Csvde -f outputADDS.Csv
5. Откройте файл outputADDS.csv с помощью notepad и попробуйте найти в нем сведения о созданных Вами объектах (пользователи, контейнеры, учетные записи компьютеров).
6. Выгрузите сведения обо всех пользователях в файл outputUser.csv с помощью следующей команды (опция –r позволяет наложить фильтр поиска LDAP)
csvde -f outputUser.csv -r "objectClass=user"
7. Выгрузите сведения об объектах подразделения Бухгалтерия в файл outputBuh.csv с помощью следующей команды (опция –d определяет корень поиска LDAP)
csvde -f outputBuh.csv -d "ou=Бухгалтерия,dc=my,dc=local"
8. Просмотрите результат выгрузки в файле outputBuh.csv, обратите внимание, что в файле кроме объектов контейнера Бухгалтерия находится и описание самого контейнера.
9. Самостоятельно выполните команду, что бы в результирующем файле получить сведения только о пользователях в контейнере Бухгалтерия.
10. Самостоятельно выполните команду, что бы в результирующем файле получить сведения только о пользователе отдела Testers Dep (вспоминаем про опцию –r и ищем, как называется атрибут содержащий название отдела). Если команда составлена верно, то в результирующем файле будет информация об одном пользователе – User U. Test.
11. Для получения значений только определенных («основных») атрибутов используется опция –l
csvde -f outputBuh.csv -d "ou=Бухгалтерия,dc=my,dc=local" –l "DN,objectClass,sn,physicalDeliveryOfficeName,givenName,initials,displayName,department,name,sAMAccountName,userPrincipalName"
12. Преобразуете команду из предыдущего пункта, что бы получить «основную» информацию только о пользователе User U. Test.
13. В текущем каталоге создайте файл с именем inputUser.csv и следующим содержанием
DN,objectClass,sn,physicalDeliveryOfficeName,givenName,initials,displayName,department,name,sAMAccountName,userPrincipalName
"CN=User99 U. Test,OU=Бухгалтерия,DC=my,DC=local",user,Test,302,User99,U,User99 U. Test,testers,User99 U. Test,user99test,[email protected]
"CN=User98 U. Test,OU=Бухгалтерия,DC=my,DC=local",user,Test,302,User98,U,User98 U. Test,testers,User98 U. Test,user98test,[email protected]
14. Выполните команду, которая импортирует учетные записи двух пользователей в Active Directory
Csvde -i -f inputUser.csv
15. В Центре администрирования AD или оснастке Пользователи и компьютере AD найдите созданные объекты и проверьте корректность заполнения значений атрибутов.
16. Утилита ldifde предназначена для выполнения операций импорта/экспорта объектов Active Directory. Для получения справки по возможным параметрам можно просто выполнить следующую команду
Ldifde
или
Ldifde /?
17. Выполните экспорт всей информации из базы данных AD DS в файл с именем outputADDS.ldf с помощью команды
Ldifde -f outputADDS.ldf
18. Изучите результат работы команды, выполненной на предыдущем этапе, проанализируйте формат файла и набор полей (атрибутов).
19. Выгрузите сведения обо всех подразделениях с помощью следующей команды (опция –d определяет корень поиска LDAP; опция –p обеспечивает рекурсивную выгрузку информации из всех поддиректорий по иерархии дерева; опция –r позволяет наложить фильтр поиска LDAP)
ldifde -f exportOu.ldf -d "dc=my,dc=local" -p subtree
-r "(objectCategory=organizationalUnit)"
20. Самостоятельно выгрузите в файл exportUser.ldf всех пользователей подразделения Бухгалтерия с помощью опции –l укажите следующий перечень полей (атрибутов) cn,givenName,objectclass,samAccountName.
21. В текущем каталоге создайте файл с именем inputOU.ldf и следующим содержанием
dn: OU=IT,DC=my,DC=local
Changetype: add
Ou: IT
ObjectClass: organizationalUnit
22. Выполните команду, которая добавит новое подразделение в Active Directory
Ldifde -i -f inputOU.ldf
23. В Центре администрирования AD или оснастке Пользователи и компьютере AD найдите созданное подразделение и проверьте корректность заполнения значений атрибутов.
