PowerShell: системное администрирование и программирование

Модуль Active Directory для Windows PowerShell — один из основных инструментов для администрирования домена, управления объектами в Active Directory и получения различной информации о компьютерах AD, пользователях, группах и т. д. Любой администратор Windows должен знать, как использовать как графическую оснастку AD (обычно это ADUC — Active Directory Users & Computers) и командлеты модуля RSAT-AD-PowerShell для выполнения повседневных задач администрирования Active Directory. В этой статье мы рассмотрим, как установить модуль PowerShell Active Directory в Windows, познакомимся с его основными функциями и популярными командлетами, которые полезны для управления и взаимодействия с AD.

Установка модуля Powershell Active Directory на Windows Server

Active Directory для Windows PowerShell уже встроен в операционные системы Windows Server (начиная с Windows Server 2008 R2), но по умолчанию не включен.

В Windows Server 2016, 2022 и 2022 вы можете установить модуль AD для PowerShell из Диспетчера серверов (Добавить роли и компоненты -> Функции -> Инструменты удалённого администрирования сервера -> Инструменты администрирования ролей -> Инструменты AD DS и AD LDS -> Модуль Active Directory для Windows PowerShell).

В англоязычной версии сервера это соответственно в Server Manager: Add Roles and Features -> Features -> Remote Server Administration Tools -> Role Administration Tools -> AD DS and AD LDS Tools -> Active Directory module for Windows PowerShell.

Если вы уже установили роль Active Directory Domain Services, то это означает, что модуль Powershell Active Directory уже активирован и дополнительных действий предпринимать не нужно.

Смотрите также: Полное руководство по Active Directory, от установки и настройки до аудита безопасности. Ч. 4: Установка Active Directory Domain Services в Windows Server 2022

Вы также можете установить модуль из консоли PowerShell с помощью команды:

Install-WindowsFeature -Name «RSAT-AD-PowerShell» -IncludeAllSubFeature

Смотрите также: Управление ролями и функциями Windows Server с помощью PowerShell

Вы можете установить RSAT-AD-PowerShell не только на контроллеры домена. Подойдёт любой рядовой сервер домена или даже рабочая станция. Модуль PowerShell Active Directory устанавливается автоматически при развёртывании роли доменных служб Active Directory (AD DS) (при повышении уровня сервера до контроллера домена AD).

Модуль взаимодействует с AD через веб-службу Active Directory, которая должна быть установлена на вашем контроллере домена (связь осуществляется через TCP-порт 9389).

Регистрация сервера политики сети в домене по умолчанию

Эту процедуру можно использовать для регистрации NPS в домене, в котором сервер является членом домена.

НПСС должен быть зарегистрирован в Active Directory, чтобы они имели разрешение на чтение свойств входящих звонков учетных записей пользователей в процессе авторизации. При регистрации NPS сервер добавляется в группу Серверы RAS и IAS в Active Directory.

Выполнить эти операции может только член группы Администраторы или пользователь с аналогичными правами.

Регистрация сервера политики сети в домене по умолчанию

1. На сервере политики сети в диспетчер сервера щелкните средства, а затем — сервер политики сети. Откроется консоль сервера политики сети.
2. Щелкните правой кнопкой мыши элемент NPS (локальный) и выберите пункт зарегистрировать сервер в Active Directory. Откроется диалоговое окно Сервер политики сети.
3. В диалоговом окне Сервер политики сети нажмите кнопку OK и затем еще раз нажмите кнопку OK.

Как установить модуль Active Directory PowerShell в командной строке

Вы можете установить модуль RSAT-AD-PowerShell не только на Windows Server, но и на свои рабочие станции.

Если вы попытаетесь выполнить приведённую выше PowerShell команду:

Install-WindowsFeature -Name «RSAT-AD-PowerShell» -IncludeAllSubFeature

то получите сообщение об ошибке:

Install-WindowsFeature: Целевым объектом указанного командлета не может быть клиентская операционная система Windows.

Причём независимо от того, какая у вас редакция Windows: Home, Pro, Enterprise.

Тем не менее, в Windows 10 build 1809 или новее пакет RSAT интегрирован в образ Windows (как компоненты по запросу), поэтому вы можете использовать эту команду PowerShell для установки модуля Active Directory:

Add-WindowsCapability -online -Name «Rsat.ActiveDirectory.DS-LDS.Tools»

Предыдущую команду нужно выполнять в командной строке с правами администратора.

