Microsoft proporcionó varios cmdlets de PowerShell de Active Directory con Windows Server 2008 R2 (y versiones posteriores) simplifique las tareas que anteriormente requerían juntar largas líneas de código que involucran ADSI.
En un cliente Windows, instale las Herramientas de administración del servidor remoto (RSAT) y asegúrese de que el módulo Active Directory PowerShell esté instalado.
En un servidor Windows (2008 R2 o posterior), ejecute los siguientes comandos en una consola PowerShell (como administrador):
Import-Module ServerManager; Add-WindowsFeature RSAT-AD-PowerShell
Aquí está mi (pobre) ejemplo de ADSI:
Aquí es lo mismo con el cmdlet de AD PowerShell:
Import-module ActiveDirectory
$ UserID = «JoeUser»
Get-ADUser $ UserID –property *
Tenga en cuenta que con PowerShell versión 3 y posteriores, no es necesario ejecutar la primera línea ya que Powershell identificar el módulo necesario y cargarlo automáticamente.
Una vez que haya cargado el módulo de Active Directory PowerShell, puede hacer cosas interesantes como explorar AD como un sistema de archivos
Encontrar comandos útiles (cmdlets):
Descubra los módulos de PowerShell disponibles: Get-Module -ListAvailable
Descubra los cmdlets en PowerShell módulo: Get-Command -module ActiveDirectory
Cmdlets del módulo PowerShell AD:
- Windows Server 2008 R2: 76 cmdlets
- Windows Server 2012: 135 cmdlets
- Windows Server 2012 R2: 147 cmdlets
- Windows Server 2016: 147 cmdlets
(Get-Command -module ActiveDirectory).count
Búsqueda de funciones de operación única maestra flexible (FSMO) de Active Directory:
Módulo de Active Directory:
Llamadas .NET:
Cmdlet del módulo PowerShell de Active Directory Ejemplos:
Get-RootDSE obtiene información sobre el servidor LDAP (el controlador de dominio) y la muestra. Hay información interesante en los resultados, como qué sistema operativo está ejecutando el DC.
Get-ADForest proporciona información sobre Active Directory Forest la computadora en la que ejecuta el comando.
Get-ADDomain proporciona información sobre el dominio actual en el que se encuentra.
Get-ADDomainController proporciona información de la computadora específica para los controladores de dominio.
Este cmdlet facilita la búsqueda de todos los controladores de dominio en un un sitio específico o ejecutando una versión de SO.
Get-ADComputer proporciona la mayor parte de lo que le gustaría saber sobre un objeto de computadora en AD.
Ejecutar con «-Prop *» para mostrar todas las propiedades estándar.
Get-ADUser proporciona la mayoría de lo que desea saber sobre un usuario de AD.
Ejecute con «-Prop *» para mostrar todas las propiedades estándar.
Get-ADGroup proporciona información sobre un Grupo AD. Busque todos los grupos de seguridad ejecutando:
Get-ADGroup -Filter {GroupCategory -eq ‘Security}
Get- ADGroupMember enumera y devuelve los miembros del grupo. Utilice el parámetro Recursive para incluir a todos los miembros de grupos anidados.
Get-ADGroupMember ‘Administrators’ -Recursive
Estos Los cmdlets son útiles para identificar situaciones que anteriormente requerían la compra de un producto o secuencias de comandos personalizadas.
Los siguientes ejemplos encuentran computadoras y usuarios inactivos (obsoletos): cuentas que no han cambiado sus contraseñas en los últimos 10 días. Tenga en cuenta que este es un ejemplo de laboratorio. Para verificaciones del mundo real, cámbielo a 60 a 90 días para computadoras y 180 a 365 días para usuarios.
Busque computadoras inactivas.
Busque usuarios inactivos.
Enumere los fideicomisos de dominio
Obtenga información del sitio de AD.
Tenga en cuenta que el módulo de Windows 2012 incluye cmdlet para sitios (Get-ADReplicationSite *).
GPO de dominio de respaldo
Tenga en cuenta que esto requiere que esté instalado el módulo PowerShell de directiva de grupo, que es independiente del módulo de Active Directory.
Buscar cuentas de servicio AD Kerberos
Controladores de dominio de inventario
Get-ADDomainController – filter * | `seleccione nombre de host, IPv4Address, IsGlobalCatalog, IsReadOnly, OperatingSystem | `format-table -auto
Get-ADReplicationPartnerMetadata (Windows Server 2012 y versiones posteriores)
Get-ADReplicationPartnerFailure proporciona información sobre el estado de falla de replicación de DC.