Csvde -f outputADDS.Csv

5. Откройте файл outputADDS.csv с помощью notepad и попробуйте найти в нем сведения о созданных Вами объектах (пользователи, контейнеры, учетные записи компьютеров).

6. Выгрузите сведения обо всех пользователях в файл outputUser.csv с помощью следующей команды (опция –r позволяет наложить фильтр поиска LDAP)

csvde -f outputUser.csv -r "objectClass=user"

7. Выгрузите сведения об объектах подразделения Бухгалтерия в файл outputBuh.csv с помощью следующей команды (опция –d определяет корень поиска LDAP)

csvde -f outputBuh.csv -d "ou=Бухгалтерия,dc=my,dc=local"

8. Просмотрите результат выгрузки в файле outputBuh.csv, обратите внимание, что в файле кроме объектов контейнера Бухгалтерия находится и описание самого контейнера.

9. Самостоятельно выполните команду, что бы в результирующем файле получить сведения только о пользователях в контейнере Бухгалтерия.

10. Самостоятельно выполните команду, что бы в результирующем файле получить сведения только о пользователе отдела Testers Dep (вспоминаем про опцию –r и ищем, как называется атрибут содержащий название отдела). Если команда составлена верно, то в результирующем файле будет информация об одном пользователе – User U. Test.

11. Для получения значений только определенных («основных») атрибутов используется опция –l

csvde -f outputBuh.csv -d "ou=Бухгалтерия,dc=my,dc=local" –l "DN,objectClass,sn,physicalDeliveryOfficeName,givenName,initials,displayName,department,name,sAMAccountName,userPrincipalName"

12. Преобразуете команду из предыдущего пункта, что бы получить «основную» информацию только о пользователе User U. Test.

13. В текущем каталоге создайте файл с именем inputUser.csv и следующим содержанием

DN,objectClass,sn,physicalDeliveryOfficeName,givenName,initials,displayName,department,name,sAMAccountName,userPrincipalName

"CN=User99 U. Test,OU=Бухгалтерия,DC=my,DC=local",user,Test,302,User99,U,User99 U. Test,testers,User99 U. Test,user99test,[email protected]

"CN=User98 U. Test,OU=Бухгалтерия,DC=my,DC=local",user,Test,302,User98,U,User98 U. Test,testers,User98 U. Test,user98test,[email protected]

14. Выполните команду, которая импортирует учетные записи двух пользователей в Active Directory

Csvde -i -f inputUser.csv

15. В Центре администрирования AD или оснастке Пользователи и компьютере AD найдите созданные объекты и проверьте корректность заполнения значений атрибутов.

16. Утилита ldifde предназначена для выполнения операций импорта/экспорта объектов Active Directory. Для получения справки по возможным параметрам можно просто выполнить следующую команду

Ldifde

или

Ldifde /?

17. Выполните экспорт всей информации из базы данных AD DS в файл с именем outputADDS.ldf с помощью команды

Ldifde -f outputADDS.ldf

18. Изучите результат работы команды, выполненной на предыдущем этапе, проанализируйте формат файла и набор полей (атрибутов).

19. Выгрузите сведения обо всех подразделениях с помощью следующей команды (опция –d определяет корень поиска LDAP; опция –p обеспечивает рекурсивную выгрузку информации из всех поддиректорий по иерархии дерева; опция –r позволяет наложить фильтр поиска LDAP)

ldifde -f exportOu.ldf -d "dc=my,dc=local" -p subtree
-r "(objectCategory=organizationalUnit)"

20. Самостоятельно выгрузите в файл exportUser.ldf всех пользователей подразделения Бухгалтерия с помощью опции –l укажите следующий перечень полей (атрибутов) cn,givenName,objectclass,samAccountName.

21. В текущем каталоге создайте файл с именем inputOU.ldf и следующим содержанием

dn: OU=IT,DC=my,DC=local

Changetype: add

Ou: IT

ObjectClass: organizationalUnit

22. Выполните команду, которая добавит новое подразделение в Active Directory

Ldifde -i -f inputOU.ldf

23. В Центре администрирования AD или оснастке Пользователи и компьютере AD найдите созданное подразделение и проверьте корректность заполнения значений атрибутов.

