Active Directory PowerShell 모듈을 사용하여 AD 데이터 수집

Microsoft는 Windows Server 2008 R2 이상과 함께 여러 Active Directory PowerShell cmdlet을 제공했습니다. 이전에는 ADSI와 관련된 긴 코드 줄을 조합해야했던 작업을 단순화합니다.

Windows 클라이언트에서 RSAT (원격 서버 관리 도구)를 설치하고 Active Directory PowerShell 모듈이 설치되어 있는지 확인합니다.

Windows 서버 (2008 R2 이상)의 경우 PowerShell 콘솔 (관리자 권한)에서 다음 명령을 실행합니다.

Import-Module ServerManager; Add-WindowsFeature RSAT-AD-PowerShell

다음은 저의 (불쌍한) ADSI 예제입니다.

다음은 AD PowerShell cmdlet과 동일한 기능입니다.

Import-module ActiveDirectory
$ UserID = “JoeUser”
Get-ADUser $ UserID –property *

Powershell 버전 3 이상에서는 Powershell이 수행하므로 첫 번째 줄을 실행할 필요가 없습니다. 필요한 모듈을 식별하고 자동으로로드합니다.

Active Directory PowerShell 모듈이로드되면 파일 시스템과 같은 AD 검색과 같은 멋진 작업을 수행 할 수 있습니다.

유용한 명령 (Cmdlet) 찾기 :

사용 가능한 PowerShell 모듈 검색 : Get-Module -ListAvailable

PowerShell에서 cmdlet 검색 모듈 : Get-Command -module ActiveDirectory

PowerShell AD 모듈 Cmdlet :

• Windows Server 2008 R2 : 76 개 cmdlet
• Windows Server 2012 : 135 개 cmdlet
• Windows Server 2012 R2 : 147 cmdlet
• Windows Server 2016 : 147 cmdlet

(Get-Command -module ActiveDirectory).count

Active Directory FSMO (Flexible Master Single Operation) 역할 찾기 :

Active Directory 모듈 :

.NET 호출 :

Active Directory PowerShell 모듈 Cmdlet 예 :

Get-RootDSE는 LDAP 서버 (도메인 컨트롤러)에 대한 정보를 가져와 표시합니다. DC가 실행중인 OS와 같은 몇 가지 흥미로운 정보가 결과에 있습니다.

Get-ADForest는 Active Directory에 대한 정보를 제공합니다. 명령을 실행하는 컴퓨터를 포레스트합니다.

Get-ADDomain은 현재 도메인에 대한 정보를 제공합니다.

Get-ADDomainController는 도메인 컨트롤러와 관련된 컴퓨터 정보를 제공합니다.
이 cmdlet을 사용하면 도메인 컨트롤러에있는 모든 DC를 쉽게 찾을 수 있습니다. 특정 사이트 또는 OS 버전을 실행합니다.

Get-ADComputer는 컴퓨터 개체에 대해 알고 싶은 대부분의 정보를 제공합니다. 모든 표준 속성을 표시하려면 “-Prop *”로 실행합니다.

Get-ADUser는 모든 표준 속성을 표시하려면 “-Prop *”로 실행합니다.

Get-ADGroup은 AD 그룹. 다음을 실행하여 모든 보안 그룹을 찾습니다.
Get-ADGroup -Filter {GroupCategory -eq ‘Security}

Get- ADGroupMember는 그룹 구성원을 열거하고 반환합니다. Recursive 매개 변수를 사용하여 중첩 된 그룹의 모든 구성원을 포함합니다.
Get-ADGroupMember ‘Administrators’-Recursive

cmdlet은 이전에 제품 또는 사용자 지정 스크립팅을 구입해야했던 상황을 식별하는 데 유용합니다.

다음 예에서는 비활성 (오래된) 컴퓨터와 사용자 (지난 10 일 동안 암호를 변경하지 않은 계정)를 찾습니다. 이것은 실습 예제입니다. 실제 확인의 경우 컴퓨터의 경우 60 ~ 90 일, 사용자의 경우 180 ~ 365 일로 변경합니다.

비활성 컴퓨터를 찾습니다.

비활성 사용자를 찾습니다.

도메인 트러스트 열거

AD 사이트 정보를 가져옵니다.
Windows 2012 모듈에는 사이트 용 cmdlet (Get-ADReplicationSite *)이 포함되어 있습니다.

백업 도메인 GPO
이렇게하려면 Active Directory 모듈과는 별도의 그룹 정책 PowerShell 모듈이 설치되어 있어야합니다.

AD Kerberos 서비스 계정 찾기

인벤토리 도메인 컨트롤러
Get-ADDomainController–filter * | `select hostname, IPv4Address, IsGlobalCatalog, IsReadOnly, OperatingSystem | `format-table -auto

Get-ADReplicationPartnerMetadata (Windows Server 2012 이상)

Get-ADReplicationPartnerFailure는 DC 복제 실패 상태에 대한 정보를 제공합니다.