Связанная статья: Как запустить PowerShell с правами администратора

Поиск проблемы

В большинстве случаев установка RSAT проходит без проблем. Однако есть две проблемы, с которыми вы можете столкнуться.

Первый — невозможность установить RSAT. Если это произойдет, убедитесь, что брандмауэр Windows включен. RSAT использует стандартный бэкэнд Windows Update и требует, чтобы брандмауэр был запущен и работал. Если он выключен, включите его и попробуйте снова установить RSAT.

Вторая проблема может возникнуть после установки. Некоторые пользователи пропускают вкладки или испытывают другие проблемы. Единственное решение проблем после установки — удалить и установить RSAT заново.

Если у вас есть проблемы с ADUC, вы должны проверить, правильно ли подключен его ярлык. Это должно привести к% SystemRoot% \ system32 \ dsa.msc. Если это не так, переустановите программу.

Как установить модуль Active Directory PowerShell в Windows 11 в графическом интерфейсе

Для установки модуля Active Directory PowerShell в графическом интерфейсе в Windows 11 откройте «Settings» (Параметры), для этого нажмите Win+i и выберите вкладку «Apps» (Приложения), а затем перейдите в «Optional Features» (Дополнительные компоненты).

Теперь выберите «View features» (Просмотр компонентов) в строке «Add an optional feature» (Добавить компонент).

Для установки средств удалённого администрирования Active Directory найдите «RSAT: Active Directory Domain Services and Lightweight Directory Services Tools» (Средства удалённого администрирования сервера: средства доменных служб Active Director и служб облегчённого доступа к каталогам), поставьте галочку и нажмите на кнопку «Next» (Далее),

затем нажмите «Install» (Установить).

Примечание: если при поиске того или иного компонента вы не можете его найти, то, возможно, данный компонент уже установлен.

Чтобы в этом убедиться в строке поиска под надписью «Installed features» (Установленные компоненты) введите название искомого компонента.

Также помните, что в английской и локализованных версиях Windows данные компоненты называются по-разному!

Как работают активные директории

Основополагающие принципы работы:

• Авторизация, с которой становится возможным использовать ПК в сети, просто введя личный пароль. В этом случае переносится вся информация из аккаунта.
• Сетевое администрирование из одной точки. При использовании Active Directory системному администратору не нужно перенастраивать все ПК, если необходимо изменить права доступа, например, к принтеру. Изменения вносятся удаленно и глобально.
• Полная интеграция с DNS. С его помощью в AD не возникает путаницы, все устройства обозначаются так же, как всемирная паутина.
• В больших масштабах. Набор серверов может управляться одной Active Directory.
• Безопасность. Active Directory содержит возможности распознавания пользователей. Для любого сетевого объекта можно удаленно, с устройства, установить необходимые права, которые будут зависеть от конкретных категорий и пользователей.
• Поиск ведется по различным параметрам, например, по имени компьютера, логину.

Объекты и атрибуты

Объект: набор атрибутов, объединенных под вашим именем, которые представляют сетевой ресурс.

Атрибут — характеристика объекта в каталоге. Например, это полное имя пользователя, логин. Но атрибутами учетной записи ПК могут быть имя этого компьютера и его описание.

Процессы Atieclxx, Atiedxx, Ati2evxx — почему они используются и какой утилите они принадлежат

Пример:

«Сотрудник» — объект, имеющий атрибуты «Полное имя», «Должность» и «TabN”.

Контейнер и имя LDAP

Контейнер — это тип объектов, которые могут состоять из других объектов. Например, домен может включать в себя объекты учетной записи.

Их основное предназначение — систематизировать объекты по типам указателей. Чаще всего контейнеры используются для группировки объектов с одинаковыми атрибутами.

Большинство контейнеров отображают набор объектов, а ресурсы представлены уникальным объектом Active Directory. Одним из основных типов контейнеров AD является организационная единица или OU (организационная единица). Объекты, помещенные в этот контейнер, принадлежат только тому домену, в котором они были созданы.

Облегченный протокол доступа к каталогам (LDAP) — это основной алгоритм подключения TCP / IP. Он призван уменьшить количество нюансов при доступе к службам каталогов. Кроме того, LDAP определяет действия, используемые для запроса и изменения данных каталога.

