Parus16.ru

Парус №16
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Получение списка компьютеров с Get-ADComputer в Powershell

Получение списка компьютеров с Get-ADComputer в Powershell

Получение списка компьютеров домена с Powershell и Get-ADComputer

Так же как и с получением списка пользователей AD с Get-ADUser с помощью Powershell мы можем вернуть список компьютеров. Этот список может быть отфильтрован исключая или включая отключенные учетные записи, по-определенному OU, экспортированы в CSV и многое другое. Эти примеры, а так же множество других, вы можете увидеть в статье ниже.

Навигация по посту

Получение компьютеров

Команда, которая вернет список всех компьютеров в домене следующая:

Получение списка компьютеров домена в Powershell

Команда точно выполнится на домен контроллере, так как все поддерживаемые серверные версии ОС устанавливают нужный модуль Powershell вместе с Active Directory (если вы только специально не отключали эту возможность). Если вы планируете выполнять команду с клиента на Windows 7 и выше, то такой модуль устанавливается вместе с RSAT (Remote Server Administration Tools). В отдельном случае может понадобится импортировать этот модуль следующей командой:

Вы так же можете проверить, что этот модуль у вас установлен следующей командой:

Проверка модуля Powershell Active Directory

В остальных случаях стоит смотреть на явные запреты на выполнение скриптов Powershell и чтения Active Directory.

Что бы вернуть данные по одному пользователю используется ключ Identity:

Получение компьютера домена в Powershell

Параметр Filter является обязательным. Вы можете вернуть дополнительные данные используя Properties:

Получение всех свойств из списка компьютеров домена в Powershell

Как установить Powershell AD модуль

Фильтрация вывода

У нас есть базовые свойства, которые фильтруются с помощью Filter. Это:

  • DistinguishedName
  • Enabled
  • ObjectClass
  • ObjectGUID
  • SamAccountName
  • SID
  • UserPrincipalName

И ряд свойств, которые возвращаются с параметром Properties. Их можно фильтровать через дополнительные условия (конвейер, where-object, циклы). Имена этих свойств можно вернуть так:

Свойства объекта компьютера в Powershell

Использование Filter

Если вы планируете получить информацию по определенному доменному компьютеру, то вам нужно добавить условие. В примере ниже я возвращаю информацию только по компьютеру у которого имя равно "AD1":

Filter у команды Get-ADComputer в Powershell

Если нужно найти только компьютеры, которые содержат в имени определенные значения, то нужно использовать -like вместо -eq . В моем примере я ищу все компьютеры содержащие в имени "CL" (регистр не учитывается).

Использование Filter у команды Get-ADComputer в Powershell

Знаки * говорят, что в этих местах может быть еще текст. Такое написание "C*L" соответствовало бы логике: строка начинается с буквы "C", затем может быть еще текст завершающийся на "L".

Использование Properties

Свойства возвращаемые через ключ Properties можно фильтровать двумя способами.

Первый — указывать их явно. Например вы хотите вернуть список с датами создания учетных записей компьютеров домена, которые хранит свойство "Created". Это можно сделать так:

Дата создания объекта компьютера в Powershell
Указать больше свойств можно через запятую. Например:

Так же можно фильтровать через команду where-object. На примере ниже я получаю компьютеры со всеми свойствами, но созданные до 31 декабря 2019 года:

Фильтрация с командой Get-ADComputer Powershell

Ограничить вывод определенными свойствами можно через Select:

Форматирования вывода команды Get-ADComputer в Powershell

Получение включенных и отключенных учетных записей

Используя свойства Enabled можно вернуть учетные записи активных и деактивированных записей. Так будут возвращены отключенные учетные записи:

Получение списка отключенных компьютеров Powershell

Получение компьютеров из определенных OU

Для работы с организационными единицами есть параметр -SearchBase. Мой домен контроллер называется "domain.local", а организационная единица "Moscow", следовательно, заполненный параметр будет выглядеть так:

Вместе с командой это получится так:

Получение доменных компьютеров с определенной OU в Powershell

Если у вас несколько доменов или OU, которые нужно посмотреть, можно использовать циклы и массивы:

Получение доменных компьютеров с определенной OU в Powershell

Как создавать команды и функции в Powershell вызывать их и передавать параметры

Ограничение вывода

Если у вас очень большой AD, то вывод всех компьютеров может быть долгим. Вы можете изменить это ограничив вывод с помощью ResultSetSize. Так я выведу только одну запись:

Читайте так же:
Гугл карта с фото домов

Что происходит, когда вы удаляете компьютер из домена?

