Запросы к каталогам командой dsquery

Шаг 2. Предоставление пользователю разрешений на создание кластера

Необходимо настроить разрешения, чтобы учетная запись пользователя, которая будет использоваться для создания отказоустойчивого кластера, имела полный доступ к CNO.

Минимальное требование для выполнения этого шага — членство в группе Операторы учета.

Вот как можно предоставить пользователю разрешения на создание кластера:

  1. На странице «Пользователи и компьютеры Active Directory» в меню Вид убедитесь, что выбран пункт Дополнительные параметры.

  2. Найдите и щелкните правой кнопкой мыши CNO и выберите пункт Свойства.

  3. На вкладке Безопасность щелкните Добавить.

  4. В диалоговом окне Выбор пользователей, компьютеров или групп укажите учетную запись пользователя или группу, которым требуется предоставить разрешения, а затем нажмите кнопку ОК.

  5. Выберите добавленную учетную запись пользователя или группу и около пункта Полный доступ установите флажок Разрешить.

    Рис. 2. Предоставление полного доступа пользователю или группе, которые будут создавать кластер

  6. Щелкните ОК.

После завершения этого шага пользователь, которому вы предоставили разрешение, сможет создать отказоустойчивый кластер. Однако если CNO расположен в подразделении, до завершения вами шага 3 пользователь не сможет создавать кластерные роли, которые требуют точку доступа клиента.

Примечание

Если CNO находится в контейнере компьютеров по умолчанию, администратор кластера может создать до 10 VCO без какой-либо дополнительной настройки. Чтобы добавить более 10 VCO, необходимо явно предоставить разрешение на создание объектов-компьютеров объекту имени кластера для контейнера компьютеров.

Управление Active Directory #1: инструменты командной строки DS

30 мая 2010

Управление Active Directory – не просто работа, а целое искусство, требующее, помимо академических знаний об ее архитектуре, навыки проектирования согласно бизнес-требованиям организации в ИТ-инфраструктуре и умения автоматизировать рутинные операции с целью минимизации допущения ошибок.

В рамках данного поста я рассмотрю управление объектами AD из командной строки.

В Windows Server 2008 существуют следующие инструменты командной строки для управления AD:
— Dsadd – создание объекта в каталоге;
— Dsget – возврат указанных атрибутов объекта;
— Dsmod – модификация указанных атрибутов объекта;
— Dsmove – перемещение объекта;
— Dsrm – удаление объекта и его дочерних объектов;
— Dsquery – выполнение запроса на основе параметров и возврат списков объектов с такими параметрами.

Большинство команд DS имеют 2 модификатора: тип и имя DN объектов.  К примеру, для создания учетной записи пользователя Ivan Ivanov в подразделении Finances, используется команда:

dsadd user “cn=Ivan Ivanov,ou=Finances,dc=contoso,dc=com”

В данном случае модификатор user указывает на тип создаваемого объекта (User, он же Пользователь), имя DN – Ivan Ivanov. Так как имя пользователя содержит пробел, то имя DN целиком заключается в кавычки.

Для выполнения манипуляций с атрибутами объектов используются Dsquery, Dsget и Dsmod. Например, отыщем всех пользователей AD, имя которых начинается с Ivan:

dsquery user –name Ivan*

Dsquery возвратила нам имя DN объекта Ivan Ivanov.

Модифицируем ему атрибут Office, содержащий номер кабинета, в котором сидит сотрудник:

dsmod user “cn=Ivan Ivanov,ou=Finance,dc=contoso,dc=com” –office 555

Заполненные атрибуты объектов AD могут существенно упростить управление AD, послужив критериями поиска объектов и их модификации. Команды DS поддерживают конвейеризацию входных данных. Это позволяет использовать результаты выполнения Dsquery или Dsget в качестве входных данных.

Чтобы стало понятнее, я приведу пример.

Скажем, вы управляете территориально-распределенным доменом с большим количеством филиалов. Для создания списков рассылки, отдел кадров просит вас предоставить им адреса электронной почты всех сотрудников, например, тамбовского и воронежского филиалов. Сбор такой информации вручную может занять довольно много времени, да и мало кого вдохновит. Но если при создании учетных записей пользователей в AD тамбовские и воронежские администраторы сразу же заполняли атрибуты объектов пользователей, то это будет для вас пустяковым делом на одну минуту.