Дерево и сайт

Дерево доменов — это структура, набор доменов, которые имеют общую схему и конфигурацию, которые образуют общее пространство имен и связаны доверием.

Лес домена — это набор взаимосвязанных деревьев.

Сайт — это набор устройств в IP-подсетях, которые представляют собой физическую модель сети, планирование которой осуществляется независимо от логического представления ее построения. Active Directory может создавать n-е количество сайтов или объединять n-е количество доменов в один сайт.

Как установить модуль Active Directory PowerShell в Windows 10 в графическом интерфейсе

Для установки модуля Active Directory PowerShell в графическом интерфейсе, нажмите Win+x, затем в открывшемся меню выбираем «Apps and Features» (Приложения и возможности).

Далее выбираем «Optional Features» (Дополнительные компоненты).

Теперь выбираем «Add a feature» (Добавить компонент).

Для установки средств удалённого администрирования Active Directory выбираем «RSAT: Active Directory Domain Services and Lightweight Directory Services Tools» (Средства удалённого администрирования сервера: средства доменных служб Active Director и служб облегчённого доступа к каталогам) и нажимаем на кнопку «Install» (Установить).

Методы ADBAADBA methods

VAMT позволяет ИТ-специалистам управлять и активировать объект ADBA.VAMT enables IT Professionals to manage and activate the ADBA object. Активация может выполняться с помощью следующих методов:Activation can be performed using the following methods:

• Активация в Интернете. Чтобы активировать лес ADBA в Интернете, пользователь выбирает функцию «Активировать лес Online», выбирает ключ kmS Host (CSVLK) для использования и дает объекту ADBA имя. ****Online activation: To activate an ADBA forest online, the user selects the Online activate forest function, selects a KMS Host key (CSVLK) to use, and gives the ADBA Object a name.
• Активация прокси. Для активации прокси **** пользователь сначала выбирает функцию прокси-активации леса, выбирает ключ kmS Host (CSVLK), дает объекту ADBA имя и предоставляет имя файла для сохранения файла CILx, содержащего ID установки.Proxy activation: For a proxy activation, the user first selects the Proxy activate forest function, selects a KMS Host key (CSVLK) to use, gives the ADBA Object a name, and provides a file name to save the CILx file that contains the Installation ID. Затем пользователь передает этот файл на компьютер с подключением к Интернету, а затем выбирает ID-документы подтверждения приобретения для функции CILX на странице посадки VAMT и предоставляет исходный файл CILx.Next, the user takes that file to a computer that is running VAMT with an Internet connection and then selects the Acquire confirmation IDs for CILX function on the VAMT landing page, and provides the original CILx file. Когда VAMT загрузил ID-файлы подтверждения в исходный файл CILx, пользователь возвращает этот файл обратно в исходный экземпляр VAMT, где пользователь завершает процесс активации прокси, выбрав файл Apply confirmation ID для функции домена Active Directory.When VAMT has loaded the Confirmation IDs into the original CILx file, the user takes this file back to the original VAMT instance, where the user completes the proxy activation process by selecting the Apply confirmation ID to Active Directory domain function.

Командлеты Active Directory PowerShell

В модуле Active Directory для Windows PowerShell есть множество командлетов для взаимодействия с AD. Каждая новая версия RSAT содержит больше командлетов, чем предыдущая. В Windows Server 2022 доступно 147 командлетов PowerShell для Active Directory.

Перед использованием командлетов модуля Active Directory вам необходимо импортировать его в сеанс PowerShell:

Import-Module ActiveDirectory

Начиная с Windows Server 2012 R2, Windows 8.1 и в последующих версиях модуль импортируется автоматически.

Если модуль Active Directory не установлен на вашем компьютере, вы можете импортировать его со своего контроллера домена (для этого вам нужны права администратора домена) или с другого настольного компьютера:

$psSess = New-PSSession -ComputerName ИМЯ_КОМПЬЮТЕРА Import-Module -PSsession $psSess -Name ActiveDirectory

В этих командах ИМЯ_КОМПЬЮТЕРА — это компьютер, который является Контроллером Домена, либо компьютером, на котором установлен модуль Powershell Active Directory.

Вы можете отобразить полный список доступных командлетов Active Directory с помощью команды:

Get-Command -module ActiveDirectory

Чтобы посчитать общее количество командлетов в модуле AD выполните команду:

Get-Command -module ActiveDirectory | measure-object | select count

Большинство командлетов RSAT-AD-PowerShell начинаются с префиксов Get-, Set- или New-.