24. Команда dsadd позволяет добавлять объекты в Active Directory. Выполните команду без параметров и изучите допустимые опции

Dsadd

или

Dsadd /?

25. Изучите справку по команде dsadd group

Dsadd group /?

26. Создайте новую глобальную группу безопасности Девелоперы, с помощью команды

dsadd group "CN=Девел,OU=IT,DC=my,DC=local" -secgrp yes -scope g -samid "Девел" -desc "Разработчики ПО"

27. В Центре администрирования AD или оснастке Пользователи и компьютере AD найдите созданную группу и проверьте корректность заполнения значений атрибутов.

28. Измените значение атрибута samAccountName и Description для группы Девелоперы с помощью следующей команды

dsmod group “CN=Девел,OU=IT,DC=my,DC=local” -samid Девелоперы -desc “Разработчики программного обеспечения”

29. Подробнее изучите справку по команде dsmod и самостоятельно добавьте в группу Девелоперы пользователя Пользователь1.

30. Команда dsquery запрашивает объекты в Active Directory, отвечающие определенным критериям и выводит результат в указанной формы. Изучите справку по возможным параметрам команды.

31. Следующая команда выполнит поиск всех пользователей в подразделении Бухгалтерия, имя которых начинается на user и выведет UPN имена

dsquery user ou=Бухгалтерия,dc=my,dc=local -o upn -name user*

32. Команда dsget позволяет просмотреть свойства указанного объекта Active Directory. Следующая команда показывает в каких группах состоит пользователь Пользователь1

dsget user "CN=Пользователь1,CN=Users,DC=my,DC=local" -memberof

33. Команду dsget эффективно можно использовать совместно с командой dsquery. Следующая команда отбирает всех пользователе имя которых начинаются на user и выводит значение атрибутов samAccountName, Department и dispalayName

dsquery user dc=my,dc=local -name user* | dsget user -samid –dept -display

34. При выполнении следующей команды получаем ошибку, т.к. команда dsquery не вернула ни одного пользователя удовлетворяющего условиям поиска

dsquery user ou=IT,dc=my,dc=local -name Мария* | dsget user -samid –dept -display

35. Команда dsmove позволяет перемещать или переименовывать объекты в каталоге Active Directory. Изучите справку по этой команде.

36. С помощью следующей команды переместим пользователя User U. Test из подразделения Бухгалтерия в подразделение IT

dsmove "CN=User U. Test,OU=Бухгалтерия,DC=my,DC=local" -newparent OU=IT,DC=my,DC=local

37. Проверяем результат работы спредыдущей команды

dsquery user ou=IT,dc=my,dc=local -name user*

38. Самостоятельно выполните команду для перемещения всех пользователей, имена которых начинаются на user, из подразделения Бухгалтерия в подразделение IT.

39. Самостоятельно изучите варианты команд dsadd, dsmod, dsmove для объектов Active Directory типа Компьютер. Создайте новую учетную запись для компьютера ws10 и переместите ее в контейнер СпецРабочиеСтанции.

Лабораторная работа 8

Использование Windows PowerShell
для управления объектами AD DS.

Цель

Освоить возможности и получить практические навыки работы в интегрированной среде сценариев Windows PowerShell ISE. Изучить возможности и основные параметры (опции) командлетов для манипулирования объектами Active Directory. Научиться выполнять восстановление удаленных объектов с помощью оснастки Центр администрирования Active Directory и командлетов PowerShell.

Выполнение

1. На рабочей станции ws-win81 запустите интегрированную среду сценариев Windows PowerShell ISE.

Csvde -f outputADDS.Csv - student2.ru

2. В правой части окна можно изучить доступные команды определенного модуля и в интерактивном режиме сформировать готовую команду с параметрами, что очень удобно.

3. Самостоятельно сформируйте команду для получения информации о «лесе» (см. рисунок) и домене (см. команду Get-ADDomain).