Я не стал заполнять лабораторную среду большим количеством объектов и их атрибутами, чтобы можно было выполнять поиск с такими условиями. Однако, запросить для примера номера кабинетов, в которых сидят пользователи с именем Ivan, в ней можно:

dsquery user –name Ivan* | dsget user –office

Все просто, не правда ли?

Для закрепления материала, рассмотрим мини-сценарий:1. Просмотрим список учетных записей пользователей, имена которых начинаются с Ivan;2. создадим новый OU под названием Tr;3. перенесем учетную запись пользователя Ivan Ivanov в OU Tr;4. удалим OU Tr вместе со всеми дочерними объектами;5. Еще раз просмотрим список учетных записей пользователей, имена которых начинаюся с Ivan.

Я создал в корне диска сценарий командной строки scenario.cmd следующего содержания:

dsquery user -name Ivan*
dsadd ou «ou=Tr,dc=contoso,dc=com»
dsquery user -name «Ivan Ivanov» | dsmove -newparent «ou=Tr,dc=contoso,dc=com»
dsrm -subtree -noprompt -c ou=Tr,dc=contoso,dc=com
dsquery user -name Ivan*

Его выполнение происходило так:

Как видите, выполнение шага 5 выдало пустой результат. Это значит, что сценарий отработал верно.

Таким образом мы убедились в том, что управление объектами AD может быть довольно простым занятием, а инструменты командной строки позволяют не только успешно решать административные задачи, но и максимально автоматизировать их.

admin Default

Поиск текущей версии Exchange схемы

Чтобы найти текущую версию Exchange схемы, можно использовать один из следующих методов:

Примечание

Внутренний корневой домен, который мы используем в этом демо: contoso.local.

Способ 1

  1. Используйте средства ADSIEdit.msc илиLDP.exe для навигации поCN=ms-Exch-Schema-Version-Pt, CN=Schema,CN=Configuration,DC=contoso,DC=local

  2. Просмотрите текущий атрибут rangeUpper.

Некоторые атрибуты «rangeUpper»

Ниже приводится сопоставление значения атрибута rangeUpper с Exchange схемы:

4397 -> Exchange Server RTM 2000
4406 -> Exchange Server 2000 с Пакет обновления 3
6870 -> Exchange Server RTM 2003
6936 -> Exchange Server 2003 с Пакет обновления 2
10628 -> Exchange Server 2007
11116 -> Exchange 2007 с Пакет обновления 1

Community Отказ от контента решений

Корпорация Майкрософт и/или соответствующие поставщики не делают представлений о пригодности, надежности или точности сведений и связанных с ними графических данных, содержащихся в этой записи. Вся такая информация и связанная графика предоставляются «как есть» без какой-либо гарантии. Корпорация Майкрософт и/или соответствующие поставщики тем самым отключили все гарантии и условия в отношении этой информации и связанной графики, включая все подразумеваемые гарантии и условия торговой доступности, пригодность для определенной цели, рабочий труд, название и неущемление. Вы соглашаетесь, что ни в каких событиях корпорация Майкрософт и/или ее поставщики не несут ответственности за любые прямые, косвенные, штрафные, случайные, специальные, сопутствующие повреждения или любые повреждения, включая без ограничений убытки за потерю использования, данных или прибыли, возникающие из-за использования или невозможности использования сведений и связанных с ними графических элементов, содержащихся в этом деле, независимо от того, были ли они связаны с контрактом, тортом, халатностью, строгой ответственностью или иным образом, даже если корпорации Майкрософт или любому из ее поставщиков было рекомендовано о возможности ущерба.

Контроллеры, управление и учетные записи, связанные с LDAP

Учетная запись службы контроллера

Объект Имя учетной записи
Имя масштабируемого набора
Имя объекта pod
Имя контейнера
Имя службы
Имя учетной записи (без префикса)
Учетная запись (с префиксом пространства имен)
Имя классической учетной записи

Учетная запись службы прокси-сервера службы мониторинга

Объект Имя учетной записи
Имя масштабируемого набора
Имя объекта pod
Имя контейнера
Имя службы
Учетная запись (без префикса)
Учетная запись (с префиксом пространства имен)
Имя классической учетной записи

Пользователь поиска LDAP

Используется службами Grafana и Hadoop для поиска пользователей по протоколу LDAP.