Профиль пользователя по-прежнему будет существовать, но вы не сможете войти в него, потому что компьютер больше не будет доверять учетным записям домена ни для каких целей. Вы можете принудительно стать владельцем каталога профиля, используя учетную запись локального администратора, или снова присоединиться к домену.

Что произойдет, если вы отключите компьютер в Active Directory?

Учетная запись компьютера не отключает вход на этот компьютер, учетная запись пользователя отключена, отключает вход на любой компьютер в домене. … Если пользователь уже вошел в систему, его пароль кэшируется, поэтому, даже если компьютер отключен в AD, он все равно может войти.

Как долго компьютер может быть вне домена?

Я думаю, у вас есть отдельная проблема, поскольку, как уже говорили другие, машина может быть вне домена столько, сколько вы хотите, без каких-либо проблем. Я не думаю, что компьютеры ДОЛЖНЫ менять свой пароль безопасного канала каждые 30 дней, я думаю, что это именно то, что они настроены делать по умолчанию.

Как удалить компьютер из домена?

Чтобы удалить компьютер из домена в настройках

  1. Откройте «Настройки» и щелкните / коснитесь значка «Учетные записи».
  2. Щелкните / коснитесь Доступ к работе или учебному заведению слева, щелкните / коснитесь подключенного домена AD (например, «ДЕСЯТЬ»), из которого вы хотите удалить этот компьютер, и щелкните / коснитесь кнопки «Отключить». (…
  3. Щелкните / коснитесь Да для подтверждения. (

Как удалить компьютер из домена и снова присоединиться к нему?

Как отключить Windows 10 от домена AD

  1. Войдите в систему с учетной записью локального администратора или администратора домена.
  2. Нажмите клавишу Windows + X на клавиатуре.
  3. Прокрутите меню и щелкните Система.
  4. Щелкните Изменить настройки.
  5. На вкладке «Имя компьютера» нажмите «Изменить».
  6. Выберите «Рабочая группа» и укажите любое имя.
  7. При появлении запроса нажмите ОК.
  8. Щелкните ОК.

Как мне сбросить мой компьютер домена?

Чтобы сбросить учетную запись компьютера через консоль ADUC, откройте консоль ADUC и найдите учетную запись компьютера. Щелкните правой кнопкой мыши учетную запись компьютера и выберите «Сбросить учетную запись». Вам будет предложено ввести пароль пользователя домена. Последний шаг — перезагрузить компьютер и войти в систему с учетными данными вашего домена.

Как отключить компьютер в Active Directory?

  1. Щелкните вкладку AD Mgmt — -> Computer Management — -> Enable / Disable Computers.
  2. В раскрывающемся меню выберите параметр «Включить / отключить» в зависимости от ваших потребностей.
  3. В раскрывающемся меню выберите домен, в котором находятся компьютеры.

Почему компьютеры теряют доверие к домену?

Причина возникновения этой проблемы — «несоответствие пароля». Пароли обычно считаются чем-то, что присваивается учетной записи пользователя. … Простое решение — удалить учетную запись компьютера в консоли «Пользователи и компьютеры Active Directory», а затем снова присоединить компьютер к домену.

Как я узнаю, что мой компьютер находится в домене?

Вы можете быстро проверить, является ли ваш компьютер частью домена. Откройте панель управления, щелкните категорию «Система и безопасность» и щелкните «Система». Посмотрите здесь в разделе «Имя компьютера, домен и настройки рабочей группы». Если вы видите «Домен»: за которым следует имя домена, ваш компьютер присоединен к домену.

Читайте так же:
Доклад на тему персональный компьютер

Как исправить доверительные отношения для компьютера в домене?

Чтобы решить эту проблему, удалите компьютер из домена, а затем подключите компьютер к домену.

  1. Используйте учетную запись локального администратора для входа на компьютер.
  2. Выберите Пуск, нажмите и удерживайте (или щелкните правой кнопкой мыши) Компьютер> Свойства.
  3. Выберите Изменить параметры рядом с именем компьютера.

Как удалить пользователя домена с моего компьютера Windows 10?

