Windows Server Active Directory Configuration

[بانو . ./]

.


CSVDE . ./



ابتدایی ترین ابزار برای Import و Export کردن اطلاعات از اکتیو دایرکتوری CSVDE است. بزرگ ترین مزیت CSVDE آن است که فایل خروجی آن می تواند در برنامه های SpreedSheet همانند Microsoft Excel باز شوند. موضوع قابل توجه آن است که CSVDE به عنوان یک ابزار Backup تلقی نمی شود. فایل خروجی CSVDE بر اساس CSV یا Comma Seprated Value است. CSVDE به کلمه های عبور کاری ندارد و بنابراین نمی توان با استفاده از آن Password ها را Export کرد.

CSVDE ها محدودیت های قابل توجهی دارند و نمی توانند برای ویرایش اطلاعات به کار گرفته شوند. ممکن است فایل CSV از Microsoft Exchange Server ابتدا Export شود و AD DS یا AD LDS لازم باشد Import شود. این سناریوی متداول در سازمان هایی است که Exchange Server استفاده می کردند و برای امنیت بیشتر قصد دارند از AD DS نیز استفاده کنند.

همچنین ممکن است در ملحق شدن شرکت ها به هم از این سناریو استفاده شود. با توجه به آنکه ساختار دایرکتوری Exchange با Active Directory یکسان نیست، لازم است نام Header برخی ستون ها تغییر کند. به عنوان مثال لازم است Display Name به displayName و obj-class به objectClass تغییر کند. برای استفاده از فرمان Command Prompt را با سطح دسترسی مناسب باز کنید. به عنوان مثال با یک اکانت عضو گروه Domain Admins در جستجوی منوی استارت تایپ کنید CMD و سپس Run As Administrator را از منوی right click روی آن بزنید. فرم کلی دستور به صورت زیر است:



Csvde [-i] [-f <FileName>] [-s <ServerName>] [-c <String1> <String2>] [-v] [-j <Path>] [-t <PortNumber>] [-d <BaseDN>] [-r <LDAPFilter>] [-p <Scope] [-l <LDAPAttributeList>] [-o <LDAPAttributeList>] [-g] [-m] [-n] [-k] [-a <UserDistinguishedName> {<Password> | *}] [-b <UserName> <Domain> {<Password> | *}]


سوییچ عملکرد

i به صورت پیش فرض دستور در Export Mode کار می کند. این سوییچ تعیین کننده Import Mode است. برای Export Mode نباید این سوییچ استفاده شود.
F تعیین نام فایل. در هر دو Mode
s تعیین دامین کنترلر
C جایگزین کردن تمام عبارت مشخص شده در رشته دوم به جای رشته اول. زمانی کاربرد دارد که از یک اطلاعات از یک دامین به یک دامین جدید Import می شوند و لازم است DN ها تغییر کند.
j تعیین محل قرار گیری Log File به صورت پیش فرض در مسیر مورد اشاره است.
U تعیین استفاده از uni Code
T تعیین پورت LDAP به صورت پیش فرض 389 است و پورت GC به صورت پیش فرض 3268 است.
r یک فیلتر LDAP برای Export اطلاعات می سازد.
d یک فیلتر بر اساس DN برای Export اطلاعات می سازد.
l لیستی از ویژگی های که در Export درج می شود را تعیین می کند.
o حذف کردن برخی از ویژگی ها. زمانی کاربرد دارد که از AD DS به دایرکتوری دیگری انتقال صورت می گیرد.