• Командлеты Get- класса используются для получения различной информации из Active Directory (Get-ADUser — свойства пользователя, Get-ADComputer — настройки компьютера, Get-ADGroupMember — членство в группе и так далее). Чтобы запустить их, вам не нужно быть администратором домена. Любой пользователь домена может запускать команды PowerShell для получения значений атрибутов объекта AD (кроме конфиденциальных, как в примере с LAPS);
• Командлеты класса Set- используются для установки (изменения) параметров объекта в Active Directory. Например, вы можете изменить свойства пользователя (Set-ADUser), настройки компьютера (Set-ADComputer), добавить пользователя в группу и так далее. Для этого у вашей учётной записи должны быть разрешения на изменение свойств объекта;
• Команды, начинающиеся с New- позволяют создавать объекты AD (создать пользователя – New-ADUser, создать группу – New-ADGroup);
• Командлеты Remove- используются для удаления объектов AD.

Так вы можете получить помощь по любому командлету:

Get-Help КОМАНДЛЕТ Get-Help КОМАНДЛЕТ -Full

Смотрите также: Как получить справку по командам PowerShell

Вы можете отобразить примеры использования командлетов Active Directory следующим образом:

(Get-Help КОМАНДЛЕТ).examples

Или:

Get-Help КОМАНДЛЕТ -Examples

Всплывающие подсказки удобно использовать при вводе параметров командлета в PowerShell ISE.

Устройство

Поговорим о структуре программы.

Объекты

Active Directory имеет иерархическую структуру объектов. Объекты делятся на три основные категории: ресурсы (например, принтеры), службы (например, электронная почта) и учетные записи пользователей и компьютеров. Сервис предоставляет информацию об объектах, позволяет организовывать объекты, контролировать доступ к ним и даже устанавливает правила безопасности.

Объекты могут быть репозиториями для других объектов (групп безопасности и рассылки). Объект однозначно определяется своим именем и имеет набор атрибутов — характеристик и данных, которые он может содержать; последние, в свою очередь, зависят от типа объекта. Атрибуты являются строительным блоком структуры объекта и определяются в схеме. Схема определяет, какие типы объектов могут существовать.

Сама схема состоит из двух типов объектов: объектов классов схемы и объектов атрибутов схемы. Объект класса схемы определяет тип объекта Active Directory (например, объект «Пользователь»), а объект атрибута схемы определяет атрибут, который может иметь объект.

Каждый объект атрибута может использоваться в нескольких объектах класса схемы. Эти объекты называются объектами схемы (или метаданных) и позволяют изменять и дополнять схему, когда это необходимо и возможно. Однако каждый объект схемы является частью определений объектов, поэтому отключение или изменение этих объектов может иметь серьезные последствия, поскольку в результате этих действий изменяется структура каталогов. Изменение объекта схемы автоматически распространяется в службу каталогов. После создания объект схемы нельзя удалить, его можно только отключить. Обычно все изменения схемы тщательно планируются.

Контейнер похож на объект в том смысле, что он также имеет атрибуты и является пространством имен, но, в отличие от объекта, контейнер не означает ничего конкретного: он может содержать группу объектов или другие контейнеры.

Структура

Верхний уровень дерева — это лес, совокупность всех объектов, атрибутов и правил (синтаксис атрибутов) в Active Directory. Лес содержит одно или несколько деревьев, соединенных транзитивными доверительными отношениями. Дерево содержит один или несколько доменов, также связанных иерархически транзитивными доверительными отношениями. Домены идентифицируются по их структурам DNS-имен — пространствам имен.

Объекты в домене могут быть сгруппированы в контейнеры — организационные единицы. Организационные единицы позволяют создавать иерархию внутри домена, упрощать администрирование и позволяют моделировать, например, организационную или географическую структуру организации в службе каталогов. Подразделения могут содержать другие подразделения. Microsoft рекомендует использовать в службе каталогов как можно меньше доменов и использовать организационные подразделения для структуры и политик. Групповые политики часто применяются конкретно к организационным единицам. Групповая политика — это сама по себе объекты. Организационная единица — это самый низкий уровень, на который могут быть делегированы административные полномочия.

