PowerShell

Самые полезные командлеты PowerShell для управления и защиты Active Directory

В этой статье, я покажу как можно управлять и обеспечивать защиту Active Directory, используя PowerShell.  Я рассмотрю самые полезные командлеты PowerShell и приведу примеры их использования.

Создание новых пользователей Active Directory

Командлет New-ADUser предназначен для создания новых пользователей AD. По желанию Вы можете указать где создать нового пользователя с параметром -Path. В примере ниже, новый пользователь будет создан в  Accounts Organizational Unit (OU). The -Server параметр так же является необязательным. Он используется для определения, на каком контроллере домена (DC) будет создан новый пользователь. Имейте ввиду, что вы не можете указывать незашифрованный пароль в -AccountPassword parameter. Вы должны преобразовать его в безопасную строку с помощью командлета ConvertTo-SecureString.

Создание группы Active Directory

Добавление групп в AD просто с помощью командлета New-ADGroup. -Server и  -Path параментры являются необязательными.

Добавление пользователей в группы

Когда у Вас будут пользователи и группы на Вашем домене, Вы можете добавлять пользователей в группы командлетом Add-ADGroupMember.

Создание новой организационной единицы (OU — Organizational Unit)

Используйте командлет New-ADOrganizationalUni для того, чтобы создать новую организационную единицу в AD.   Обратите внимание, что флаг -ProtectedFromAccidentalDeletion является необязательным. Если установлено значение $ true, вы не можете удалить OU, не изменив сначала состояние флага на $ false.

Удаление объектов Active Directory

Глагол ‘remove’ (удалить) используется в командлете AD для удаления объектов. Remove-ADUser и Remove-ADGroup используются для удаления пользователей и групп соответственно.

Прежде чем вы сможете удалить OU, необходимо установить флаг случайного удаления в false с помощью Set-ADObject.

Импорт пользователей из файла CSV

PowerShell позволяет легко автоматизировать задачи. В приведенном ниже сценарии я использую текстовый файл с разделителями-запятыми (CSV) для создания двух пользователей с помощью командлетов Import-Csv и New-ADUser. Единственная хитрость заключается в разделении первого поля каждой записи в текстовом файле, чтобы можно было разделить имена и фамилии для параметров -GiveName и -Surname командлета New-ADUser.

Первая строка в текстовом файле содержит в себе имена полей. Вы можете добавить пользователей так много, как Вам нужно.

Перемещение объектов AD

Командет Move-ADObject предназначен для перемещения объектов AD. В примере ниже, я перемещаю учетную запись пользователя из Accounts OU в Users container.

Связать объект групповой политики

Хотя PowerShell нельзя использовать для создания объектов групповой политики (GPO), его можно использовать для выполнения других задач, связанных с групповой политикой. Командлет New-GPLink используется для связи существующих GPOs и OUs. В примере ниже, Я связываю GPO под названием Параметры брандмауэра с аккаунтами OU.

Отчеты Active Directory

Командлет Get-ADObject можно использовать для фильтрации directory и отображения информации об объектах. В приведенном ниже примере, я использую фильтр, чтобы найти аккаунты  OU, и затем передать результаты в командлет Get-GPInheritence. Затем Select-Object используется для извлечения информации о объектах групповой политики, связанных с OU.

Одна из самых полезных командлетов для администраторов AD это Search-ADAccount командлет.
В примере ниже, я выполняю поиск заблокированных учетных записей пользователей в домене и автоматически разблокирую их с помощью Unlock-ADAccount.

Get-ADObject может использоваться со сложными фильтрами. Здесь я перечисляю все объекты, созданные после указанной даты ($ Date).

Фильтры могут быть довольно сложными. В следующей команде я перечислю все удаленные объекты, у которых атрибут изменения более поздний, чем указанная дата, и который можно восстановить, за исключением Deleted Objects container.

И последнее, я использую Get-EventLog для поиска в журналах событий на каждом контроллере домена (DC – Domain Controller) идентификатора события входа 4624. Обратите внимание на использование Get-ADDomainController для возврата всех DCs в домене. Получив необходимую информацию, я использую Write-Host для записи вывода в окно терминала с информацией, разделенной вкладками для лучшей читабельности.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.