Il modulo Active Directory per Windows PowerShell è uno degli strumenti principali per amministrare il dominio, gestire gli oggetti in Active Directory e ottenere informazioni diverse su computer, utenti, gruppi di Active Directory, ecc. Qualsiasi amministratore di Windows deve sapere come utilizzare sia gli snap-in grafici AD (di solito è ADUC – Active Directory Users & Computer) e i cmdlet dei RSAT-AD-PowerShell modulo per eseguire attività quotidiane di amministrazione di Active Directory. In questo articolo vedremo come installare il modulo Active Directory di PowerShell su Windows, scopriremo le sue funzionalità di base e i cmdlet più diffusi utili per gestire e interagire con AD.
Installazione del modulo Powershell Active Directory su Windows Server
Active Directory per Windows PowerShell è già integrato nei sistemi operativi Windows Server (a partire da Windows Server 2008 R2), ma non è abilitato per impostazione predefinita.
In Windows Server 2016, è possibile installare il modulo AD per PowerShell da Server Manager (Aggiungi ruoli e funzionalità – > Funzionalità – > Strumenti di amministrazione remota del server – > Strumenti di amministrazione dei ruoli – > Servizi di dominio Active Directory e AD Strumenti LDS – > modulo Active Directory per Windows PowerShell).
Tu può anche installare il modulo dalla console di PowerShell utilizzando il comando:
Install-WindowsFeature -Name "RSAT-AD-PowerShell" –IncludeAllSubFeature
È possibile installare RSAT-AD-PowerShell non solo sui controller di dominio. Va bene qualsiasi server membro del dominio o anche una workstation. Il modulo PowerShell Active Directory viene installato automaticamente quando si distribuisce il ruolo Servizi di dominio Active Directory (AD DS) (quando si promuove il server a controller di dominio AD).
Il modulo sta interagendo con AD tramite il servizio Web Active Directory che deve essere installato sul controller di dominio (la comunicazione viene eseguita sulla porta TCP 9389).
Come installare il modulo Active Directory di PowerShell su Windows 10?
È possibile installare RSAT -Modulo AD-PowerShell non solo su Windows Server, ma anche sulle tue workstation. Questo modulo fa parte del pacchetto RSAT (Remote Server Administration Tools) che puoi scaricare e installare manualmente su Windows 7, Windows 8.1. Dopo linstallazione di RSAT, puoi installare il modulo Active Directory per PowerShell dal Pannello di controllo (Pannello di controllo – > Programmi e funzionalità – > Attiva o disattiva le funzionalità di Windows – > Strumenti di amministrazione remota del server- > Strumenti di amministrazione dei ruoli – > Strumenti di AD DS e AD LDS).
Su Windows 10 build 1809 o più recente il pacchetto RSAT è integrato in Immagine Windows (come Features on Demand), quindi puoi utilizzare questo comando di PowerShell per installare il modulo Active Directory:
Add-WindowsCapability –online –Name "Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0”
Active Directory PowerShell Cmdlet
Lì ci sono molti cmdlet per interagire con AD nel modulo Active Directory per Windows PowerShell. Ogni nuova versione di RSAT contiene più cmdlet rispetto alla precedente. In Windows Server 2016 sono disponibili 147 cmdlet PowerShell per Active Directory.
Prima di utilizzare i cmdlet del modulo Active Directory, è necessario importarli nella sessione di PowerShell (su Windows Server 2012 R2 / Windows 8.1 e versioni successive il modulo viene importato automaticamente).
Import-Module ActiveDirectory
$psSess = New-PSSession -ComputerName DC_or_Comp_with_ADPoSh_installed
Import-Module -PSsession $psSess -Name ActiveDirectory
Puoi visualizzare un elenco completo dei cmdlet di Active Directory disponibili utilizzando il comando:
Get-Command –module ActiveDirectory
Il numero totale di cmdlet nel modulo AD:
Get-Command –module ActiveDirectory |measure-object|select count
La maggior parte dei cmdlet RSAT-AD-PowerShell inizia da Get-, Set- o New- prefi xes.
- I cmdlet Get – class vengono utilizzati per ottenere informazioni diverse da Active Directory (Get-ADUser – proprietà utente, Get-ADComputer – impostazioni computer, Get-ADGroupMember – appartenenza a un gruppo e così via) . Per eseguirli, non è necessario essere un amministratore di dominio.Qualsiasi utente di dominio può eseguire i comandi di PowerShell per ottenere i valori degli attributi delloggetto AD (tranne quelli riservati, come nellesempio con LAPS);
- I cmdlet di classe Set vengono utilizzati per impostare (modificare) le impostazioni degli oggetti in Active Directory. Ad esempio, puoi modificare le proprietà dellutente (Set-ADUser), le impostazioni del computer (Set-ADComputer), aggiungere un utente a un gruppo, ecc. Per farlo, il tuo account deve avere i permessi per modificare le proprietà delloggetto (vedi larticolo Come delegare i privilegi di amministratore in Active Directory);
- Comandi che iniziano con Nuovo: consentono di creare oggetti AD (creare un utente – New-ADUser, creare un gruppo – New-ADGroup);
- Rimuovi: i cmdlet vengono utilizzati per eliminare gli oggetti AD.
Ecco come ottenere assistenza su qualsiasi cmdlet:
get-help Set-ADUser