Объект Имя учетной записи
Имя масштабируемого набора
Имя объекта pod
Имя контейнера
Имя службы
Имя учетной записи (без префикса)
Имя учетной записи (с префиксом пространства имен)
Имя классической учетной записи

Учетные записи пула носителей

Пользователь SQL Server пула носителей

Объект Имя учетной записи
Имя масштабируемого набора
Имя объекта pod
Имя контейнера
Имя службы
Учетная запись (без префикса)
Учетная запись (с префиксом пространства имен)
Имя классической учетной записи

Пользователь службы диспетчера узлов Yarn пула носителей

Объект Имя учетной записи
Имя масштабируемого набора
Имя объекта pod
Имя контейнера
Имя службы
Учетная запись (без префикса)
Учетная запись (с префиксом пространства имен)
Имя классической учетной записи

Пользователь службы HTTP пула носителей

Объект Имя учетной записи
Имя масштабируемого набора
Имя объекта pod
Имя контейнера
Имя службы
Учетная запись (без префикса)
Учетная запись (с префиксом пространства имен)
Имя классической учетной записи

Пользователь службы узлов данных HDFS пула носителей

Объект Имя учетной записи
Имя масштабируемого набора
Имя объекта pod
Имя контейнера
Имя службы
Учетная запись (без префикса)
Учетная запись (с префиксом пространства имен)
Имя классической учетной записи

Учетные записи вычислительного пула

Пользователь SQL Server пула вычислений

Объект Имя учетной записи
Имя масштабируемого набора
Имя объекта pod
Имя контейнера
Имя службы
Учетная запись (без префикса)
Учетная запись (с префиксом пространства имен)
Имя классической учетной записи

Пользователь DMS хранилища данных пула вычислений

Объект Имя учетной записи
Имя масштабируемого набора
Имя объекта pod
Имя контейнера
Имя службы
Учетная запись (без префикса)
Учетная запись (с префиксом пространства имен)
Имя классической учетной записи

Пользователь подсистемы хранилища данных пула вычислений

Объект Имя учетной записи
Имя масштабируемого набора
Имя объекта pod
Имя контейнера
Имя службы
Учетная запись (без префикса)
Учетная запись (с префиксом пространства имен)
Имя классической учетной записи

Как найти дубликаты samAccountName

Предположим, что у меня есть лес с 4-ми доменами и мне вот приспичило вычислить сколько и какие дубли у меня есть по атрибуту samAccountName. Для быстрого выполнения работы я воспользуюсь скриптом PowerShell.

Скачать скрипт поиска дублей samAccountName

Кладем его в нужный вам каталог, открываем PowerShell и переходим в данный каталог. Поиск будем производить по лесу, для этого пишем:

.\Find-ADDuplicateAtttribute.ps1 -Forest «root.pyatilistnik.org» -AttributeName samaccountname -ObjectType user

Искать мы будем значения samaccountname для объектов user. У вас появится окно подтверждения выполнения скрипта, соглашаемся нажав клавишу R. Через некоторое время в той папке, где лежит скрипт будет создан csv файл со списком пользователей имеющих одинаковое значение в атрибуте samAccountName.

Таким образом вы можете производить поиск по атрибутам UserPrincipalName, samAccountName, mail, upn и многое другое

Ключи для скрипта:

  • Domain задает имя домена для поиска одинаковых значений в Active Directory
  • Forest задает имя леса
  • AttributeName объявляет какие атрибуты нужно сопоставлять и искать дубликаты в базе Active Directory
  • ObjectType — тип объекта, пользователь, компьютер, принтер, OU
  • Path — путь для экспортируемого файла
  • Credential — ввод учетных данных
  • AttributeName — специфическое имя атрибута, например mail

На этом у меня все, мы с вами разобрали назначение атрибутов samAccountName и UserPrincipalName, научились их находить. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.

Полезные ссылки:

  • https://gallery.technet.microsoft.com/scriptcenter/Find-Active-Directory-c8789b42
  •  https://docs.microsoft.com/en-us/windows/win32/adschema/a-samaccountname
  • https://docs.microsoft.com/en-us/windows/win32/ad/naming-properties
  • https://theitbros.com/samaccountname-and-userprincipalname/

Атрибут samAccountName

SamAccountName атрибут является регистрационным именем используется для поддержки клиентов и серверов от предыдущей версии Windows, таких как Windows NT 4.0, Windows 95, Windows 98, одним слово обратная совместимость со старым софтом и ОС. Имя для входа должно содержать не более 20 символов и быть уникальным среди всех объектов участников безопасности в домене.

