Команда NET USER

Введение

Основополагающим компонентом доменных служб в каждой организации являются принципалы безопасности (оригинальное название – Security Principal), которые предоставляют пользователей, группы или компьютеры, которым требуется доступ к определенным ресурсам в сети.

Именно таким объектам, как принципалам безопасности можно предоставлять разрешения доступа к ресурсам в сети, причем каждому принципалу во время создания объекта присваивается уникальный идентификатор безопасности (SID), который состоит из двух частей.

Идентификатором безопасности SID называется числовое представление, которое уникально идентифицирует принципал безопасности. Первая часть такого идентификатора представляет собой идентификатор домена. Ввиду того, что принципалы безопасности расположены в одном домене, всем таким объектам присваивается один и тот же идентификатор домена.

Несмотря на то, что планирование и развертывание инфраструктуры доменных служб в большинстве организаций выполняется лишь один раз и в большинство объектов изменения вносятся очень редко, к важному исключению из этого правила можно отнести принципалы безопасности, которые необходимо периодически добавлять, изменять, а также удалять.

Одним из основополагающих компонента идентификации являются учетные записи пользователей. По сути, учетные записи пользователей представляют собой физические объекты, в основном людей, которые являются сотрудниками вашей организации, но бывают исключения, когда учетные записи пользователей создаются для некоторых приложений в качестве служб. Учетные записи пользователей играют важнейшую роль в администрировании предприятии. К таким ролям можно отнести:

Объекты учетных записей пользователей можно отнести к самым распространенным объектам в Active Directory. Именно пользовательским учетным записям администраторы обязаны уделять особое внимание, так как пользователям свойственно приходить работать в организацию, перемещаться между отделами и офисами, жениться, выходить замуж, разводиться и даже увольняться из компании.

Такие объекты представляют собой набор атрибутов, причем только одна пользовательская учетная запись может содержать свыше 250 различных атрибутов, что в несколько раз превышает количество атрибутов на рабочих станциях и компьютеров, работающих под операционной системой Linux.

Во время создания учетной записи пользователя создается ограниченный набор атрибутов, а уже потом вы можете добавлять такие пользовательские учетные данные как организационные сведения, адреса проживания пользователей, телефонные номера и многое другое.

Поэтому важно обратить внимание на то, что одни атрибуты являются обязательными, а остальные – опциональными. В этой статье я расскажу о ключевых методах создания пользовательских учетных записей, о некоторых опциональных атрибутах, а также будут описаны средства, позволяющие автоматизировать рутинные действия, связанные с созданием учетных записей пользователей.

Создание пользователей на основании шаблонов

Обычно в организациях существует множество подразделений или отделов, в которые входят ваши пользователи. В этих подразделениях пользователи обладают схожими свойствами (например, название отдела, должности, номер кабинета и пр.). Для наиболее эффективного управления учетными записями пользователей из одного подразделения, например, используя групповые политики, целесообразно их создавать внутри домена в специальных подразделениях (иначе говоря, контейнерах) на основании шаблонов.

Шаблоном учетной записи называется учетная запись, впервые появившаяся еще во времена операционных систем Windows NT, в которой заранее заполнены общие для всех создаваемых пользователей атрибуты. Для того чтобы создать шаблон учетной записи пользователя, выполните следующие действия:

  1. Откройте оснастку «Active Directory – пользователи и компьютеры» и создайте стандартную учетную запись пользователя. При создании такой учетной записи желательно чтобы в списке пользователей в подразделении имя данной записи выделялось из общего списка, и всегда было расположено на видном месте. Например, чтобы такая учетная запись всегда находилось первой, задайте для создаваемого шаблона имя с нижними подчеркиваниями, например, _Маркетинг_. Также, на странице ввода пароля установите флажок «Отключить учетную запись». Так как эта запись будет использоваться только в качестве шаблона, она должна быть отключена;
  2. В области сведений оснастки выберите созданную вами учетную запись (значок объекта данной учетной записи будет содержать стрелку, направленную вниз, что означает, что данная учетная запись отключена), нажмите на ней правой кнопкой мыши и из контекстного меню выберите команду «Свойства»;
  3. *