Щелкните правой кнопкой мыши Компьютер -> Свойства -> Дополнительные параметры системы. На вкладке «Дополнительно» нажмите кнопку «Настройки» в разделе «Профили пользователей». Удалите профиль, который хотите удалить.

Как мне удалить пароль администратора в Windows 10?

Способ 1: Как удалить пароль администратора Windows 10 с помощью панели управления

  1. Нажмите кнопки Windows + X и щелкните Панель управления.
  2. Выберите Учетная запись пользователя> Управление другой учетной записью и щелкните локальную учетную запись администратора, пароль которой вы хотите удалить.
  3. Нажмите кнопку «Изменить пароль», и вам будет предложено ввести правильный пароль.

Как мне удалить рабочую группу с моего компьютера?

Щелкните правой кнопкой мыши сетевую рабочую группу, которую хотите удалить. В раскрывающемся меню выберите «Удалить сеть». Повторите этот шаг, чтобы удалить несколько сетей, так как каждая рабочая группа должна быть удалена индивидуально.

Как повторно присоединить компьютер к домену, не перезагружая его?

Использование Test-ComputerSecureChannel с параметрами –credential –Repair позволяет восстановить связь с доменом без перезапуска. Вы запускаете команду, выходите из системы, а затем можете войти в систему с учетными данными своего домена. Когда вы вошли в систему как локальный администратор, вот и все…

Что происходит с локальными учетными записями при присоединении к домену?

Ваши локальные учетные записи пользователей не будут затронуты, и не будет конфликта с пользователем домена с тем же именем. Вы должны быть в порядке, продолжая свой план. Должно быть хорошо, если вы не присоедините компьютер к домену и не повысите его до контроллера домена, и в этом случае у вас больше не будет учетных записей локальных компьютеров.

Как сделать перемещаемые профили

Ранее я как-то работал с перемещаемыми профилями в Active Directory и это было удобно в плане что все Ваши настройки, файлы всегда у Вас под рукой, не важно сидите ли Вы за компьютер в шоуруме или на складе . Так что сегодня я покажу все действия которые я проделал чтобы пока конкретно для себя сделать данную надстройку.

Первым делом подключаюсь/авторизовываюсь (Login: ekzorchik, Password: 712mbddr@, Group: Domain Admins) к контроллеру домена srv-dc.polygon.local (Server 2012 R2 Standard) либо по RDP, по VNC или же физически подойдя к нему, как в прочем принято у Вас в организации или какие методы используете Вы лично.

Создаю специальный каталог где будут располагаться перемещаемые профили и профиль к профилю не будет иметь доступа , что Важно. Т.к. в моей сети (она тестовая) нет файлового сервера то в роли месторасположения под профили выступит логический диск E контроллера домена. Создаю каталог к примеру с именем profile, после через правый клик мышью по нему открываю его свойства (Properties) — вкладка Sharing — Advanced Sharing

  • Share this folder : отмечаю галочкой
  • Share name: profile$
  • Limit the number of simultaneous users to: 50
Читайте так же:
Видеокарта gt 610 2gb

После нажимаю Permissions и для всех Everyone проставляю все галочки на доступ:

  • Full Control → Allow
  • Change → Allow
  • Read → Allow

и нажимаю Apply — Ok — Apply — OK, после все еще находясь в свойства каталога profile перехожу на вкладку SecurityAdvanced — вкладка PermissionsChange permissions, здесь отменяю наследование свыше стоящего: нажимаю Disable inheritance → Convert inherited permissions into explicit permissions on this object и привожу права к следующему виду:

Создаю ресурс для хранения перемещаемых профилей

А после пробрасываю текущие права внутрь каталога E:profile отметкой пункта: Replace all child object permissions entries with inheritable entries from this object — подтверждаю Yes — Ok — Ok

Далее открываю оснастку: Active Directory Users and Computers

Win + X — Control Panel — Active Directory Users and Computers, затем в моем случае в организационном контейнере IT открываю свойства (Properties) учетной записи alektest через правый клик мышью по ней. После перехожу на вкладку Profile и прописываю путь до создаваемого перемещаемого профиля:

  • Profile path: \srv-dcprofile$DefaultUserV2%username%

После этого тестирую, как работает вот таким вот образом настройка на работу перемещаемого профиля с одной рабочей станции на другую.