Другой способ разделения — это сайты, которые представляют собой физический (а не логический) способ группировки на основе сегментов сети. Сайты делятся на те, которые имеют соединения по низкоскоростным каналам (например, по глобальным сетям с использованием виртуальных частных сетей) и по высокоскоростным каналам (например, по локальной сети). Сайт может содержать один или несколько доменов, а домен может содержать один или несколько сайтов. При разработке службы каталогов важно учитывать сетевой трафик, генерируемый синхронизацией данных между сайтами.

Ключевым решением при разработке службы каталогов является решение разделить информационную инфраструктуру на иерархические домены и подразделения верхнего уровня. Типичными моделями, используемыми для этого разделения, являются модели разделения по функциональным подразделениям компании, по географическому положению и по ролям в информационной инфраструктуре компании. Часто используются комбинации этих моделей.

Физическая структура и репликация

Физически информация хранится на одном или нескольких одноранговых контроллерах домена, которые заменили основной и резервный контроллеры домена, используемые в Windows NT, хотя также поддерживается так называемый сервер «операций с одним главным устройством», который может имитировать основной домен DC для некоторых операций. Каждый контроллер домена поддерживает копию данных для чтения и записи. Изменения, внесенные на одном контроллере, синхронизируются со всеми контроллерами домена во время репликации. Серверы, на которых не установлена сама Active Directory, но являются частью домена Active Directory, называются рядовыми серверами.

Репликация каталога происходит по запросу. Служба проверки согласованности знаний (KCC) создает топологию репликации, которая использует сайты, определенные в системе, для проверки трафика. Репликация на месте выполняется часто и автоматически с использованием проверки согласованности (путем уведомления партнеров по репликации об изменениях). Репликацию между сайтами можно настроить для каждого канала сайта (в зависимости от качества канала) — каждому каналу может быть назначен разный «рейтинг» (или «стоимость») (например, DS3, T1, ISDN), и трафик репликации будет быть ограниченным, вещание планировалось и маршрутизировалось в соответствии с оценкой назначенного канала. Данные репликации могут проходить через несколько сайтов через мосты связей сайтов, если «оценка» низкая, хотя AD автоматически присваивает более низкую оценку для ссылок между сайтами, чем для обратных ссылок. Репликация между сайтами выполняется серверами-плацдармами на каждом сайте, которые затем реплицируют изменения на каждый контроллер домена на своем сайте. Репликация внутри домена — это RPC, репликация между доменами также может использовать SMTP.

Если структура Active Directory содержит несколько доменов, для решения проблемы поиска объектов используется глобальный каталог: контроллер домена, содержащий все объекты в лесу, но с ограниченным набором атрибутов (неполная репликация). Каталог хранится на указанных серверах глобального каталога и обслуживает междоменные запросы.

Функция одного хоста позволяет обрабатывать запросы, когда репликация на несколько хостов недопустима. Существует пять типов таких операций: эмуляция PDC, относительный главный ID (относительный главный ID или хозяин RID), хозяин инфраструктуры (хозяин инфраструктуры), хозяин схемы (хозяин схемы) и хозяин именования доменов (мастер именования доменов). Первые три роли уникальны в пределах домена, последние две уникальны для всего леса.

Базу Active Directory можно разделить на три логических хранилища или «раздела». Схема — это модель службы, которая определяет все типы объектов, их классы и атрибуты, синтаксис атрибутов (все деревья находятся в одном лесу, потому что у них одна и та же схема). Одна конфигурация — это структура леса и деревьев Active Directory. В домене хранится вся информация об объектах, созданных в этом домене. Первые два хранилища реплицируются на все контроллеры домена в лесу, третий раздел полностью реплицируется между репликами контроллеров в каждом домене и частично на серверы глобального каталога.

База данных (хранилище каталогов) в Windows 2000 использует расширяемую подсистему хранения Microsoft Jet Blue, которая позволяет каждому контроллеру домена иметь базу данных размером до 16 терабайт и 1 миллиард объектов (теоретический предел, практические тесты проводились только с примерно 100 миллионами объектов.). Файл базы данных называется NTDS.DIT и имеет две основные таблицы: таблицу данных и таблицу ссылок. В Windows Server 2003 была добавлена еще одна таблица, чтобы гарантировать уникальность экземпляров дескриптора безопасности.