مثال 1: محتوای یک فایل CSV

objectClass,dn,givenName,sn,samAccountName,Descrip tion
user,distinguishedName,1stUserFirstName,1stUserSur name,FirstUserLogonName,Manager
user,distinguishedName,2ndUserFirstName,2ndUserSur name,SecondUserLogonName,President




مثال2: استفاده از سوییچ r برای Export کردن تمام کاربرانی که نام خانوادگی مشخصی دارند.

csvde -r (&(objectClass=User)(sn=Surname))





مثال 3: استفاده از سوییچ d برای Export کردن تمام اشیاء یک OU

csvde -d "ou=marketing,dc=contoso,dc=com" -f marketingobjects.csv




مثال 4: استفاده از سوییچ i برای Import کردن اطلاعات

csvde -i -f input.csv

توجه: از آنجایی که CSVDE از Password ها پشتیبانی نمی کند مقدار پیش فرض userAccountControl را در فایل CSV می توان به 514 ویرایش کرد تا اکانت کاربری Disable باشد. همچنین برخی از مدیران حتی در شرایطی که تمام اشیاء لازم باشد Import شود، عمل Export را برای اشیاء مختلف جدا انجام می دهند و ادعا می کنند که مدیریت ساده تر است.



به نقل از پورت 80




.

[بانو . ./]

.


LDIFDE . ./



مشابه CSVDE این دستور نیز برای import و export اطلاعات به کار می رود.
LDIFDE محدودیت های کمتری نسبت به CSVDE دارد اما توسط تعداد کمی از نرم افزار های پشتیبانی می شود. این دستور خروجی فایلی بر اساس LDIF یا LDAP Data Exchange Format دارد.

بر خلاف CSVDE این فایل نمی تواند در Excel باز شود اما در Text Editor های قابلیت باز شدن دارد. بزرگترین مزیت آن نسبت به CSVDE آن است که می توان با استفاده از آن یک شیئ را ویرایش و یا حتی پاک کرد.
البته امکان تغییر در عضویت گروه ها وجود ندارد. همانند CSVDE ، این دستور نیز با Password ها کاری ندارد. بنابراین نمی توان Password ها را با آن Export کرد. از LDIFDE برای گسترش Schema نیز می توان استفاده کرد. فرمت کلی دستور کاملا مشابه CSVDE است و سوییچ های یکسانی دارد.


Ldifde [-i] [-f ] [-s ] [-c ] [-v] [-j ] [-t ] [-d ] [-r ] [-p ] [-l ] [-o ] [-g] [-m] [-n] [-k] [-a ] [-b ] [-?]


زمانی که از LDIFDE برای ویرایش، حذف یا افزودن یک شیء استفاده می شود باید مقدار ChangeType در فایل LDIF ویرایش یابد. مقادیر add , modify و delete مقادیری هستند که این attribute ممکن است دریافت کند. به مثال زیر توجه کنید:


مثال ۵: تعیین مقدار ChangeType

DN: CN=SampleUser,DC=DomainName
changetype: add
CN: SampleUser
description: DescriptionOfFile
objectClass: User
sAMAccountName: SampleUser


مثال ۶: خروجی فقط DN ، CN ، نام و شماره تلفن در یک DN معین شده.
Ldifde -d dc=fabrikam,dc=com -r (objectClass=User) -l distinguishedname,cn,givenname,sn,telephone


مثال ۷: حذف کردن تاریخ ساخت و GUID شیئ از فایل
Ldifde -d dc=fabrikam,dc=com -r (objectClass=User) -o whenCreated,objectGUID




منبع : server2008
.

[بانو . ./]

.


شروع در Powershell . ./

Powershell یک رابط متنی بر اساس دستور مبتنی بر وظیفه است که از زبان های اسکریپی پشتیبانی به عمل می آورد. به جهت سهولت این ابزار جهت مدیریت روی Windows Server توصیه می شود.دستورات Powershell را cmdlets می گوییم و با استفاده از این ابزار قصد داریم عملیات پیچیده ای را با ساده ترین شکل ممکن روی Active Directory Domain Services انجام دهیم. در اینجا هدف ساخت اسکریپت نمی باشد و فقط از cmdlets ها استفاده می کنیم. اگر می خواهید در خصوص Powershell اطلاعات با عمق بیشتری به دست آورید، کتاب Windows PowerShell 2.0 Administrator’s Pocket Consultant نوشته ی William R. Stanek از انتشارات مایکروسافت می تواند به شما کمک کند. اطلاعاتی که در این سری مطالب ارائه می گردند، برای اکثر مدیریت ها روی Active Directory کفایت می کنند.


