Поиск неактивных компьютеров в active directory
Общие операции.
Практически все объекты Active Directory поддерживают стандартный набор операций: создание, удаление, изменение свойств, переименование, перемещение в другой контейнер и т. п. Часть этих операций была рассмотрена выше, т. к. их выполнение существенным образом зависит от типа объекта (создание, свойства и т. п.). В этом разделе будут рассмотрены те операции, выполнение которых не зависит от типа объекта.
Помимо общих операций, окна свойств большинства объектов Active Directory содержат стандартный набор вкладок. Внешний вид вкладки Общие зависит от типа объекта, поэтому изменяемые на ней атрибуты были рассмотрены выше. Вкладка Управляется для всех объектов Active Directory идентична и будет рассмотрена в этом разделе.
Включение режима дополнительных функций.
По умолчанию вкладки Объект и Безопасность не отображаются в окнах свойств объектов Active Directory. Чтобы получить к ним доступ, необходимо включить режим дополнительных функций — в меню Вид консоли управления Active Directory — пользователи и компьютеры установите флажок Дополнительные функции.
Режим дополнительных функций сохраняется при закрытии консоли управления, и при следующем запуске консоли его включение не требуется.
Общие свойства.
Окна свойств всех объектов Active Directory, за исключением учетных записей пользователей и контактов, содержат вкладку Управляется, которая предназначена для указания пользователя, ответственного за управление объектом.
При помощи сведений, приведенных на этой вкладке, пользователи могут узнать, с кем и как можно связаться по поводу изменения свойств или управления объектом. Если указан пользователь или контакт, ответственный за управление объектом, то основные сведения, необходимые для того, чтобы связаться с ним, выводятся на вкладке Управляется. Полные сведения о пользователе можно просмотреть, щелкнув кнопку Свойства.
Для изменения пользователя, ответственного за управление объектом, щелкните кнопку Изменить и выберите нужного пользователя в появившемся окне. Чтобы удалить информацию об управлении объектом, щелкните кнопку Удалить.
Если у объекта нет сведений об управляющем им пользователе, то принято считать, что это пользователь, управляющий родительским объектом.
Вкладка Объект присутствует у всех объектов Active Directory при включенном режиме дополнительных функций и позволяет узнать, когда был создан и изменен объект, а также его полное имя в каталоге Active Directory.
Поля Исходный USN и Текущий USN отвечают за репликацию объекта на другие контроллеры домена. Каждый контроллер домена имеет свой собственный счетчик USN (Update Sequence Number, последовательный номер обновления). При создании объекта ему присваивается текущий USN контроллера домена, после чего последний увеличивается на 1. При изменении значения атрибута объекта USN контроллера домена увеличивается на 1 и записывается как текущий USN объекта. При изменении нескольких свойств USN увеличивается на единицу при изменении каждого свойства.
Каждый контроллер домена имеет информацию о последнем USN всех остальных контроллеров домена, полученном во время последней репликации. При очередной репликации запрашивается текущий USN контроллера домена. Если значение USN изменилось с момента последней репликации, то запрашивается репликация всех изменений с USN больше предыдущего. Это позволяет значительно уменьшить трафик репликации, т. к. реплицируются только те атрибуты объектов, которые были изменены.
Вкладка Безопасность присутствует у всех объектов Active Directory при включенном режиме дополнительных функций и позволяет управлять разрешениями для объекта.
Переименование.
Имена объектов каталога Active Directory нельзя изменить через окна их свойств. Чтобы переименовать объект, в дереве консоли управления Active Directory — пользователи и компьютеры щелкните нужный объект правой кнопкой мыши и в контекстном меню выберите Переименовать. Также можно выделить объект и нажать клавишу F2.
Процесс переименования осуществляется в два этапа. На первом вы изменяете или вводите заново имя объекта и нажимаете клавишу Enter. На втором этапе для большинства объектов будет предложено исправить ряд атрибутов, связанных с именем объекта.
Например, для учетной записи пользователя будет предложено исправить Фамилию, Имя, Имя для входа. Обычно окно, отображаемое при переименовании объекта, аналогично окну, отображаемому при создании нового объекта того же типа.
Переименование объекта абсолютно безопасно, т. к. при этом не изменяется ни один из внутренних идентификаторов объекта. Так как при ссылке одних объектов каталога на другие (допустим, при включении пользователей в группы) используются идентификаторы безопасности или GUID, то при переименовании объект не теряет своих связей с другими объектами.
Перемещение в контейнер.
При реструктуризации каталога возникает необходимость перемещения объектов из одного контейнера Active Directory в другой. Для этого в дереве консоли управления Active Directory — пользователи и компьютеры щелкните нужный объект (или несколько объектов) правой кнопкой мыши и в контекстном меню выберите Переместить.
