Microsoft ha fornito diversi cmdlet di PowerShell per Active Directory con Windows Server 2008 R2 (e versioni successive) che semplificare le attività che in precedenza richiedevano la creazione di lunghe righe di codice che coinvolgono ADSI.
Su un client Windows, installa gli strumenti di amministrazione remota del server (RSAT) e assicurati che il modulo PowerShell di Active Directory sia installato.
Su un server Windows (2008 R2 o più recente), eseguire i seguenti comandi in una console PowerShell (come un amministratore):
Import-Module ServerManager; Funzionalità Add-Windows RSAT-AD-PowerShell
Ecco il mio (scarso) esempio ADSI:
Ecco la stessa cosa con il cmdlet AD PowerShell:
Import-module ActiveDirectory
$ UserID = “JoeUser”
Get-ADUser $ UserID –property *
Tieni presente che con PowerShell versione 3 e successive non è necessario eseguire la prima riga poiché Powershell lo farà identifica il modulo necessario e caricalo automaticamente.
Dopo aver caricato il modulo PowerShell di Active Directory, puoi fare cose interessanti come sfogliare AD come un file system
Ricerca di comandi utili (cmdlet):
Scopri i moduli PowerShell disponibili: Get-Module -ListAvailable
Scopri i cmdlet in un PowerShell module: Get-Command -module ActiveDirectory
Cmdlet del modulo AD di PowerShell:
- Windows Server 2008 R2: 76 cmdlet
- Windows Server 2012: 135 cmdlet
- Windows Server 2012 R2: 147 cmdlet
- Windows Server 2016: 147 cmdlet
(Get-Command -module ActiveDirectory).count
Ricerca di ruoli FSMO (Flexible Master Single Operation) di Active Directory:
Modulo Active Directory:
Chiamate .NET:
Cmdlet del modulo PowerShell di Active Directory Esempi:
Get-RootDSE ottiene le informazioni sul server LDAP (il controller di dominio) e le visualizza. Ci sono alcune informazioni interessanti nei risultati, come il sistema operativo in esecuzione su DC.
Get-ADForest fornisce informazioni su Active Directory foresta in cui si trova il computer in cui esegui il comando.
Get-ADDomain fornisce informazioni sul dominio corrente in cui ti trovi.
Get-ADDomainController fornisce informazioni sul computer specifiche per i controller di dominio.
Questo cmdlet semplifica la ricerca di tutti i controller di dominio in un sito specifico o che esegue una versione del sistema operativo.
Get-ADComputer fornisce la maggior parte di ciò che vorresti sapere su un oggetto computer in AD.
Esegui con “-Prop *” per mostrare tutte le proprietà standard.
Get-ADUser fornisce la maggior parte di ciò che vuoi sapere su un utente AD.
Esegui con “-Prop *” per mostrare tutte le proprietà standard.
Get-ADGroup fornisce informazioni su un file Gruppo AD. Trova tutti i gruppi di sicurezza eseguendo:
Get-ADGroup -Filter {GroupCategory -eq ‘Security}
Get- ADGroupMember enumera e restituisce i membri del gruppo. Utilizza il parametro Recursive per includere tutti i membri dei gruppi nidificati.
Get-ADGroupMember ‘Administrators’ -Recursive
Questi I cmdlet sono utili per identificare le situazioni che in precedenza richiedevano l’acquisto di un prodotto o di script personalizzati.
Gli esempi seguenti rilevano computer e utenti inattivi (obsoleti): account che non hanno cambiato le password negli ultimi 10 giorni. Nota che questo è un esempio di laboratorio. Per i controlli nel mondo reale, impostalo su 60-90 giorni per i computer e 180-365 giorni per gli utenti.
Trova computer inattivi.
Trova utenti inattivi.
Enumera i trust di dominio
Ottieni informazioni sul sito AD.
Tieni presente che il modulo Windows 2012 include il cmdlet per i siti (Get-ADReplicationSite *).
Oggetti Criteri di gruppo del dominio di backup
Tieni presente che questo richiede che sia installato il modulo PowerShell per Criteri di gruppo, che è separato dal modulo Active Directory.
Trova account di servizio AD Kerberos
Controller di dominio di inventario
Get-ADDomainController – filter * | `seleziona hostname, IPv4Address, IsGlobalCatalog, IsReadOnly, OperatingSystem | `format-table -auto
Get-ADReplicationPartnerMetadata (Windows Server 2012 e successivi)
Get-ADReplicationPartnerFailure fornisce informazioni sullo stato di errore di replica DC.