На W7X86

Теперь открываю оснастку управления профилями системы и вижу, что текущий профиль не локальный как если бы пользователь домена или не домена авторизовался в системе:

Пуск — Панель управления — Система — Дополнительные параметры системы — вкладка: Дополнительно — Профили пользователей: Параметры

Использую перемещаемый профиль

Если настроить систему на максимальную производительность, добавить ярлыки, файлы в текущий профиль, то при заходе уже на другую систему, к примеру W7X64 все сделанные настройки перенесутся, но для этого нужно завершить текущее подключение: Пуск — Выйти из системы. (Это обязательное условие).

По итогу когда авторизовался под учетной записью alektest на рабочей станции W7X64 все необходимые вынесенные ярлыки отобразились на рабочем столе, выставленные параметры пользовательского окружения также были применены к текущему заходу.

Как же работает перемещаемый профиль: если пользователь уже зашел в систему с использованием перемещаемого профиля, то он первый раз создается, при выходе в каталог на сервере где предопределен путь его хранения копируются только сами изменения сделанные в текущем сеансе, а не весь профиль. Как и говорил выше, изменения синхронизируется с сетевой папкой только когда пользователь делает Log Off (Завершение сеанса) в этом достигается огромнейшее преимущество, что при авторизации на различных компьютера пользователь получит свою систему.

Если же учетная запись (к примеру alektest2) была в домене, но перемещаемый профиль не был настроен, то что произойдет с имеющимися файлами (к примеру на W7X86 на «Рабочем столе» сейчас имеются 7 файлов изображений).

Смотрю какой тип профиля сейчас:

Пуск — Панель управления — Система — Дополнительные параметры системы — вкладка: Дополнительно — Профили пользователей: Параметры

  • Имя: POLYGONalektest2
  • Размер: 26,0 Мб
  • Тип: Локальный
  • Состояние: Локальный

Если настройка перемещаемого профиля не применена, то это обычный пользователь с локальным профилем

Включаю использование перемещаемых профилей в свойствах учетной записи на домен контроллере: Profile path: \srv-dcprofile$DefaultUserV2%username%

Читайте так же:
Блютуз колонка с юсб

Затем на рабочей станции W7X86 делаю завершение сеанса, после снова авторизуюсь на ней же и проверяю, какой профиль сейчас:

Пуск — Панель управления — Система — Дополнительные параметры системы — вкладка: Дополнительно — Профили пользователей: Параметры

  • Имя: POLYGONalektest2
  • Размер: 26,0 Мб
  • Тип: Перемещаемый
  • Состояние: Перемещаемый

Вспомнив, что на рабочем столе должны быть файлы изображений, проверяю, да так и есть. Теперь делаю Logoff, но уже авторизуюсь на другой станции W7X64 и проверяю все то же самое, итог все соответствует тому моменту когда пользователь имел свои файлы, свои настройки рабочего места.

Пока могу сказать, что использование перемещаемых профилей может сэкономить время при перенастройке системы, переезда пользователя из одного отдела в другой. Теперь не важно нужно ли пользователю подменить кого-то его файлы перемещаться за ним.

На заметку: По практике использования перемещаемых профилей важно чтобы пользовательский профиль был не большого размера, а все тяжеловесные файлы хранились на общем диске, где доступ к которому сделан посредством GPO.

Если пользователей несколько, т. е. Тех кого переводим на использование перемещаемых профилей, то практичнее будет задействование групповых политик домена: (srv-dc)

Win + X — Control Panel — Administrative Tools — Group Policy Management

Перемещаемый профиль можно настроить и через Group Policy Management

GPO_Profile — Computer Configuration — Policies — Administrative Templates — System — User Profiles

  • Add the Administrators security group to roaming user profiles: Enable
  • Disable detection os slow network connections: Enable
  • Prompt user when a slow network connection is detected: Disabled
  • Set roaming profile path for all users logging onto this computer: Enabled (\srv-dcprofile$DefaultUserV2%username%)

GPO_Profile — User Configuration — Policies — Administrative Templates — System — User Profiles:

  • Limit Profile size: Enabled
  • Custom Message: У вас слишком большой профиль, почистите его.
  • Max Profile size (KB): 1048576 (1Gb)
  • Show registry files in the file list: отмечаю галочкой
  • Notify user when profile storage space is exceeded: отмечаю галочкой
  • Remind user every X minutes: 15

На заметку: из скриншота выше в политике нужно указывать имена учетных записей и всех компьютеров на которых будет работать перемещаемый профиль. Т.е. кто бы не зашел на данные компьютеры у него будет перемещаемый профиль, а если он есть еще и в политике то у него будет ограничение в 1Gb и сообщение при: Пуск — Завершение сеанса:

You have exceeded your profile storage space. Before you can log off, you need to move some items from your profile to network or local storage

Нарушены условия на размер перемещаемого профиля

Это у меня тестовый пользователь alektest закинул себе на рабочий стол несколько образов и хотел завершить сеанса, но к его сожалению у него ничего не вышло, сработало ограничение в 1Gb.