24. Команда dsadd позволяет добавлять объекты в Active Directory. Выполните команду без параметров и изучите допустимые опции
Dsadd
или
Dsadd /?
25. Изучите справку по команде dsadd group
Dsadd group /?
26. Создайте новую глобальную группу безопасности Девелоперы, с помощью команды
dsadd group "CN=Девел,OU=IT,DC=my,DC=local" -secgrp yes -scope g -samid "Девел" -desc "Разработчики ПО"
27. В Центре администрирования AD или оснастке Пользователи и компьютере AD найдите созданную группу и проверьте корректность заполнения значений атрибутов.
28. Измените значение атрибута samAccountName и Description для группы Девелоперы с помощью следующей команды
dsmod group “CN=Девел,OU=IT,DC=my,DC=local” -samid Девелоперы -desc “Разработчики программного обеспечения”
29. Подробнее изучите справку по команде dsmod и самостоятельно добавьте в группу Девелоперы пользователя Пользователь1.
30. Команда dsquery запрашивает объекты в Active Directory, отвечающие определенным критериям и выводит результат в указанной формы. Изучите справку по возможным параметрам команды.
31. Следующая команда выполнит поиск всех пользователей в подразделении Бухгалтерия, имя которых начинается на user и выведет UPN имена
dsquery user ou=Бухгалтерия,dc=my,dc=local -o upn -name user*
32. Команда dsget позволяет просмотреть свойства указанного объекта Active Directory. Следующая команда показывает в каких группах состоит пользователь Пользователь1
dsget user "CN=Пользователь1,CN=Users,DC=my,DC=local" -memberof
33. Команду dsget эффективно можно использовать совместно с командой dsquery. Следующая команда отбирает всех пользователе имя которых начинаются на user и выводит значение атрибутов samAccountName, Department и dispalayName
dsquery user dc=my,dc=local -name user* | dsget user -samid –dept -display
34. При выполнении следующей команды получаем ошибку, т.к. команда dsquery не вернула ни одного пользователя удовлетворяющего условиям поиска
dsquery user ou=IT,dc=my,dc=local -name Мария* | dsget user -samid –dept -display
35. Команда dsmove позволяет перемещать или переименовывать объекты в каталоге Active Directory. Изучите справку по этой команде.
36. С помощью следующей команды переместим пользователя User U. Test из подразделения Бухгалтерия в подразделение IT
dsmove "CN=User U. Test,OU=Бухгалтерия,DC=my,DC=local" -newparent OU=IT,DC=my,DC=local
37. Проверяем результат работы спредыдущей команды
dsquery user ou=IT,dc=my,dc=local -name user*
38. Самостоятельно выполните команду для перемещения всех пользователей, имена которых начинаются на user, из подразделения Бухгалтерия в подразделение IT.
39. Самостоятельно изучите варианты команд dsadd, dsmod, dsmove для объектов Active Directory типа Компьютер. Создайте новую учетную запись для компьютера ws10 и переместите ее в контейнер СпецРабочиеСтанции.
Лабораторная работа 8
Использование Windows PowerShell
для управления объектами AD DS.
Цель
Освоить возможности и получить практические навыки работы в интегрированной среде сценариев Windows PowerShell ISE. Изучить возможности и основные параметры (опции) командлетов для манипулирования объектами Active Directory. Научиться выполнять восстановление удаленных объектов с помощью оснастки Центр администрирования Active Directory и командлетов PowerShell.
Выполнение
1. На рабочей станции ws-win81 запустите интегрированную среду сценариев Windows PowerShell ISE.
2. В правой части окна можно изучить доступные команды определенного модуля и в интерактивном режиме сформировать готовую команду с параметрами, что очень удобно.
3. Самостоятельно сформируйте команду для получения информации о «лесе» (см. рисунок) и домене (см. команду Get-ADDomain).