Атрибут samAccountName имеет следующий формат <YOUR_NETBIOS_DOMAIN_NAME>\<USER_name>. Например, мой домен root.pyatilistnik.org использует имя домена NetBIOS ROOT. Таким образом, имя пользователя barboskin.g в формате samAccountName должно выглядеть так: ROOT\barboskin.g

Особенности атрибута samAccountName:

  • Размер значения samAccountName для пользователя не должен превышать 20 символов из-за обратной совместимости (для объекта компьютера максимальный размер samAccountName составляет 16 символов). Если имя учетной записи превышает 20 символов, имя пользователя в атрибуте samAccountName будет усечено;
  • Значение samAccountName должно быть уникальным для всех объектов домена;
  • Переменная среды на компьютере Windows% и USERNAME% содержат значение атрибута samAccountName, а не UserPrincipalName. Значение SamAccountName на компьютере пользователя можно получить с помощью переменной среды USERNAME. Его можно отобразить с помощью команды set в cmd или с помощью gci env: в PowerShell.

Учетные записи, связанные со Spark

Пользователь службы диспетчера ресурсов Sparkhead Yarn

Объект Имя учетной записи
Имя масштабируемого набора
Имя объекта pod
Имя контейнера
Имя службы
Учетная запись (без префикса)
Учетная запись (с префиксом пространства имен)
Имя классической учетной записи

Пользователь Sparkhead HTTP

Объект Имя учетной записи
Имя масштабируемого набора
Имя объекта pod
Имя контейнера
Имя службы
Учетная запись (без префикса)
Учетная запись (с префиксом пространства имен)
Имя классической учетной записи

Пользователь службы журнала Sparkhead Spark

Объект Имя учетной записи
Имя масштабируемого набора
Имя объекта pod
Имя контейнера
Имя службы
Учетная запись (без префикса)
Учетная запись (с префиксом пространства имен)
Имя классической учетной записи

Пользователь службы Sparkhead Livy

Объект Имя учетной записи
Имя масштабируемого набора
Имя объекта pod
Имя контейнера
Имя службы
Учетная запись (без префикса)
Учетная запись (с префиксом пространства имен)
Имя классической учетной записи

Пользователь службы Sparkhead Hive

Объект Имя учетной записи
Имя масштабируемого набора
Имя объекта pod
Имя контейнера
Имя службы
Учетная запись (без префикса)
Учетная запись (с префиксом пространства имен)
Имя классической учетной записи

Пользователь службы диспетчера узлов Yarn пула Spark

Объект Имя учетной записи
Имя масштабируемого набора
Имя объекта pod
Имя контейнера
Имя службы
Учетная запись (без префикса)
Учетная запись (с префиксом пространства имен)
Имя классической учетной записи

Пользователь HTTP диспетчера узлов Yarn пула Spark

Объект Имя учетной записи
Имя масштабируемого набора
Имя объекта pod
Имя контейнера
Имя службы
Учетная запись (без префикса)
Учетная запись (с префиксом пространства имен)
Имя классической учетной записи

Учетные записи и группы

Учетные записи пользователей и группы создаются в предоставленном подразделении во время развертывания кластера.

Каждая из учетных записей представляет собой службу в Кластерах больших данных. У учетных записей есть имена субъектов-служб (SPN), необходимые для каждой службы. Имена субъектов-служб, принадлежащие каждой учетной записи, можно получить с помощью команды setspn.

При развертывании автоматически создаются имена учетных записей и групп. Начиная с SQL Server 2019 CU5 префикс имени учетной записи или группы — это имя пространства имен развертывания (имя кластера больших данных). Если имя кластера в этой статье — , замените на для поиска учетных записей.

Суффикс pod (-x) обозначает переменную с идентификатором pod ниже. Указанные ниже имена не включают в себя префикс переменной, указанный пользователем во время развертывания.

Имя классической учетной записи применяется к развертываниям с использованием версий, предшествующих SQL Server 2019 CU5, а также к развертываниям, выполненным с параметром useSubdomain, для которого задано значение false в конфигурации безопасности.