    Рис. 4. Свойства учетной записи пользователя

  4. Для того чтобы некоторые атрибуты продублировались в свойствах учетных записей пользователей, которые в последствии будут создаваться на основании вашего шаблона, нужно заполнить необходимые для вас поля в свойствах шаблона учетной записи. Вкладки, которые чаще всего используются при редактировании свойств учетных записей, предоставлены ниже:
    • Общие. Данная вкладка предназначена для заполнения индивидуальных пользовательских атрибутов. К этим атрибутам относятся имя пользователя и его фамилия, краткое описания для учетной записи, контактный телефон пользователя, номер комнаты, его электронный ящик, а также веб-сайт. Ввиду того, что данная информация является индивидуальной для каждого отдельного пользователя, данные заполненные на этой вкладке не копируются;
    • Адрес. На текущей вкладке вы можете заполнить почтовый ящик, город, область, почтовый индекс и страну, где проживают пользователи, которые будут созданы на основании данного шаблона. Так как у каждого пользователя названия улиц обычно не совпадают, данные из этого поля не подлежат копированию;
    • Учетная запись. В этой вкладке вы можете указать точно время входа пользователя, компьютеры, на которые смогут заходить пользователи, такие параметры учетных записей как хранение паролей, типы шифрования и пр., а также срок действия учетной записи;
    • Профиль. Текущая вкладка позволяет вам указать путь к профилю, сценарий входа, локальный путь к домашней папке, а также сетевые диски, на которых будет размещена домашняя папка учетной записи;
    • Организация. На этой вкладке вы можете указать должность сотрудников, отдел, в котором они работают, название организации, а также имя руководителя отдела;
    • Члены групп. Здесь указывается основная группа и членство в группах.

    Это основные вкладки, которые заполняются при создании шаблонов учетной записи. Помимо этих шести вкладок, вы можете еще заполнять информацию в 13 вкладках. Большинство из этих вкладок будут рассмотрены в последующих статьях данного цикла.

  5. На следующем шагу создается учетная запись пользователя, основанная на текущем шаблоне. Для этого нажмите правой кнопкой мыши на шаблоне учетной записи и из контекстного меню выберите команду «Копировать»;
  6. В диалоговом окне «Копировать объект – Пользователь» введите имя, фамилию, а также имя входа пользователя. На следующей странице введите пароль и подтверждение, а также снимите флажок с опции «Отключить учетную запись». Завершите работу мастера;
  7. *

    Рис. 5. Диалоговое окно копирования пользовательской учетной записи

  8. После создания учетной записи перейдите в свойства созданной учетной записи и просмотрите добавляемые вами свойства в шаблон. Отконфигурированные атрибуты будут скопированы в новую учетную запись.

Создаем адресную книгу, или что делать, когда корпоративный портал с ad не дружит

Другой вариант использования Excel в связке с Active Directory ― это формирование адресной книги, исходя из данных AD. Понятно, что адресная книга получится актуальной, только если в домене порядок.

Что это за команда?

Итак, для чего же нужна данная команда и как она используется в операционной системе от Microsoft? С помощью оператора мы можем добавлять новых пользователей, редактировать уже существующие аккаунты, удалять учетные записи или просто просматривать их.

Долго останавливаться на теории мы не будем. Давайте теперь идти дальше и разбираться, как работать с данным оператором в CMD.

Adsiedit

Переходим к графическим утилитам. Оснастка ADSIEdit поддерживает использование LDAP-фильтров. Для добавления фильтра надо кликнуть по выбраному контексту именования (NC) и в контекстном меню выбрать пункт New — Query…

:/>  Как узнать сколько герц в мониторе - Просто о технологиях

В открывшемся окне указываем имя запроса, выбираем область поиска (Root of Search) и в поле Query String добавляем нужный фильтр. Для примера отберем всех отключенных пользователей. Дополнительно можно выбрать глубину поиска Subtree или One level.

В результате получим что то вроде этого.

Arp – изменение таблиц преобразования ip-адресов

Команда arp отображает и изменяет таблицы преобразования IP-адресов в физические, используемые протоколом разрешения адресов (ARP).

Каждое сетевое устройство в сетях Ethernet, будь то сетевая карта или маршрутизатор, имеет так называемый MAC-адрес (Media Access Control – управление доступом к среде), который делится на две части: первая часть определят производителя, а вторая – уникальный номер устройства.

