PowerShell Active Directoryモジュールをインストールして使用する方法は?
Active Directory forWindowsPowerShellモジュール は、ドメインを管理し、Active Directory内のオブジェクトを管理し、ADコンピューター、ユーザー、グループなどに関するさまざまな情報を取得するための主要なツールの1つです。Windows管理者は、両方のADグラフィックスナップイン(通常はADUC – Active Directoryユーザーとコンピューター)およびRSAT-AD-PowerShellのコマンドレット 毎日のActiveDirectory管理タスクを実行するためのモジュール。この記事では、PowerShell Active DirectoryモジュールをWindowsにインストールする方法、ADの管理と操作に役立つ基本的な機能と一般的なコマンドレットについて説明します。
WindowsServerへのPowershellActiveDirectoryモジュールのインストール
Active Directory for Windows PowerShellは、Windows Serverオペレーティングシステム(Windows Server 2008 R2以降)に既に組み込まれていますが、デフォルトでは有効になっていません。
Windows Server 2016では、サーバーマネージャーからADforPowerShellモジュールをインストールできます。 (役割と機能の追加->機能->リモートサーバー管理ツール->役割管理ツール->ADDSおよびADLDSツール->WindowsPowerShell用ActiveDirectoryモジュール 。
次のコマンドを使用して、PowerShellコンソールからモジュールをインストールすることもできます。
Install-WindowsFeature -Name "RSAT-AD-PowerShell" –IncludeAllSubFeature
RSAT-AD-PowerShellをインストールできます ドメインコントローラだけではありません。任意のドメインメンバーサーバーまたはワークステーションでさえも可能です。 ActiveDirectoryドメインサービスを展開すると、PowerShellActiveDirectoryモジュールが自動的にインストールされます。 (AD DS)の役割(サーバーをADドメインコントローラーに昇格させる場合)。
モジュールは、 ActiveDirectoryWebサービスを介してADと対話しています。 ドメインコントローラにインストールする必要があります(通信はTCPポート 9389を介して実行されます 。
Windows10にPowerShellActiveDirectoryモジュールをインストールするにはどうすればよいですか?
RSAT-AD-PowerShellをインストールできます Windows Serverだけでなく、ワークステーション上のモジュール。このモジュールはRSATの一部です (リモートサーバー管理ツール)Windows 7、Windows8.1に手動でダウンロードしてインストールできるパッケージ。 RSATのインストール後、コントロールパネルからPowerShell用のActive Directoryモジュールをインストールできます([コントロールパネル]->[プログラムと機能]->[Windowsの機能のオン/オフ]->[リモートサーバー管理ツール]->[役割管理ツール]->[AD DS]およびADLDSツール)。
Windows 10ビルド1809以降では、RSATパッケージが(Features on Demandとして)Windowsイメージに統合されているため、次のPowerShellコマンドを使用してActiveDirectoryモジュールをインストールできます。
Add-WindowsCapability –online –Name “Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0”
WindowsPowerShell用のActiveDirectoryモジュールには、ADと対話するためのコマンドレットがたくさんあります。新しいRSATバージョンには、以前のバージョンよりも多くのコマンドレットが含まれています。 Windows Server 2016には、ActiveDirectory用の147のPowerShellコマンドレットがあります。
Active Directoryモジュールのコマンドレットを使用する前に、PowerShellセッションにインポートする必要があります(Windows Server 2012 R2 / Windows 8.1以降では、モジュールは自動的にインポートされます)。
Import-Module ActiveDirectory
$psSess = New-PSSession -ComputerName DC_or_Comp_with_ADPoSh_installed
Import-Module -PSsession $psSess -Name ActiveDirectory
次のコマンドを使用して、使用可能なActiveDirectoryコマンドレットの完全なリストを表示できます。
Get-Command –module ActiveDirectory
ADモジュール内のコマンドレットの総数:
Get-Command –module ActiveDirectory |measure-object|select count
ほとんどのRSAT-AD-PowerShellコマンドレットはGet-から始まります 、Set- またはNew- プレフィックス。
- 取得 –クラスコマンドレットは、Active Directoryからさまざまな情報を取得するために使用されます( Get-ADUser —ユーザープロパティ、 Get-ADComputer –コンピューター設定、 Get-ADGroupMember —グループメンバーシップなど)。それらを実行するために、あなたはドメイン管理者である必要はありません。すべてのドメインユーザーがPowerShellコマンドを実行して、ADオブジェクト属性の値を取得できます(LAPSの例のように機密属性を除く)。
- セット- クラスコマンドレットは、Active Directoryでオブジェクト設定を設定(変更)するために使用されます。たとえば、ユーザープロパティを変更できます( Set-ADUser )、コンピューター設定( Set-ADComputer )、グループにユーザーを追加するなど。これを行うには、アカウントにオブジェクトのプロパティを変更する権限が必要です(Active Directoryで管理者権限を委任する方法の記事を参照してください)。
- 新規-で始まるコマンド ADオブジェクトを作成できるようにします(ユーザーを作成します— New-ADUser 、グループを作成します— New-ADGroup );
- 削除- コマンドレットは、ADオブジェクトを削除するために使用されます。
コマンドレットのヘルプを取得する方法は次のとおりです。
get-help Set-ADUser
ActiveDirectoryコマンドレットの使用例を次のように表示できます。
(get-help New-ADComputer).examples
PowerShellISEでコマンドレットパラメーターを入力するときにポップアップヒントを使用すると便利です。
RSAT-AD-PowerShellモジュールを使用したActiveDirectory管理
Active DirectoryforPowerShellコマンドレットを使用して実行できる管理者の一般的なタスクをいくつか見てみましょう。
AD for PowerShellコマンドレットの使用方法に関するいくつかの便利な例は、WOSHubWebサイトにあります。詳細な手順については、リンクをたどってください。New-ADUser:ADユーザーの作成
新しいADユーザーを作成するには、 New-ADUserを使用できます コマンドレット。次のコマンドでユーザーを作成できます:
New-ADUser -Name "Mila Beck" -GivenName "Mila" -Surname "Beck" -SamAccountName "mbeck" -UserPrincipalName "mbeck@woshub.com" -Path "OU=Users,OU=Berlin,OU=DE,DC=woshub,DC=com" -AccountPassword(Read-Host -AsSecureString "Input User Password") -Enabled $true
New-ADUserコマンドレットの詳細(ユーザードメインアカウントを一括で作成する方法の例を含む)については、この記事を参照してください。
Get-ADComputer:コンピューターのプロパティの取得
特定のOUのコンピュータープロパティに関する情報(コンピューター名と最終ログオン日)を表示するには、Get-ADComputerコマンドレットを使用します。
Get-ADComputer -SearchBase ‘OU=CA,OU=USA,DC=woshub,DC=com’ -Filter * -Properties * | FT Name, LastLogonDate -Autosize
Add-AdGroupMember:ADユーザーをグループに追加
ADドメインの既存のセキュリティグループにユーザーを追加するには、次のコマンドを実行します。
Add-AdGroupMember -Identity LondonSales -Members e.braun, l.wolf
ADグループのユーザーのリストを表示し、CSVファイルにエクスポートします。
Get-ADGroupMember LondonSales -recursive| ft samaccountname| Out-File c:\ps\export_ad_users.csv
PowerShellからのADグループの管理の詳細をご覧ください。
Set-ADAccountPassword:ADでユーザーパスワードをリセットする
PowerShellからADユーザーパスワードをリセットするには、次のコマンドを実行します。
Set-ADAccountPassword m.lorenz -Reset -NewPassword (ConvertTo-SecureString -AsPlainText “Ne8Pa$$0rd1” -Force -Verbose) –PassThru
ADアカウントのロックを解除、有効化、無効化する方法
ADユーザーアカウントを無効にするには:
Disable-ADAccount m.lorenz
アカウントを有効にするには:
Enable-ADAccount m.lorenz
ドメインパスワードポリシーによってブロックされた後にアカウントのロックを解除するには:
Unlock-ADAccount m.lorenz
Search-ADAccount:非アクティブなオブジェクトと無効なオブジェクトを見つける方法
90日以上ログオンしていないADドメイン内のすべてのコンピューターを検索して無効にするには、Search-ADAccountコマンドレットを使用します。
$timespan = New-Timespan –Days 90
Search-ADAccount -AccountInactive -ComputersOnly –TimeSpan $timespan | Disable-ADAccount
New-ADOrganizationalUnit:ADに組織単位を作成
ADで一般的な組織単位構造をすばやく作成するには、PowerShellスクリプトを使用できます。名前として状態を使用して複数のOUを作成し、それらの中に一般的なオブジェクトコンテナを作成するとします。グラフィカルなADUCスナップインを使用してこのAD構造を手動で作成するには、かなりの時間がかかります。 PowerShell用のADモジュールを使用すると、数秒で実行できます(スクリプトを作成する時間を除く):
$fqdn = Get-ADDomain
$fulldomain = $fqdn.DNSRoot
$domain = $fulldomain.split(".")
$Dom = $domain[0]
$Ext = $domain[1]
$Sites = ("Nevada","Texas","California","Florida")
$Services = ("Users","Admins","Computers","Servers","Contacts","Service Accounts")
$FirstOU ="USA"
New-ADOrganizationalUnit -Name $FirstOU -Description $FirstOU -Path "DC=$Dom,DC=$EXT" -ProtectedFromAccidentalDeletion $false
foreach ($S in $Sites)
{
New-ADOrganizationalUnit -Name $S -Description "$S" -Path "OU=$FirstOU,DC=$Dom,DC=$EXT" -ProtectedFromAccidentalDeletion $false
foreach ($Serv in $Services)
{
New-ADOrganizationalUnit -Name $Serv -Description "$S $Serv" -Path "OU=$S,OU=$FirstOU,DC=$Dom,DC=$EXT" -ProtectedFromAccidentalDeletion $false
}
}
スクリプトを実行すると、次のOU構造がActiveDirectoryに表示されます。
ADコンテナ間でオブジェクトを移動するには、 Move-ADObjectを使用できます。 コマンドレット:
$TargetOU = "OU=Sales,OU=Computers,DC=woshub,DC=com"
Get-ADComputer -Filter 'Name -like "SalesPC*"' | Move-ADObject -TargetPath $TargetOU
Get-ADReplicationFailure:ADレプリケーションの失敗を確認する
Get-ADReplicationFailureコマンドレットを使用すると、ADドメインコントローラー間のレプリケーションの状態を確認できます。
Get-ADReplicationFailure -Target NY-DC01,NY-DC02
ドメイン内のすべてのDCに関する情報を取得するには、 Get-AdDomainControllerを使用します コマンドレット:
Get-ADDomainController –filter * | select hostname,IPv4Address,IsGlobalCatalog,IsReadOnly,OperatingSystem | format-table –auto
そこで、ADドメインを管理するためのActiveDirectoryPowerShellモジュールの基本機能について検討しました。モジュールの他の機能をさらに調査し、AD管理タスクのほとんどを自動化することをお勧めします。
-
Windows 10 用の WGET をダウンロード、インストール、および使用する方法
ウェブサイトの決定的な瞬間に重要な資産を失ったことがありますか? 考えただけでも恐ろしいですよね? Linux を使用したことがある場合は、WGET について聞いたことがあるかもしれません。わーい! WGET は Windows でも使用できます。 Windows 10 用の互換性のあるバージョンの WGET を考え出してくれた GNU に感謝します。この記事の最初から、Windows 10 用の WGET をダウンロードしてインストールする方法を理解できます。あなたの理解。 WGET に関する包括的な知識を得るために読み続けてください。 Windows 10 用の WGET をダウンロー
-
Windows 11 で PowerShell を簡単にインストールして更新する方法
PowerShell のバージョンを確認して古いバージョンであることがわかった場合は、更新するか、PowerShell 自体が更新の時期であることを通知する可能性があります。しかし、Windows 11 で PowerShell を更新するにはどうすればよいでしょうか? ありがたいことに、Microsoft は、Windows 11 および Windows 10 1709 (ビルド 16299) 以降で PowerShell や任意のアプリを簡単に更新できるようにしています。必要なことは次のとおりです。 Windows 11 および Windows 10 で PowerShell を更新する