Имя учетной записи или группы Дополнительные сведения

В следующем разделе приведены дополнительные сведения о каждой учетной записи. Чтобы получить сведения о группах, перейдите к разделу .

Атрибут UserPrincipalName

UserPrincipalName — атрибут является именем для входа пользователя. Атрибут состоит из имени участника-пользователя и UPN суффикса, является наиболее распространенным именем входа для пользователей Windows. Пользователи обычно используют свои UPN для входа в домен. Этот атрибут является индексированной строкой, которая имеет одно значение.

UPN — это имя для входа в Интернет-стиле для пользователя, основанное на стандарте Internet RFC 822. По соглашению это должно соответствовать имени электронной почты пользователя. Смысл UPN состоит в том, чтобы объединить пространства имен электронной почты и входа в систему, чтобы пользователю было необходимо запомнить только одно имя. Пример [email protected]

Особенности атрибута UserPrincipalName:

  • Значение атрибута UserPrincipalName может соответствовать электронной почте пользователя (и это очень удобно при переносе, настройках профиля и т.д.)
  • Формат идентификатора соответствует стандарту RFC 822
  • Максимальный размер значения UPN не ограничен 20 символами (можно использовать до 256 символов)
  • Атрибут UserPrincipalName, в отличие от samAccountName, является необязательным, но его рекомендуется заполнять.

Группы

Следующие группы создаются в подразделении, указанном пользователем. Члены групп — это пользователи, созданные выше для соответствующих служб.

Группа службы DMS хранилища данных

Объект Имя группы
Имя масштабируемого набора
Имя объекта pod
Имя контейнера
Имя службы
Группа (без префикса)
Учетная запись (с префиксом пространства имен)
Имя классической учетной записи

Группа службы подсистемы хранилища данных

Объект Имя группы
Имя масштабируемого набора
Имя объекта pod
Имя контейнера
Имя службы
Группа (без префикса)
Учетная запись (с префиксом пространства имен)
Имя классической учетной записи

Шаг 3. Предоставление разрешений CNO подразделению или подготовка VCO для кластерных ролей

Когда вы создаете кластерную роль с точкой доступа клиента, кластер создает VCO в том же подразделении, что и CNO. Чтобы это происходило автоматически, CNO должен иметь разрешения на создание объектов-компьютеров в подразделении.

Если вы подготовили CNO в AD DS, для создания VCO можно сделать следующее.

Вариант 1: предоставить разрешения CNO подразделению. Если вы воспользуетесь этим вариантом, кластер сможет автоматически создавать VCO в AD DS. Таким образом, администратор отказоустойчивого кластера сможет создавать кластерные роли, не отправляя вам запрос на подготовку VCO в AD DS.

Примечание

Необходимым минимумом для выполнения шагов этого варианта является членство в группе Администраторы домена или эквивалентной группе.

Вариант 2. Предварительная настройка VCO для кластерной роли. Используйте этот вариант, если есть необходимость в подготовке учетных записей для кластерных ролей из-за требований в вашей организации. Например, если вы хотите контролировать использование имен или создание кластерных ролей.

Примечание

Необходимым минимумом для выполнения шагов этого варианта является членство в группе Операторы учета.

Предоставление разрешений CNO для подразделения

  1. На странице «Пользователи и компьютеры Active Directory» в меню Вид убедитесь, что выбран пункт Дополнительные параметры.

  2. Щелкните правой кнопкой мыши подразделение, в котором вы создали CNO на , а затем выберите свойства.

  3. На вкладке Безопасность выберите Дополнительно.

  4. в диалоговом окне Advanced Security Параметры (дополнительные параметры безопасности ) выберите добавить.

  5. Рядом с пунктом участниквыберите выбрать участника.

  6. В диалоговом окне Выбор: пользователь, компьютер, учетная запись службы или группы выберите типы объектов, установите флажок Компьютеры и нажмите кнопку ОК.

  7. В разделе Введите имена объектов для выборавведите имя CNO, выберите Проверить именаи нажмите кнопку ОК. В ответ на предупреждающее сообщение о том, что вы собираетесь добавить отключенный объект, нажмите кнопку ОК.

  8. В диалоговом окне Запись разрешения убедитесь, что для списка Тип установлено значение Разрешить, а для списка Применяется к — значение Этот объект и все дочерние объекты.