Этот MAC-адрес нужен для того, чтобы однозначно в сети определять все устройства, в какой бы топологии сети они не находились. В двух словах каждое сетевое устройство хранит в своих записях таблицу MAC-адресов, с которыми оно “общалось” сетевыми пакетами.

arp -a – команда отображает текущую таблицу ARP для всех интерфейсов, присутcтвующих на компьютере. Таким образом можно увидеть отвечало ли конкретное устройство. Если нужной записи нет, то устройства не смогли обменяться пакетами.

arp -d – команда позволяет очистить полностью таблицу ARP.

Полный синтаксис команды arp можно узнать в командной строке Windows.

Driverquery – просмотр установленных драйверов устройств

Очень полезная утилита, которая умеет вывести список установленных драйверов устройств. Можно получить и путь к папке где установлен драйвер, если набрать команду с ключом /V. Утилита driverquery поможет без труда найти где расположен проблемный драйвер.

Полный синтаксис работы утилиты можно узнать, набрав в командной строке driverquery /?.

Gpupdate – обновление параметров групповых политик

Незаменимая команда для системных администраторов доменной сети Windows. Она поможет применить параметры Active Directory незамедлительно, если нужно. Для этого достаточно набрать команду с ключом /Force. Это поможет обновить групповые политики компьютера и пользователя. Если набрать команду без ключей, то произойдёт обновление только изменившихся политик.

Hostname – показать имя компьютера

Простая команда, которая в консоли cmd покажет имя компьютера.

Ipconfig – настройка протокола ip для windows

Утилита командной строки ipconfig покажет текущие настройки протокола TCP/IP, позволит произвести обновление некоторых параметров, задаваемых при автоматическом конфигурировании сетевых интерфейсов при использовании протокола Dynamic Host Configuration Protocol (DHCP).

Так, ipconfig поможет вручную запросить IP-адрес у сервера DHCP, если по какой-то причине компьютер с Windows не получил его. Для запроса ip-адреса нужно набрать ipconfig /release, а затем ipconfig /renew.

Команда ipconfig /all позволит получить информацию о настройках протокола IP и, в том числе, о серверах DNS, используемых в системе.

Кроме того, Вы команда ipconfig /flushdns обновит DNS адреса.

Эти команды являются очень важными и полезными для администраторов сети Windows для устранения неполадок сети.

Ipconfig также может работать и с протоколом IP версии 6.

Nbtstat – статистика протокола и текущих подключений tcp/ip с помощью nbt

NBT (Network BIOS через TCT/IP) или протокол NETBIOS – один из старейших протоколов, разработанный в далёком1983 году по заказу компании IBM. NETBIOS предназначен для передачи данных в пределах одного логического сегмента сети.

nbtstat -n – выводит список зарегистрированных NetBIOS-имен на компьютере. Список отображается для всех активных сетевых соединений.

nbtstat -RR – выполнит очистку и перерегистрацию NetBIOS-имен на локальном компьютере.

Netstat – сведений о состоянии сетевых соединений

Ввод команды netstat -an предоставит список открытых портов в настоящее время и связанных с ними IP-адресов. Эта команда также скажет Вам в каком состоянии находится порт.

Состояние соединения Listening говорит о том, что строка состояния отображает информацию о сетевой службе, ожидающей входящие соединения по соответствующему протоколу на адрес и порт, отображаемые в колонке Локальный адрес.

Состояние ESTABLISHED указывает на активное соединение. В колонке Состояние для соединений по протоколу TCP может отображаться текущий этап TCP-сессии определяемый по обработке значений флагов в заголовке TCP.

Возможные состояния:CLOSE_WAIT – ожидание закрытия соединения.CLOSED – соединение закрыто.ESTABLISHED – соединение установлено.LISTENING – ожидается соединение (слушается порт)TIME_WAIT – превышение времени ответа.

Nslookup – управление dns

По большому счёту, утилита представляет собой аналог служб DNS-клиента в Windows и позволяет диагностировать и устранить проблемы с разрешением имен в системе DNS.

При запуске nslookup без параметров, утилита переходит в интерактивный режим, ожидая ввод команд пользователя.

Ping – опрос узла по имени или его ip-адресу

Иногда, необходимо узнать действительно ли отправляемые пакеты доходят до определенного сетевого устройства. И здесь Вам поможет утилита ping.