Csvde -f outputADDS.Csv - student2.ru

4. Для управления объектами Active Directory выполним удаленное подключение к контроллеру домена. Выберите пункт меню Файл->Создать вкладку удаленного использования PowerShell… и после указания учетной записи и корректного ввода пароля будет создана новая вкладка для выполнения командлетов непосредственно на контроллере домена. К сожалению, в режиме удаленной сессии область команд не доступна, поэтому «собирать» команды в интерактивном режиме не получиться.

Csvde -f outputADDS.Csv - student2.ru

5. Получите справку по команде New-ADUser с помощью команды

Get-Help New-AdUser | more

6. Создайте новую учетную запись пользователя Николаева Максима в подразделении IT с помощью следующей команды (назначение остальных параметров команды можно посмотреть с справке)

New-ADUser -Name "Николаев Максим" -GivenName Максим -OtherName "С." -Surname "Николаев" -Department ИТ -Description "специалист в AD DS" -DisplayName "Николаев Максим" -SamAccountName "Николаев Максим" -Path "OU=IT,DC=my,DC=local"

7. Проверьте корректность заполнения значений атрибутов, открыв карточку созданного пользователя либо в Центре администрирования Active Directory, либо консоли Пользователи и компьютеры Active Directory.

8. Создайте новую группу с именем adminAdDSв подразделении IT и поместите в нее созданного выше пользователя Николаева Максима. Изучите справку по командам New-ADGroup и Add-ADGroupMember, объедените две команды в виде скрипта и выполните его

New-ADGroup –name “adminAdDS” –Path “OU=IT, DC=my, DC=local” –GroupScope Global –GroupCategory Security

Add-ADGroupMember adminADDS –Member “Николаев Максим”

9. С помощью следующей команды получите значение всех атрибутов учетной записи пользователя Николаев Максим

Get-ADUser “Николаев Максим” -Properties *

10. Самостоятельно выполните команду, которая вернет сведения по пользователям подразделения Бухгалтерия, имена которых содержат user. Для выполнения изучите и используйте опции –SearchBase и –Filter.

11. Опцию фильтр можно использовать для отбора (поиска) объектов Active Directory и по другим атрибутам, например, получим пользователей, которые работаю в отделе Бухгалтерия

Get-ADUser -Filter {department -eq "Бухгалтерия"}

12. Самостоятельно выполните разбор параметров следующей команды и определите, какие действия она выполняет

Get-ADUser -filter "enabled -eq 'false'" -property WhenChanged -SearchBase "CN=Users, DC=my, DC=local" | where {$_.WhenChanged -le (Get-Date).AddDays(-2)}

13. Следующая команда позволяет найти «пустые» глобальные группы

Get-ADGroup -filter "members -notlike '*' -AND GroupScope -eq 'Global'"
-SearchBase "CN=users, DC=my, DC=local" | Select Name,Group*

14. Самостоятельно измените предыдущую команду для поиска пустых Universal групп в подразделении IT.

15. Следующая команда добавляет пользователя User98 U. Test в группу adminAdDS

Add-ADGroupMember "adminADDS" -Members user98test

16. Самостоятельно добавьте в группу adminADDS пользователя с именем User99 U. Test

17. С помощью следующей команды убедитесь, что предыдущие команды выполнены успешно

Get-ADGroupMember "adminADDS"

18. Следующая команда позволяет задать новый пароль для пользователя User U. Test. Обратите внимание, что система попросит ввести новый пароль в специальном окне и символы пароля не будут отображаться при вводе, такое поведение достигается использованием опции –AsSecureString команды Read-Host

Set-ADAccountPassword usertest -NewPassword (Read-Host –AsSecureString “Введите пароль”)

19. Для включения и отключения учетных записей пользователя используются команды Enable-ADAccount и Disable-ADAccount соответственно. Обратите внимания на опцию –WhatIf в команде представленной ниже. Данная опция позволяет «протестировать» выполнение команды и посмотреть в частности целевой объект над которым быдет выполнено действие

Enable-ADAccount usertest -WhatIf

20. Самостоятельно сформируйте команду для отключения всех учетных записей пользователей в подразделении Бухгалтерия

21. Самостоятельно изучите справку по команде Get-ADComputer и получите полняе сведения по рабочей станции ws1.