В появившемся окне отображаются все контейнеры текущего домена, выберите нужный и щелкните кнопку ОК.
Перемещение объекта абсолютно безопасно, т. к. при этом не изменяется ни один из внутренних идентификаторов объекта. Так как при ссылке одних объектов каталога на другие (допустим, при включении пользователей в группы) используются идентификаторы безопасности или GUID, то при перемещении объект не теряет своих связей с другими объектами. Однако при выборе контейнера, в который будут перемещены объекты, принимайте во внимание системные политики, действующие в нем на объекты.
Удаление.
Чтобы удалить объект каталога, в дереве консоли управления Active Directory — пользователи и компьютеры щелкните нужный объект правой кнопкой мыши и в контекстном меню выберите Удалить. Также можно выделить объект и нажать клавишу Delete. После дополнительного подтверждения объект будет удален.
Будьте внимательны при удалении объектов — в Active Directory это необратимый процесс.
Будьте осторожны при удалении учетных записей пользователей, компьютеров и групп — эти объекты имеют уникальный идентификатор системы безопасности, который используется при назначении разрешений и привилегий. При удалении пользователя и создании нового пользователя с тем же именем и теми же атрибутами будет утеряна вся информация о его членстве в группах и разрешениях, назначенных непосредственно пользователю. Поэтому не удаляйте учетные записи пользователей, которые давно не регистрировались в сети. Если есть вероятность того, что пользователь может продолжить работать в сети, отключите его бюджет — при необходимости вы сможете его включить.
Прочие операции.
Каталог Active Directory является расширяемым, поэтому при установке различных программных продуктов в нем могут появляться не только новые объекты, но и новые классы объектов. Кроме того, различные продукты могут добавлять функции в консоли управления Active Directory. Например, Microsoft Exchange Server 2000 не только расширяет схему Active Directory (внося в нее порядка 800 изменений), но и добавляет новую функциональность в консоль управления Active Directory — пользователи и компьютеры — в контекстные меню добавляются новые команды, а в окна свойств — новые вкладки.
Обычно все операции, изменяющиеся в зависимости от типа объекта и установленных дополнительных программных продуктов, сгруппированы в верхней части контекстного меню, вызываемого щелчком объекта правой кнопкой мыши. Кроме того, все возможные операции над объектом, включая реализуемые дополнительными программными продуктами, сгруппированы в подменю Все задачи.
Поиск объектов.
Для упрощения работы с каталогом Active Directory консоль управления Active Directory — пользователи и компьютеры позволяет осуществлять поиск объектов по различным критериям в пределах определенного контейнера. Чтобы вызвать окно поиска объекта каталога, в дереве консоли управления Active Directory — пользователи и компьютеры щелкните контейнер, с которого хотите бы начать поиск, правой кнопкой мыши и в контекстном меню выберите Найти.
В появившемся окне задайте часть имени объекта (в поле Имя) и/или описания объекта (в поле Описание). Поиск осуществляется по начальным символам введенной строки. В раскрывающемся списке Найти вы можете указать, объекты каких типов требуется увидеть в результатах поиска.
По умолчанию поиск осуществляется в контейнере (включая подчиненные), для которого вы вызвали операцию поиска, но можно изменить область поиска при помощи раскрывающегося списка В или кнопки Обзор.
При необходимости можно задать расширенные условия поиска, перейдя на вкладку Дополнительно окна поиска.
Для задания условия поиска щелкните кнопку Поле, после чего выберите интересующее вас поле объекта, которое должно быть включено в условие. В раскрывающемся списке Условие выберите условие, по которому будет проверяться значение выбранного поля. В поле Значение введите значение, на соответствие которому будет проверяться выбранное поле. После того как условие поиска сформировано, щелкните кнопку Добавить. При поиске все условия в списке объединяются логической операцией И.
После того как вы задали все необходимые условия и область поиска, щелкните кнопку Найти. В зависимости от того, осуществляется поиск в пределах одного домена или нет и задействованы ли в условиях поиска атрибуты объектов, публикуемые в ГК, процесс поиска может занять от нескольких секунд до нескольких минут. В процессе поиска найденные объекты отображаются списком в нижней части окна поиска.
Вы можете остановить поиск, щелкнув кнопку Остановить. Кнопка Очистить все очищает список результатов поиска и все условия поиска, возвращая окно поиска в исходное состояние.
Вы можете выполнять многие операции над найденными объектами, не покидая окна поиска, прямо из списка с результатами поиска. Все необходимые для этого операции содержатся в контекстном меню найденных объектов.
