Существуют различные инструменты и методы, которые мы можем применять для управления объектами AD. Когда вы устанавливаете на сервер AD DS, это также делает возможным и доступ к этим инструментам управления. Также имеются и сторонние производители, которые также производят инструменты управления AD. Однако в этой главе я буду применять только встроенные инструменты Windows Server.

ADUC MMC является наиболее часто применяемым инструментом для управления средами AD. Этот инструмент также был встроен в саму систему начиная с самых ранних версий AD и продолжает присутствовать в ней до самого последнего времени. Начиная с AD DS 2008 R2, Microsoft ввёл ADAC (Active Directory Administrative Center, Центр администрирования AD), который является встроенной технологией интерфейса PowerShell. Он предоставляет расширенный GUI, который можно применять для управления объектами AD неким действенным образом. В AD DS 2012 Microsoft ввёл Обзор истории (History View) PowerShell, который позволяет администраторам изучать связанные с AD команды PowerShell. Я не наблюдаю большинства инженером, применяющими этот интерфейс по сравнению с ADUC MMC. Этот инструмент поставляется совместно с ролью AD DS. После того как вы завершите установку этой роли, он станет доступным для работы без каких бы то ни было дополнительных настроек.

Для доступа к основной консоли ADAC вы можете набрать dsac.exe из командной строки PowerShell или в блоке Run:

Наш предыдущий снимок экрана показывает получаемый по умолчанию интерфейс ADAC и его компоненты, которые можно применять для управления объектами AD:

Когда вы открываете ADAC впервые, вы не обнаружите панель истории PowerShell в расширенном режиме, как это показано на снимке экрана ниже. Вам требуется кликнуть по блоку WINDOWS POWERSHELL HISTORY чтобы раскрыть его:

ADAC также делает возможным управление объектами и в прочих доменах. Его также можно открыть при помощи Server Manager | Tools | Active Directory Administrative Center. Когда домены имеют односторонние или двусторонние доверительные отношения между собой, это позволяет нам добавлять их в ту же самую консоль ADAC. Для этого вам требуется пройти в Планку хлебных крошек и кликнуть по Manage | Add Navigation Nodes, а затем кликнуть по Connect to other domains... в полученном окне:

Следующим преимуществом ADAC является окно расширенных свойств объекта. Если вы пользовались ранее ADUC MMC, вы уже можете знать, что для того чтобы просмотреть свойства объекта вам требуется преодолеть множество различных закладок. Однако с помощью окна расширенных свойств объекта ADAC мы можем просматривать множество сведений в единственном окне. Когда это потребуется, вы сможете легко перемещаться в различные разделы.

Используя то же самое окно, мы можем запускать относящиеся к этим объектам задачи. Но это не всё, оно позволяет нам также изменять сами разделы на странице свойств как мы пожелаем:

Возможности ADAC можно суммировать следующим образом:

ADUC MMC является наиболее широко применяемым инструментом управления объектами AD. Этот инструмент доступен начиная с AD DS 2000 и, с годами, не изменялся существенно в отношении того как он выглядит и как в нём работать. Эта MMC поступает вместе с ролью AD DS и также может устанавливаться с помощью RSAT (Remote Server Administration Tools) в подключаемых к домену компьютерах.

Его можно открыть с помощью dsa.msc из приглашения PowerShell или из блока Run в меню Start:

Давайте пройдёмся по основным разделам этой консоли:

Здесь мы не будем рассматривать его функции, так как он является наиболее часто применяемым инструментом для любого администратора. Но я намерен перечислить некоторые из основных функциональностей:

Основные возможности ADUC MMC можно суммировать следующим образом:

Введя язык сценариев PowerShell, Microsoft предоставил дополнительный контроль над функциями и действиями системы Windows. PowerShell также позволяет инженерам применять дополнительные функциональности, которые не могут применяться через GUI. AD DS поступает совместно с Active Directory Module for Windows PowerShell, который можно применять для управления AD DS, AD LDS (Active Directory Lightweight Directory Services) и объектами. Объектами AD DS всё ещё можно управлять через приглашение Командной строки, однако PowerShell предоставляет расширенный, централизованный контроль над компонентами и службами AD.