Powershell به صورت پیش فرض در Windows Server 2008/2012 نصب شده است و برای دسترسی به آن کافی است آیکون آن را از روی Task Bar باز کنید و یا در run وارد کنید: Powershell.exe




.

[بانو . ./]

.



ماژول ها در powershell . ./

Powershell به صورت خودکار از صد ها cmdlets پشتیبانی می کند و برای افزودن کارایی آن می توان از snap-inها یا Module (ماژول ها) استفاده کرد. یک ماژول عبارت است از پکیجی از cmdlets ها که لیست cmdlet های Powershell اضافه می گردد و قابلیت های جدیدی را در اختیار قرار می دهد. به صورت پیش فرض در زمان نصب سرویس، Active Directory Module در powershell اضافه شده است. علاوه بر cmdlets ها می توان از همان دستورات پیشین cmd نیز در powershell با همان syntax (نحو) استفاده کرد. cmdlet ها حساس به حروف بزرگ و کوچک نیستند.


برای نصب Active Directory Module ابتدا لازم است Remote Ser ver Administration Tools یا به اختصار RSAT را نصب کنید و سپس در Turn Windows Features On Or Off گزینه Active Directory Module For Windows PowerShell که تحت گزینه Remote Server Administration Tools در قسمت AD DS است را انتخاب کنید.


این Module در سمت کلاینت نصب می گردد و لازم است Active Directory Web Services روی حداقل یکی از دامین کنترلرها (DC) در دامین مورد نظر نصب شده باشد. ADWS در Windows Server 2008 R2/2012 به صورت خودکار در زمان Promote کردن DC نصب می گردد. اگر قصد دارید از نسخ پیشین استفاده کنید لازم است Active Directory Management Gateway Service را دانلود و نصب کنید.
جهت دسترسی به ابزار مجهز شده به Module می توانید Active Directory Module For Windows PowerShell موجود در Administrative Tools را باز کنید و یا در powershell وارد کنید:

Import-Module ActiveDirectory

[بانو . ./]

.

در ادامه لیستی از cmdlet های قابل اجرا در محیط powershell که جهت کار و مدیریت دایرکتوری سرویس می باشد رو براتون لیست کردم . بعد هم چند ابزار کاربردی جهت کار در محیط اکتیو دایرکتوری معرفی خواهد شد :


[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] . ./

Add-ADDomainControllerPasswordReplicationPolicy
Add-ADGroupMember
Clear-ADAccountExpiration
Disable-ADOptionalFeature
Enable-ADOptionalFeature
Get-ADAccountResultantPasswordReplicationPolicy
Get-ADComputerServiceAccount
Get-ADDomain
Get-ADDomainControllerPasswordReplicationPolicy
Get-ADFineGrainedPasswordPolicy
Get-ADForest
Get-ADGroupMember
Get-ADOptionalFeature
Get-ADPrincipalGroupMembership
Get-ADServiceAccount
Get-ADUserResultantPasswordPolicy
Move-ADDirectoryServer
Move-ADObject
New-ADFineGrainedPasswordPolicy
New-ADObject
New-ADServiceAccount
Remove-ADComputer
Remove-ADDomainControllerPasswordReplicationPolicy
Remove-ADFineGrainedPasswordPolicySubject
Remove-ADGroupMember
Remove-ADOrganizationalUnit
Remove-ADServiceAccount
Rename-ADObject
Restore-ADObject
Set-ADAccountControl
Set-ADAccountPassword
Set-ADDefaultDomainPasswordPolicy
Set-ADDomainMode
Set-ADForest
Set-ADGroup
Set-ADOrganizationalUnit
Set-ADUser
Unlock-ADAccount

————————————————� �———————




منبع : omid4admins

[بانو . ./]

دوستان به این تاپیک جتما سر بزنید :


[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

[بانو . ./]

خوب دوباره بعد ازیک وقفه کوتاه سلام . ./

+



برای نصب powershell روی ویندوز 7 : . ./


RSAT ( REMOTE SERVER ADMINISTRATOR TOOLS ) رو دانلود کنید

توی کنترل پنل کیک کنید روی PROGRAM and feature و انتخاب کنید turn windows feature on or off

expand کنید RSAT را و سپس EXPANT کنید AD DS و AD LDS را

انتخاب کنید مازول AD DS WINDOWS POWERSHELL

[بانو . ./]

.





