Microsoft toimitti useita Active Directory PowerShell-cmdlettejä Windows Server 2008 R2: n (ja uudemman) kanssa, mikä suuresti yksinkertaista tehtäviä, jotka aiemmin vaativat pitkien koodirivien kokoamisen ADSI: n kanssa.
Asenna Windows-asiakkaalle Remote Sever Administration Tools (RSAT) ja varmista, että Active Directory PowerShell -moduuli on asennettu.
Suorita Windows-palvelimella (2008 R2 tai uudempi) seuraavat komennot PowerShell-konsolissa (järjestelmänvalvojana):
Import-Module ServerManager; Add-WindowsFeature RSAT-AD-PowerShell
Tässä on (huono) ADSI-esimerkkini:
Tässä on sama asia AD PowerShell -cmdletin kanssa:
Import-module ActiveDirectory
$ UserID = ”JoeUser”
Get-ADUser $ UserID –ominaisuus *
Huomaa, että PowerShell-version 3 tai uudemman kanssa sinun ei tarvitse suorittaa ensimmäistä riviä, koska Powershell tunnista tarvittava moduuli ja lataa se automaattisesti.
Kun Active Directory PowerShell -moduuli on ladattu, voit tehdä hienoja juttuja, kuten selata AD: tä kuten tiedostojärjestelmä
Hyödyllisten komentojen etsiminen (Cmdlet-komennot):
Löydä käytettävissä olevat PowerShell-moduulit: Get-Module -ListAvailable
Löydä cmdletit PowerShellissä moduuli: Get-Command -moduuli ActiveDirectory
PowerShell AD -moduulin moduulit:
- Windows Server 2008 R2: 76-cmdletit
- Windows Server 2012: 135 cmdlet
- Windows Server 2012 R2: 147 cmdlet
- Windows Server 2016: 147 cmdlet
(Get-Command -module ActiveDirectory).count
Active Directory -joustavan pääkäyttäjän (FSMO) roolien löytäminen:
Active Directory -moduuli:
.NET-puhelut:
Active Directory PowerShell-moduulin cmdlet Esimerkkejä:
Get-RootDSE saa tietoja LDAP-palvelimesta (toimialueen ohjain) ja näyttää ne. Tuloksissa on mielenkiintoisia tietoja, kuten mikä käyttöjärjestelmä DC on käynnissä.
Get-ADForest tarjoaa tietoja Active Directorystä metsaa tietokone, jossa komento suoritetaan.
Get-ADDomain tarjoaa tietoja nykyisestä toimialueesta, jossa olet.
Get-ADDomainController tarjoaa toimialueiden ohjaimille ominaisia tietokonetietoja.
Tämän cmdlet-komennon avulla on helppo löytää kaikki DC: t verkosta. tietylle sivustolle tai käyttöjärjestelmäversiota.
Get-ADComputer tarjoaa suurimman osan siitä, mitä haluat tietää tietokoneobjektista. AD: ssä. Suorita ”-Prop *” -näppäimellä näyttääksesi kaikki vakio-ominaisuudet.
Get-ADUser tarjoaa eniten mitä haluat tietää AD-käyttäjästä.
Suorita ”-Prop *” -näppäimellä näyttääksesi kaikki vakio-ominaisuudet.
Get-ADGroup tarjoaa tietoja AD-ryhmä. Löydä kaikki suojausryhmät ajamalla:
Get-ADGroup -Filter {GroupCategory -eq ’Security}
Get- ADGroupMember luetellaan ja palautetaan ryhmän jäsenet. Käytä rekursiivista parametria sisällyttääksesi kaikki sisäkkäisten ryhmien jäsenet.
Get-ADGroupMember ’Administrators’ -Recursive
Nämä cmdlet-komennot ovat hyödyllisiä sellaisten tilanteiden tunnistamiseen, jotka aiemmin vaativat tuotteen tai mukautettujen komentosarjojen ostamista.
Seuraavissa esimerkeissä löydetään passiiviset (vanhentuneet) tietokoneet ja käyttäjät – tilit, jotka eivät ole vaihtaneet salasanojaan viimeisen 10 päivän aikana. Huomaa, että tämä on esimerkki laboratoriosta. Reaaliaikaisia tarkistuksia varten vaihda tämä arvoksi 60–90 päiväksi tietokoneille ja 180–365 päiväksi käyttäjille.
Löydä passiiviset tietokoneet.
Etsi passiivisia käyttäjiä.
Luettele verkkotunnusten luotettavuus
Hanki AD-sivustotiedot.
Huomaa, että Windows 2012 -moduuli sisältää cmdlet-sovelluksen sivustoille (Get-ADReplicationSite *).
Varmuuskopiointialueiden GPO-ohjelmat
Huomaa, että tämä edellyttää, että ryhmäkäytäntöjen PowerShell-moduuli on asennettu, joka on erillinen Active Directory -moduulista.
Etsi AD Kerberos -palvelutilit
Varaston toimialueen ohjaimet
Get-ADDomainController – suodatin * | `valitse isäntänimi, IPv4osoite, IsGlobalCatalog, IsReadOnly, OperatingSystem | `format-table -auto
Get-ADReplicationPartnerMetadata (Windows Server 2012 ja uudemmat)
Get-ADReplicationPartnerFailure antaa tietoja DC-replikoinnin epäonnistumisen tilasta.
