Microsoft leverede flere Active Directory PowerShell-cmdlets med Windows Server 2008 R2 (og nyere), hvilket i høj grad forenkle opgaver, som tidligere krævede at sammensætte lange kodelinjer, der involverer ADSI.
På en Windows-klient skal du installere Remote Sever Administration Tools (RSAT) og sikre, at Active Directory PowerShell-modulet er installeret.
På en Windows-server (2008 R2 eller nyere) skal du køre følgende kommandoer i en PowerShell-konsol (som en administrator):
Import-Module ServerManager; Tilføj-WindowsFeature RSAT-AD-PowerShell
Her er mit (dårlige) ADSI-eksempel:
Her er det samme med AD PowerShell-cmdlet:
Import-modul ActiveDirectory
$ UserID = “JoeUser”
Get-ADUser $ UserID –ejendom *
Bemærk, at med PowerShell version 3 og nyere behøver du ikke køre den første linje, da Powershell vil identificer det nødvendige modul og indlæs det automatisk.
Når du har indlæst Active Directory PowerShell-modulet, kan du lave seje ting som at gennemse AD som et filsystem
Find nyttige kommandoer (Cmdlets):
Find tilgængelige PowerShell-moduler: Get-Module -ListAvailable
Find cmdlets i en PowerShell modul: Get-Command-modul ActiveDirectory
PowerShell AD-modul Cmdlets:
- Windows Server 2008 R2: 76 cmdlets
- Windows Server 2012: 135 cmdlets
- Windows Server 2012 R2: 147 cmdlets
- Windows Server 2016: 147 cmdlets
(Get-Command -module ActiveDirectory).count
Findning af Active Directory Flexible Master Single Operation (FSMO) -roller:
Active Directory Module:
.NET Calls:
Active Directory PowerShell Module Cmdlet Eksempler:
Get-RootDSE får oplysninger om LDAP-serveren (Domain Controller) og viser dem. Der er nogle interessante oplysninger i resultaterne, som f.eks. Hvilket operativsystem DC kører.
Get-ADForest giver information om Active Directory skov den computer, du kører, er kommandoen i.
Get-ADDomain giver oplysninger om det aktuelle domæne, du er i.
Get-ADDomainController leverer computeroplysninger, der er specifikke for domænecontrollere.
Denne cmdlet gør det let at finde alle DC’er i en specifikt websted eller kører en OS-version.
Get-ADComputer giver det meste af det, du gerne vil vide om et computerobjekt i AD.
Kør med “-Prop *” for at vise alle standardegenskaber.
Get-ADUser giver mest af, hvad du vil vide om en AD-bruger.
Kør med “-Prop *” for at vise alle standardegenskaber.
Get-ADGroup giver oplysninger om en AD-gruppe. Find alle sikkerhedsgrupper ved at køre:
Get-ADGroup -Filter {GroupCategory -eq ‘Security}
Get- ADGroupMember optæller og returnerer gruppemedlemmerne. Brug parameteren Rekursiv til at inkludere alle medlemmer af indlejrede grupper.
Get-ADGroupMember ‘Administrators’ -Recursive
Disse cmdlets er nyttige til at identificere situationer, der tidligere krævede køb af et produkt eller tilpasset scripting.
Følgende eksempler finder inaktive (uaktuelle) computere og brugere – konti, der ikke har ændret deres adgangskoder i de sidste 10 dage. Bemærk, at dette er et laboratorieeksempel. For kontrol i den virkelige verden skal du ændre dette til 60 til 90 dage for computere og 180 – 365 dage for brugere.
Find inaktive computere.
Find inaktive brugere.
Tæl domænetillids
Få AD-webstedsoplysninger.
Bemærk, at Windows 2012-modulet indeholder cmdlet til websteder (Get-ADReplicationSite *).
Backup-domæne-GPO’er. Bemærk dette kræver, at PowerShell-modulet til gruppepolitik er installeret, hvilket er adskilt fra Active Directory-modulet.
Find AD Kerberos-servicekonti
Inventory Domain Controllers – Get-ADDomainController – filter * | `vælg værtsnavn, IPv4Address, IsGlobalCatalog, IsReadOnly, OperatingSystem | `format-tabel -auto
Get-ADReplicationPartnerMetadata (Windows Server 2012 og nyere)
Get-ADReplicationPartnerFailure giver oplysninger om DC-replikationsfejlstatus.