Active Directory cho mô-đun Windows PowerShell là một trong những công cụ chính để quản trị miền, quản lý các đối tượng trong Active Directory và lấy thông tin khác nhau về máy tính AD, người dùng, nhóm, v.v. Bất kỳ quản trị viên Windows nào cũng phải biết cách sử dụng cả snap-in đồ họa AD (thường là ADUC - Người dùng &Máy tính Active Directory) và các lệnh ghép ngắn của RSAT-AD-PowerShell mô-đun để thực hiện các tác vụ quản trị Active Directory hàng ngày. Trong bài viết này, chúng ta sẽ xem xét cách cài đặt mô-đun PowerShell Active Directory trên Windows, khám phá các tính năng cơ bản của nó và các lệnh ghép ngắn phổ biến hữu ích để quản lý và tương tác với AD.
Cài đặt Mô-đun thư mục hoạt động Powershell trên Windows Server
Active Directory cho Windows PowerShell đã được tích hợp sẵn trong hệ điều hành Windows Server (bắt đầu từ Windows Server 2008 R2), nhưng nó không được bật theo mặc định.
Trên Windows Server 2016, bạn có thể cài đặt mô-đun AD cho PowerShell từ Trình quản lý máy chủ (Thêm Vai trò và Tính năng -> Tính năng -> Công cụ Quản trị Máy chủ Từ xa -> Công cụ Quản trị Vai trò -> Công cụ AD DS và AD LDS -> Mô-đun Active Directory cho Windows PowerShell ).
Bạn cũng có thể cài đặt mô-đun từ bảng điều khiển PowerShell bằng lệnh:
Install-WindowsFeature -Name "RSAT-AD-PowerShell" –IncludeAllSubFeature
Bạn có thể cài đặt RSAT-AD-PowerShell không chỉ trên bộ điều khiển miền. Bất kỳ máy chủ thành viên miền nào hoặc thậm chí một máy trạm sẽ làm được. Mô-đun PowerShell Active Directory được cài đặt tự động khi bạn triển khai Dịch vụ miền Active Directory (AD DS) vai trò (khi quảng bá máy chủ lên bộ điều khiển miền AD).
Mô-đun đang tương tác với AD thông qua Dịch vụ Web Active Directory phải được cài đặt trên bộ điều khiển miền của bạn (giao tiếp được thực hiện qua cổng TCP 9389 ).
Cách cài đặt Mô-đun Active Directory PowerShell trên Windows 10?
Bạn có thể cài đặt RSAT-AD-PowerShell mô-đun không chỉ trên Windows Server mà còn trên các máy trạm của bạn. Mô-đun này là một phần của RSAT (Công cụ quản trị máy chủ từ xa) bạn có thể tải xuống và cài đặt thủ công trên Windows 7, Windows 8.1. Sau khi cài đặt RSAT, bạn có thể cài đặt mô-đun Active Directory cho PowerShell từ Bảng điều khiển (Bảng điều khiển -> Chương trình và Tính năng -> Bật hoặc tắt các tính năng của Windows -> Công cụ Quản trị Máy chủ Từ xa-> Công cụ Quản trị Vai trò -> AD DS và Công cụ AD LDS).
Trên Windows 10 bản dựng 1809 hoặc mới hơn, gói RSAT được tích hợp vào Windows image (dưới dạng Tính năng theo yêu cầu), vì vậy bạn có thể sử dụng lệnh PowerShell này để cài đặt mô-đun Active Directory:
Add-WindowsCapability –online –Name “Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0”
Active Directory PowerShell Cmdlets
Có rất nhiều lệnh ghép ngắn để tương tác với AD trong mô-đun Active Directory cho Windows PowerShell. Mỗi phiên bản RSAT mới chứa nhiều lệnh ghép ngắn hơn phiên bản trước. Trong Windows Server 2016 có sẵn 147 lệnh ghép ngắn PowerShell cho Active Directory.
Trước khi sử dụng lệnh ghép ngắn của mô-đun Active Directory, bạn cần nhập nó vào phiên PowerShell của mình (trên Windows Server 2012 R2 / Windows 8.1 và các mô-đun mới hơn được nhập tự động).