Также выводится, какие пользовательские файлы учетной записи alektest занимают большой объем и их нужно как правильно говорит информационное окно «Объем хранилища профилей» переместить на другой логический диск или в сетевую папку.

Информационное окно текущего профиля и каковы допустимые размеры

Удаляя самостоятельно подозрительно большие файлы данное окно выше автоматически подсчитывает размер текущего профиля, когда все нормально, то выводится сообщение: «В вашем профиле имеется доступное месторасположения». Раз так, то и выход может быть осуществлен корректно.

Читайте так же:
Во сколько раз увеличится объем памяти необходимый

Как использовать настройку перемещаемых профилей уже решать Вам с учетом ваших задач. Я же для себя сделал напоминалку. Она работает. Что-либо еще добавить пока не зачем, лучше когда что-то будет интересное, а пока все, с уважением автор блога Олло Александр aka ekzorchik.

Вход на доменный компьютер под локальной учетной записью

В некоторых случаях требуется на компьютере, который включен в домен Active Directory войти не под доменной, а под локальной учетной записью. Большинству администраторов этот трюк знаком, но пользователи зачастую о нем не знают.

Немного предыстории. После того, как компьютер добавлен в домен Active Directory, вы можете войти в него под учетной записью домена или локального пользователя (если конечно локальная учетная запись не отключена и вход под ней не заблокирован через групповые политики). В Windows XP и Windows Server 2003 на экране входа в систему имелся раскрывающийся список «Вход в систему», в котором можно было выбрать в какой домен вы хотите войти, либо, если нужно зайти под локальной учетной, для этого нужно выбрать пункт «Этот компьютер» — @Computer_Name (this computer) .

окно входа в систему Windows XP

Однако в последующих версиях Windows это раскрывающийся список из интерфейса входа в систему убрали. Вместо этого списка на экране входа в систему, появилась небольшая кнопка «Как я могу войти в другой домен» (How to log on to another domain). Если вы нажмете эту кнопку, появится следующий совет.

Type domain namedomain user name to sign in to another domain.
Type РKZ-ТZI01K1local user name to sign in to this PC only (not a domain )

Чтобы войти в другой домен, введите имя_доменаимя_пользователя_домена
Чтобы войти только на этот компьютер (не в домен), введите РKZ-ТZI01K1локальное_имя_пользователя

окно входа в систему в windows server 2012

Как вы видите, в тексте сообщения присутствует имя данного компьютера (в нашем примере РKZ-ТZI01K1). И если вы хотите войти под локальной учетной записью, в поле с именем пользователя нужно указать имя локального пользователя в следующем формате РKZ-ТZI01K1Administrator. Естественно, если имя компьютера довольно длинное и не несет смысловой нагрузки, его набор с клавиатуры может стать настоящим испытанием.

вход под локальным админом на сервер в домене

К счастью, есть простой способ, который позволит вам войти в систему под локальной учеткой без указания имени компьютера.

Секрет в том, что Windows использует символ точки (.) в качестве псевдонима для локального компьютера. Поэтому, если в поле с именем пользователя поставить . , то система будет считать, что вы хотите авторизоваться под локальной учеткой. Соответственно изменится поле Sign in to, вместо имени домена там уже будет указано имя данного компьютера.

Теперь после . осталось набрать имя локальной учетной записи и пароль.

Этот небольшой трюк может использоваться для входа на доменный компьютер под локальной учетной записью во всех поддерживаемых версиях Windows, начиная с Windows Vista и заканчивая Windows 10 и Windows Server 2016.

Совет. Аналогичным образом можно авторизоваться на удаленном компьютере в рабочей группе под локальной учетной запись при доступе к общим файлам по протоколу SMB.

голоса
Рейтинг статьи
Ссылка на основную публикацию
Adblock
detector