Любой сервер, в котором выполняются роли служб AD DS или AD LDS имеет по умолчанию модуль AD PowerShell. Его также можно включит в неком настольном компьютере или участвующем в домене сервере путём установки RSAT.

Создание, модификация и удаление объектов являются наиболее часто выполняемыми задачами в среде AD. Применяя различные инструменты и методы, описанные в наших предыдущих разделах, мы можем осуществлять эти задачи. Каждый из инструментов и методов имеют свои собственные за и против. Сравнивая возможности GUI, имеющуюся сложность выполнения административных задач и то время, которое требуется на исполнение задач, вы можете выбрать именно тот инструмент, который будет лучшим для вас. Я рекомендую применять смесь инструментов, так как ни один из инструментов не хорош для всех задач администрирования.

Абсолютно все типы объектов имеют свой собственный набор атрибутов. Когда вы создаёте объекты, вам требуется предоставлять для этих атрибутов значения. Некоторые из них обязательны, а некоторые нет. На основании опыта работы и предпочтений компании, в установленные типы объектов могут потребоваться добавления некоторых индивидуальных атрибутов.

Создание объектов пользователя

Для создания некого объекта пользователя в AD мы можем воспользоваться cmdlet PowerShell New-ADUser. Вы можете просмотреть полный синтаксис данной команды совместно с допустимыми типами данных, применив такую команду:

Get-Command New-ADUser -Syntax
		

Чтобы создать некую новую учётную запись пользователя при помощи PowerShell, минимальным значением, которое вам потребуется передать будет -Name. Это создаст некую отключённую учётную запись пользователя и вы сможете позднее определять значения прочих атрибутов.

Вот некий образец, который может быть использован для создания какой- то учётной записи пользователя:

New-ADUser -Name "Talib Idris" -GivenName "Talib" -Surname "Idris" -SamAccountName "tidris" -UserPrincipalName "tidris@rebeladmin.com" -Path "OU=Users,OU=Europe,DC=rebeladmin,DC=com" -AccountPassword(Read-Host -AsSecureString "Type Password for User") -Enabled $true
		

Данная команда обладает следующими параметрами:

Вместо того чтобы выполнять множество команд при создании большого числа объектов, мы можем создать какой- то файл CSV (Comma-Separated Values, с разделяемыми запятой значениями), который содержит сведения для атрибутов и воспользоваться им для создания учётных записей одним махом.

Для демонстрации я воспользуюсь следующим файлом CSV:

Я воспользовался сведениями для некоторых атрибутов через такой файл CSV, а некоторые общие значения будут переданы посредством следующего сценария:

Import-Csv "C:\ADUsers.csv" | ForEach-Object {
$upn = $_.SamAccountName + "@rebeladmin.com" 
New-ADUser -Name $_.Name `
 -GivenName $_."GivenName" `
 -Surname $_."Surname" `
 -SamAccountName $_."samAccountName" `
 -UserPrincipalName $upn `
 -Path $_."Path" `
 -AccountPassword (ConvertTo-SecureString "Pa$$w0rd" -AsPlainText -force) -Enabled $true
}
		

В этом сценарии применяется cmdlet Import-Csv для импорта того файла CSV, который я создал на своём предыдущем шагу. Я также определил значение UPN, -UserPrincipalName, воспользовавшись $upn= $_.SamAccountName + "@rebeladmin.com". В самом конце я задал некий общий пароль для всех создаваемых учётных записей при помощи -AccountPassword (ConvertToSecureString "Toronto@1234" -AsPlainText -force).

Пройдя этот раздел, мы теперь знаем как создавать объекты пользователей при помощи PowerShell. В своём следующем разделе мы намерены изучить как создавать объекты компьютера в неком AD при помощи PowerShell и инструментов GUI.

