更好地管理 Active Directory 的 10 个 PowerShell 命令

PowerShell 的开发是为了简化和自动化 Active Directory 等操作系统中的 IT 操作和管理任务，从而节省大量时间和精力。

PowerShell 能够与服务和应用程序集成，帮助管理员完全控制客户端和服务器的管理。随着底层框架的每次更新，PowerShell 变得更加先进，并且提供更多功能。

更好地管理 Active Directory 的 10 个 PowerShell 命令

考虑到这一点，让我们看一下一些最常用的 PowerShell cmdlet，它们可以帮助您简化和自动化 Active Directory 的管理。

开始之前，您必须导入模块 Active Directory。如果不将相应的模块导入 PowerShell 会话，您将无法运行以下列表中的任何 cmdlet。

1. 创建一个新的计算机对象

使用 New-ADComputer PowerShell cmdlet 创建新的计算机对象

New-ADComputer -Name "ComputerName" -SamAccountName "ComputerName" -Path "OU=Computers,DC=Domain,DC=com"

不要忘记，您需要指定计算机名称和 Sam 帐户名称才能使该脚本正常工作。在路径边界之后，您需要在引号中指定可分辨名称（要在其中创建对象）。

2. 创建新的安全组

使用 New-ADGroup PowerShell cmdlet 创建新组

New-ADGroup -Name "Security Group Name" -SamAccountName "SecurityGroupName" -GroupCategory Security -GroupScope Global -DisplayName "Security Group Name" -Path "CN=Groups,DC=Domain,DC=com" -Description "Brief description of what the security group is used for"

3. 创建新用户帐户

使用 New-ADUser PowerShell cmdlet 创建新用户

New-ADUser -Name "User Account Name" -SamAccountName "UserAccountName" -AccountPassword (ConvertTo-SecureString "password" -AsPlainText -Force) -DisplayName "User Name" -Enabled $True -GivenName "FirstName" -Path "CN=Users,,DC=Domain,DC=com" -Server "controller.domain.com" -Surname "LastName" -UserPrincipalName "[email protected]"

New-ADUser 没有很多强制参数，但您可以在创建新用户时使用不同的参数。阅读更多

4. 创建一个新的组织单位

使用 New-ADOrganizationalUnit PowerShell cmdlet 创建新的 OU

New-ADOrganizationalUnit -Name "OU Name" -Path "DC=Domain,DC=com"

5. 在组中添加/删除用户或计算机对象

使用 Add-ADGroupMember PowerShell cmdlet 添加新成员

Add-ADGroupMember SecurityGroupName -Members Username01

使用Remove-ADGroupMember PowerShell cmdlet 删除成员

Remove-ADGroupMember SecurityGroupName -Members Username01

6.查找本地存储的密码

使用 Get-AdmPwdPassword PowerShell cmdlet 查找本地存储密码

Get-AdmPwdPassword -ComputerName "computer.domain.net"

为此，那些想要以更简单的方式搜索计算机对象中存储的密码的人，需要实施 Microsoft 的本地管理员密码解决方案 (LAPS)。它是免费的，并且是在单个报告中显示详细信息的绝佳方式，而不必通过每个对象来获取密码。

7. 将计算机添加到域

用于添加新计算机的用户 Add-Computer PowerShell cmdlet

Add-Computer -DomainName "domain.com" -Credential Domain\Username -Restart -Force

8. 启用或禁用用户、计算机和服务帐户

Enable-ADAccount -Identity "ComputerName"

Disable-ADAccount -Identity "Username"

9. 解锁用户帐户

使用 Unlock-ADAccount PowerShell cmdlet 解锁帐户

Unlock-ADAccount -Identity "Username"

10.查找不活跃的用户

使用 Search-ADAccount -AccountInActive PowerShell cmdlet 查找 Active Directory 中的非活动帐户并将其导入 CSV 中。

Search-ADAccount -AccountInActive -TimeSpan 90:00:00:00 -ResultPageSize 2000 -ResultSetSize $null | ?{$_.Enabled -eq $True} | Select-Object Name, SamAccountName, DistinguishedName | Export-CSV “C:\Temp\InActiveUsers.CSV” -NoTypeInformation

大量不活跃用户可能会严重增加组织的潜在攻击面。攻击者经常使用这些帐户来利用权限并在网络中横向移动。上述 cmdlet 允许您识别这些非活动用户。此 cmdlet 有一个时间范围来确定哪些用户在过去 90 天内处于非活动状态，并将列表导出到 CSV 文件中。

这些 PowerShell 命令应该可以帮助您进一步改进 Active Directory 的基本管理。如果您需要更多地了解 AD 中发生的更改，请查看 Lepide Active Directory Auditor 如何帮助您。