Import-Module ActiveDirectory
$psSess = New-PSSession -ComputerName DC_or_Comp_with_ADPoSh_installed
Import-Module -PSsession $psSess -Name ActiveDirectory
Bạn có thể hiển thị danh sách đầy đủ các lệnh ghép ngắn Active Directory có sẵn bằng lệnh:
Get-Command –module ActiveDirectory
Tổng số lệnh ghép ngắn trong mô-đun AD:
Get-Command –module ActiveDirectory |measure-object|select count
Hầu hết các lệnh ghép ngắn RSAT-AD-PowerShell đều bắt đầu từ Get- , Set- hoặc New- tiền tố.
- Nhận - các lệnh ghép ngắn lớp được sử dụng để lấy thông tin khác nhau từ Active Directory ( Get-ADUser - thuộc tính người dùng, Get-ADComputer - cài đặt máy tính, Get-ADGroupMember - thành viên nhóm, v.v.). Để chạy chúng, bạn không cần phải là quản trị viên miền. Bất kỳ người dùng miền nào cũng có thể chạy các lệnh PowerShell để nhận các giá trị của các thuộc tính đối tượng AD (ngoại trừ các thuộc tính bí mật, như trong ví dụ với LAPS);
- Đặt- các lệnh ghép ngắn lớp được sử dụng để thiết lập (thay đổi) cài đặt đối tượng trong Active Directory. Ví dụ:bạn có thể thay đổi thuộc tính người dùng ( Set-ADUser ), cài đặt máy tính ( Set-ADComputer ), thêm người dùng vào nhóm, v.v. Để làm điều đó, tài khoản của bạn phải có quyền sửa đổi thuộc tính đối tượng (xem bài viết Cách ủy quyền đặc quyền của quản trị viên trong Active Directory);
- Các lệnh bắt đầu bằng Mới- cho phép bạn tạo đối tượng QUẢNG CÁO (tạo người dùng - Người dùng quảng cáo mới , tạo một nhóm - New-ADGroup );
- Xóa- lệnh ghép ngắn được sử dụng để xóa các đối tượng QUẢNG CÁO .
Đây là cách bạn có thể nhận trợ giúp về bất kỳ lệnh ghép ngắn nào:
get-help Set-ADUser
Bạn có thể hiển thị các ví dụ về cách sử dụng lệnh ghép ngắn Active Directory như sau:
(get-help New-ADComputer).examples
Thật tiện lợi khi sử dụng gợi ý bật lên khi nhập các tham số lệnh ghép ngắn trong PowerShell ISE.
Quản trị Active Directory với Mô-đun RSAT-AD-PowerShell
Hãy xem một số tác vụ điển hình của quản trị viên mà bạn có thể thực hiện bằng cách sử dụng Active Directory cho lệnh ghép ngắn PowerShell.
Bạn có thể tìm thấy một số ví dụ hữu ích về cách sử dụng lệnh ghép ngắn AD cho PowerShell trên trang web WOSHub. Thực hiện theo các liên kết để nhận được hướng dẫn chi tiết.Người dùng quảng cáo mới:Tạo người dùng quảng cáo
Để tạo người dùng AD mới, bạn có thể sử dụng New-ADUser cmdlet. Bạn có thể tạo người dùng bằng lệnh sau:
New-ADUser -Name "Mila Beck" -GivenName "Mila" -Surname "Beck" -SamAccountName "mbeck" -UserPrincipalName "mbeck@woshub.com" -Path "OU=Users,OU=Berlin,OU=DE,DC=woshub,DC=com" -AccountPassword(Read-Host -AsSecureString "Input User Password") -Enabled $true
Để biết thông tin chi tiết về lệnh ghép ngắn New-ADUser (bao gồm ví dụ về cách tạo hàng loạt tài khoản miền người dùng), hãy xem bài viết này.
Get-ADComputer:Lấy thuộc tính máy tính
Để hiển thị thông tin về thuộc tính máy tính trong đơn vị tổ chức cụ thể (tên máy tính và ngày đăng nhập cuối cùng), hãy sử dụng lệnh ghép ngắn Get-ADComputer:
Get-ADComputer -SearchBase ‘OU=CA,OU=USA,DC=woshub,DC=com’ -Filter * -Properties * | FT Name, LastLogonDate -Autosize
Add-AdGroupMember:Thêm người dùng AD vào nhóm
Để thêm người dùng vào nhóm bảo mật hiện có trong miền AD của bạn, hãy chạy lệnh sau:
Add-AdGroupMember -Identity LondonSales -Members e.braun, l.wolf
Hiển thị danh sách người dùng trong nhóm QUẢNG CÁO và xuất thành tệp CSV:
Get-ADGroupMember LondonSales -recursive| ft samaccountname| Out-File c:\ps\export_ad_users.csv
Tìm hiểu thêm về cách quản lý nhóm AD từ PowerShell.
