PowerShell.
Na serveru Windows (2008 R2 nebo novější) spusťte v konzole PowerShell (jako správce) následující příkazy:
Import-Module ServerManager; Add-WindowsFeature RSAT-AD-PowerShell
Zde je můj (špatný) příklad ADSI:
Tady je stejná věc s rutinou AD PowerShell:
Import-modul ActiveDirectory
$ UserID = „JoeUser“
Get-ADUser $ UserID –vlastnost *
Všimněte si, že s PowerShell verze 3 a novějším nemusíte spustit první řádek, protože Powershell bude identifikujte potřebný modul a automaticky jej načtěte.
Jakmile máte načtený modul Active Directory PowerShell, můžete dělat skvělé věci, jako je procházení AD jako souborový systém
Nalezení užitečných příkazů (rutin):
Objevte dostupné moduly PowerShellu: Get-Module -ListAvailable
Objevte rutiny v prostředí PowerShell modul: Get-Command -module ActiveDirectory
Rutiny modulu AD PowerShell AD:
- Windows Server 2008 R2: 76 rutiny
- Windows Server 2012: 135 cmdlet
- Windows Server 2012 R2: 147 rutin
- Windows Server 2016: 147 cmdlet
(Get-Command -module ActiveDirectory).count
Hledání rolí služby FSMO (Active Master Single Single Operation):
Modul služby Active Directory:
Volání .NET:
Rutina modulu Active Directory PowerShell Příklady:
Get-RootDSE získá informace o serveru LDAP (řadiči domény) a zobrazí je. Ve výsledcích jsou zajímavé informace, například jaký operační systém je spuštěn.
Get-ADForest poskytuje informace o službě Active Directory zalesněte počítač, ve kterém je spuštěn příkaz.
Get-ADDomain poskytuje informace o aktuální doméně, ve které se nacházíte.
Get-ADDomainController poskytuje informace o počítači specifické pro řadiče domény.
Tato rutina usnadňuje hledání všech řadičů domény v konkrétní web nebo běží verze operačního systému.
Get-ADComputer poskytuje většinu toho, co byste chtěli vědět o počítačovém objektu v inzerátu.
Spuštěním „-Prop *“ zobrazíte všechny standardní vlastnosti.
Get-ADUser poskytuje nejvíce toho, co chcete vědět o uživateli služby AD.
Spuštěním příkazu „-Prop *“ zobrazíte všechny standardní vlastnosti.
Get-ADGroup poskytuje informace o Skupina AD. Najděte všechny skupiny zabezpečení spuštěním:
Get-ADGroup -Filter {GroupCategory -eq ‚Security}
Získat- ADGroupMember vyjmenuje a vrátí členy skupiny. Pomocí parametru Rekurzivní zahrňte všechny členy vnořených skupin.
Get-ADGroupMember ‚Administrators‘ -Recursive
Tyto rutiny jsou užitečné k identifikaci situací, které dříve vyžadovaly zakoupení produktu nebo vlastní skriptování.
Následující příklady vyhledávají neaktivní (zastaralé) počítače a uživatele – účty, které za posledních 10 dní nezměnily svá hesla. Toto je laboratorní příklad. U šeků v reálném světě to změňte na 60 až 90 dní pro počítače a 180 – 365 dní pro uživatele.
Najít neaktivní počítače.
Najít neaktivní uživatele.
Výčet důvěryhodných domén
Získejte informace o webu AD.
Upozorňujeme, že modul Windows 2012 obsahuje rutinu pro weby (Get-ADReplicationSite *).
Záložní objekty GPO domény
Upozorňujeme, že to vyžaduje, aby byl nainstalován modul PowerShell zásad skupiny, který je oddělen od modulu Active Directory.
Najít účty služby AD Kerberos
Řadiče domény inventáře
Get-ADDomainController – filter * | `vyberte název hostitele, IPv4Address, IsGlobalCatalog, IsReadOnly, OperatingSystem | `format-table -auto
Get-ADReplicationPartnerMetadata (Windows Server 2012 a novější)
Get-ADReplicationPartnerFailure poskytuje informace o stavu selhání replikace DC.