Get-ADComputer: получение свойств компьютера

Чтобы отобразить информацию о свойствах компьютера в конкретном подразделении (имя компьютера и дата последнего входа в систему), используйте командлет Get-ADComputer:

Get-ADComputer -SearchBase ‘OU=CA,OU=USA,DC=ds,DC=hackware,DC=ru’ -Filter * -Properties * | FT Name, LastLogonDate -Autosize

Смотрите также «Get-ADComputer: поиск сведений о компьютерах и фильтр компьютеров по их свойствам в Active Directory».

Использование тегов для Организации подключений

Теги можно использовать для поиска и фильтрации связанных серверов в списке подключений. Это позволяет просматривать подмножество серверов в списке подключений. Это особенно удобно при наличии большого числа подключений.

Изменить Теги

• Выберите сервер или несколько серверов в списке все подключения
• В разделе все подключения щелкните изменить теги .

Панель изменение тегов подключения позволяет изменять, добавлять или удалять теги выбранных соединений.

• Чтобы добавить новый тег к выбранным соединениям, выберите Добавить тег и введите имя тега, который вы хотите использовать.
• Чтобы пометить выбранные соединения с существующим именем тега, установите флажок рядом с именем тега, который вы хотите применить.
• Чтобы удалить тег из всех выбранных подключений, снимите флажок рядом с тегом, который вы хотите удалить.
• Если к подмножеству выбранных соединений применяется тег, флажок отображается в промежуточном состоянии. Можно щелкнуть поле, чтобы проверить его и применить тег ко всем выбранным подключениям, или щелкнуть еще раз, чтобы снять его, и удалить тег из всех выбранных подключений.

Фильтрация подключений по тегу

После добавления тегов в одно или несколько подключений к серверу можно просмотреть теги в списке подключений и отфильтровать список подключений по тегам.

• Чтобы выполнить фильтрацию по тегу, щелкните значок фильтра рядом с полем поиска.

  Можно выбрать «или», «и» или «не», чтобы изменить поведение фильтра для выбранных тегов.

Add-AdGroupMember: добавить пользователя AD в группы

Чтобы добавить пользователей в существующую группу безопасности в вашем домене AD, выполните эту команду:

Add-AdGroupMember -Identity LondonSales -Members e.braun, l.wolf

Отобразить список пользователей в группе AD и экспортировать его в файл CSV:

Get-ADGroupMember LondonSales -recursive | ft samaccountname | Out-File c:\ps\export_ad_users.csv

В предыдущей команде «ft» это командлет Format-Table.

Смотрите также: Управление группами Active Directory с помощью PowerShell

Что такое ознакомительная версия Windows Admin Center. Какая версия мне подойдет?

Существует две версии Windows Admin Center, доступные для скачивания:

Windows Admin Center

Эта версия подойдет для ИТ-администраторов, которые не могут часто выполнять обновления или которым нужно больше времени для проверки выпусков, которые они используют в производстве. Наша текущая общедоступная версия — Windows Admin Center 1910. Поддержка для выпусков Windows Admin Center (не ознакомительной версии) предоставляется непрерывно в соответствии с современной политикой жизненного цикла корпорации Майкрософт. Это означает, что обслуживается и поддерживается только последняя версия Windows Admin Center. Пользователям необходимо установить последний выпуск Windows Admin Center в течение 30 дней после его доступности, чтобы они могли получать все преимущества поддержки. Эта политика применяется как к самой платформе Windows Admin Center, так и ко всем выпущенным (не в предварительной версии) расширениям корпорации Майкрософт, которые были опубликованы в веб-канале расширений Windows Admin Center

Обратите внимание, что между выпусками Windows Admin Center некоторые расширения могут обновляться чаще, чем другие.Подробные сведения о выпусках предварительных версий Windows Admin Center см. в статье Windows Insider Preview releases (Выпуски Windows Insider Preview). Последний выпуск можно скачать здесь.

Ознакомительная версия Windows Admin Center

Эта версия подойдет для ИТ-администраторов, которые хотят на регулярной основе использовать самые последние и интересные возможности. Мы намерены предоставлять последующие обновленные выпуски примерно каждый месяц. Базовая платформа продолжает оставаться готовой для применения в рабочей среде, а лицензия предоставляет права на использование в коммерческих целях

Тем не менее, обратите внимание, что новые средства и возможности будут о, и ими можно будет пользоваться для оценки их работы. Для получения последнего ознакомительного выпуска зарегистрированные участники программы предварительной оценки могут скачать ознакомительную версию Windows Admin Center непосредственно на странице загрузки предварительных сборок Windows Server для участников программы предварительной оценки Windows в раскрывающемся списке «Дополнительные файлы для загрузки». Если вы еще не зарегистрированы как участник программы предварительной оценки, обратитесь к разделу по началу работы с Windows Server на портале Программы предварительной оценки Windows для бизнеса.

