PowerShellV2介绍

1、PowerShell V2 介绍今天要为大家介绍的是和管理活动目录林和域对象有关的cmdlets。涉及到的名词有 ADDomain ADDomainController、ADDomainControllerPasswordReplicationPolicy 、ADDomainControllerPasswordReplicationPolicyUsage 、ADDomainModeADForest、 ADDirectoryServer 和 ADDirectoryServerOperationMasterRole 。我们可以使用以 下命令来得到包含这些名词的 cmdlets :Get-Comma

2、nd *ADDomain*,*ADForest*,*ADDirectory* -Module ActiveDirectory | Sort Noun | FT -a最后的返回结果中包含13个cmdlets :Get-Connand "fiDDonain*,*fiDPores-Module Act 1 Sort Haun I FTGowurndTypeHaneDefinitionCndHoue-AD&i.rectorySflruerHove-ADDlre.i,Cnd l«tHdve-ADDir-eer-Oper&t±terRa IfrMove-fiD

3、Dii-e.Cnd let.Cnd letGct-ADDonainGet-ADDomd.iGnd letGct-flDDvnaiA'Cvntrra lie rGnt-ADDar>ai«*CndletR«nove-nDtona inContro1lerFassHordR«pliGAtianPolicy Renoue-ADDa ««»Cr<1Add-fiDDvnAlnC<irit ra llv r?4S sworriRvp 1 icAt iunPo llcyftdd-ADDanrt £ *Cnd let

4、Cflt-ADDon&inCont teller Pas suor-dRfl pl icat ionPo lieGct-ADDori&i .,Cnd letC«t-(lDD»nAin4ntt*alLeirPA£awadFlepl icatLicsAJsAge Gut ADDooia!.Cnd letS«t-ADDDnj.inhadeS»t-RDDam.i.GndletSet-RDFartstSet-fiDForei.*Gnd letGct-flDFarestOdl*ghjC 嘲神踽潮5接下来将基于完成具体任务的方式来介绍名词部分

5、是ADDomain ADForest的cmdlets。? 对FSMOt机进行操作如果我们需要对FSMOt机进行操作则需要使用 Get-ADDomain Set-ADDomah Get-ADForest 及 Set-ADForest 这四个 cmdlets。首先来看看 Get-ADDomain能提供 给我们一些什么样的信息。A 1 lowcdlDHSSuF F Ixe-sCh ildDoPU insGanputersContainerDe let号AQbij匕Gt事加nt工信，六D ini sViCflMAnfrDNSRoatDurid inGo n trolls rsContainerDvri

6、nintlQd4DoRfllnSlDFore itrnS ecuritPrinci IsCcntAiHerFgrcstI nf rastructui'eMagL口三七LciynnJlc的l±c at ionlnterual LinhedGrottpFD .ir yObject ?La st AmdPo4mHCan t $ inoi-antOhjMctCI4 tcOhJdetGlllDParEntDori.AiriFIKEinMlAtvirQuofcasCo n t j»Re-ddOrtlt/RcplieADiectart/SeFuercRe pl icDi rect

7、ory ServersRI PPtaste rDonainh!,miinHA3 ter Donain3 FoFeatNade GlobdlGat4ilo9sPart iel0HsCflne&ihc RoolDorwi in Schei录tfrS itesEPN&ufFic PHSuFFixfE-DCfll.contoaa.can士 th.cantatacontft«o：indouc2803Fap«t <DC81. con tosa .coflj DCB2 >cam.aso xtom, D(33 Asia .contoso < ccnt>

8、;-o -帽nth:CN=P*fiitiafts,CW:iCofiFi?uratiom,DC=e«ntose,.DC-con；:RgL.con*8Q,:<DeF*ult-Fii'tt-£ ite-Mane>：<>：<>ghjconanitecn：ias lA.c0nteso .eon>：CH =Gonpnters,DC=contaso,DG=con：Ct<-Dc lot：od <jfejccts ft>C=CQntfl5Q,t>CUnE DC "contos o , DC-con£

9、 contoco.con：OU "Donain Controllcrs,DGcontoso P DC"cani VindoM3摘 in=S-12L-41551.02i-117B21fl370-203t&789fr：CN =FcreigrnSecuri.tyPrincipj*Ls,.DC-cotitoso,DCcon=C9TYtQ?f?TC9R二 DC01,cont a so.con.工 <CN-<31B2F340-01fcD-llDZ-945F-00CJ04FB9H4F95»CN vFq11g iem .GN琴-qwntQiSQ >DCw

10、gqh>:CN HlrO51 An dPciuriEl« DC «can|toi s q . DCdfiV酝s cantosos CWT8。i darKAnDHS! £2七 37442-5 7bB-4£ at-9224=f f 38d3ee9174*4-WXH .cant oso«cdih£ CN *NTD£ QuotasD1C4coiinifco£o , DC4coinii：1：二: Wtecn大家可以看到Get-ADDomain得到的信息还是很丰富的，比如子域的信息(ChildDomains ),域功能级

11、(DomainMode),操作主机(PDCEmulator RIDMaster) 等等。接下来我们来看看 Get-ADForest会得到哪些信息：|P£ C：X> Get-ADFarestA pplic«t iortPart It ions i 4 DC-Do n& inDns.Zunva r DCc untasd*. DCcOn, DC Don inDrtsZo n es ,DC*&s 1a ,DCeon tAsaDC-t0inR DCFarest DneZanes , DC-eantas oDCcanCrossFckt-estRefe rentes

