Администрирование Active Directory с PowerShell

Сегодня PowerShell становится главным инструментом при администрировании Windows, поэтому стоит рассмотреть основные командлеты, касающиеся AD. Так чтобы добавить роль AD DS, достаточно выполнить команду:

PS> Add-WindowsFeature AD-Domain-Services \
    -IncludeManagementTools

Если установка выполняется на удаленную машину, просто добавляем «-ComputerName -Restart». В примере вместе с AD установили и инструменты управления, включая модуль PS, который затем следует подключить, чтобы он был виден:

PS> Import-Module ActiveDirectory

Далее создаем КД, домен или лес. Для этого предлагается три командлета: Install-ADDSDomainController, Install-ADDSDomain и Install-ADDSForest. Их работа в общем схожа, если не указать некоторые параметры в командной строке, они будут запрошены по ходу выполнения скрипта:

PS> Install-ADDSDomainController "example.org"

Иногда лучше произвести предварительные проверки при помощи командлета Test-ADDSDomainControllerInstallation, в отличие от параметра «-WhatIf», он проверит, возможны ли соответствующие изменения в текущих условиях.
При создании леса можно сразу указать его уровень:

PS> Install-ADDSForest –DomainName example.org \
    -CreateDNSDelegation -DomainMode Win8 \
    -ForestMode Win8

Получим список всех КД:

PS> Get-ADDomainController -Filter * \
    | ft Hostname,Site

При этом возвращаются подробные сведения. Параметр Filter, используемый в командлетах AD PowerShell, ограничивает список возвращаемых объектов.
Просмотрим данные об объектах репликации:

PS> Get-ADReplicationSite -Filter *

Домен создан, пора его наполнить учетными записями. Для этих целей предлагается командлет New-ADUser. В самом простом случае достаточно указать его имя, и пользователь будет автоматически помещен в группу Пользователи домена (Users), поэтому лучше сразу задать группу:

PS> New-ADUser -name User1 -path \
    "SN=Sales,DC=example,DC=org" -passThru

Используя остальные параметры (подробнее goo.gl/qbtzb или «Get-Help New-AdUser -full»), можно заполнить любые атрибуты учетной записи. Если количество пользователей велико, то проще выполнить импорт из заранее подготовленного CSV-файла (при помощи Import-CSV).
Проверить установки любой учетной записи или отобрать их по фильтру можно при помощи командлета Get-ADUser. После создания учетная запись выключена, не забываем ее включить:

PS> Enable-ADAccount User1

Практически для всех остальных операций по созданию объектов AD также предложены свои командлеты — компьютеры (New-ADComputer), организационное подразделение OU (New-ADOrganizationalUnit), группы (New-ADGroup) и так далее. Форматы вызова во многом напоминают New-ADUser. Соответственно, все командлеты для получения специфических данных начинаются с Get-AD*, для изменения предназначены Set-AD*. Автодополнение доступно по клавише табуляции, поэтому найти нужные легко.

Теги: , ,

Понравилась статья? Оставьте комментарий или подпишитесь на RSS рассылку.

Комментарии

Комментариев пока что нет

Оставить комментарий

(required)

(required)