Sc – диспетчер управления службами windows

SC используется для конфигурирования, опроса состояния, остановки, запуска, удаления и добавления системных служб в командной строке Windows. При наличии соответствующих прав, команда SC может применяться для управления службами как на локальной, так и на удаленной системе.

Приведу несколько команд для примера:

sc query – запрашивает состояния службы или перечисляет состояний типов служб.

sc start myservice – запуск службы с именем myservice.

sc create myservice – создаёт службу. Записывает службу в реестр и базу данных служб.

Shutdown – завершение работы или перезагрузка windows

Команда shutdown во многом аналогична графической реализации кнопок выключения, перезагрузки, гибернации и так далее. Главное её достоинство – управление режимами выключения на удалённом компьютере.

Systeminfo – сведения о конфигурации операционной системы windows

Команда systeminfo поможет узнать о Вашей установленной системе много полезной информации, которую графический интерфейс не сможет показать.

Tracert – трассировка маршрута к заданному узлу

Команда tracert отслеживает, сколько времени (в миллисекундах) требуется на отправку пакета до заданного узла. Каждый узел с указанием времени – это один шаг. Все шаги, которые выполняет пакет, прежде чем достигнет назначения, показываются в виде небольшой таблицы.

У системных администраторов команда tracert пользуется наибольшей популярностью.

Быстрый отчет по составу рабочих станций, без внедрения агентов и прочей подготовки

Теперь попробуем создать полезную таблицу, получив данные по компьютерам. Сделаем отчет по используемым компанией операционным системам: для этого создадим запрос, но в навигаторе на этот раз выберем computer.

Команда NET USER
Делаем запрос по объекту computer.

Оставим классы-колонки computer и top и расширим их:

  • класс computer расширим, выбрав cn, operatingSystem, operatingSystemServicePack и operatingSystemVersion;
  • в классе top выберем whenCreated.

Команда NET USER
Расширенный запрос.

При желании можно сделать отчет только по серверным операционным системам. Например, применить фильтр по атрибуту operatingSystem или operatingSystemVersion. Я не буду этого делать, но поправлю отображение времени создания ― мне интересен только год.

Команда NET USER
Извлекаем год из времени ввода компьютера в домен.

Теперь останется удалить столбец displayname за ненадобностью и загрузить результат. Данные готовы. Теперь можно работать с ними, как с обычной таблицей. Для начала сделаем сводную таблицу на вкладке «Вставка» ― «Сводная таблица». Согласимся с выбором источника данных и настроим ее поля.

Команда NET USER
Настройки полей сводной таблицы.

Теперь остается настроить по вкусу дизайн и любоваться итогом:

Команда NET USER
Сводная таблица по компьютерам в AD.

При желании можно добавить сводный график, также на вкладке «Вставка». В «Категории» (или в «Ряды», по вкусу) добавим operatingSystem, в данные ― cn. На вкладке «Конструктор» можно выбрать тип диаграммы по душе, я предпочел круговую.

:/>  Memory Diagnostic Tool mdsched.exe in Windows 10 explained

Команда NET USER
Круговая диаграмма.

Теперь наглядно видно, что, несмотря на идущее обновление, общее количество рабочих станций с Windows XP и серверов с Windows 2003 довольно велико. И есть к чему стремиться.

Код запроса под спойлером.

let
 Источник = ActiveDirectory.Domains("domain.ru"),
 domain.ru = Источник{[Domain="domain.ru"]}[#"Object Categories"],
computer1 = domain.ru{[Category="computer"]}[Objects],
 #"Удаленные столбцы" = Table.RemoveColumns(computer1,{"user", "organizationalPerson", "person"}),
 #"Другие удаленные столбцы" = Table.SelectColumns(#"Удаленные столбцы",{"displayName", "computer", "top"}),
 #"Развернутый элемент computer" = Table.ExpandRecordColumn(#"Другие удаленные столбцы", "computer", {"cn", "operatingSystem", "operatingSystemServicePack", "operatingSystemVersion"}, {"cn", "operatingSystem", "operatingSystemServicePack", "operatingSystemVersion"}),
 #"Развернутый элемент top" = Table.ExpandRecordColumn(#"Развернутый элемент computer", "top", {"whenCreated"}, {"whenCreated"}),
 #"Извлеченный год" = Table.TransformColumns(#"Развернутый элемент top",{{"whenCreated", Date.Year}}),
 #"Удаленные столбцы1" = Table.RemoveColumns(#"Извлеченный год",{"displayName"})
in
  #"Удаленные столбцы1"