Создание объектов компьютера

Когда некий компьютер или сервер- участник присоединяются к какому- то домену, это создаёт некий объект компьютера в AD.

Такой объект компьютера может быть создан до его добавления в домен. Это не добавит данное устройство в домен, однако этим можно пользоваться с присоединением отключённого домена и присоединением к домену RODC.

Для создания объекта компьютера, мы можем воспользоваться cmdlet -ом New-ADComputer. Для просмотра полного синтаксиса этой команды воспользуйтесь следующим:

Get-Command New-ADComputer -Syntax
		

Минимальным атрибутом, при помощи которого вы можете создать некий объект компьютера является -Name:

New-ADComputer -Name "REBEL-PC-01" -SamAccountName "REBEL-PC-01" -Path "OU=Computers,OU=Europe,DC=rebeladmin,DC=com"
		

В нашем предыдущем примере выполненная команда создаст объект компьютера REBEL-PC01 в OU=Computers,OU=Europe,DC=rebeladmin,DC=com OU. Если вы не определяете такой путь, будет создан соответствующий объект в установленном по умолчанию контейнере компьютера, CN=Computers, DC=rebeladmin, DC=com.

Нам очень редко требуется массовое создание объектов компьютера. Если это потребуется, мы можем сделать это при помощи метода CSV, аналогичного созданию объектов пользователя.

Объекты User и Computer также можно создать с помощью ADAC или ADUC. В таком случае нам придётся следовать за мастером для задания значений и атрибутов:

Наш следующий снимок экрана показывает мастер создания объекта Computer с помощью ADUC:

В этом разделе мы рассмотрели как создавать объекты компьютера при помощи различных инструментов (ADAC, ADUC и PowerShell). Когда дело доходит до управления объектами AD, нам также приходится время от времени изменять атрибуты объекта. В своём следующем разделе мы намерены рассмотреть изменение объекта AD с помощью PowerShell.

Когда мы создаём объекты, мы определяем значения для атрибутов. После того как мы создали объекты, могут возникать ситуации, при которых нам потребуется изменять значения этих атрибутов или добавлять значения пустующих атрибутов.

Для изменения и добавления значений атрибутов мы можем использовать cmdlet Set-ADUser для уже имеющихся объектов AD пользователя:

Set-ADUser tidris -OfficePhone "0912291120" -City "London"
		

В своём предыдущем образце команды мы добавили значения -OfficePhone и -City для своего пользователя tidris.

Может случиться, что нам потребуется изменить имеющееся значение какого- то

Set-ADUser tidris -OfficePhone "0112291120"
		

В своей предыдущей команде я заменил некое имеющееся значение новым.

В своих вышеупомянутых командах я задал точную учётную запись конкретного пользователя, но это не практично, когда вам нужно сделать это для большого числа учётных записей. Для выполнения этого нам требуется сочетать cmdlet Set-ADUser c cmdlet Get-ADUser. Это позволит нам вначале выполнить поиск объектов, а затем доставить в них изменения:

Get-ADUser -Filter * -SearchBase 'OU=Users,OU=Europe,DC=rebeladmin,DC=com' | Set-ADUser -City "London"
		

В своей предыдущей команде мы нашли все объекты пользователей, расположенные в OU=Users,OU=Europe,DC=rebeladmin,DC=com и установили значением City London.

Get-ADUser -Filter {City -like "London"} | Set-ADUser -City "Kingston"
		

В предыдущем примере я нашёл всех тех пользователей в своём каталоге, которые имеют определённым значением London для City и изменил его на Kingston.

Сочетание запроса поиска с изменением объекта экономит кучу времени ручной работы и не является чем- то что мы можем просто делать при помощи инструментов GUI.

Значения объектов компьютера также можно добавлять/ изменять аналогичным образом. Для этого нам требуется применять cmdlet Set-ADComputer:

Set-ADComputer REBEL-PC-01 -Description "Sales Computer"
		

Наша предыдущая команда устанавливает значение объекта Description для компьютера с названием REBEL-PC-01.

