Active DirectoryPowerShellモジュールを使用したADデータの収集

Microsoftは、Windows Server 2008 R2(およびそれ以降)でいくつかのActive DirectoryPowerShellコマンドレットを提供しました。以前はADSIに関連する長いコード行をまとめる必要があったタスクを簡素化します。

Windowsクライアントに、リモートサーバー管理ツール(RSAT)をインストールし、Active DirectoryPowerShellモジュールがインストールされていることを確認します。

Windowsサーバー(2008 R2以降)では、PowerShellコンソールで(管理者として)次のコマンドを実行します。

Import-Module ServerManager; Add-WindowsFeature RSAT-AD-PowerShell

これが私の(貧弱な)ADSIの例です:

ADPowerShellコマンドレットと同じです:

Import-module ActiveDirectory
$ UserID = “JoeUser”
Get-ADUser $ UserID –property *

PowerShellバージョン3以降では、Powershellが実行するため、最初の行を実行する必要がないことに注意してください。必要なモジュールを特定して自動ロードします。

Active Directory PowerShellモジュールをロードすると、ファイルシステムのようにADを参照するなどの便利な操作を実行できます

便利なコマンド(コマンドレット)の検索:

使用可能なPowerShellモジュールの検出:Get-Module -ListAvailable

PowerShellのコマンドレットの検出モジュール:Get-Command -module ActiveDirectory

PowerShell ADモジュールコマンドレット:

  • Windows Server 2008 R2:76コマンドレット
  • Windows Server 2012:135コマンドレット
  • Windows Server 2012 R2:147個のコマンドレット
  • Windows Server 2016:147個のコマンドレット
(Get-Command -module ActiveDirectory).count

Active Directoryフレキシブルマスターシングルオペレーション(FSMO)の役割の検索:

Active Directoryモジュール:

.NET呼び出し:

ActiveDirectoryPowerShellモジュールコマンドレット例:

Get-RootDSEは、LDAPサーバー(ドメインコントローラー)に関する情報を取得して表示します。結果には、DCが実行しているOSなどの興味深い情報がいくつかあります。

Get-ADForestは、ActiveDirectoryに関する情報を提供します。コマンドを実行するコンピューターのフォレスト。

Get-ADDomainは、現在のドメインに関する情報を提供します。

Get-ADDomainControllerは、ドメインコントローラーに固有のコンピューター情報を提供します。
このコマンドレットを使用すると、内のすべてのDCを簡単に見つけることができます。特定のサイトまたはOSバージョンの実行。

Get-ADComputerは、コンピューターオブジェクトについて知りたいことのほとんどを提供します。 ADで。
「-Prop *」を指定して実行すると、すべての標準プロパティが表示されます。

Get-ADUserがほとんどを提供しますADユーザーについて知りたいことを説明します。
「-Prop *」を指定して実行すると、すべての標準プロパティが表示されます。

Get-ADGroupは、 ADグループ。次のコマンドを実行して、すべてのセキュリティグループを検索します。
Get-ADGroup -Filter {GroupCategory -eq’Security}

Get- ADGroupMemberは、グループメンバーを列挙して返します。 Recursiveパラメーターを使用して、ネストされたグループのすべてのメンバーを含めます。
Get-ADGroupMember’Administrators ‘-Recursive

これらコマンドレットは、以前に製品またはカスタムスクリプトの購入が必要だった状況を特定するのに役立ちます。

次の例では、非アクティブな(古い)コンピューターとユーザー(過去10日間にパスワードを変更していないアカウント)を検索します。これはラボの例であることに注意してください。実際のチェックでは、これをコンピューターの場合は60〜90日、ユーザーの場合は180〜365日に変更します。

非アクティブなコンピューターを検索します。

非アクティブなユーザーを検索します。

ドメインの信頼を列挙します

ADサイト情報を取得します。
Windows2012モジュールにはサイトのコマンドレット(Get-ADReplicationSite *)が含まれていることに注意してください。

バックアップドメインGPO
これには、ActiveDirectoryモジュールとは別のグループポリシーPowerShellモジュールがインストールされている必要があることに注意してください。

ADKerberosサービスアカウントの検索

インベントリドメインコントローラー
Get-ADDomainController–filter * | `ホスト名、IPv4アドレス、IsGlobalCatalog、IsReadOnly、OperatingSystemを選択| `format-table -auto

Get-ADReplicationPartnerMetadata(Windows Server 2012以降)

Get-ADReplicationPartnerFailureは、DCレプリケーションの失敗ステータスに関する情報を提供します。

Leave a Reply

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です