12、 : O大家可以看到Get-ADForest为我们提供了林范围内的一些信息，接下来我们就来看 看如何得到FSMO1色所在的主机。具体命令如下:Get-ADDomain | fl PDC*,*MasterGet-ADForest | fl *MasterS C：GetADDomain ! fl PDC*,*Mastei*ftCEnu.la.toi*： DC01 .eontoso .comnfriAstFULct：iir>eMas：t£in - DC01 .contosO .corn1 Dllaster- DC91 - contoso . comS C：GetftDForest F

13、 1 *f|1a<ster町na±nN仇山at吁尸 ： DCi.GQnto&e-com：g用£&瓶。道臆5在得到FSM前机角色之后，相信大家接下来就会很好奇能不能使用PowerShell来转移FSMO1色了。当然从 Windows Server 2008 R2开始我们就可以不在使用 ntdsutil 或者图形界面来转移FSM加色了。在AD PowerShell模块中为活动目录 管理员准备了 Move-ADDirectoryServerOperationMasterRole cmdlet 来转移 FSMO 角色。下面我们就来看下如何使用这个cmdlet。

14、具体命令如下：Move-ADDirectoryServerOperationMasterRole -Identity dc01 -OperationMasterRole SchemaMaster执行效果如下，这里我们可以利用之前的命令来确定命令有没有执行成功PS C -X> Houe-ADD Li*«c to rpSBF'y&rOperait to nilas terRo Ledent it tlcBSfRoIk £clie naHaw tc r移动操作主机角色 物警务鬲爸,*1K'H*备移动到腰务器"中吗？tV J是tAl全是6(N

15、1CL)全否SI挂起小> ? 1 土跃解为C >：P£ CsV> C«tADForeat ! f 1ghjconanitecnDonainNn ingH<i5t«r ： DC91 _cantoso_con 5cJiem»Hfiatcr； VGdZ«caneosc«con这里需要注意的是Identity 参数，大家从Get-Forest返回的值来看肯定会认为用 代替dc02作为Identity 的参数值也是可以的。但实际上这并不 可行。原因在于此cmdlet在执行时会从CN=Configuration,dc=co

16、ntoso,dc=com 分 区中查找信息，也就是说如果我们想要以DN作为Identity 参数的值的话，那么需要使用类似以下形式的DNCN=DC01,CN=Servers,CN=Shanghai,CN=Sites,CN=Configuration,DC=contoso,DC=c om?修改单个用户将计算机加入域的上限数量相信很多朋友都知道，默认情况下域中的普通用户可以将10台计算机加入到域，超过这个上限之后便无法添加了。根据KB251335的说明，我们可以通过预先创建用户 的计算机账号，为用户授予计算机账号所在OU的添加/删除计算机对象权限，以及修改ms-DS-MachineAccountQ

17、uota这个属性来绕过这个限制。接下来就来看看如何 使用相关cmdlets来修改ms-DS-MachineAccountQuota这个属性。根据”获得对象，然后对其进行操作”的PowerShell ADModule的使用原则，首先要确定如何使用cmdlet来获得我们所需的对象。由于ms-DS-MachineAccountQuota 这个属性是域对象的一个属性，因此可以使用Get-ADDomai亦得到域对象。接下来 我们自然而然地会想到将得到的对象通过管道传递给Set-ADDomain来修改相关的属性值。默认情况下，Set-ADDomain并不直接提供与属性相对应的参数来修改属性 值，因此我们还

18、是和之前修改用户对象的属性一样，需要使用哈希表来表示需要进 行修改的具体属性值。命令如下：Get-ADDomain | Set-ADDomain -Replace "ms-ds-MachineAccountQuota" =1命令执行完之后，我们可以通过 ADUE的属性编辑器或者Sysinternals 工具包中 的ADExplorer来查看属性有没有修改成功：?修改林对象的UPNt缀 接下来我们来看看如何修改林的 UPN对于一部分朋友来说，在平时的工作中我们 可能不会太区分用户的用户登录名和用户登录名（ Windows2000以前版本），也就 是常见的 someoneexa

19、mple.corfe Examplesomeone这两种格式，或许会认为这两 种格式差别不大。当然在一个简单的域环境中这样认为是不错的。不过假设你的林 中有了父子域并添加相应的UPNt缀之后，可以使得我们在父域创建账号时能方便 的选择子域的UPNt缀，使得该账号能在子域中登录。接下来我们就来看看如何使 用相关的cmdlets来添加UPNB缀。首先需要明确的一点是修改UPNt缀是针对林的操作，换言之我们要得到的是林对 象，那么大家很快就会想到使用 Get-ADForest命令。接下来为了完成修改操作，我 们自然而然地会想到使用 Set-ADForest命令。然后要确认的就是 Set-ADFore

20、st是 不是存在之前Set-ADUser中类似的Add, Replace, Remov吃类的参数，然后使用 哈希表对象来修改属性值，还是直接有对应的参数来进行修改。这里比较庆幸的是 Set-ADForest有专用的参数 UPNSuffixes来修改UPNt缀名。不过UPNSuffixes参 数的属性值类型也是哈希表，但是和我们之前所看到 Add, Replace, Remov期数中 使用的“属性名= 值”形式的哈希表所不同的是，UPNSuffixes所使用的哈希表的形 式是“动词=UPNt缀名”。光这样说可能大家不是很理解，接下来我们就来看下具体示例。在我的测试环境中有及 两个域，为父子关系,接下来我们就用命令在 父域中添加子域的UPNt缀名。具体命令如下：Get-ADForest | Set-ADForest -UPNSuffixes add=" -Verbose命令的执行效果如下:S C>> CetflDFo* rest : SetAIlForB&t Hl FNStiF f a& EK Ad