4. Для управления объектами Active Directory выполним удаленное подключение к контроллеру домена. Выберите пункт меню Файл->Создать вкладку удаленного использования PowerShell… и после указания учетной записи и корректного ввода пароля будет создана новая вкладка для выполнения командлетов непосредственно на контроллере домена. К сожалению, в режиме удаленной сессии область команд не доступна, поэтому «собирать» команды в интерактивном режиме не получиться.
5. Получите справку по команде New-ADUser с помощью команды
Get-Help New-AdUser | more
6. Создайте новую учетную запись пользователя Николаева Максима в подразделении IT с помощью следующей команды (назначение остальных параметров команды можно посмотреть с справке)
New-ADUser -Name "Николаев Максим" -GivenName Максим -OtherName "С." -Surname "Николаев" -Department ИТ -Description "специалист в AD DS" -DisplayName "Николаев Максим" -SamAccountName "Николаев Максим" -Path "OU=IT,DC=my,DC=local"
7. Проверьте корректность заполнения значений атрибутов, открыв карточку созданного пользователя либо в Центре администрирования Active Directory, либо консоли Пользователи и компьютеры Active Directory.
8. Создайте новую группу с именем adminAdDSв подразделении IT и поместите в нее созданного выше пользователя Николаева Максима. Изучите справку по командам New-ADGroup и Add-ADGroupMember, объедените две команды в виде скрипта и выполните его
New-ADGroup –name “adminAdDS” –Path “OU=IT, DC=my, DC=local” –GroupScope Global –GroupCategory Security
Add-ADGroupMember adminADDS –Member “Николаев Максим”
9. С помощью следующей команды получите значение всех атрибутов учетной записи пользователя Николаев Максим
Get-ADUser “Николаев Максим” -Properties *
10. Самостоятельно выполните команду, которая вернет сведения по пользователям подразделения Бухгалтерия, имена которых содержат user. Для выполнения изучите и используйте опции –SearchBase и –Filter.
11. Опцию фильтр можно использовать для отбора (поиска) объектов Active Directory и по другим атрибутам, например, получим пользователей, которые работаю в отделе Бухгалтерия
Get-ADUser -Filter {department -eq "Бухгалтерия"}
12. Самостоятельно выполните разбор параметров следующей команды и определите, какие действия она выполняет
Get-ADUser -filter "enabled -eq 'false'" -property WhenChanged -SearchBase "CN=Users, DC=my, DC=local" | where {$_.WhenChanged -le (Get-Date).AddDays(-2)}
13. Следующая команда позволяет найти «пустые» глобальные группы
Get-ADGroup -filter "members -notlike '*' -AND GroupScope -eq 'Global'"
-SearchBase "CN=users, DC=my, DC=local" | Select Name,Group*
14. Самостоятельно измените предыдущую команду для поиска пустых Universal групп в подразделении IT.
15. Следующая команда добавляет пользователя User98 U. Test в группу adminAdDS
Add-ADGroupMember "adminADDS" -Members user98test
16. Самостоятельно добавьте в группу adminADDS пользователя с именем User99 U. Test
17. С помощью следующей команды убедитесь, что предыдущие команды выполнены успешно
Get-ADGroupMember "adminADDS"
18. Следующая команда позволяет задать новый пароль для пользователя User U. Test. Обратите внимание, что система попросит ввести новый пароль в специальном окне и символы пароля не будут отображаться при вводе, такое поведение достигается использованием опции –AsSecureString команды Read-Host
Set-ADAccountPassword usertest -NewPassword (Read-Host –AsSecureString “Введите пароль”)
19. Для включения и отключения учетных записей пользователя используются команды Enable-ADAccount и Disable-ADAccount соответственно. Обратите внимания на опцию –WhatIf в команде представленной ниже. Данная опция позволяет «протестировать» выполнение команды и посмотреть в частности целевой объект над которым быдет выполнено действие
Enable-ADAccount usertest -WhatIf
20. Самостоятельно сформируйте команду для отключения всех учетных записей пользователей в подразделении Бухгалтерия
21. Самостоятельно изучите справку по команде Get-ADComputer и получите полняе сведения по рабочей станции ws1.