Видеоинструкция

Если приведенной выше пошаговой инструкции вам недостаточно, посмотрите обучающее видео по теме. Скорее всего ролик окажется более наглядным и вы, наблюдая за автором, который пользуется командной строкой на собственном компьютере, быстрее разберетесь в вопросе.

Все группы:

(objectCategory=group)

Все локальные (Domain local) группы:

(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=4))

Все глобальные (Global) группы:

(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2))

Все универсальные (Universal) группы:

(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=8))

Все группы безопасности (Security):

(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483648))

Все группы рассылки (Distribution):

(&(objectCategory=group)(!groupType:1.2.840.113556.1.4.803:=2147483648))

или:

Все компьютеры:

(objectCategory=computer)

Все компьютеры с определенной ОС:

(&(objectCategory=computer)(operatingSystem=Windows 7*))

Вместо Windows 7 можно поставить любую требуемую ОС.

Все серверы (компьютеры с серверной ОС):

(&(objectCategory=computer)(operatingSystem=*server*))

Все контроллеры домена:

Все подразделения (ou):

(objectCategory=organizationalUnit)

Все контейнеры (CN):

(objectCategory=container)

Все встроенные контейнеры:

(objectCategory=builtinDomain)

Все объекты групповой политики:

(objectCategory=groupPolicyContainer)

Все отношения доверия:

Импорт пользователей средствами ldifde

Утилита командной строки Ldifde позволяет также импортировать или экспортировать объекты Active Directory, используя файловый формат LDIF (Lightweight Directory Access Protocol Data Interchange File). Данный файловый формат состоит из блока строк, которые образуют конкретную операцию.

В отличие от файлов CSV, в данном файловом формате каждая отдельная строка представляет собой набор атрибутов, после которого следует двоеточие и само значение текущего атрибута. Также как и в CSV файле, первой строкой обязан быть атрибут DN. За ним следует строка changeType, которая указывает тип операции (add, change или delete).

Рис. 9. Пример LDF файла

Синтаксис команды следующий:

Ldifde -i -f filename.csv -k

где:

  • -i. Параметр, который отвечает за режим импорта. Если вы не укажете данный параметр, то эта команда будет использовать по умолчанию режим экспорта;
  • -f. Параметр, идентифицирующий имя файла, которое предназначено для импорта или экспорта;
  • -k. Параметр, предназначенный для продолжения импорта пропуская все возможные ошибки;
  • -v. Параметр, используя который вы можете вывести подробную информацию;
  • -j. Параметр, отвечающий за расположение файла журнала;
  • -d. Параметр, указывающий корень поиска LDAP;
  • -f. Параметр, предназначенный для фильтра поиска LDAP;
  • -p. Представляет собой область или глубину поиска;
  • -l. Предназначен для указания списка атрибутов с разделительными запятыми, который будет включен в экспорт результирующих объектов;

Команды cmd windows | блог любителя экспериментов

Запуск команд из CMD Доброго времени, читатели www.msconfig.ru. Сегодня в очередной раз пришлось лезть в поиск за необходимо справкой. Часто приходится помогать пользователям Windows прямо из учетной записи пользователя, а под рукой не оказывается инструментов, кроме встроенной в Windows командной строки cmd.exe. При работе под ограниченной в правах учетной записью часто приходится выполнить какую-то задачу с повышенными правами Администратора. cmd для этих задач самое подходящее средство, чтобы не вводить по-многу раз пароль  администратора, достаточно один раз запустить командную строку от имени администратора и