Этот cmdlet также можно сочетать с запросом поиска при помощи cmdlet Get-ADComputer:

Get-ADComputer -Filter {Name -like "REBEL-PC-*"} | Set-ADComputer -Location "M35 Building"
		

В нашей предыдущей команде выполнялся поиск компьютеров с названием REBEL-PC и устанавливалось значение их местоположения M35 Building.

В ADAC и ADUC GUI имеется по- существу лишь двойной клик мышью и изменение текущих значений атрибутов. Там также допускается множественный выбор объектов и изменение конкретного значения атрибута одним махом.

Для удаления некого объекта пользователя AD мы можем воспользоваться cmdlet -ом Remove-ADUser. Полные сведения относительно его синтаксиса можно выдать такой командой:

Get-Command Remove-ADUser -Syntax
		

При использовании этого cmdlet, нам требуется применять параметр -Identity для задания необходимой учётной записи. Мы можем применять отличительное название, GUI, SID или соответствующее значение SamAccountName для идентификации необходимой учётной записи. Когда это среда LDS, нам также требуется задать параметр раздела этого объекта:

Remove-ADUser -Identity "dzhang"
		

В своей предыдущей команде мы удалили объект пользователя AD с названием dzhang из текущего каталога. Перед удалением этого объекта будет выдан запрос на подтверждение операции.

Данный cmdlet также можно сочетать с поисковым запросом для поиска необходимого объекта перед его удалением:

Get-ADUser -Filter {Name -like "Test1*"} | Remove-ADUser
		

В своей предыдущей команде мы отыскали того пользователя, у которого имя начинается с Test1 во всём каталоге и затем удалили его.

Cmdlet Remove-ADComputer можно применять для удаления объектов компьютеров из текущего каталога:

Remove-ADComputer -Identity "REBEL-PC-01"
		

Наша предыдущая команда удалила объект компьютера REBEL-PC-01 из текущего каталога. Мы также можем сочетать её с запросом поиска:

Get-ADComputer -Filter * -SearchBase 'OU=Computers,OU=Europe,DC=rebeladmin,DC=com' | Remove-ADComputer
		

В нашей предыдущей команде мы отыскали объекты компьютеров в определённом OU и затем удалили найденные из общего каталога.

инструменты ADAC и ADUC также можно использовать для удаления объектов из некого каталога. Их также можно применять с функцией поиска для определения местоположения особых объектов с последующим их удалением.

AD содержит в своей базе данных различные объекты. Наиболее распространённый способ определение местоположения некого объекта в AD состоит в применении ADAC или ADUC и просмотре всех контейнеров. По мере роста общего числа объектов, становится достаточно сложным определять локализацию объектов в AD. В данном разделе мы намерены рассмотреть более действенные способы нахождения местоположения объектов в некой среде AD.

ADAC обладает расширенными возможностями запросов и фильтрации. Так как он применяется через GUI, это помогает нам делать выборку результатов по сравнению в PowerShell.

В его списке управления имеется блок фильтрации в самом верхнем разделе (после того как вы кликните по соответствующему названию домена в его панели навигации). Его представление не изменяется по мере того как вы перемещаетесь по своим контейнерам. Это помогает вам быстро фильтровать необходимые для отображения сведения в соответствующем списке управления. Однако, он не выполняет поиск объектов по множеству уровней (для дочерних контейнеров):

ADAC обладает функциональностью с названием Global Search, которую можно применять для поисков объектов во всём каталоге. Это делает возможным обычные текстовый поиск или расширенные запросы на основании LDAP (Lightweight Directory Access Protocol):

Давайте теперь посмотрим как выполнять поиски на основании LDAP. Данный метод также позволяет нам задать Scope (сферу) самого поиска:

Данная функция Global Search также доступна для доступа со страницы Overview.

