Лабораторная работа 7 Использование утилит командной строки для управления объектами ad ds.

Цель

Изучить основные команды и утилиты командной строки для управления объектами AD DS различных типов (пользователи, группы, подразделения, компьютеры). Освоить утилиты импорта\экспорта каталога Active Directory. C помощью соответствующих утилит научиться получать сведения о значениях определенных атрибутов объектов Active Directory.

Выполнение

1. Для использования утилит командной строки, позволяющих манипулировать объектами AD DS, подключимся к контроллеру домена с помощью Удаленного рабочего стола.

2. Утилита csvde предназначена для выполнения операций импорта/экспорта объектов Active Directory. Для получения справки по возможным параметрам можно просто выполнить следующую команду

csvde

или

csvde /?

3. Для удобства дальнейшей работы создайте на диске C: каталог tmp и сделайте его текущим.

4. Выполните экспорт всей информации из базы данных AD DS в файл с именем outputADDS.csv с помощью команды

csvde -f outputADDS.csv

5. Откройте файл outputADDS.csv с помощью notepad и попробуйте найти в нем сведения о созданных Вами объектах (пользователи, контейнеры, учетные записи компьютеров).

6. Выгрузите сведения обо всех пользователях в файл outputUser.csv с помощью следующей команды (опция –r позволяет наложить фильтр поиска LDAP)

csvde -f outputUser.csv -r "objectClass=user"

7. Выгрузите сведения об объектах подразделения Бухгалтерия в файл outputBuh.csv с помощью следующей команды (опция –d определяет корень поиска LDAP)

csvde -f outputBuh.csv -d "ou=Бухгалтерия,dc=my,dc=local"

8. Просмотрите результат выгрузки в файле outputBuh.csv, обратите внимание, что в файле кроме объектов контейнера Бухгалтерия находится и описание самого контейнера.

9. Самостоятельно выполните команду, что бы в результирующем файле получить сведения только о пользователях в контейнере Бухгалтерия.

10. Самостоятельно выполните команду, что бы в результирующем файле получить сведения только о пользователе отдела Testers Dep (вспоминаем про опцию –r и ищем, как называется атрибут содержащий название отдела). Если команда составлена верно, то в результирующем файле будет информация об одном пользователе – User U. Test.

11. Для получения значений только определенных («основных») атрибутов используется опция –l

csvde -f outputBuh.csv -d "ou=Бухгалтерия,dc=my,dc=local" –l "DN,objectClass,sn,physicalDeliveryOfficeName,givenName,initials,displayName,department,name,sAMAccountName,userPrincipalName"

12. Преобразуете команду из предыдущего пункта, что бы получить «основную» информацию только о пользователе User U. Test.

13. В текущем каталоге создайте файл с именем inputUser.csv и следующим содержанием

DN,objectClass,sn,physicalDeliveryOfficeName,givenName,initials,displayName,department,name,sAMAccountName,userPrincipalName

"CN=User99 U. Test,OU=Бухгалтерия,DC=my,DC=local",user,Test,302,User99,U,User99 U. Test,testers,User99 U. Test,user99test,user99test@my.local

"CN=User98 U. Test,OU=Бухгалтерия,DC=my,DC=local",user,Test,302,User98,U,User98 U. Test,testers,User98 U. Test,user98test,user98test@my.local

14. Выполните команду, которая импортирует учетные записи двух пользователей в Active Directory

csvde -i -f inputUser.csv

15. В Центре администрирования AD или оснастке Пользователи и компьютере AD найдите созданные объекты и проверьте корректность заполнения значений атрибутов.

16. Утилита ldifde предназначена для выполнения операций импорта/экспорта объектов Active Directory. Для получения справки по возможным параметрам можно просто выполнить следующую команду

ldifde

или

ldifde /?

17. Выполните экспорт всей информации из базы данных AD DS в файл с именем outputADDS.ldf с помощью команды

ldifde -f outputADDS.ldf

18. Изучите результат работы команды, выполненной на предыдущем этапе, проанализируйте формат файла и набор полей (атрибутов).

