Active Directory Archiwum

Powershell: jak znaleźć (i skasować) puste grupy w AD?

Niedawno pisałem o wyszukiwaniu grup W AD. Niedługo potem, sam brałem udział w porządkowaniu grup AD w swojej firmie, gdzie celem było znalezienie i skasowanie pustych grup, co oczywiście jest świetną okazją do rozwinięcia poprzedniego wpisu. Puste grupy można znaleźć na kilka sposobów. Ja proponuję naki oto warunek: Get-ADGroup -Filter * -Properties Members | where { $_.Members.Count -eq 0 } Możemy zawęzić

Powershell: Lista grup we wskazanym OU

Dzisiaj kilka słów o Powershellu w kontekście znajdywania grup w Active Directory. Choć tego typu obiekty można wyszukiwać również w interfejsie graficznym (np. przystawką Active Dirtectory Users and Computers), konsola PS daje ogromne możliwości filtrowania wyników i zapisywania ich. Za znajdywanie grup w AD odpowiada cmdlet “Get-ADGroup”. To polecenie zwróci nam wszystkie grupy w AD wraz z podstawowymi informacjami (typ, ścieżka OU, nazwa): Get-ADGroup -Filter

Lista kontrolerów domeny i site’ów w Powershell

Niedawno podpowiedziałem jak w CMD można znaleźć listę kontrolerów domeny i site’ów i jeden z naszych czytelników poidpowiedział, że w powershellu będzie „nowocześniej” (dzięki Grzesiek!). (Get-ADForest).Domains | %{ Get-ADDomainController -Filter * -Server $_ } Od siebie dodam, że polecenie Grześka zwraca mnóstwo dodatkowych informacji. Administartor, który chce konkretnie sprawdzić np. jakie konkretnie kontorlery domeny przypisane są do do danej lokalizacji, na pewno uzna za praktyczne możliwość zrzucenia wszystkich

System Operacyjny wskazanego konta komputera (dsquery.exe)

Sprawdzenie systemu operacyjnego na zdalnej maszynie Windows można wykonać na dziesiątki sposobów (na przykład za pomocą PSINFO), zwłaszcza, jeśli ta jest dostępna przez sieć. Co jeśli mamy jakieś konto w komputera w domenie i nie mając dostępu do niego chcemy sprawdzić jaki ma system operacyjny? Polecam DSQUERY z pakietu RSAT: dsquery * -filter „(&(objectClass=Computer)(objectCategory=Computer)(sAMAccountName=NAZWA_KOMPUTERA$))” -attr sAMAccountName operatingSystem ..i przykładowy wynik: sAMAccountName operatingSystem NAZWA_KOMPUTERA$ Windows

Jak sprawdzić poziom funkcjonalny domeny? (powershell)

Poziom funkcjonalny domeny możemy sprawdzić na przykład za pomocą powershella: PS F:\> Get-ADDomain | fl Name,DomainMode Name : corp DomainMode : Windows2008R2Domain To samo możemy również sprawdzić za pomocą DSQUERy z pakietu RSAT (patrz tutaj)

Czy konto użytkownika domenowego jest zablokowane?

Miewacie czasem problemy z uwierzytelnieniem, które wynikają z zablokowania konta? Istnieje szybki sposób na sprawdzenie czy dane konto domenowe jest aktywne. W wersji anglojęzycznej systemu, wpisujemy polecenie: NET USER login_użytkownika /DOMAIN | FIND /I „Account active” W wersji polskiej: NET USER login_użytkownika /DOMAIN | FIND /I „Konto jest aktywne” Oczywiście wszystko po znaku pipe „|” służy do odfiltrowania zbędnych wersów, i jest opcjonalne.

Powershell – Import modułu AD

Niedawno pisałem o tym, jak za pomocą powershell’a, sprawdzić w domenie konta, które są zablokowane. Wspominałem wtedy, że niezbędny jest import modułu AD. Od wersji 3 w górę, takowy import wykonuje się automatycznie, gdy wywołujemy któryś z cmdletów związany z AD. W starszych wersjach Powershell robi się to tak: 1) Najpierw, musimy pobrać pakiet RSAT. O tym, gdzie go znaleźć, pisał niedawno Łukasz. 2) Po zainstalowaniu, uruchamiamy przystawkę

Jak znaleźć login użytkownika domenowego znając jego nazwisko? (dsquery.exe)

Niedawno podpowiedziałem jak znaleźć pełną nazwę konta po loginie, dzisiaj zrobimy coś odwrotnego: znajdziemy login na podstawie nazwiska (zakładamy że nazwisko jest częścią NAZWY KONTA). Możemy skorzystać z DSQUERY i DSGET z pakietu RSAT: DSQUERY USER -name *kowalski* | DSGET USER -samid -display Wynik będzie podobny do tego:      samid display      jkowal12 Jan Kowalski dsget succeeded

Jak znaleźć pełną nazwę konta znając login użytkownika? (dsquery.exe)

Loginy użytkowników nie zawsze wskazują nazwisko posiadacza. Znając login użytkownika możemy chcieć znaleźć jego imię i nazwisko, a w praktyce jest to po prostu pełna nazwa konta domenowego. Jak więc przetłumaczyć login na nazwę konta? Możemy skorzystać z DSQUERY i DSGET z pakietu RSAT: DSQUERY USER -samid *login* | DSGET USER -samid -display Wynik będzie podobny do tego: DSQUERY USER -samid user234 | DSGET

Lista zablokowanych kont użytkowników domenowych (powershell)

Niedawno Łukasz, pisał o sposobie, na szybkie znalezienie użytkowników, których hasła nie wygasają w domenie. Wszystko w oparciu o DSQUERY z pakietu RSAT. Dziś podam szybki sposób, na znalezienie użytkowników, których konta są zablokowane – użyjemy do tego PowerShell’a (oczywiście trzeba mieć zaimportowany moduł AD ) get-aduser -filter * -searchbase „OU=sample,DC=fabricam,DC=com” | where {$_.Enabled -eq „False”} | select Name,UserPrincipalName