22. C помощью следующей команды получим сведения об операционных системах, установленных на компьютерах домена

Get-ADComputer -Filter * -Properties OperatingSystem

23. Результат выполнения предыдущей команды несколько избыточен, поэтому изменим ее для более информативного представления информации

Get-ADComputer -Filter * -Properties OperatingSystem | Select OperatingSystem
-unique | Sort OperatingSystem

24. Учетную запись компьютера можно отключить, так же как и учетную запись пользователя. Следующая команда отключает (понарошку J) учетную запись для компьютера ws1

Disable-ADAccount -Identity 'ws1$' -whatif

25. Можно использовать конвейер команд для достижения эффекта аналогичного предыдущей команде

Get-ADComputer "ws1" | Disable-ADAccount -whatif

26. Измените предыдущую команду для «реального» отключения учетной записи компьютера и убедитесь, что команда отработала корректно (получите список отключенных учетных записей компьютеров в домене, см. значение атрибута Enabled)

27. Самостоятельно создайте контейнер с именем ОтключенныеРабочиеСтанции и переместите в него все отключенные учетные записи компьютеров (используйте команду Search-ADAccount и Move-ADObject)

28. Рассмотрим команду для удаления учетной записи пользователя

Get-Help Remove-ADUser

29. Протестируем ее выполнение на пользователе User U. Test (используем опцию
-WhatIf)

Remove-ADUser usertest -whatif

30. Удалять пользователя пока не будем, а предварительно включим Корзину Active Directory. Для включения корзины Active Directory необходимо чтобы режим работы леса был не ниже Windows Server 2008 R2. Самостоятельно выясните режим работы леса в нашем домене. Начиная с Windows Server 2012 Корзину можно включить с помощью графического интерфейса в Центре администрирования Active Directory (см. рисунок ниже). Если Корзина будет включена, то отключить ее будет невозможно! Этого делать не нужно!

Csvde -f outputADDS.Csv - student2.ru

31. Для включения Корзины Active Directory воспользуемся следующей командой (предварительно выполните ее с опцией -Whatif)

Enable-ADOptionalFeature -Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=my,DC=local’ –Scope ForestOrConfigurationSet –Target ‘my.local’

32. После включения Корзины в дереве объектов Active Directory в Центре администрирования появляется новый контейнер Deleted Object (см. рисунок ниже)

Csvde -f outputADDS.Csv - student2.ru

33. С помощью команды PowerShell выполните удаление учетной записи пользователя User U. Test и убедитесь, что в контейнере Deleted Objects появился новый объект. При этом можно посмотреть тип удаленного объекта, последний родительский контейнер и дата удаления. Из Корзины можно восстановить удаленные объекты за последние 180 дней.

Csvde -f outputADDS.Csv - student2.ru

34. Удаленные объекты можно посмотреть с помощью следующей команды

Get-ADObject -Filter {isDeleted -eq $True} -IncludeDeletedObjects

35. Для восстановления удаленного объекта необходимо воспользоваться командой Restore-ADObject. В качестве параметров можно указать целевой контейнер для восстановления (опция -TargetPath), если он должен отличаться от того из которого объект был удален.

Get-Help Restore-ADObject

36. Выполните восстановление пользовательской учетной записи User U. Test с помощью следующей команды

Get-ADObject -Filter {isDeleted -eq $True -and displayName -eq "User U. Test"} -IncludeDeletedObjects | Restore-ADObject -WhatIf

37. Самостоятельно удалите контейнер IT со всеми вложенными объектами. Выполните необходимые команды для восстановления контейнера и всех удаленных объектов из этого контейнера. Для поиска удаленного контейнера IT используйте команду Get-ADObject с опцией -ldapFilter и поиском по значению атрибута msDS-LastKnownRDN. Для восстановления всех удаленных из контейнера IT объектов (там были пользователи и группы) используйте команду Get-ADObject с опциями –SearchBase и –Filter с поиском по значению атрибута lastKnownParent.

Лабораторная работа 9

Управление Group Policy в Windows Server 2012 R2.

Цель

Получения навыков управления пользователями и компьютерами домена с помощью групповых политик безопасности.

Наши рекомендации