Microsoft hat mehrere Active Directory-PowerShell-Cmdlets mit Windows Server 2008 R2 (und neueren Versionen) bereitgestellt Vereinfachen Sie Aufgaben, für die zuvor lange Codezeilen mit ADSI zusammengestellt werden mussten.
Installieren Sie auf einem Windows-Client die Remote Sever Administration Tools (RSAT) und stellen Sie sicher, dass das Active Directory PowerShell-Modul installiert ist.
Führen Sie auf einem Windows-Server (2008 R2 oder neuer) die folgenden Befehle in einer PowerShell-Konsole (als Administrator) aus:
Import-Module ServerManager; Add-WindowsFeature RSAT-AD-PowerShell
Hier ist mein (schlechtes) ADSI-Beispiel:
Das gleiche gilt für das AD PowerShell-Cmdlet:
Import-Modul ActiveDirectory
$ UserID = „JoeUser“
Get-ADUser $ UserID –property *
Beachten Sie, dass Sie mit PowerShell Version 3 und neuer nicht die erste Zeile ausführen müssen, da Powershell dies tut Identifizieren Sie das erforderliche Modul und laden Sie es automatisch.
Sobald Sie das Active Directory PowerShell-Modul geladen haben, können Sie coole Dinge wie das Durchsuchen von AD wie ein Dateisystem ausführen.
Nützliche Befehle (Cmdlets) finden:
Verfügbare PowerShell-Module ermitteln: Get-Module -ListAvailable
Cmdlets in einer PowerShell ermitteln Modul: Get-Command-Modul ActiveDirectory
PowerShell AD-Modul-Cmdlets:
- Windows Server 2008 R2: 76 Cmdlets
- Windows Server 2012: 135 Cmdlets
- Windows Server 2012 R2: 147 Cmdlets
- Windows Server 2016: 147 Cmdlets
(Get-Command -module ActiveDirectory).count
Suchen von FSMO-Rollen (Active Directory Flexible Master Single Operation):
Active Directory-Modul:
.NET-Aufrufe:
Cmdlet des Active Directory PowerShell-Moduls Beispiele:
Get-RootDSE ruft Informationen zum LDAP-Server (dem Domänencontroller) ab und zeigt sie an. Die Ergebnisse enthalten einige interessante Informationen, z. B. das Betriebssystem, auf dem der Domänencontroller ausgeführt wird.
Get-ADForest enthält Informationen zum Active Directory Gesamtstruktur des Computers, auf dem Sie den Befehl ausführen.
Get-ADDomain bietet Informationen zu der aktuellen Domäne, in der Sie sich befinden.
Get-ADDomainController bietet Computerinformationen, die für Domänencontroller spezifisch sind.
Dieses Cmdlet erleichtert das Auffinden aller Domänencontroller in a bestimmte Site oder Ausführung einer Betriebssystemversion.
Get-ADComputer bietet das meiste, was Sie über ein Computerobjekt wissen möchten in AD.
Mit „-Prop *“ ausführen, um alle Standardeigenschaften anzuzeigen.
Get-ADUser bietet die meisten Funktionen von dem, was Sie über einen AD-Benutzer wissen möchten.
Führen Sie „-Prop *“ aus, um alle Standardeigenschaften anzuzeigen.
Get-ADGroup bietet Informationen zu einem AD-Gruppe. Suchen Sie alle Sicherheitsgruppen, indem Sie Folgendes ausführen:
Get-ADGroup -Filter {GroupCategory -eq ‚Security}
Get- ADGroupMember listet die Gruppenmitglieder auf und gibt sie zurück. Verwenden Sie den Parameter Rekursiv, um alle Mitglieder verschachtelter Gruppen einzuschließen.
Get-ADGroupMember ‚Administrators‘ -Recursive
Diese Cmdlets sind nützlich, um Situationen zu identifizieren, in denen zuvor ein Produkt oder ein benutzerdefiniertes Skript gekauft werden musste.
In den folgenden Beispielen werden inaktive (veraltete) Computer und Benutzer gefunden – Konten, deren Kennwörter in den letzten 10 Tagen nicht geändert wurden. Beachten Sie, dass dies ein Laborbeispiel ist. Ändern Sie dies für reale Überprüfungen für Computer auf 60 bis 90 Tage und für Benutzer auf 180 bis 365 Tage.
Suchen Sie nach inaktiven Computern.
Inaktive Benutzer suchen.
Domänenvertrauensstellungen auflisten
Informationen zur AD-Site abrufen.
Beachten Sie, dass das Windows 2012-Modul ein Cmdlet für Sites enthält (Get-ADReplicationSite *).
Gruppenrichtlinienobjekte für Sicherungsdomäne
Beachten Sie, dass hierfür das PowerShell-Modul für Gruppenrichtlinien installiert sein muss, das vom Active Directory-Modul getrennt ist.
AD Kerberos-Dienstkonten suchen
Inventardomänencontroller
Get-ADDomainController-Filter * | `Hostname, IPv4Address, IsGlobalCatalog, IsReadOnly, OperatingSystem | auswählen `format-table -auto
Get-ADReplicationPartnerMetadata (Windows Server 2012 und neuer)
Get-ADReplicationPartnerFailure bietet Informationen zum Fehlerstatus der DC-Replikation.