22. C помощью следующей команды получим сведения об операционных системах, установленных на компьютерах домена
Get-ADComputer -Filter * -Properties OperatingSystem
23. Результат выполнения предыдущей команды несколько избыточен, поэтому изменим ее для более информативного представления информации
Get-ADComputer -Filter * -Properties OperatingSystem | Select OperatingSystem
-unique | Sort OperatingSystem
24. Учетную запись компьютера можно отключить, так же как и учетную запись пользователя. Следующая команда отключает (понарошку J) учетную запись для компьютера ws1
Disable-ADAccount -Identity 'ws1$' -whatif
25. Можно использовать конвейер команд для достижения эффекта аналогичного предыдущей команде
Get-ADComputer "ws1" | Disable-ADAccount -whatif
26. Измените предыдущую команду для «реального» отключения учетной записи компьютера и убедитесь, что команда отработала корректно (получите список отключенных учетных записей компьютеров в домене, см. значение атрибута Enabled)
27. Самостоятельно создайте контейнер с именем ОтключенныеРабочиеСтанции и переместите в него все отключенные учетные записи компьютеров (используйте команду Search-ADAccount и Move-ADObject)
28. Рассмотрим команду для удаления учетной записи пользователя
Get-Help Remove-ADUser
29. Протестируем ее выполнение на пользователе User U. Test (используем опцию
-WhatIf)
Remove-ADUser usertest -whatif
30. Удалять пользователя пока не будем, а предварительно включим Корзину Active Directory. Для включения корзины Active Directory необходимо чтобы режим работы леса был не ниже Windows Server 2008 R2. Самостоятельно выясните режим работы леса в нашем домене. Начиная с Windows Server 2012 Корзину можно включить с помощью графического интерфейса в Центре администрирования Active Directory (см. рисунок ниже). Если Корзина будет включена, то отключить ее будет невозможно! Этого делать не нужно!
31. Для включения Корзины Active Directory воспользуемся следующей командой (предварительно выполните ее с опцией -Whatif)
Enable-ADOptionalFeature -Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=my,DC=local’ –Scope ForestOrConfigurationSet –Target ‘my.local’
32. После включения Корзины в дереве объектов Active Directory в Центре администрирования появляется новый контейнер Deleted Object (см. рисунок ниже)
33. С помощью команды PowerShell выполните удаление учетной записи пользователя User U. Test и убедитесь, что в контейнере Deleted Objects появился новый объект. При этом можно посмотреть тип удаленного объекта, последний родительский контейнер и дата удаления. Из Корзины можно восстановить удаленные объекты за последние 180 дней.
34. Удаленные объекты можно посмотреть с помощью следующей команды
Get-ADObject -Filter {isDeleted -eq $True} -IncludeDeletedObjects
35. Для восстановления удаленного объекта необходимо воспользоваться командой Restore-ADObject. В качестве параметров можно указать целевой контейнер для восстановления (опция -TargetPath), если он должен отличаться от того из которого объект был удален.
Get-Help Restore-ADObject
36. Выполните восстановление пользовательской учетной записи User U. Test с помощью следующей команды
Get-ADObject -Filter {isDeleted -eq $True -and displayName -eq "User U. Test"} -IncludeDeletedObjects | Restore-ADObject -WhatIf
37. Самостоятельно удалите контейнер IT со всеми вложенными объектами. Выполните необходимые команды для восстановления контейнера и всех удаленных объектов из этого контейнера. Для поиска удаленного контейнера IT используйте команду Get-ADObject с опцией -ldapFilter и поиском по значению атрибута msDS-LastKnownRDN. Для восстановления всех удаленных из контейнера IT объектов (там были пользователи и группы) используйте команду Get-ADObject с опциями –SearchBase и –Filter с поиском по значению атрибута lastKnownParent.
Лабораторная работа 9
Управление Group Policy в Windows Server 2012 R2.
Цель
Получения навыков управления пользователями и компьютерами домена с помощью групповых политик безопасности.