Firma Microsoft udostępniła kilka poleceń cmdlet programu Active Directory PowerShell w systemie Windows Server 2008 R2 (i nowszym), które uprościć zadania, które wcześniej wymagały złożenia długich linii kodu z wykorzystaniem ADSI.
Na kliencie Windows zainstaluj narzędzia administracji zdalnej serwera (RSAT) i upewnij się, że moduł Active Directory PowerShell jest zainstalowany.
Na serwerze Windows (2008 R2 lub nowszym) uruchom następujące polecenia w konsoli PowerShell (jako administrator):
Import-Module ServerManager; Add-WindowsFeature RSAT-AD-PowerShell
Oto mój (słaby) przykład ADSI:
Tak samo jest z cmdletem AD PowerShell:
Import-module ActiveDirectory
$ UserID = „JoeUser”
Get-ADUser $ UserID –właściwość *
Należy pamiętać, że w przypadku programu PowerShell w wersji 3 i nowszych nie trzeba uruchamiać pierwszej linii, ponieważ Powershell będzie zidentyfikuj potrzebny moduł i załaduj go automatycznie.
Po załadowaniu modułu Active Directory PowerShell możesz robić fajne rzeczy, takie jak przeglądanie reklam, takich jak system plików.
Znajdowanie przydatnych poleceń (polecenia cmdlet):
Odkryj dostępne moduły programu PowerShell: Get-Module -ListAvailable
Odkryj polecenia cmdlet w PowerShell module: Get-Command -module ActiveDirectory
Polecenia cmdlet modułu PowerShell AD:
- Windows Server 2008 R2: 76 poleceń cmdlet
- Windows Server 2012: 135 poleceń cmdlet
- Windows Server 2012 R2: 147 poleceń cmdlet
- Windows Server 2016: 147 poleceń cmdlet
(Get-Command -module ActiveDirectory).count
Znajdowanie ról FSMO (Flexible Master Single Operation) w usłudze Active Directory:
Moduł Active Directory:
Wywołania .NET:
Polecenie cmdlet modułu Active Directory PowerShell Przykłady:
Get-RootDSE pobiera informacje o serwerze LDAP (kontrolerze domeny) i wyświetla je. W wynikach jest kilka interesujących informacji, takich jak system operacyjny uruchomiony przez DC.
Get-ADForest dostarcza informacji o Active Directory las, w którym znajduje się komputer, na którym uruchomiono polecenie.
Get-ADDomain zawiera informacje o bieżącej domenie, w której się znajdujesz.
Get-ADDomainController udostępnia informacje o komputerze specyficzne dla kontrolerów domeny.
To polecenie cmdlet ułatwia znalezienie wszystkich kontrolerów domeny w konkretnej witrynie lub z uruchomioną wersją systemu operacyjnego.
Get-ADComputer zapewnia większość tego, co chciałbyś wiedzieć o obiekcie komputerowym w AD.
Uruchom z „-Prop *”, aby wyświetlić wszystkie standardowe właściwości.
Get-ADUser zapewnia większość tego, co chcesz wiedzieć o użytkowniku AD.
Uruchom z „-Prop *”, aby wyświetlić wszystkie standardowe właściwości.
Get-ADGroup zawiera informacje o pliku Grupa AD. Znajdź wszystkie grupy zabezpieczeń, uruchamiając:
Get-ADGroup -Filter {GroupCategory -eq 'Security}
Get- ADGroupMember wylicza i zwraca członków grupy. Użyj parametru Recursive, aby uwzględnić wszystkich członków grup zagnieżdżonych.
Get-ADGroupMember 'Administrators' -Recursive
Te Polecenia cmdlet są przydatne do identyfikowania sytuacji, które wcześniej wymagały zakupu produktu lub niestandardowych skryptów.
Poniższe przykłady pokazują nieaktywne (przestarzałe) komputery i użytkowników – konta, które nie zmieniły swoich haseł w ciągu ostatnich 10 dni. Zauważ, że jest to przykład laboratoryjny. W przypadku rzeczywistych kontroli zmień ten czas na 60–90 dni w przypadku komputerów i 180–365 dni w przypadku użytkowników.
Znajdź nieaktywne komputery.
Znajdź nieaktywnych użytkowników.
Wylicz relacje zaufania w domenie
Uzyskaj informacje o witrynie AD.
Zwróć uwagę, że moduł Windows 2012 zawiera cmdlet dla witryn (Get-ADReplicationSite *).
Kopia zapasowa obiektów GPO domeny
Należy pamiętać, że wymaga to zainstalowania modułu Group Policy PowerShell, który jest niezależny od modułu Active Directory.
Znajdź konta usługi AD Kerberos
Inventory Domain Controllers
Get-ADDomainController – filter * | `wybierz nazwę hosta, adres IPv4, IsGlobalCatalog, IsReadOnly, OperatingSystem | `format-table -auto
Get-ADReplicationPartnerMetadata (Windows Server 2012 i nowsze)
Get-ADReplicationPartnerFailure zawiera informacje o stanie błędu replikacji DC.