Лабораторная работа 8 Использование Windows PowerShell для управления объектами ad ds.

Цель

Освоить возможности и получить практические навыки работы в интегрированной среде сценариев Windows PowerShell ISE. Изучить возможности и основные параметры (опции) командлетов для манипулирования объектами Active Directory. Научиться выполнять восстановление удаленных объектов с помощью оснастки Центр администрирования Active Directory и командлетов PowerShell.

Выполнение

1. На рабочей станции ws-win81 запустите интегрированную среду сценариев Windows PowerShell ISE.

2. В правой части окна можно изучить доступные команды определенного модуля и в интерактивном режиме сформировать готовую команду с параметрами, что очень удобно.

3. Самостоятельно сформируйте команду для получения информации о «лесе» (см. рисунок) и домене (см. команду Get-ADDomain).

4. Для управления объектами Active Directory выполним удаленное подключение к контроллеру домена. Выберите пункт меню Файл->Создать вкладку удаленного использования PowerShell… и после указания учетной записи и корректного ввода пароля будет создана новая вкладка для выполнения командлетов непосредственно на контроллере домена. К сожалению, в режиме удаленной сессии область команд не доступна, поэтому «собирать» команды в интерактивном режиме не получиться.

5. Получите справку по команде New-ADUser с помощью команды

Get-Help New-AdUser | more

6. Создайте новую учетную запись пользователя Николаева Максима в подразделении IT с помощью следующей команды (назначение остальных параметров команды можно посмотреть с справке)

New-ADUser -Name "Николаев Максим" -GivenName Максим -OtherName "С." -Surname "Николаев" -Department ИТ -Description "специалист в AD DS" -DisplayName "Николаев Максим" -SamAccountName "Николаев Максим" -Path "OU=IT,DC=my,DC=local"

7. Проверьте корректность заполнения значений атрибутов, открыв карточку созданного пользователя либо в Центре администрирования Active Directory, либо консоли Пользователи и компьютеры Active Directory.

8. Создайте новую группу с именем adminAdDS в подразделении IT и поместите в нее созданного выше пользователя Николаева Максима. Изучите справку по командам New-ADGroup и Add-ADGroupMember, объедените две команды в виде скрипта и выполните его

New-ADGroup –name “adminAdDS” –Path “OU=IT, DC=my, DC=local” –GroupScope Global –GroupCategory Security

Add-ADGroupMember adminADDS –Member “Николаев Максим”

9. С помощью следующей команды получите значение всех атрибутов учетной записи пользователя Николаев Максим

Get-ADUser “Николаев Максим” -Properties *

10. Самостоятельно выполните команду, которая вернет сведения по пользователям подразделения Бухгалтерия, имена которых содержат user. Для выполнения изучите и используйте опции –SearchBase и –Filter.

11. Опцию фильтр можно использовать для отбора (поиска) объектов Active Directory и по другим атрибутам, например, получим пользователей, которые работаю в отделе Бухгалтерия

Get-ADUser -Filter {department -eq "Бухгалтерия"}

12. Самостоятельно выполните разбор параметров следующей команды и определите, какие действия она выполняет

Get-ADUser -filter "enabled -eq 'false'" -property WhenChanged -SearchBase "CN=Users, DC=my, DC=local" | where {$_.WhenChanged -le (Get-Date).AddDays(-2)}

13. Следующая команда позволяет найти «пустые» глобальные группы

Get-ADGroup -filter "members -notlike '*' -AND GroupScope -eq 'Global'" -SearchBase "CN=users, DC=my, DC=local" | Select Name,Group*

14. Самостоятельно измените предыдущую команду для поиска пустых Universal групп в подразделении IT.

15. Следующая команда добавляет пользователя User98 U. Test в группу adminAdDS

Add-ADGroupMember "adminADDS" -Members user98test

16. Самостоятельно добавьте в группу adminADDS пользователя с именем User99 U. Test

17. С помощью следующей команды убедитесь, что предыдущие команды выполнены успешно

Get-ADGroupMember "adminADDS"

18. Следующая команда позволяет задать новый пароль для пользователя User U. Test. Обратите внимание, что система попросит ввести новый пароль в специальном окне и символы пароля не будут отображаться при вводе, такое поведение достигается использованием опции –AsSecureString команды Read-Host

Set-ADAccountPassword usertest -NewPassword (Read-Host –AsSecureString “Введите пароль”)

19. Для включения и отключения учетных записей пользователя используются команды Enable-ADAccount и Disable-ADAccount соответственно. Обратите внимания на опцию –WhatIf в команде представленной ниже. Данная опция позволяет «протестировать» выполнение команды и посмотреть в частности целевой объект над которым быдет выполнено действие

Enable-ADAccount usertest -WhatIf

20. Самостоятельно сформируйте команду для отключения всех учетных записей пользователей в подразделении Бухгалтерия

21. Самостоятельно изучите справку по команде Get-ADComputer и получите полняе сведения по рабочей станции ws1.

