35. PowerShell -- 活动目录介绍(1)

AD PowerShell cmdlet 提供商: Microsoft and   QUEST Software

·         PowerShell – 活动目录

1.     PowerShell 可以实现对ADSI(Active Directory Service Interface)服务接口的支持;

2.     ADSI类似于Windows 管理规范(WMI),发出一个使用特殊语法编写的查询,然后传递给远程计算机(域控制器),然后执行它。查询结果为一个AD对象或对象的集合(如一个用户或用户组),并且你可以获得该对象的引用;修改保存,创建,删除对象;

3.     使用Windows PowerShell 管理活动目录的必要条件;

a)    至少有一个基于web服务活动目录的域控制器;(AD WS),运行于Windows 2008 R2

b)    或管理网关服务活动目录的域控制器;(AD MGS),运行在Windows 2003 和2008

c)    如果是AD web服务,由于他不支持老的客户端(windows XP, Vista 等等), 你必要有windows 7, 或windows server 2008 r2 客户端

  1. 活动目录PowerShell cmdlet查询流程;
  2. a)    [Client] cmdlet -> AD WS -> Query DC -> AD WS -> cmdlet.
  3. b)    cmdlet或客户端使用它们自己的协议做域询问并发送询问到AD Web服务。
  4. c)    然后域控器(DC)制作反应通过AD Web服务发回到“客户”,并且这些信息都封装在网服务协议中。
  5. 活动目录模块下所有PowerShell cmdlet名单

Add-ADComputerServiceAccount
Add-ADDomainControllerPasswordReplicationPolicy
Add-ADFineGrainedPasswordPolicySubject
Add-ADGroupMember
Add-ADPrincipalGroupMembership
Clear-ADAccountExpiration
Disable-ADAccount
Disable-ADOptionalFeature
Enable-ADAccount
Enable-ADOptionalFeature
Get-ADAccountAuthorizationGroup
Get-ADAccountResultantPasswordReplicationPolicy
Get-ADComputer
Get-ADComputerServiceAccount
Get-ADDefaultDomainPasswordPolicy
Get-ADDomain
Get-ADDomainController
Get-ADDomainControllerPasswordReplicationPolicy
Get-ADDomainControllerPasswordReplicationPolicyUsage
Get-ADFineGrainedPasswordPolicy
Get-ADFineGrainedPasswordPolicySubject
Get-ADForest
Get-ADGroup
Get-ADGroupMember
Get-ADObject
Get-ADOptionalFeature
Get-ADOrganizationalUnit
Get-ADPrincipalGroupMembership
Get-ADRootDSE
Get-ADServiceAccount
Get-ADUser
Get-ADUserResultantPasswordPolicy
Install-ADServiceAccount

Move-ADDirectoryServer

Move-ADDirectoryServerOperationMasterRole
Move-ADObject
New-ADComputer
New-ADFineGrainedPasswordPolicy
New-ADGroup
New-ADObject
New-ADOrganizationalUnit
New-ADServiceAccount
New-ADUser
Remove-ADComputer
Remove-ADComputerServiceAccount
Remove-ADDomainControllerPasswordReplicationPolicy
Remove-ADFineGrainedPasswordPolicy
Remove-ADFineGrainedPasswordPolicySubject
Remove-ADGroup
Remove-ADGroupMember
Remove-ADObject
Remove-ADOrganizationalUnit
Remove-ADPrincipalGroupMembership
Remove-ADServiceAccount
Remove-ADUser
Rename-ADObject
Reset-ADServiceAccountPassword
Restore-ADObject
Search-ADAccount
Set-ADAccountControl
Set-ADAccountExpiration
Set-ADAccountPassword
Set-ADComputer
Set-ADDefaultDomainPasswordPolicy
Set-ADDomain
Set-ADDomainMode
Set-ADFineGrainedPasswordPolicy
Set-ADForest
Set-ADForestMode
Set-ADGroup
Set-ADObject
Set-ADOrganizationalUnit
Set-ADServiceAccount
Set-ADUser
Uninstall-ADServiceAccount
Unlock-ADAccount

6.     Quest软件和BSonPosh的开源模块提供的管理活动目录命令:

目标管理(Quest

Get-QADUser ——得到特定用户目标或搜寻与查询匹配的用户目标,例如:

#为BSonPosh域名解析不明确的用户获取用户名

Get-QADUser bsonposh

#获取有BSonPosh的经理级用户

Get-QADUser –Manager bsonposh

#获取运用LDAP过滤器的姓“Shell”的用户

Get-QADUser -LDAPFilter "(sn=shell)"

更多列举:

