silvesterlangen.de
AD Benutzerverwaltung
Userverwaltung im ActiveDirectory geht natürlich auch in der Powershell. Die Befehle sind etwas anders als in der Eingabeaufforderung. Desshalb hier noch mal aufgezeigt wie das funktioniert:
Zunächst muss man die PowerShell öffnen. Dann erst mal das PowerShell-Modul für den ActiveDirectory laden, damit man damit arbeiten kann.
Import-Module ActiveDirectory
Schauen wir uns an, was das Module ActiveDirectory mitgebracht hat:
Get-Command -Module ActiveDirectory
Wir rufen die PS-Drives auf mit:
Get-PSDrives und dann dir eingeben, um zu sehen was alles verfügbar ist. Dann als nächstes schauen wir, dass wir ins Verzeichnis vom ActiveDirectory wechseln. Das geht mit:
cd AD:
Den Doppelpunkt am Ende nicht vergessen, da es sonst nicht funktioniert.
Ab jetzt, wenn man sich im AD bewegt wird nur noch der Distinquished Name verwendet. Das schaut dann wie folgt aus, wenn man in die Domäne wechselt:
cd '.\dc=langen,dc=local'
Das Bewegen innerhalb der OU geht so:
cd .\OU=Test
Wir erstellen innerhalb der OU Test die OU Powershell mit folgendem Befehl:
md ou=Powershell
Dann wechseln wir in diese OU hinein mit cd ou=Powershell
Mit Get-Command lassen wir uns anzeigen welche Befehle uns innerhalb der OU zur Verfügung stehen.
Benutzer anlegen:
Innerhalb dieser OU legen wir nun Benutzerkonten an. Das geht mit folgenden Befehlen:
New-aduser -name "Karl Käfer" -path "ou=Powershell, dc=langen,dc=local" -samAccountname "k.kaefer"
Eine Liste mit allen Möglichkeiten wie Vorname, Nachname, Abteilung, Company etc findet sich hier.
Benutzer manipulieren:
Wir müssen noch das Passwort für Karl Käfer ändern. Das Problem dabei ist, dass dann in der Kommandozeile ein verschlüsseltes Passwort eingesetzt werden muss und nicht das Passwort im Klartext. Dafür nutzen wir eine Kommando-Substitution, die uns an der richtigen Stelle das verschlüsselte Passwort zurück gibt. Diese Stelle ist dann unterschrichen, um die Kommando-Substitution anzuzeigen:
set-AdAccountPassword -Identity "k.kaefer" -reset -newPassword (ConvertTo-SecureString -ASplaintext "P@ssw0rd" -force)
Wir überprüfen, ob die Eingaben auch das bewirkt haben, was wir haben wollten mit:
dir oder etwas umständlicher, falls man nicht im richtigen Directory ist, aber prüfen will:
Get-AdUser -searchBase "ou=Powershell,dc=langen,dc=local" -filter *
Unser Karl Käfer muss nun dabei sein. Mehr Informationen zu Get-AdUser findet sich hier.
Benutzer löschen:
Remove-ADUser -Identity "t.mueller"
Mehr zu dem Thema findet sich dann hier.
Zusatz:
In großen Unternehmen werden gerne Vorlagen (Templates) zum anlegen von Usern verwendet. So ein Template lässt sich natürlich auch in der PowerShell verwenden.
Nehmen wir an, dass wir eine Vorlage haben, die da heißt _Supportmitarbeiter und wir wollen mit dieser Vorlage einen neuen User anlegen. Dann geht das mit folgenden zwei Schritten.
1) Erstellen einer Variable, die das Templatekonto (die Vorlage _Supportmitarbeiter) enthält:
$vorlage = Get-ADUser "cn=_Supportmitarbeiter,ou=Support,dc=langen,dc=local" -properties Department, Company
2) Danach die NewADUser-Zeile wie folgt:
New-ADUser "Hilfs-Admin" -path "ou=Support,dc=langen,dc=local" -Instance $vorlage -name "Dieter Mertens" -samaccountname "dmertens"
Die Gruppenmitgliedschaften werden allerdings nicht mit übernommen. Man kann das dann nachholen mit:
$groups=Get-ADPrincipalGroupMembership "cn=_Supportmitarbeiter,ou=Support,dc=langen,dc=local"
add-ADPrincipalGroupMembership "cn=hilfs-admin,ou=Supportmitarbeiter,dc=langen,dc=local" -MemberOf $groups
Man liest quasi die Gruppenzugehörigkeit mit Get-ADPrincipalGroupMembership aus, speichert das in eine Variable und liest die Variable mit add-ADPrincipalGroupMembership ein, um sie zu übergeben.
Computer anlegen:
new-adComputer -name desktop124 -path "ou=Clients,dc=langen,dc=local"