  9. В разделе Разрешения установите флажок Создание объектов-компьютеров.

    Рис. 3. Предоставление CNO разрешения на создание объектов-компьютеров

  10. Нажмите кнопку ОК , пока не вернетесь к оснастке Пользователи и компьютеры Active Directory.

Теперь администратор отказоустойчивого кластера может создать кластерные роли с точкой доступа клиента и подключить ресурсы.

Предварительная настройка VCO для кластерной роли

  1. Прежде чем начать подготовку, убедитесь, что знаете имя кластера и имя, которое будет иметь кластерная роль.
  2. На странице «Пользователи и компьютеры Active Directory» в меню Вид убедитесь, что выбран пункт Дополнительные параметры.
  3. В Active Directory пользователи и компьютеры щелкните правой кнопкой мыши подразделение, в котором находится CNO кластера, наведите указатель на пункт создатьи выберите пункт компьютер.
  4. В поле имя компьютера введите имя, которое будет использоваться для кластерной роли, а затем нажмите кнопку ОК.
  5. Рекомендуется щелкнуть только что созданную учетную запись компьютера правой кнопкой мыши, выбрать пункт Свойстваи выбрать вкладку объект . На вкладке объект установите флажок защитить объект от случайного удаления и нажмите кнопку ОК.
  6. Щелкните правой кнопкой мыши только что созданную учетную запись компьютера и выберите пункт Свойства.
  7. На вкладке Безопасность щелкните Добавить.
  8. В диалоговом окне Выбор: пользователь, компьютер, учетная запись службы или группы выберите типы объектов, установите флажок Компьютеры и нажмите кнопку ОК.
  9. В разделе Введите имена объектов для выборавведите имя CNO, выберите Проверить именаи нажмите кнопку ОК. Если появится предупреждающее сообщение о том, что вы собираетесь добавить отключенный объект, нажмите кнопку ОК.
  10. Убедитесь, что CNO выделен, после чего рядом с полем Полный доступ установите флажок Разрешить.
  11. Щелкните ОК.

Теперь администратор отказоустойчивого кластера может создать кластерную роль с точкой доступа клиента, которая соответствует подготовленному имени VCO, и подключить ресурсы.

Parameters

Parameter

Description

{<StartNode> | forestroot | domainroot}

Specifies the node in the console tree where the search starts. You can specify the forest root (forestroot), domain root (domainroot), or distinguished name of a node as the start node (<StartNode>). If you specify forestroot, dsquery searches by using the global catalog. The default value is domainroot.

[-o {dn | rdn | upn | samid}

Specifies the format in which the list of entries found by the search will be displayed. A dn value displays the distinguished name of each entry. An rdn value displays the relative distinguished name of each entry. A upn value displays the user principal name of each entry. A samid value displays the SAM account name of each entry. By default, the dn format is used.

-scope {subtree | onelevel | base}

Specifies the scope of the search. A subtree value specifies a subtree that is rooted at the start node in the console tree. A onelevel value specifies the immediate children of the start node only. A base value specifies the single object that the start node represents. If you specify forestroot as the start node (<StartNode>), subtree is the only valid scope. The default value is subtree.

-name <Name>

Searches for users whose name attributes match<Name>. For example, «jon*», «*ith», or «j*th».

-desc <Description>

Searches for users whose description attributes match <Description>. For example, «jon*», «*ith», or «j*th».

-upn <UPN>

Searches for users whose UPN attribute matches <UPN>.

-samid <SAMName>

Searches for users whose SAM account name matches <SAMName>.

-inactive <NumberOfWeeks>

Searches for users who have been inactive (stale) for at least the number of weeks that you specify.

-stalepwd <NumberOfDays>

Searches for users who have not changed their passwords for at least the number of days that you specify.

-disabled

Searches for users who have disabled accounts.

{-s <Server> | -d <Domain>}

Connects a computer to a remote server or domain that you specify. By default, dsquery connects the computer to the domain controller in the logon domain.

-u <UserName>

Specifies the user name with which the user logs on to a remote server. By default, -u uses the user name with which the user logged on. You can use any of the following formats to specify a user name:

  • user name (for example, Linda)

  • domain\user name (for example, widgets\Linda)

  • UPN (for example, [email protected])

-p {<Password> | *}

Specifies to use either a password or an asterisk (*) to log on to a remote server. If you type *, dsquery prompts you for a password.

