1、PowerShell V2介绍今天要为大家介绍的是和管理活动目录林和域对象有关的cmdlets。涉及到的名词有ADDomain、ADDomainController、ADDomainControllerPasswordReplicationPolicy、ADDomainControllerPasswordReplicationPolicyUsage、ADDomainMode、ADForest、ADDirectoryServer和ADDirectoryServerOperationMasterRole。我们可以使用以下命令来得到包含这些名词的cmdlets:Get-Command *ADDoma
2、in*,*ADForest*,*ADDirectory* -Module ActiveDirectory | Sort Noun | FT -a最后的返回结果中包含13个cmdlets: 接下来将基于完成具体任务的方式来介绍名词部分是ADDomain及ADForest的cmdlets。 对FSMO主机进行操作如果我们需要对FSMO主机进行操作则需要使用Get-ADDomain、Set-ADDomain、Get-ADForest及Set-ADForest这四个cmdlets。首先来看看Get-ADDomain能提供给我们一些什么样的信息。 大家可以看到Get-ADDomain得到的信息还是很丰富
3、的,比如子域的信息(ChildDomains),域功能级(DomainMode),操作主机(PDCEmulator、RIDMaster)等等。接下来我们来看看Get-ADForest会得到哪些信息: 大家可以看到Get-ADForest为我们提供了林范围内的一些信息,接下来我们就来看看如何得到FSMO角色所在的主机。 具体命令如下:Get-ADDomain | fl PDC*,*MasterGet-ADForest | fl *Master在得到FSMO主机角色之后,相信大家接下来就会很好奇能不能使用PowerShell来转移FSMO角色了。当然从Windows Server 2008 R2开
4、始我们就可以不在使用ntdsutil或者图形界面来转移FSMO角色了。在AD PowerShell 模块中为活动目录管理员准备了Move-ADDirectoryServerOperationMasterRole cmdlet来转移FSMO角色。下面我们就来看下如何使用这个cmdlet。具体命令如下:Move-ADDirectoryServerOperationMasterRole -Identity dc01 -OperationMasterRole SchemaMaster执行效果如下,这里我们可以利用之前的命令来确定命令有没有执行成功。 这里需要注意的是Identity参数,大家从Get-
5、Forest返回的值来看肯定会认为用代替dc02作为Identity的参数值也是可以的。但实际上这并不可行。原因在于此cmdlet在执行时会从CN=Configuration,dc=contoso,dc=com分区中查找信息,也就是说如果我们想要以DN作为Identity参数的值的话,那么需要使用类似以下形式的DN:CN=DC01,CN=Servers,CN=Shanghai,CN=Sites,CN=Configuration,DC=contoso,DC=com 修改单个用户将计算机加入域的上限数量相信很多朋友都知道,默认情况下域中的普通用户可以将10台计算机加入到域,超过这个上限之后便无法添
6、加了。根据KB251335的说明,我们可以通过预先创建用户的计算机账号,为用户授予计算机账号所在OU的添加/删除计算机对象权限,以及修改ms-DS-MachineAccountQuota这个属性来绕过这个限制。接下来就来看看如何使用相关cmdlets来修改ms-DS-MachineAccountQuota这个属性。 根据“获得对象,然后对其进行操作”的PowerShell AD Module的使用原则,首先要确定如何使用cmdlet来获得我们所需的对象。由于ms-DS-MachineAccountQuota这个属性是域对象的一个属性,因此可以使用Get-ADDomain来得到域对象。接下来我们
7、自然而然地会想到将得到的对象通过管道传递给Set-ADDomain来修改相关的属性值。默认情况下,Set-ADDomain并不直接提供与属性相对应的参数来修改属性值,因此我们还是和之前修改用户对象的属性一样,需要使用哈希表来表示需要进行修改的具体属性值。命令如下:Get-ADDomain | Set-ADDomain -Replace ms-ds-MachineAccountQuota=1命令执行完之后,我们可以通过ADUC中的属性编辑器或者Sysinternals工具包中的ADExplorer来查看属性有没有修改成功: 修改林对象的UPN后缀接下来我们来看看如何修改林的UPN。对于一部分朋友
8、来说,在平时的工作中我们可能不会太区分用户的用户登录名和用户登录名(Windows 2000以前版本),也就是常见的someone及Examplesomeone这两种格式,或许会认为这两种格式差别不大。当然在一个简单的域环境中这样认为是不错的。不过假设你的林中有了父子域并添加相应的UPN后缀之后,可以使得我们在父域创建账号时能方便的选择子域的UPN后缀,使得该账号能在子域中登录。接下来我们就来看看如何使用相关的cmdlets来添加UPN后缀。 首先需要明确的一点是修改UPN后缀是针对林的操作,换言之我们要得到的是林对象,那么大家很快就会想到使用Get-ADForest命令。接下来为了完成修改操
9、作,我们自然而然地会想到使用Set-ADForest命令。然后要确认的就是Set-ADForest是不是存在之前Set-ADUser中类似的Add,Replace,Remove之类的参数,然后使用哈希表对象来修改属性值,还是直接有对应的参数来进行修改。这里比较庆幸的是Set-ADForest有专用的参数UPNSuffixes来修改UPN后缀名。不过UPNSuffixes参数的属性值类型也是哈希表,但是和我们之前所看到Add,Replace,Remove参数中使用的“属性名=值”形式的哈希表所不同的是,UPNSuffixes所使用的哈希表的形式是“动词=UPN后缀名”。 光这样说可能大家不是很理
10、解,接下来我们就来看下具体示例。在我的测试环境中有及两个域,为父子关系,接下来我们就用命令在父域中添加子域的UPN后缀名。具体命令如下:Get-ADForest | Set-ADForest -UPNSuffixes add= -Verbose命令的执行效果如下: 接下来,我们就可以在新建用户时指定用户的UPN后缀,或者使用图形界面修改现有用户的UPN后缀。这里为了使大家看的更清楚,下面将使用图形界面来确认修改有没有成功: 可以看到,修改是成功的。接下来自然有朋友会问,如何用命令把删除呢?方法很简单,还是刚才的代码,我们只需将add替换成remove即可。如果要添加多个UPN后缀的话则可以使用 , 隔开属性值,最后的UPNSuffixes参数值类似以下形式add=, 本次关于如何使用cmdlets来管理活动目录林和域的上半部分介绍就到此结束了,敬请期待下半部分的介绍。PS,虽然前几天ITECN无法访问,不过这次回来之后,ITECN所在的服务器已经升级到Windows Server 2008 R2了哦,还在犹豫是不是要马上购买Windows Server 2008 R2的朋友还是马上决定购买吧。ITECN都升级了,相信你没有理由不升吧? ;-)
浙ICP备2021020529号-1 | 浙B2-20240490 