В ADUC возможности поиска объектов крайне ограничены по сравнению с ADAC и PowerShell. Он имеет возможность Find..., которая позволяет нам определять местоположение объектов в имеющемся каталоге. К ней можно получать доступ правым кликом мыши по любому контейнеру:

Это позволяет нам выполнять текстовый поиск, а также некий расширенный поиск на основе атрибутов и их значений. Данный вариант также позволяет нам задавать область поиска:

Инструменты ADUC и ADAC выступают самыми простыми способами поиска некого объекта в AD. Метод же PowerShell не просто позволяет нам отыскивать объекты, но также и сочетать поиск с дополнительными задачами, такими как экспорт файлов CSV для результатов поиска, изменение значений объекта, а также перемещение и удаление объектов AD. В своём следующем разделе мы намерены изучить как искать объекты с помощью PowerShell.

В своём предыдущем разделе мы рассмотрели cmdlet Get-ADUser и Get-ADComputer и то как их можно применять с прочими командами для фильтрации объектов из AD. Их также можно применять для выборки определённых значений атрибутов из отфильтрованных объектов:

Get-ADUser -Identity user1 -Properties *
		

Наша предыдущая команда перечислит все те атрибуты и значения, которые ассоциированы с user1. Это поможет нам находить точные названия атрибутов и общие значения, которые мы можем применять для последующей фильтрации.

Допустим, мне требуется узнать значения для Name, UserPrincipalName и Modified всех своих пользователей. Следующая команда создаст некую таблицу с соответствующими атрибутами и их значениями:

Get-ADUser -Filter * -Properties Name,UserPrincipalName,Modified | ft Name,UserPrincipalName,Modified
		

Я могу наблюдать в данном списке некие учётные записи, которые являются учётными записями служб и администраторов. Я желаю видеть лишь учётные записи из офиса в Kingston:

Get-ADUser -Filter {City -like "Kingston"} -Properties Name,UserPrincipalName,Modified | ft Name,UserPrincipalName,Modified
		

Наша предыдущая команда фильтрует пользователей дополнительно при помощи значения для City.

Теперь у меня есть необходимый список сведений и я бы хотел экспортировать его в некий файл CSV для последующего применения таким образом:

Get-ADUser -Filter {City -like "Kingston"} -Properties Name,UserPrincipalName,Modified | select-object Name,UserPrincipalName,Modified | Export-csv -path C:\ADUSerList.csv
		

Данный пример демонстрирует как может быть построен некий поисковый запрос для выборки требуемых сведений.

Для поиска объектов на основе значения учётной записи и состояния пароля можно применять cmdlet Search-ADAccount. Полный синтаксис этого cmdlet можно получить с помощью такой команды:

Get-Command Search-ADAccount -Syntax
		

В качестве примера, ею можно воспользоваться для фильтрации блокированных учётных записей:

Search-ADAccount -LockedOut | FT Name,UserPrincipalName
		

Эта команда перечислит все блокированные учётные записи с их именами и UPN.

В отличии от графических инструментов, запросы PowerShell могут строиться для фильтрации точных объектов и сведений из AD. {Прим. пер.: дополнительные сведения относительно применения PowerShell вы можете найти в наших переводах PowerShell и Python сообща - настроены на цифровые расследования Чета Хосмера (Октябрь 2018, Apress) и Книги рецептов Powershell Core 6.2 Жан-Эндрика Питерса (Апрель 2019, Packt Publisher).}

Для управления объектами AD существует множество разнообразных инструментов. В этой главе мы рассмотрели построенный Microsoft инструменты управления объектами AD. Абсолютно все инструменты имеют свои собственные свойства и мы изучили как применять их для действенного добавления, изменения и удаления объектов AD. Мы также изучили как мы можем применять различные инструменты и технологии для поиска определённых объектов AD и значений атрибутов.

В своей следующей главе мы погрузимся глубже в объекты и атрибуты AD, оценим различные типы объектов и их роли в среде AD.