выполнять нужные действиязапускать нужные команды

, которые я опишу ниже

:

appwiz.cpl – Установка и удаление программ
certmgr.msc – Сертификаты
ciаdv.msc – Служба индексирования
cliconfg – Программа сетевого клиента SQL
clipbrd – Буфер обмена
compmgmt.msc – Управление компьютером
dcomcnfg – Консоль управления DCOM компонентами
ddeshare – Общие ресурсы DDE (на Win7 не работает)
desk.cpl – Свойства экрана
devmgmt.msc — Диспетчер устройств
dfrg.msc – Дефрагментация дисков
diskmgmt.msc – Управление дисками
drwtsn32 – Dr.Watson
dxdiag – Служба диагностики DirectX
eudcedit – Редактор личных символов
eventvwr.msc – Просмотр событий
firewall.cpl – настройки файерволла Windows
gpedit.msc – Груповая политика
iexpress – IExpress (не знаю что это :) )
fsmgmt.msc – Общие папки
fsquirt – Мастер передачи файлов Bluetooth
chkdsk – Проверка дисков (обычно запускается с параметрами буква_диска: /f /x /r)
control printers – Принтеры и факсы – запускается не всегда
control admintools – Администрирование компьютера – запускается не всегда
control schedtasks – Назначенные задания (планировщик)
control userpasswords2 – Управление учётными записями
compmgmt.msc – Управление компьютером (compmgmt.msc /computer=pc – удаленное управление компьютером pc)
lusrmgr.msc – Локальные пользователи и группы
mmc— создание своей оснастки
mrt.exe – Удаление вредоносных программ
msconfig – Настройка системы (автозапуск, службы и др…)
mstsc – Подключение к удаленному рабочему столу
ncpa.cpl – Сетевые подключения
ntmsmgr.msc – Съёмные ЗУ
ntmsoprq.msc – Запросы операторов съёмных ОЗУ (для XP)
odbccp32.cpl – Администратор источников данных
perfmon.msc – Производительность
regedit – Редактор реестра
rsop.msc – Результатирующая политика
secpol.msc – Локальные параметры безопасности (Локальная политика безопасности)
services.msc – Службы
sfc /scannow – Восстановление системных файлов
sigverif – Проверка подписи файла
sndvol — управление громкостью
sysdm.cpl – Свойства системы
sysedit – Редактор системных файлов (не знаю, что это :) )
syskey – Защита БД учётных записей
taskmgr – Диспетчер задач
utilman Диспетчер служебных программ
verifier Диспетчер проверки драйверов
wmimgmt.msc – Инфраструктура управления WMI

Данный список – это в основном GUI’овые пролижения. Ниже в отдельный список выделю консольные команды.

Также запустить приложения в панели управления с правами администратора, можно если щелкнуть правой кнопкой мышки одновременно удерживая клавишу Shift. И выбрать Запуск от имени.(RunAs…) (актуально для Win XP).

Список консольных команд:

nbtstat -a pc — имя пользователя работающего за удаленной машиной pc
net localgroup group user /add — Добавить в группу group, пользователя user
net localgroup group user /delete — Удалить пользователя из группы
net send pc ”текст ‘‘ – отправить сообщение пользователю компьютера pc
net sessions — список пользователей
net session /delete – закрывает все сетевые сессии
net use l: \имя компапапка – подключить сетевым диском l: папку на удаленном компьютере
net user имя /active:no – заблокировать пользователя
net user имя /active:yes – разблокировать пользователя
net user имя /domain – информация о пользователе домена
net user Имя /add — добавить пользователя
net user Имя /delete — удалить пользователя
netstat -a – список всех подключений к компьютеру
reg add — Добавить параметр в реестр
reg compare — Сравнивать части реестра.
reg copy — Копирует из одного раздела в другой
reg delete — Удаляет указанный параметр или раздел
reg export — Экспортировать часть реестра
reg import — Соответственно импортировать часть реестра
reg load — Загружает выбранную часть реестра
reg query — Выводит значения заданной ветки реестра
reg restore — Восстанавливает выбранную часть реестра из файла
reg save — Сохраняет выбранную часть реестра
reg unload — Выгружает выбранную часть реестра
shutdown — выключение компьютера , можно удаленно выключить другой.
SystemInfo /s machine – покажет много полезного об удаленной машине

Большинство материала было взято с padmoga.com, а так же из поисковиков :) Со временем буду пополнять материал. Надеюсь, кому-то моя справка тоже понадобится.

:/>  Total Commander скачать бесплатно русская версия для Windows 10 64 bit торрент

С Уважением, Mc.Sim!