-q

Suppresses all output to standard output (quiet mode).

-r

Specifies that the search use recursion or follow referrals. By default, the search does not follow referrals during search.

-gc

Specifies that the search use the Active Directory global catalog.

-limit <NumberOfObjects>

Specifies the number of objects to return that matches the criteria that you specify. If you specify a value of for <NumberOfObjects>, this parameter returns all matching objects. If you do not specify this parameter, dsquery displays the first 100 results by default.

{-uc | -uco | -uci}

Specifies that dsquery formats output or input data in Unicode. The following list explains each format.

  • -uc: Specifies a Unicode format for input from or output to a pipe (|).

  • -uco : Specifies a Unicode format for output to a pipe (|) or a file.

  • -uci: Specifies a Unicode format for input from a pipe (|) or a file.

/?

Displays help at the command prompt.

Учетные записи главного пула

Пользователь SQL Server главного пула

Объект Имя учетной записи
Имя масштабируемого набора
Имя объекта pod
Имя контейнера
Имя службы
Имя учетной записи (без префикса)
Имя учетной записи (с префиксом пространства имен)
Имя классической учетной записи

Пользователь DMS хранилища данных главного пула

Объект Имя учетной записи
Имя масштабируемого набора
Имя объекта pod
Имя контейнера
Имя службы
Учетная запись (без префикса)
Учетная запись (с префиксом пространства имен)
Имя классической учетной записи

Пользователь подсистемы хранилища данных главного пула

Объект Имя учетной записи
Имя масштабируемого набора
Имя объекта pod
Имя контейнера
Имя службы
Учетная запись (без префикса)
Учетная запись (с префиксом пространства имен)
Имя классической учетной записи

Шаг 1. Подготовка CNO в AD DS

Перед началом работы убедитесь, что знаете следующее:

  • Имя, которое требуется назначить кластеру
  • Имя учетной записи пользователя или группы, которой необходимо предоставить права на создание кластера.

Мы рекомендуем создать подразделение для кластерных объектов. Если подразделение, которое вы хотите использовать, уже существует, для завершения этого шага требуется членство в группе Операторы учета. Если подразделение для кластерных объектов необходимо создать, для завершения этого шага требуется членство в группе Администраторы домена или аналогичной группе.

Примечание

Если вы создали CNO в контейнере компьютеров по умолчанию, а не в подразделении, вам не нужно выполнять шаг 3 этого раздела. В этом сценарии администратор кластера может создать до 10 VCO без какой-либо дополнительной настройки.

Предварительная настройка CNO в AD DS

  1. На компьютере с установленными средствами AD DS из средств удаленного администрирования сервера или на контроллере домена откройте Пользователи и компьютеры Active Directory. Для этого на сервере запустите диспетчер сервера, а затем в меню Сервис выберите Active Directory пользователи и компьютеры.

  2. Чтобы создать подразделение для объектов компьютеров кластера, щелкните правой кнопкой мыши имя домена или существующее подразделение, наведите указатель на пункт создатьи выберите подразделение. В поле имя введите имя подразделения и нажмите кнопку ОК.

  3. В дереве консоли щелкните правой кнопкой мыши подразделение, в котором нужно создать CNO, наведите указатель на пункт создатьи выберите пункт компьютер.

  4. В поле имя компьютера введите имя, которое будет использоваться для отказоустойчивого кластера, а затем нажмите кнопку ОК.

    Примечание

    Это имя кластера, которое пользователь, создающий кластер, укажет в мастере создания кластеров на странице Точка доступа для администрирования кластера или укажет как значение параметра –Name для командлета New-Cluster Windows PowerShell.

  5. Рекомендуется щелкнуть только что созданную учетную запись компьютера правой кнопкой мыши, выбрать пункт Свойстваи выбрать вкладку объект . На вкладке объект установите флажок защитить объект от случайного удаления и нажмите кнопку ОК.

  6. Щелкните правой кнопкой мыши только что созданную учетную запись компьютера, а затем выберите Отключить учетную запись. Выберите Да для подтверждения, а затем нажмите кнопку ОК.

    Примечание

    Учетную запись необходимо отключить, чтобы во время создания кластера соответствующий процесс подтвердил, что учетная запись не используется в данный момент существующим компьютером или кластером в домене.