Get-help Get-QADUser –example

Get-QADComputer——获取特定电脑目标或搜寻匹配查询的电脑目标,例如:

#获取指定组织单元的所有电脑

Get-QADComputer -SearchRoot "OU=XenDesktop,DC=Dev,DC=Lab"

#获取有指定身份的所有电脑(如,成员、域控制器、未定义)

Get-QADComputer –ComputerRole DC

#发现所有Windows 7机器

Get-QADComputer –OSName "Windows 7*"

更多举例:

Get-help Get-QADComputer –example

Get-QADGroup——获取特定群组目标或搜寻匹配查询的群组目标,例如:

#列出所有通用群组

Get-QADGroup -GroupScope ‘Universal‘

#获取群组成员

Get-QADGroup "domain Admins" | select –ExpandProperty member

#获取群组成员的更简单方式

Get-ADGroupMember "Domain Admins"

#查找空群组

Get-QADGroup –empty $true

更多举例:

Get-help Get-QADGroup –example

基础架构管理(BSonPosh

Get-Forest——返回当前目录林,例如:

#获取当前目录林

Get-Forest

#为特定域控制器获取目录林

Get-Forest –DomainController CoreDC

更多举例:

Get-help Get-Forest –example

Get-Domain —— 返回域目标,例如

# 获得当前域

Get-Domain

#获得特定域控制器的域

Get-Domain -DomainController CoreDC

更多举例:

Get-help Get-Domain –example Get-Forest

Get-DomainController——返回与传送参数相匹配的域控制器目标,例如:

#获取当前用户会话的域控制器

Get-DomainController

#用特定名称(RegEx)获取域控制器

Get-DomainController -Filter "mydc(nyc|dr)\d">

#在指定域中返回所有域控制器

Get-DomainController –Domain Dev.Lab

更多举例:

Get-help Get-DomainController-example

Get-FSMO——返回目录林/域的操作主机,例如:

#返回目录林和域的所有灵活单主机操作

Get-FSMO

#只返回域灵活单主机操作

Get-FSMO –Domain

#只返回目录林灵活单主机操作

Get-FSMO –Forest

更多举例:

Get-help Get-FSMO –example>

下面是Quest活动目录模块提供的所有命令:

Add-QADGroupMember
Add-QADMemberOf
Add-QADPasswordSettingsObjectAppliesTo
Add-QADPermission
Approve-QARSApprovalTask
Connect-QADService
Convert-QADAttributeValue
Deprovision-QADUser
Disable-QADUser
Disconnect-QADService
Enable-QADUser
Get-QADComputer
Get-QADGroup
Get-QADGroupMember
Get-QADMemberOf
Get-QADObject
Get-QADObjectSecurity
Get-QADPasswordSettingsObject
Get-QADPasswordSettingsObjectAppliesTo
Get-QADPermission
Get-QADPSSnapinSettings
Get-QADRootDSE
Get-QADUser
Get-QARSAccessTemplate
Get-QARSAccessTemplateLink
Get-QARSApprovalTask
Get-QARSOperation
Move-QADObject
New-QADGroup
New-QADObject
New-QADPasswordSettingsObject
New-QADUser
New-QARSAccessTemplateLink
Reject-QARSApprovalTask
Remove-QADGroupMember
Remove-QADMemberOf
Remove-QADObject
Remove-QADPasswordSettingsObjectAppliesTo
Remove-QADPermission
Remove-QARSAccessTemplateLink
Rename-QADObject
Restore-QADDeletedObject
Set-QADGroup
Set-QADObject
Set-QADObjectSecurity
Set-QADPSSnapinSettings
Set-QADUser
Set-QARSAccessTemplateLink
Unlock-QADUser

最后,下面列出BSonPosh模块中可发现的所以活动目录命令:

ConvertTo-DistinguishedName
ConvertTo-DNSName
ConvertTo-Name
ConvertTo-NetbiosName
ConvertTo-Sid
ConvertTo-UACFLag
Get-ADACL
Get-DCConnectionObject
Get-Domain
Get-DomainController
Get-Forest
Get-FSMO
Get-Schema
Get-SchemaClass
Get-SchemaOID
Get-SchemaProperty
Get-SiteLink
Get-Site
New-ADACE
Set-ADACL