Теги: cmd, Microsoft Windows, команды, консоль

Но и это еще не все

Надо отметить, что Excel умеет составлять не только любимые бухгалтерией таблички. При умелом подходе ему по плечу и аналитика многомерных данных (OLAP-кубы), и решение системы уравнений с помощью матриц. А для тех, у кого на стенке пылится сертификат от Microsoft – есть вариант заморочиться даже с 3D-играми. Не Doom конечно, но вечер точно займет.

А что вы думаете про Excel как инструмент администратора? Доводилось использовать что-то из описанного?

Примеры ldap-фильтров

В заключение приведу примеры наиболее часто используемых LDAP-фильтров. Для удобства фильтры сгруппированы по типу объектов (пользователи, компьютеры, группы и прочие непонятные сущности).

Создание пользователей при помощи powershell

В операционной системе Windows Server 2008 R2 появилась возможность управлять объектами Active Directory средствами Windows PowerShell. Среда PowerShell считается мощнейшей оболочкой командной строки, разработанной на основе .Net Framework и предназначенной для управления и автоматизации администрирования операционных систем Windows и приложений, которые работают под данными операционными системами.

Создание пользователей при помощи команды csvde

Еще одна утилита командной строки CSVDE позволяет импортировать или экспортировать объекты Active Direcoty, представленные в виде cvd-файла – текстового файла с разделительными запятыми, которые можно создавать при помощи табличного процессора Microsoft Excel или простейшего текстового редактора Блокнот.

В этом файле каждый объект представляется одной строкой и должен содержать атрибуты, которые перечислены в первой строке. Стоит обратить внимание на то, что при помощи данной команды вы не можете импортировать пользовательские пароли, то есть, сразу после завершения операции импорта пользовательские учетные записи будут отключены. Пример такого файла следующий:

*
Увеличить рисунок

Рис. 7. Представление CSV-файла

Синтаксис команды следующий:

Csvde –i –f filename.csv –k

где:

Пример использования команды:

Создание пользователей при помощи оснастки «active directory – пользователи и компьютеры»

В подавляющем большинстве случаев системные администраторы для создания основных принципалов безопасности предпочитают использовать оснастку «Active Directory – пользователи и компьютеры», которая добавляется в папку «Администрирование» сразу после установки роли «Доменные службы Active Directory» и повышения сервера до контролера домена.

Этот метод является наиболее удобным, так как для создания принципалов безопасности используется графический пользовательский интерфейс и мастер создания учетных записей пользователя очень прост в применении. К недостатку данного метода можно отнести тот момент, что при создании учетной записи пользователя вы не можете сразу задать большинство атрибутов, и вам придется добавлять необходимые атрибуты путем редактирования учетной записи. Для того чтобы создать пользовательскую учетную запись, выполните следующие действия:

Get-adcomputer: вывод информации о компьютерах в active directory через powershell | windows для системных администраторов

PowerShell командлет Get-ADComputer можно использовать для получения различных сведений об учётных записях компьютеров (серверах и рабочих станциях) в домене Active Directory. Это один из наиболее полезных командлетов для выборки и поиска компьютеров по разным критериям в домене AD ( для получения информации об учетных записях пользователей AD используется другой командлет — Get-ADUser).

Допустим, ваша задача – найти в Active Directory все неактивные компьютеры, которые не регистрировались в домене более 120 дней и заблокировать учетные записи этих компьютеров.

Прежде чем приступить к работе с командлетом Get-ADComputer, необходимо подключить модуль Active Directory Module for Windows PowerShell.

Import-Module activedirectory

Справка о параметрах командлета Get-ADComputer вызывается стандартно с помощью Get-Help:

Get-Help Get-ADComputer

синтаксис командлета Get-ADComputer

Для получения информации из AD с помощью командлетов модуля AD for Powershell не обязательно иметь права администратора домена, достаточно чтобы учетная запись под которой запускается командлет входила в группу пользователей домена (Authenticated Users / Domain Users).