ماژول ها . ./

Powershell به صورت خودکار از صد ها cmdlets پشتیبانی می کند و برای افزودن کارایی آن می توان از snap-inها یا Module (ماژول ها) استفاده کرد. یک ماژول عبارت است از پکیجی از cmdlets ها که لیست cmdlet های Powershell اضافه می گردد و قابلیت های جدیدی را در اختیار قرار می دهد. به صورت پیش فرض در زمان نصب سرویس، Active Directory Module در powershell اضافه شده است. علاوه بر cmdlets ها می توان از همان دستورات پیشین cmd نیز در powershell با همان syntax (نحو) استفاده کرد. cmdlet ها حساس به حروف بزرگ و کوچک نیستند.


برای نصب Active Directory Module ابتدا لازم است Remote Ser ver Administration Tools یا به اختصار RSAT را نصب کنید و سپس در Turn Windows Features On Or Off گزینه Active Directory Module For Windows PowerShell که تحت گزینه Remote Server Administration Tools در قسمت AD DS است را انتخاب کنید.


این Module در سمت کلاینت نصب می گردد و لازم است Active Directory Web Services روی حداقل یکی از دامین کنترلرها (DC) در دامین مورد نظر نصب شده باشد. ADWS در Windows Server 2008 R2/2012 به صورت خودکار در زمان Promote کردن DC نصب می گردد. اگر قصد دارید از نسخ پیشین استفاده کنید لازم است Active Directory Management Gateway Service را دانلود و نصب کنید.
جهت دسترسی به ابزار مجهز شده به Module می توانید Active Directory Module For Windows PowerShell موجود در Administrative Tools را باز کنید و یا در powershell وارد کنید:

Import-Module ActiveDirectory

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]


ماژول اکتیو دایرکتوری دارای بیش از ۷۶ cmdlets است که به خاطر سپردن آن ها امری دشوار خواهد بود. از این رو لازم است روش آنکه چگونه بتوان به cmdlet مورد نظر دسترسی پیدا کرد و از آن استفاده کرد بسیار حیاتی خواهد بود. با استفاده از دستور زیر می توانید لیست cmdlet ها را دریافت کنید.

Get-Command



cmdlet ها همیشه یه فرمت فعل-مفعول دارند. به عنوان مثال برای دریافت لیست پروسه های در حال اجرا کافی است دستور زیر را وارد کنید:

Get-Service

با استفاده از دستور زیر می توانید لیست تمام افعال به کار گرفته شده را ببینید. مفعول ها از یک استاندارد که توسط مایکروسافت معین شده اند استفاده می کنند به عنوان مثال تمام اسامی مربوط به Active Directory با AD آغاز می گردد.

Get-Verb

دستور زیر، لیستی از cmdlet های مربوط AD را فراهم می آورد:

Get-Command -Noun AD* | More

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

همانند cmd استفاده از more| سبب می شود نتایج به صورت صفحه بندی شده نمایش داده شود. روش بهتر برای نمایش cmdlet های یک ماژول استفاده از دستور زیر است:
Get-Command -Module ActiveDirectory

منبع : پورت 80

.

[بانو . ./]

.