19. Выгрузите сведения обо всех подразделениях с помощью следующей команды (опция –d определяет корень поиска LDAP; опция –p обеспечивает рекурсивную выгрузку информации из всех поддиректорий по иерархии дерева; опция –r позволяет наложить фильтр поиска LDAP)

ldifde -f exportOu.ldf -d "dc=my,dc=local" -p subtree -r "(objectCategory=organizationalUnit)"

20. Самостоятельно выгрузите в файл exportUser.ldf всех пользователей подразделения Бухгалтерия с помощью опции –l укажите следующий перечень полей (атрибутов) cn,givenName,objectclass,samAccountName.

21. В текущем каталоге создайте файл с именем inputOU.ldf и следующим содержанием

dn: OU=IT,DC=my,DC=local

changetype: add

ou: IT

objectClass: organizationalUnit

22. Выполните команду, которая добавит новое подразделение в Active Directory

ldifde -i -f inputOU.ldf

23. В Центре администрирования AD или оснастке Пользователи и компьютере AD найдите созданное подразделение и проверьте корректность заполнения значений атрибутов.

24. Команда dsadd позволяет добавлять объекты в Active Directory. Выполните команду без параметров и изучите допустимые опции

dsadd

или

dsadd /?

25. Изучите справку по команде dsadd group

dsadd group /?

26. Создайте новую глобальную группу безопасности Девелоперы, с помощью команды

dsadd group "CN=Девел,OU=IT,DC=my,DC=local" -secgrp yes -scope g -samid "Девел" -desc "Разработчики ПО"

27. В Центре администрирования AD или оснастке Пользователи и компьютере AD найдите созданную группу и проверьте корректность заполнения значений атрибутов.

28. Измените значение атрибута samAccountName и Description для группы Девелоперы с помощью следующей команды

dsmod group “CN=Девел,OU=IT,DC=my,DC=local” -samid Девелоперы -desc “Разработчики программного обеспечения”

29. Подробнее изучите справку по команде dsmod и самостоятельно добавьте в группу Девелоперы пользователя Пользователь1.

30. Команда dsquery запрашивает объекты в Active Directory, отвечающие определенным критериям и выводит результат в указанной формы. Изучите справку по возможным параметрам команды.

31. Следующая команда выполнит поиск всех пользователей в подразделении Бухгалтерия, имя которых начинается на user и выведет UPN имена

dsquery user ou=Бухгалтерия,dc=my,dc=local -o upn -name user*

32. Команда dsget позволяет просмотреть свойства указанного объекта Active Directory. Следующая команда показывает в каких группах состоит пользователь Пользователь1

dsget user "CN=Пользователь1,CN=Users,DC=my,DC=local" -memberof

33. Команду dsget эффективно можно использовать совместно с командой dsquery. Следующая команда отбирает всех пользователе имя которых начинаются на user и выводит значение атрибутов samAccountName, Department и dispalayName

dsquery user dc=my,dc=local -name user* | dsget user -samid –dept -display

34. При выполнении следующей команды получаем ошибку, т.к. команда dsquery не вернула ни одного пользователя удовлетворяющего условиям поиска

dsquery user ou=IT,dc=my,dc=local -name Мария* | dsget user -samid –dept -display

35. Команда dsmove позволяет перемещать или переименовывать объекты в каталоге Active Directory. Изучите справку по этой команде.

36. С помощью следующей команды переместим пользователя User U. Test из подразделения Бухгалтерия в подразделение IT

dsmove "CN=User U. Test,OU=Бухгалтерия,DC=my,DC=local" -newparent OU=IT,DC=my,DC=local

37. Проверяем результат работы спредыдущей команды

dsquery user ou=IT,dc=my,dc=local -name user*

38. Самостоятельно выполните команду для перемещения всех пользователей, имена которых начинаются на user, из подразделения Бухгалтерия в подразделение IT.

39. Самостоятельно изучите варианты команд dsadd, dsmod, dsmove для объектов Active Directory типа Компьютер. Создайте новую учетную запись для компьютера ws10 и переместите ее в контейнер СпецРабочиеСтанции.