New-ADOrganizationalUnit: создание организационной единицы в AD

Чтобы быстро создать типичную структуру организационной единицы в AD, вы можете использовать сценарий PowerShell. Предположим, вы хотите создать несколько подразделений с именами состояний и создать в них типичные контейнеры объектов. Создание этой структуры AD вручную с помощью графической оснастки ADUC занимает довольно много времени. Модуль AD для PowerShell позволяет сделать это за секунды (кроме времени на написание скрипта):

$fqdn = Get-ADDomain $fulldomain = $fqdn.DNSRoot $domain = $fulldomain.split(«.») $Dom = $domain[0] $Ext = $domain[1] $Sites = («Nevada»,»Texas»,»California»,»Florida») $Services = («Users»,»Admins»,»Computers»,»Servers»,»Contacts»,»Service Accounts») $FirstOU =»USA» New-ADOrganizationalUnit -Name $FirstOU -Description $FirstOU -Path «DC=$Dom,DC=$EXT» -ProtectedFromAccidentalDeletion $false ForEach-Object ($S in $Sites) { New-ADOrganizationalUnit -Name $S -Description «$S» -Path «OU=$FirstOU,DC=$Dom,DC=$EXT» -ProtectedFromAccidentalDeletion $false ForEach-Object ($Serv in $Services) { New-ADOrganizationalUnit -Name $Serv -Description «$S $Serv» -Path «OU=$S,OU=$FirstOU,DC=$Dom,DC=$EXT» -ProtectedFromAccidentalDeletion $false } }

После запуска сценария в Active Directory появляется следующая структура подразделений.

Функции и предназначения

Microsoft Active Directory – (так называемый каталог) пакет средств, позволяющий проводить манипуляции с пользователями и данными сети. Основная цель создания – облегчение работы системных администраторов в обширных сетях.

Каталоги содержат в себе разную информацию, относящуюся к юзерам, группам, устройствам сети, файловым ресурсам — одним словом, объектам. Например, атрибуты пользователя, которые хранятся в каталоге должны быть следующими: адрес, логин, пароль, номер мобильного телефона и т.д. Каталог используется в качестве точки аутентификации, с помощью которой можно узнать нужную информацию о пользователе.

Get-ADDomainController: Получение информации о контроллерах домена

Чтобы получить информацию обо всех контроллерах домена в домене, используйте командлет Get-AdDomainController:

Get-ADDomainController -filter * | select hostname,IPv4Address,IsGlobalCatalog,IsReadOnly,OperatingSystem | format-table -auto

Итак, мы рассмотрели основные возможности модуля Active Directory PowerShell для администрирования домена AD. Я надеюсь, что это побудит вас продолжить изучение других функций модуля и автоматизировать большую часть задач управления AD.

Основные понятия, встречающиеся в ходе работы

Существует ряд специализированных понятий, которые применяются при работе с AD:

1. Сервер – компьютер, содержащий все данные.
2. Контроллер – сервер с ролью AD, который обрабатывает запросы от людей, использующих домен.
3. Домен AD — совокупность устройств, объединенных под одним уникальным именем, одновременно использующих общую базу данных каталога.
4. Хранилище данных — часть каталога, отвечающая за хранение и извлечение данных из любого контроллера домена.

Подключение консоли ADUC к домену из рабочей группы

Как подключиться к контроллеру с ПК:

• вызвать командную строку;

• запустите команду для запуска оснастки от имени другого пользователя;
• введите: “runas / netonly / user: winitpro \ aaivanov mmc»;

• появится окно «MMC»;
• открыть в окне «Файл»;
• выберите «Добавить / удалить оснастку»;
• откроется окно «Добавить или удалить оснастку»;
• в левом списке «Ловушка» этого окна найдите «Пользователи и компьютеры Active Directory»;
• переместите найденный инструмент в правый список «Корень консоли»;

• после переноса нажмите «Active Directory – пользователи и компьютеры»;
• появится выпадающее меню;
• выберите «Сменить домен»;

• укажите ваше доменное имя;
• подключите ADUC к контроллеру домена.