پارامتر ها . ./

اکثر cmdlet ها دارای ورودی می باشند به آن ورودی ها پارامتر می گوییم. پارامتر ها با یک فاصله و یک – (dash) از cmdlet جدا می شوند و حساس به حروف کوچک و بزرگ نمی باشند. پارامتر Identity- در اکثر cmdlet های AD مورد استفاده قرار می گیرد و کاربرد آن تعیین distinguished name یا sAMAccountName است. sAMAccountName همان Pre-Windows 2000 Logon Name می باشد. پس از پارامتر مقدار آن مشخص می گردد. اگر حاوی فاصله است لازم است در کوتیشن ‘ ‘ قرار گیرد. به مثال زیر توجه کنید:
Get-ADGroupMember -Identity “cn=Sales,ou=Groups,dc=contoso,dc=com”
Get-ADGroupMember -Identity Sales




راهنما . ./

برای آنکه اطلاعاتی در خصوص هر cmdlet کسب کنید کافی است از دستور Get-Help استفاده کنید.
Get-Help cmdlet
Get-Help Get-ADGroupMember (مثال)




.

[بانو . ./]

.


اشیاء . ./

بر خلاف cmd که تنها یک متن خروجی دارد، خروجی در powershell می تواند یک شیئ یا به عبارت دیگر یک ساختار (construct) باشد. دستور زیر سبب می شود برخی از ویژگی های یک شیئ کاربر نمایش داده شود. مسئله قابل توجه آن است که خروجی فقط قدری نوشته نیست، بلکه حاوی یک شیئ است که می تواند برای یک عملیات به کار گرفته شود. اشیاء می تواند دارای Attribute و Method ها باشند.
Get-ADUser -Identity GetMe
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]


متغیر ها . ./

یک متغیر فضایی از حافظه است که می تواند جهت نگه داری یک مقدار یا شیئ به کار گرفته شود. در PowerShell متغیر ها با حرف $ آغاز می گردند. نام متغیر نیز Case-Sensitive نمی باشد. برای تعریف متغیر فرم عمومی زیر به کار می رود:

$variable = value

اکنون قصد داریم شیئ دریافت شده از دستور قبل را در یک متغیر قرار دهیم:


$catched= Get-ADUser GetMe




[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

اکنون قصد داریم با استفاده از متغیر ساخته شده، اکانت کاربر GetMe را Disable (غیر فعال) کنیم. برای آنکه قصد داریم مقداری را تنظیم کنیم، از فعل set در ابتدای cmdlet استفاده می شود:

Set-ADUser -Identity $user -Enabled $false



همانطور که حدس می زنید استفاده از متغیر در این مثال الزام آور نبود و امکان استفاده از دستور زیر نیز وجود داشت:
Set-ADUser -Identity GetMe -Enabled $false



PowerShell دارای تعدادی متغییر از پیش تعریف شده است به عنوان مثال، متغییر های true$ و false$ دو نمونه متغییر boolean هستند و یا متغیر $error شامل خطای عملیات می باشد.

خطوط لوله . ./

امکان pipe کردن اشیاء نیز وجود دارد. pipe کردن به آن معنا است که خروجی یک cmdlet به عنوان ورودی یک cmdlet دیگر به کار گرفته شود. به عبارت دقیق تر؛ یک pipline یا خط لوله، عبارت است از: یک کانال میان خروجی یک cmdlet که در یک خط دستور به یک cmdlet منتقل می گردد. به عنوان مثال، دستور فوق را می توان با این بیان نیز وارد کرد:

Get-ADUser GetMe| Set-ADUser -Enabled $false

دستور Get-ADUser شیئ یک کاربر را می گیرد و آن را از طریق لوله | به Set-ADUser منتقل می کند. یک مثال کاربری می تواند غیرفعال کردن تمام اعضای یک گروه باشد.

Get-ADGroupMember -Identity Sales | Set-ADUser -Enabled $false

در این مثال اگر گروه sales یک Nested Group باشد به این معنا که حاوی گروهی دیگری باشد، به دلیل عدم امکان اجرای قسمت دوم pipe دستور با خطا رو به رو می شود و می توان از روش فیلتر کردن خروجی ها با Where-Object این خطا را بر طرف کرد.







.