通过Quest命令的在线帮助和BSonPosh的源代码,你会发现有更多为活动目录目标和基础架构管理运用在这些PowerShell命令之上。

参考:

https://technet.microsoft.com/zh-cn/magazine/2008.05.powershell.aspx

http://www.exchangecn.com/html/associate/20110217_320.html

时间: 2024-10-31 17:27:25

35. PowerShell -- 活动目录介绍(1)的相关文章

36. PowerShel -- 活动目录介绍(2)

PowerShel -- 活动目录管理(1) 本系列所有脚本均在Windows Server 2008 R2 DataCenter (PowerShell 2.0) + PowerGUI Script Editor Free Edition x64中测试通过. 活动目录(Active Directory)是Windows操作系统下的一种企业资源解决方案.其体系结构如下: 在Windows Server 2008 R2上安装了活动目录角色后,会有如下一些管理工具: Active Directory

win2012活动目录介绍

一:活动目录概述: 1.相关概念: 域:用来描述一种系统架构,和"工作组"相对应,由工作组升级而来的高级架构,在域架构中,可以实现统一化管理(一般通过策略实现,执行下发策略的权限是写这条策略的用户即服务器上写策略的用户,而非登陆当前客户端的用户.). 活动目录:是微软提供的目录服务(查询.身份验证),活动目录的核心包含了活动目录数据库,在活动目录数据库中包含了域中所有的对象(用户.计算机.组...) 注意:目录服务不是我微软专有的,比如linux的ldap服务也是目录服务. 域控制器:

AD 活动目录方案

活动目录方案 Windows  Server 2008 的安装要求 组件 要求 处理器 最低:1Ghz 推荐: 2Ghz 最佳: 2Ghz 内存 最低:512MB RAM 推荐: 1GB RAM 最佳: 2GB RAM (Full) or 1GB RAM  (Server Core)或更多 最大(32-bit):4GB (标准版) or 64GB (企业和Datacenter版) 最大(64-bit):32GB (标准版) or 2TB (企业.Datacenter和Itanium版本 可用磁盘

sharepoint 2013 修改某些显示名,email和活动目录不一致的账户 powershell

#该脚本修改某些显示名,email和活动目录不一致的账户Add-PSSnapin Microsoft.SharePoint.PowerShell $ConfirmPreference = 'None'  #关闭确认提示 $filePath="c:\file\" $allUsers=get-content C:\file\user.txt  -Encoding UTF8                   #从文件中读取需要迁移的账户,每一行包含账户和新的显示名称,新的email地址,字

活动目录数据库文件介绍

活动目录中的数据库文件的介绍 活动目录数据库包含大量的核心基础数据,应该妥善保护,及时备份.活动目录数据库是"dit"格式的数据库,和Exchange Server使用的数据库格式相同.在维护活动目录数据库前,只要停止ADDS域服务即可维护数据库. Active Directory数据库是一个事务处理数据库系统,通过日志文件支持回滚操作,从而确保事务提到数据库中.与Active Directory关联的文件包括: Ntds.dit,Active Directory数据库文件 Edbxx

Skype For Business 2015实战系列2:安装活动目录

Skype For Business 2015实战系列2:安装活动目录 今天开始我们就正式进入了Skype For Business 2015的部署阶段,在部署开始之前,我们先来看一下我们本次的环境列表: 计算机名 IP地址 角色 备注 DC 192.168.1.20 AD DS   Mail 192.168.1.22 Exchange 2013   Front01 192.168.1.25 SFB前端   Front01 192.168.1.26 SFB前端   SQL01 192.168.1

Win2008R2活动目录回收站功能

活动目录回收功能的出现极大的方便了活动目录的管理人员.在2008R2以前每次误操作删除活动目录的账号都要进入目录还原模式进行还原.及其繁琐.现在我为大家介绍Windows2008R2新的功能活动目录回收站. 方法一 使用Active Directory Module for Windows PowerShell进行还原 1.要使用活动目录回收站,域和林的功能功级别要为Windows Server 2008R2或以上 2.启用回收站功能使用Active Directory Module for W

Windows Server 2012之活动目录域服务的卸载

2012-07-11 06:27:35 标签:Windows Server 2012 活动目录域服务 卸载 原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 .作者信息和本声明.否则将追究法律责任.http://ycrsjxy.blog.51cto.com/618627/926716 由于Windows Server 2012不再支持Dcpromo,对于活动目录域服务的卸载,我们可以在图形状态下进行,或者通过PowerShell脚本进行. 一.图形状态. 1.选择“管理”菜单下的“

WindowsServer2003活动目录升级到2012

Windows server 2003 R2的AD 升级至Windows Server 2012的操作过程 操作步骤: 1.首先准备Windows server 2003 R2,Windows server 2008 R2 ,Windows server 2012各一台.其中Windows server 2003 R2为域控制器,域名为NW.COM.三台的服务器的初始网络配置如下表所示: 服务器 IP 子网掩码 DNS Windows server 2003 R2 192.168.8.3 255