5 poleceń PowerShell, aby lepiej zarządzać Active Directory
PowerShell został stworzony po to, aby operacje IT i zadania administracyjne w systemach operacyjnych takich jak Active Directory mogły być drastycznie uproszczone i zautomatyzowane, aby zaoszczędzić ogromne ilości czasu i wysiłku.
PowerShell jest w stanie zintegrować się z usługami i aplikacjami, aby pomóc administratorom uzyskać pełną kontrolę nad zarządzaniem zarówno klientami jak i serwerami. Z każdą nową aktualizacją bazowego frameworka, PowerShell staje się bardziej zaawansowany i udostępnia coraz więcej funkcji.
Mając to na uwadze, przyjrzyjmy się niektórym cmdletom PowerShell, które mogą pomóc uprościć i zautomatyzować zarządzanie Active Directory.
Zanim zaczniemy
Zanim zaczniemy, będziemy musieli zaimportować Moduł Active Directory. Bez zaimportowania odpowiedniego modułu do sesji PowerShell, nie będziemy w stanie uruchomić żadnego z cmdletów z poniższej listy.
How to Create a Computer Object with PowerShell
Poniższy cmdlet pozwoli na utworzenie nowego obiektu komputera w danej jednostce organizacyjnej AD:
New-ADComputer -Name "ComputerName" -SamAccountName "ComputerName" -Path "OU=Computers,DC=Domain,DC=com"
Nie zapomnij, że aby skrypt zadziałał musisz podać nazwę komputera oraz nazwę konta Sam. Po perymetrze ścieżki należy podać nazwę wyróżnioną w cudzysłowie (gdzie obiekt ma zostać utworzony).
Skrypt ten jest przydatny w przypadku zarządzania wieloma domenami i witrynami lub w przypadku skryptowania zmian takich jak tworzenie kont w AD.
Jak utworzyć grupy zabezpieczeń za pomocą PowerShell
Patrz poniższy cmdlet:
New-ADGroup -Name "Security Group Name" -SamAccountName "SecurityGroupName" -GroupCategory Security -GroupScope Global -DisplayName "Security Group Name" -Path "CN=Groups,DC=Domain,DC=com" -Description "Brief description of what the security group is used for"
Grupy zabezpieczeń pozwalają lepiej zarządzać komputerami i kontami poprzez uprawnienia oparte na rolach. Bez grup zabezpieczeń musiałbyś wchodzić na każde konto i obiekt z osobna, aby to zrobić, co marnowałoby ogromną ilość czasu.
Jak utworzyć nowe konto użytkownika za pomocą PowerShell
Zobacz poniższy cmdlet:
New-ADUser -Name "User Account Name" -SamAccountName "UserAccountName" -AccountPassword (ConvertTo-SecureString "password" -AsPlainText -Force) -DisplayName "User Name" -Enabled $True -GivenName "FirstName" -Path "CN=Users,,DC=Domain,DC=com" -Server "controller.domain.com" -Surname "LastName" -UserPrincipalName "[email protected]"
Jeśli używasz AD jako serca swojej infrastruktury IT, to wiedza jak utworzyć nowe konto użytkownika jest fundamentalna. Jeśli chcesz dodać więcej atrybutów do konta użytkownika, po prostu dodaj parametr -OtherAttributes i określ atrybut, który chcesz dodać, na przykład: @
How to Create a New OU with PowerShell
Patrz cmdlet poniżej:
New-ADOrganizationalUnit -Name "OU Name" -Path "DC=Domain,DC=com"
OU (Organizational Units) to poddziały w ramach AD, w które można organizować użytkowników, grupy, komputery i inne OU. Dobrze zorganizowane katalogi Active Directories posiadają strukturę OU, która odzwierciedla firmę w sposób funkcjonalny lub strategiczny.
Każde polecenie cmdlet, które zaczyna się od parametru „New” oznacza, że coś tworzysz. Te same cmdlety mogą być użyte do usunięcia OU z Active Directory, musisz po prostu zastąpić przedrostek „New” na „Remove”. Możesz również modyfikować OU używając przedrostka „Set” w miejsce „New”.
Jak dodać/usunąć użytkowników lub obiekty komputerowe do/z grup za pomocą PowerShell
Zobacz poniższy cmdlet:
Add-ADGroupMember SecurityGroupName -Members Username01
Remove-ADGroupMember SecurityGroupName -Members Username01
Twórz lub usuń konta użytkowników i obiekty komputerów zgodnie z wymaganiami. Utworzone konta użytkowników lub obiekty komputerowe mogą zostać dodane do istniejących grup zabezpieczeń, aby ułatwić zarządzanie nimi. Można to zrobić za pomocą parametru -Members. Jeśli chcesz dodać wiele kont do istniejącej grupy zabezpieczeń, możesz to zrobić, oddzielając je przecinkiem.
Podsumowanie
Pięć powyższych poleceń PowerShell powinno pomóc w usprawnieniu podstawowego zarządzania Active Directory. Jeśli chcesz mieć większy wgląd w zmiany zachodzące w AD, zapoznaj się z naszym rozwiązaniem do audytu Active Directory.