Active Directory: пользователи и компьютеры
Для того чтобы узнать distinguishedName контейнера с экземпляром системы вы можете воспользоваться оснасткой Active Directory: пользователи и компьютеры (Active Directory: Users and Computers):
- Запустите Active Directory: пользователи и компьютеры (Active Directory: Users and Computers), откройте пункт меню Вид (View) и выберите Дополнительные компоненты (Advanced features).
- Перейдите к контейнеру внутри которого расположен экземпляр системы, откройте контекстное меню и нажмите на пункт Свойства(Properties).
- Перейдите на вкладку Редактор атрибутов(Attribute Editor), найдите атрибут distinguishedName и нажмите на кнопку Просмотр(View).
- Cкопируйте содержимое поля Значение:(Value:) и отправьте закрепленному за вашей организацией менеджеру или в службу технической поддержки support@indeed-id.com
Автоматический аудит компьютеров в Active Directory через powershell.
В данной статье мы рассмотрим как автоматически проводить аудит компьютеров в Active Directory.
Я думаю многие системные администраторы ломали голову как вести учет за каким ПК какой пользователь работает, особенно если имена ПК статичны.
Для решения данной проблемы воспользуемся PowerShell.
Алгоритм данного скрипта будет таким:
1) Делаем выборку по всем пк, которые попадают под фильтр
2) Проверяем какой пользователь в настоящий момент работает за ПК
3) Переводим полученные данные в удобный формат
4) Записываем данные в отчет
5) Добавляем в описание компьютера имя пользователя
Внимание, данный скрипт подойдет тем администраторам, у которых рабочие места пользователей статичны.
Если в вашей организации пользователи постоянно пересаживаются с места на место, такой подход будет неудобен.
Однострочный PowerShell для поиска неактивных компьютеров в AD
Мне нужен один вкладыш AD powershell, который вернет все активные компьютеры (последний вход в систему > 30 дней).
Я могу сделать все вышеперечисленное, но в идеале мне нужен один лайнер для включения в структуру, которая выполняет список запросов. Я думал, что ниже будет работать:
Но я получаю сообщение об ошибке «. значение аргумента «путь» недействительно»
3 ответов
Если у вас очень большой домен или ваш домен имеет ограничения, настроенные на то, сколько элементов может быть возвращено за поиск, вам, возможно, придется использовать подкачку.
обратите внимание, что свойства могут иметь несколько значений, поэтому мы используем Properties[«name»].Count для проверки количества значений.
чтобы улучшить ситуацию еще больше, используйте the PropertiesToLoad коллекция, чтобы поисковик знал, какие свойства вы собираетесь использовать заранее. Это позволяет поисковику только читать данные, которые фактически будут использоваться.
отметим, что DirectoryEntry и DirectorySearcher объекты должны правильно распорядиться, чтобы высвободить все используемые ресурсы. Его лучший покончено с using предложения.
Полеzные ключи командлета Get-ADComputer
Что вам еще может пригодиться у команды Get-ADComputer, это больше для себя подскаzка. Напоминаю, чтобы им воспольzоваться, нужно zагруzить модуль Active Directory, череz команду
Теперь можно получить справку по команду Get-ADComputer, череz команду:
Как видите, у команды очень много ключей и богатые воzможности.
Я очень часто ее испольzую, когда мне нужно получить о компьютерной учетной zаписи максимальное количество данных, вот пример.
Get-ADComputer -Identity DESKTOP-2C4R0V6
В данном выводе команды вы увидите основные zначения:
- DistinguishedName
- SID >кто не вкурсе что такое SID , то смотрите по ссылке.
- DNSHostName
Если вам вдруг не хватает данных, то вы можете вывести все доступные поля.
Get-ADComputer -Identity DESKTOP-2C4R0V6 -Properties *
Если хотите вывести конкретные поля, то выполните вот такую конструкцию, череz | перечисляются нужные поля
Get-ADComputer -identity DESKTOP-2C4R0V6 -Properties * | FT Name, LastLogonDate -Autosize
Выше я писал уже, о том как сделать вывод всех компьютеров по параметрам, но тут то же продублирую в более простом виде. В качестве zначений, так же можете укаzывать, все что вам нужно.
Get-ADComputer -Filter * -Properties * | FT Name, LastLogonDate -Autosize
Выберем все компьютеры с операционной системой Windows 10
Get-ADComputer -Filter < OperatingSystem -Like ‘*Windows 10*’ >-Properties OperatingSystem | Select Name, OperatingSystem | Format-Table -AutoSize | Out-File C:Scriptserver_system.txt
На выходе получаем файл со списком компьютеров.
Надеюсь вы поняли принцип поиска неактивных компьютеров в вашей локальной сети, и уверен, что вы сможете сами подобрать дополнительные сценарии испольzования powershell для себя.