Set-ADAccountPassword:Đặt lại mật khẩu người dùng trong AD
Để đặt lại mật khẩu người dùng AD từ PowerShell, hãy chạy lệnh sau:
Set-ADAccountPassword m.lorenz -Reset -NewPassword (ConvertTo-SecureString -AsPlainText “Ne8Pa$$0rd1” -Force -Verbose) –PassThru
Làm cách nào để mở khóa, kích hoạt và vô hiệu hóa tài khoản AD?
Để vô hiệu hóa tài khoản người dùng AD:
Disable-ADAccount m.lorenz
Để kích hoạt tài khoản:
Enable-ADAccount m.lorenz
Để mở khóa tài khoản sau khi tài khoản bị chặn bởi chính sách mật khẩu miền:
Unlock-ADAccount m.lorenz
Tài khoản tìm kiếm-ADAccount:Cách tìm các đối tượng không hoạt động và bị vô hiệu hóa?
Để tìm và tắt tất cả các máy tính trong miền AD chưa đăng nhập trong hơn 90 ngày, hãy sử dụng lệnh ghép ngắn Tìm kiếm-ADAccount:
$timespan = New-Timespan –Days 90
Search-ADAccount -AccountInactive -ComputersOnly –TimeSpan $timespan | Disable-ADAccount
New-ADOrganizationalUnit:Tạo một đơn vị tổ chức trong AD
Để nhanh chóng tạo cấu trúc Đơn vị tổ chức điển hình trong AD, bạn có thể sử dụng tập lệnh PowerShell. Giả sử bạn muốn tạo nhiều OU với các trạng thái là tên của chúng và tạo các vùng chứa đối tượng điển hình trong đó. Khá tốn thời gian để tạo cấu trúc AD này theo cách thủ công thông qua snap-in ADUC đồ họa. Mô-đun AD cho PowerShell cho phép thực hiện điều đó trong vài giây (trừ thời gian viết tập lệnh):
$fqdn = Get-ADDomain
$fulldomain = $fqdn.DNSRoot
$domain = $fulldomain.split(".")
$Dom = $domain[0]
$Ext = $domain[1]
$Sites = ("Nevada","Texas","California","Florida")
$Services = ("Users","Admins","Computers","Servers","Contacts","Service Accounts")
$FirstOU ="USA"
New-ADOrganizationalUnit -Name $FirstOU -Description $FirstOU -Path "DC=$Dom,DC=$EXT" -ProtectedFromAccidentalDeletion $false
foreach ($S in $Sites)
{
New-ADOrganizationalUnit -Name $S -Description "$S" -Path "OU=$FirstOU,DC=$Dom,DC=$EXT" -ProtectedFromAccidentalDeletion $false
foreach ($Serv in $Services)
{
New-ADOrganizationalUnit -Name $Serv -Description "$S $Serv" -Path "OU=$S,OU=$FirstOU,DC=$Dom,DC=$EXT" -ProtectedFromAccidentalDeletion $false
}
}
Sau khi chạy tập lệnh, cấu trúc đơn vị tổ chức sau sẽ xuất hiện trong Active Directory.
Để di chuyển các đối tượng giữa các vùng chứa AD, bạn có thể sử dụng Move-ADObject lệnh ghép ngắn:
$TargetOU = "OU=Sales,OU=Computers,DC=woshub,DC=com"
Get-ADComputer -Filter 'Name -like "SalesPC*"' | Move-ADObject -TargetPath $TargetOU
Get-ADReplicationFailure:Kiểm tra các lỗi sao chép AD
Sử dụng lệnh ghép ngắn Get-ADReplicationFailure, bạn có thể kiểm tra trạng thái sao chép giữa các bộ điều khiển miền AD:
Get-ADReplicationFailure -Target NY-DC01,NY-DC02
Để nhận thông tin về tất cả DC trong miền, hãy sử dụng Get-AdDomainController lệnh ghép ngắn:
Get-ADDomainController –filter * | select hostname,IPv4Address,IsGlobalCatalog,IsReadOnly,OperatingSystem | format-table –auto
Vì vậy, chúng ta đã xem xét các tính năng cơ bản của mô-đun Active Directory PowerShell để quản trị miền AD. Tôi hy vọng nó sẽ khuyến khích bạn khám phá thêm các tính năng khác của mô-đun và tự động hóa hầu hết nhiệm vụ quản lý AD.