Чтобы получить информацию о доменной учетной записи конкретного компьютера или сервера, укажите его имя в качестве аргумента параметра —Identity:

Get-ADComputer -Identity SRV-DB01

Get-ADComputer -Identity

DistinguishedName : CN=DB01,OU=Servers,OU=MSK,DC=winitpro,DC=ru
DNSHostName       : DB01.winitpro.ru
Enabled           : True
Name              : DB01
ObjectClass       : computer
ObjectGUID        : 1234567c-13f8-4a2c-8b00-b30a32324103
SamAccountName    : DB01$
SID               : S-1-5-21-3243682314-1360322815-2238451561-4318
UserPrincipalName :

Командлет вернул только базовые свойства объекта Computer из AD. Нас интересует время последней регистрации компьютера в домене AD, но этой информация в выводе команды нет. Выведем все доступные свойства данного компьютера из Active Directory:

Get-ADComputer -Identity SRV-DB01 -Properties *
Get-ADComputer все параметры компьютера в Active Directory

Как вы видите, время последнего входа данного компьютера в сеть указано в атрибуте компьютера LastLogonDate – 21.09.2021 0:20:17.

Командлет Get-ADComputer позволяет вывести в результатах команды любые из свойств компьютера. Уберем всю лишнюю информацию, оставив в выводе только значения полей Name и LastLogonDate.

Get-ADComputer -identity SRV-DB01 -Properties * | FT Name, LastLogonDate -Autosize

Табличное представление Get-ADComputer Итак, мы получили данные о последнем времени регистрации в домене для одного компьютера. Теперь нам нужно изменить команду так, чтобы она возвращала информацию о времени последней регистрации в сети для всех компьютеров домена. Для этого заменим параметр –Identity на —Filter:

Get-ADComputer -Filter * -Properties * | FT Name, LastLogonDate -Autosize
Получаем время входа для всех компьютеров домена

Мы получили таблицу, которая содержит только 2 поля: имя компьютера и дата LastLogonData. Вы можете добавить в эту таблицу другие поля объекта Computer из AD. Чтобы вывести данные о компьютерах в определенном контейнере домена (OU), воспользуйтесь параметром SearchBase:
Get-ADComputer -SearchBase ‘OU=Moscow,DC=winitpro,DC=loc’ -Filter * -Properties * | FT Name, LastLogonDate -Autosize

Отсортируем результаты запроса по времени последнего логина в сеть (поле LastLogonDate) с помощью команды Sort:

Get-ADComputer -Filter * -Properties * | Sort LastLogonDate | FT Name, LastLogonDate -Autosize

Сортировка по полю lastlogondate

Итак, мы получили список компьютеров домена и время их последнего входа в сеть Active Directory. Теперь мы хотим заблокировать учетные записи компьютеров, которые не использовались более 120 дней.

С помощью Get-Date получим в переменной значение текущей даты и вычтем из текущей даты 120 дней:

$date_with_offset= (Get-Date).AddDays(-120)

Get-Date adddays

Полученную переменную с датой можно использовать в качестве фильтра запроса Get-ADComputer по полю LastLogonDate

Get-ADComputer  -Properties LastLogonDate -Filter {LastLogonDate -lt $date_with_offset } | Sort LastLogonDate | FT Name, LastLogonDate -Autosize

Таким образом, мы получили список неактивных компьютеров, не регистрировавшихся в сети более 120 дней. С помощью командлета Set-ADComputer или Disable-ADAccount вы можете отключить эти учетные записи.

Совет

. В первый раз лучше протестировать результаты команды с помощью переключателя –WhatIf, благодаря которому команда не вносит никаких изменений, показывая, что произойдет при ее выполнении.

Get-ADComputer -Properties LastLogonDate -Filter {LastLogonData -lt $date_with_offset } | Set-ADComputer -Enabled $false -whatif

Get-ADComputer -Properties LastLogonDate -Filter {LastLogonData -lt $datecutoff} | Set-ADComputer -Enabled $false

Совет

. Список заблокированных, отключенных и неактивных компьютеров и пользователей домена можно получить также с помощью отдельного командлета Search-ADAccount.

Заключение

В этой статье вы узнали о понятии принципал безопасности и о том, какую роль представляют учетные записи пользователей в доменной среде. Были подробно рассмотрены основные сценарии создания пользовательских учетных записей в домене Active Directory. Вы научились создавать пользовательские учетные записи при помощи оснастки «Active Directory – пользователи и компьютеры», используя шаблоны, утилиты командной строки Dsadd, CSVDE и LDIFDE.

Оставьте комментарий

Adblock
detector