22. C помощью следующей команды получим сведения об операционных системах, установленных на компьютерах домена

Get-ADComputer -Filter * -Properties OperatingSystem

23. Результат выполнения предыдущей команды несколько избыточен, поэтому изменим ее для более информативного представления информации

Get-ADComputer -Filter * -Properties OperatingSystem | Select OperatingSystem -unique | Sort OperatingSystem

24. Учетную запись компьютера можно отключить, так же как и учетную запись пользователя. Следующая команда отключает (понарошку ) учетную запись для компьютера ws1

Disable-ADAccount -Identity 'ws1$' -whatif

25. Можно использовать конвейер команд для достижения эффекта аналогичного предыдущей команде

Get-ADComputer "ws1" | Disable-ADAccount -whatif

26. Измените предыдущую команду для «реального» отключения учетной записи компьютера и убедитесь, что команда отработала корректно (получите список отключенных учетных записей компьютеров в домене, см. значение атрибута Enabled)

27. Самостоятельно создайте контейнер с именем ОтключенныеРабочиеСтанции и переместите в него все отключенные учетные записи компьютеров (используйте команду Search-ADAccount и Move-ADObject)

28. Рассмотрим команду для удаления учетной записи пользователя

Get-Help Remove-ADUser

29. Протестируем ее выполнение на пользователе User U. Test (используем опцию -WhatIf)

Remove-ADUser usertest -whatif

30. Удалять пользователя пока не будем, а предварительно включим Корзину Active Directory. Для включения корзины Active Directory необходимо чтобы режим работы леса был не ниже Windows Server 2008 R2. Самостоятельно выясните режим работы леса в нашем домене. Начиная с Windows Server 2012 Корзину можно включить с помощью графического интерфейса в Центре администрирования Active Directory (см. рисунок ниже). Если Корзина будет включена, то отключить ее будет невозможно! Этого делать не нужно!

31. Для включения Корзины Active Directory воспользуемся следующей командой (предварительно выполните ее с опцией -Whatif)

Enable-ADOptionalFeature -Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=my,DC=local’ –Scope ForestOrConfigurationSet –Target ‘my.local’

32. После включения Корзины в дереве объектов Active Directory в Центре администрирования появляется новый контейнер Deleted Object (см. рисунок ниже)

33. С помощью команды PowerShell выполните удаление учетной записи пользователя User U. Test и убедитесь, что в контейнере Deleted Objects появился новый объект. При этом можно посмотреть тип удаленного объекта, последний родительский контейнер и дата удаления. Из Корзины можно восстановить удаленные объекты за последние 180 дней.

34. Удаленные объекты можно посмотреть с помощью следующей команды

Get-ADObject -Filter {isDeleted -eq $True} -IncludeDeletedObjects

35. Для восстановления удаленного объекта необходимо воспользоваться командой Restore-ADObject. В качестве параметров можно указать целевой контейнер для восстановления (опция -TargetPath), если он должен отличаться от того из которого объект был удален.

Get-Help Restore-ADObject

36. Выполните восстановление пользовательской учетной записи User U. Test с помощью следующей команды

Get-ADObject -Filter {isDeleted -eq $True -and displayName -eq "User U. Test"} -IncludeDeletedObjects | Restore-ADObject -WhatIf

37. Самостоятельно удалите контейнер IT со всеми вложенными объектами. Выполните необходимые команды для восстановления контейнера и всех удаленных объектов из этого контейнера. Для поиска удаленного контейнера IT используйте команду Get-ADObject с опцией -ldapFilter и поиском по значению атрибута msDS-LastKnownRDN. Для восстановления всех удаленных из контейнера IT объектов (там были пользователи и группы) используйте команду Get-ADObject с опциями –SearchBase и –Filter с поиском по значению атрибута lastKnownParent.