Рис. 1. Отключенный CNO в примере подразделения кластеров

Get-ADComputer — синтаксис использования командлета

Чтобы получать информацию из AD с помощью командлетов из модуля AD для PowerShell, вам не нужны права администратора домена. Достаточно, чтобы учётная запись, под которой запускается командлет, была членом группы «Domain Users / Authenticated Users».

Чтобы получить информацию о конкретной учётной записи компьютера в домене, укажите её имя в качестве аргумента параметра -Identity:

Get-ADComputer -Identity hackware-server

Пример вывода:

DistinguishedName : CN=HACKWARE-SERVER,OU=Domain Controllers,DC=ds,DC=hackware,DC=ru
DNSHostName       : HackWare-Server-2022.ds.hackware.ru
Enabled           : True
Name              : HACKWARE-SERVER
ObjectClass       : computer
ObjectGUID        : 77e65141-ebec-4728-a1cc-563199d86bf8
SamAccountName    : HACKWARE-SERVER$
SID               : S-1-5-21-670420343-3848213752-1643348011-1000
Get-ADComputer -Identity hackware-server -Properties *

Используя Get-Member, вы можете получить список всех свойств объекта ADComputer:

Get-ADComputer -Filter * -Properties * | Get-Member

Дата последнего входа компьютеров в сеть указана в атрибуте LastLogonDate.

Командлет Get-ADComputer позволяет отображать любые свойства компьютера в результатах выполнения команды. Удалите всю ненужную информацию, оставив только значения атрибутов Name и LastLogonDate.

Get-ADComputer -identity hackware-win -Properties * | Format-Table Name,LastLogonDate -Autosize

Итак, мы получили данные о последней регистрации в домене для отдельного компьютера. Затем вам нужно изменить команду, чтобы она отображала информацию о времени последней сетевой регистрации для всех компьютеров в домене. Для этого замените -Identity на -Filter *:

Get-ADComputer -Filter * -Properties * | Format-Table Name,LastLogonDate -Autosize

У нас получилась простая таблица, которая содержит всего 2 поля: имя компьютера и дата LastLogonData. Вы можете добавить в эту таблицу другие поля объекта ADComputer.

Чтобы отобразить информацию об объектах компьютеров в определённом OU (организационном подразделении), используйте параметр -SearchBase:

Get-ADComputer -SearchBase 'OU=Paris,DC=woshub,DC=loc' -Filter * -Properties * | Format-Table Name,LastLogonDate -Autosize

Отсортируйте результаты запроса по дате последнего входа в систему с помощью командлета Sort-Object:

Get-ADComputer -Filter * -Properties * | Sort-Object LastLogonDate | Format-Table Name,LastLogonDate -Autosize

Итак, у нас есть список компьютеров и дата их последнего входа в домен Active Directory. Теперь мы хотим отключить учётные записи компьютеров, которые не использовались в течение 120 или более дней.

Используя Get-Date, мы можем получить значение текущей даты в переменной и уменьшить его до 120 дней:

$date_with_offset = (Get-Date).AddDays(-120)

Полученную переменную даты можно использовать как фильтр запроса Get-ADComputer в поле LastLogonDate:

Get-ADComputer -Properties LastLogonDate -Filter {LastLogonDate -lt $date_with_offset } | Sort-Object LastLogonDate | Format-Table Name,LastLogonDate -Autosize

Итак, мы создали список неактивных учётных записей компьютеров, которые не регистрировались в сети более 120 дней. Используйте команду Disable-ADAccount или Set-ADComputer, чтобы отключить их.

Совет. В первый раз лучше проверить результаты выполнения команды с помощью переключателя -WhatIf, который позволяет увидеть, что произойдёт, если бы команда была запущена, но при этом в системе ничего изменено не будет.

Get-ADComputer -Properties LastLogonDate -Filter {LastLogonData -lt $date_with_offset } | Set-ADComputer -Enabled $false -WhatIf

Теперь вы можете отключить все неактивные учётные записи компьютеров:

Get-ADComputer -Properties LastLogonDate -Filter {LastLogonData -lt $date_with_offset } | Set-ADComputer -Enabled $false

Примечание. Также вы можете получить список заблокированных, отключённых и неактивных компьютеров и пользователей домена с помощью отдельного командлета Search-ADAccount.

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Мой редактор ОС
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: