Использование Get-ADUser для получения разной информации о пользователях домена AD

Скрипт для создания пользователя в AD с помощью powershell — Остановиться и оглянуться — LiveJournal

Previous Entry | Next Entry

Скрипт для создания пользователя в AD с помощью powershell

Столкнулся и ничего толкового в инете не нашел. Все какие-то урывки и куски. Батник (просто BAT) у нас есть, но как-то на 2008 сервере уже несерьезно))). Решил написать его сам. Получилось.Ну и теперь решил описать так, чтобы ЛЮБОМУ было понятно, кто хоть чуть-чуть видел powershell и знаком со скриптами.Итак. Чтобы создать кучу юзеров с кучей параметров в Active Directory требуется (помимо Windows Server 2008 R2 SP1 PowerShell 2.0.1.1):0. Разрешить выполнять скрипты в powershell — открыть powershell на контроллере домена и выполнить команд

Set-ExecutionPolicy Unrestricted

Не выполнив этой команды получим сообщение «выполнение скриптов запрещено для данной системы»1. Загрузить в powershell модуль управления Active Directory. Выполняем командуimport-module activedirectory
2. Создаем в MS Excel файлик с параметрами пользователей.  В верхней строке указано объяснение что это за параметр. Во второй строке указано  имя параметра — это реальная команда-параметр для командлета new-aduser. Далее в каждом столбце указано значение какого-либо параметра, который будет присвоен объекту при создании. В принципе все эти параметры можно посмотреть по команде get-help new-aduser -full. Я выбрал нужные мне и задал их значения:

Кому не видно — вот перечень столбцов через запятую, которые по-моему обязательны.Name,Password,Surname,GivenName,DisplayName,Description,Department,Title,Division,City,EmailAddress,ScriptPath,SamAccountNameВообще можно заполнить все параметры учетки, имена параметров можно уивдеть в свойствах учетки, на вкладке Редактор атрибутов (если такой вкладки нет — включаем дполнитиельные возможности в свойствах консоли ММС)При создании параметров нужно избегать точек, запятых и прочего мусора, который может быть воспринят как команда. Обязательным параметром следует сделать SamAccountName (спасибо комментирующему за поправку)Сохраняем файлик с расширением XLS (XLSX — для 2007). А потом сохраняем с расширением CSV (разделители — точка с запятой). Открываем файлик с расширением CSV в блокноте и сохраняем в другой кодировке — Unicode (а по умолчанию идет ANSI, которую powershell не переваривает и при выполнении выдаст ошибку). Имя сохраняемого и путь (для упрощения понимания последующих шагов) — C:scriptscreateuserbat.csv. Открываем файлик в каком-нибудь файловом менеджере и заменяем ВСЕ точки с запятой (;) на просто запятые — (,). Сохраняем. Не должно быть лишних пробелов, точек и прочего хлама. Проверять нужно тщательно.3. Открываем блокнот и вставляем туда вот этот код:Import-CSV -Path «C:scriptscreateuserbat.csv» | ForEach-Object -process {New-ADuser -Name $_.Name -Surname $_.Surname -City $_.City -Department $_.Department -GivenName $_.GivenName -Title $_.Title -Description $_.Description -DisplayName $_.DisplayName -Division $_.Division -EmailAddress $_.EmailAddress -MobilePhone $_.MobilePhone
-SamAccountName $_.SamAccountName -ScriptPath $_.ScriptPath -Path «ou=Users_Test,dc=Test,dc=ru» -CannotChangePassword $true -ChangePasswordAtLogon $false -PasswordNotRequired $true -AccountPassword (ConvertTo-SecureString -AsPlainText $_.Password -Force) -Company TEST}
Теперь подробнее. Разберем скрипт на куски:Import-CSV -Path «C:scriptscreateuserbat.csv»
— эта команда берет данные из файлика, котоый мы создали (и положили по указанному пути — в данном случае в C:scriptscreateuserbat.csv) и передает их…| ForEach-Object -process
— … в конвейер указанной далее команды (т.е. указанная далее команда отработает для всех строк нашего createuserbat.csv){New-ADuser
— команда уже знакомая и понятная — она создает пользователя с нужными атрибутами, которые перечисляются далее…
rn-Name $_.Name
— это атрибут «Имя» (по сути логин пользователя). Т.е. мы говорим команде New-ADUser взять параметр Name из файлика createuserbat.csv из столбца Name (указывается псевдоним $_.Name
).
rnДалее — все по аналогии. Обязательным параметром следует сделать SamAccountName
rn
rnНюансы — куда создается объект, его пароль и атрибуты, связанные с паролем. А также скрипт, выполняющийся при входе в систему.
rn
rnКуда создается объект (пользователь)?
rnЭто указывается параметром -Path «ou=Users_Test,dc=Test,dc=ru»
из которого мы видим, что создаваться он будет в контейнере (OU) Users_Test домена Test.ru. Тут надо подставить свое значение конечно. Я бы советовал держать пользователей не в Users, как это бывает по умолчанию, а в другом OU. Это упростит потом работы с политиками. Посмотреть путь до контейнера можно в консоли MMC Пользователи и компьютеры со включенными дополнительными параметрами
. Смотрим в редактор атрибутов, параметр distinguishedName.
rn
rnПароль и его атрибуты.
rn-CannotChangePassword $true  —
задаем параметр «Запретить смену пароля пользователем»
rn
rn-ChangePasswordAtLogon $false —
задаем параметр «Сменить пароль  при следующем входе в систему» в значение НЕТ
rn
rn-PasswordNotRequired $true —
задаем параметр «Требуется ли пароль для учетной записи» в значение ДА
rn
rn-AccountPassword (ConvertTo-SecureString -AsPlainText $_.Password -Force)
— задаем собственно сам пароль, включая возможность это делать из простого текстового значения, снимая атрибуты секретности, и передавая в конвейер значение столбца Password в файлике createuserbat.csv
rn
rnЭти три параметра рекомендую не менять — они зависят друг от друга (уже забыл как))) и надо просто их выполнить именно так)))
rn
rnСкрипт, выполняющийся при входе в систему.
rn-ScriptPath $_.ScriptPath

rnВ параметре прописано startuser.bat. Это обычный батник, которым очень удобно подключать сетевые диски, запускать какие-то уведомлялки на js, и прочая. Лежать должен в \DomainControllerNETLOGON.
rn
rnСохраняем файл с расширением PS1 в кодировке Unicode с именем CreateUser.PS1 в тот же каталог, куда и createuserbat.csv
rn
rn4. Запускаем файл CreateUser.PS1
rn
rn5. Учетные записи готовы, если их не видно в AD — обновите страницу консоли))) Однако все они выключены.   Выделяем их все и включаем одной командой по правой кнопке мыши. В принципе есть параметр -Enabled, использованного нами командлета New-ADUser, и ее можно добавить в конец списка параметров, но мне кажется удобнее включать учетные записи когда пользователь придет к администратору (т.е. ко мне) за листочком с учетными данными.
rn
rnЕсть и другие варианты создания пользователя  — с помощью questsoft и т.п., но если у вас Windows Server 2008 R2 SP1 PowerShell 2.0.1.1 — это работает, проверено.
rn
rnUPDATE 1
rnВсегда заменяйте разделители  — точки с запятой (;) на запятые(,)
rnUPDATE 2
rnВсегда проверяйте колчиество симоволов в пароле — одно должно соответствовать количеству символов в пароле, указнному в Default Domain Policy
rnUPDATE 3
rnОбязательным параметром следует сделать SamAccountName. Сделайте его равным параметру Name (т.е. логину)
rnUPDATE 4
rnКроме полей «описание» все остальные поля рекомендуется заполнять латинскими буквами, без пробелов, например buhgalteria_permskogo_otdelenia_banka
rnUPDATE 5
rnДля выполнения очень удобно использовать не стандартную строку powershell, а некий giud, встроенный в ОС и позволяющий боле удобно править скрипты, содвать странички и пр пр. Запускается просто: выполнить вводим команду

rnpowershell_ise
rn
rnи энтер. Если нет такого, не котрывается  — открывам powershell и вводим две 2 команды

import
-module
servermanager
rnadd
-windowsfeature
powershell
-ise

Tags:

  • powershell,
  • рабочее

  • 19 comments
  • Высказаться
  • Share
  • Link

Buy for 10 tokens

Journal information

  • Current price
    10 LJ Tokens
  • Social capital
  • Friends of
  • Duration
    24 hours
  • Minimal stake
    10 LJT
  • Rules
  • View all available promo

Сплав по р. Чуя — Катунь, май
У кого уж там родилась эта идея — не помню. НО мы решили ехать на весенний сплав на очень серьезные речки Алтайского края — Чуя и Катунь. Обе реки имеют пороги 4-5 категории сложности, некоторые из которых весьма трудно обнести, тем более если катамаран идет с грузом (рюкзаками) Нудить по поводу…

Profile

parafoxer

Latest Month

August 2019
S M T W T F S
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31

View All Archives

Links

  • Велосайтик Перми
  • Пермский форум
  • Один из самых старых и надежных веломагазинов
  • Юзерпики, аватарки вам в помощь
  • Лучший пермский кинотеатр

Tags

View my Tags page

Page Summary

  • : Вопрос…[+2]
  • : (no subject)
    [+3]
  • : (no subject)
    [+5]
  • : (no subject)
    [+0]
  • : (no subject)
    [+0]
  • : отображение имен[+0]
  • : этим же циклом добавить юзверей в группы a1 a2 b3[+2]

Categories

View my Categories page
Powered by LiveJournal.com



Администрирование Active Directory-2 часть. Создание пользователей при помощи оснастки ADUC

Администрирование Active Directory-2 часть. Создание пользователей при помощи оснастки ADUC

Всем привет хочется начать цикл статей относительно Active Directory на примере windows server 2008R2. В подавляющем большинстве случаев системные администраторы для создания основных принципалов безопасности предпочитают использовать оснастку «Active Directory – пользователи и компьютеры», которая добавляется в папку «Администрирование» сразу после установки роли «Доменные службы Active Directory» и повышения сервера до контролера домена. Этот метод является наиболее удобным, так как для создания принципалов безопасности используется графический пользовательский интерфейс и мастер создания учетных записей пользователя очень прост в применении. К недостатку данного метода можно отнести тот момент, что при создании учетной записи пользователя вы не можете сразу задать большинство атрибутов, и вам придется добавлять необходимые атрибуты путем редактирования учетной записи.

Как создать пользователя в Active Directory

Для того чтобы создать пользовательскую учетную запись, выполните следующие действия:

  • Откройте оснастку «Active Directory – пользователи и компьютеры». Для этого вам нужно открыть панель управления, в ней открыть раздел «Система и безопасность», затем «Администрирование» и в появившемся окне открыть оснастку «Active Directory – пользователи и компьютеры». Также вы можете воспользоваться комбинацией клавиш +R для открытия диалога «Выполнить» и в диалоговом окне «Выполнить», в поле «Открыть» ввести dsa.msc, а затем нажать на кнопку «ОК»;
  • В дереве оснастки, разверните узел своего домена и перейдите к подразделению, в котором будет создаваться пользовательская учетная запись. Для создания пользовательских учетных записей рекомендуется создавать дополнительные подразделения, после чего добавлять учетные записи пользователей в подразделения, отличающиеся от стандартного подразделения Users. Щелкните на этом подразделении правой кнопкой мыши и из контекстного меню выберите команду «Создать», а затем «Пользователь», как показано на следующей иллюстрации:

Создание пользователей при помощи оснастки ADUC-01

В появившемся диалоговом окне «Новый объект — Пользователь» введите следующую информацию:

  • В поле «Имя» введите имя пользователя;
  • В поле «Инициалы» введите его инициалы (чаще всего инициалы не используются);
  • В поле «Фамилия» введите фамилию создаваемого пользователя;
  • Поле «Полное имя» используется для создания таких атрибутов создаваемого объекта, как основное имя (Common Name) CN и отображения свойств имени. Это поле должно быть уникальным во всем домене, и заполняется автоматически, а изменять его стоит лишь в случае необходимости;
  • Поле «Имя входа пользователя» является обязательным и предназначено для имени входа пользователя в домен. Здесь вам нужно ввести имя пользователя и из раскрывающегося списка выбрать суффикс UPN, который будет расположен после символа @;
  • Поле «Имя входа пользователя (Пред-Windows 2000)» предназначено для имени входа для систем предшествующих операционной системе Windows 2000. В последние годы в организациях все реже встречаются обладатели таких систем, но поле обязательно, так как некоторое программное обеспечение для идентификации пользователей использует именно этот атрибут. Про то как добавить поле отчество читаем тут. После того как заполните все требуемые поля, нажмите на кнопку «Далее»:

Создание пользователей при помощи оснастки ADUC-02

На следующей странице мастера создания пользовательской учетной записи вам предстоит ввести начальный пароль пользователя в поле «Пароль» и подтвердить его в поле «Подтверждение». Помимо этого, вы можете выбрать атрибут, указывающий на то, что при первом входе пользователя в систему пользователь должен самостоятельно изменить пароль для своей учетной записи. Лучше всего использовать эту опцию в связке с локальными политиками безопасности «Политика паролей», что позволит создавать надежные пароли для ваших пользователей. Также, установив флажок на опции «Запретить смену пароля пользователем» вы предоставляете пользователю свой пароль и запрещаете его изменять. При выборе опции «Срок действия пароля не ограничен» у пароля учетной записи пользователя срок действия пароля никогда не истечет и не будет необходимости в его периодическом изменении. Если вы установите флажок «Отключить учетную запись», то данная учетная запись будет не предназначена для дальнейшей работы и пользователь с такой учетной записью не сможет выполнить вход до ее включения. Данная опция, как и большинство атрибутов, будет рассмотрена в следующем разделе данной статьи. После выбора всех атрибутов, нажмите на кнопку «Далее». Эта страница мастера изображена на следующей иллюстрации:

Создание пользователей при помощи оснастки ADUC-03

Создание пользователей при помощи оснастки ADUC-04

Как мы видим наш пользователь создан, теперь давайте дозаполним информацию о нем, учтите, что чем более точно и полно вы заполните информацию о нем, тем проще вам потом будет. Щелкнем два раза по нужному пользователю.

Общие. Данная вкладка предназначена для заполнения индивидуальных пользовательских атрибутов. К этим атрибутам относятся имя пользователя и его фамилия, краткое описания для учетной записи, контактный телефон пользователя, номер комнаты, его электронный ящик, а также веб-сайт. Ввиду того, что данная информация является индивидуальной для каждого отдельного пользователя, данные заполненные на этой вкладке не копируются;

Создание пользователей при помощи оснастки ADUC-05

Адрес. На текущей вкладке вы можете заполнить почтовый ящик, город, область, почтовый индекс и страну, где проживают пользователи, которые будут созданы на основании данного шаблона. Так как у каждого пользователя названия улиц обычно не совпадают, данные из этого поля не подлежат копированию;

Создание пользователей при помощи оснастки ADUC-06

Учетная запись. В этой вкладке вы можете указать точно время входа пользователя, компьютеры, на которые смогут заходить пользователи, такие параметры учетных записей как хранение паролей, типы шифрования и пр., а также срок действия учетной записи;

Создание пользователей при помощи оснастки ADUC-07

Создание пользователей при помощи оснастки ADUC-08

Члены групп. Здесь указывается основная группа и членство в группах.

-Создание пользователей при помощи оснастки ADUC-10

И вкладка организация, где можно задать принадлежность к отделу и компании.

Создание пользователей при помощи оснастки ADUC-09

Материал сайта Pyatilistnik.org

Авг 31, 2014 18:02

Ссылка на основную публикацию