Gerenciamento básico de objetos do AD DS com PowerShell
O Windows PowerShell é atualmente a linguagem de programação mais utilizada no gerenciamento de todos os serviços do ambiente Windows. Neste artigo, abordarei como realizar tarefas do cotidiano no gerenciamento do AD DS.
- Criando OU
Uma unidade organizacional (OU) é utilizada para agrupar objetos do Active Directory facilitando a administração. Os comandos abaixo vão mostrar como criar OUs.
PS C:\ New-ADOrganizationalUnit "Matriz" -Description "Agregar administritivamente os objetos do AD DS da Matriz" -ProtectedFromAccidentalDeletion $true
No comando acima foi criada uma OU de nome Matriz na raiz do domínio contoso.local, com uma descrição e a proteção de exclusão acidental.
Crie agora a seguinte estrutura de OUs dentro da OU Matriz: DP, Financeiro, TI, Marketing.
PS C:\ New-ADOrganizationalUnit DP -Path "ou=matriz,dc=contoso,dc=local" -ProtectedFromAccidentalDeletion $true
PS C:\ New-ADOrganizationalUnit TI -Path "ou=matriz,dc=contoso,dc=local" -ProtectedFromAccidentalDeletion $true
PS C:\ New-ADOrganizationalUnit Financeiro -Path "ou=matriz,dc=contoso,dc=local" -ProtectedFromAccidentalDeletion $true
PS C:\ New-ADOrganizationalUnit Marketing -Path "ou=matriz,dc=contoso,dc=local" -sdfsdProtectedFromAccidentalDeletion $true
Nestes exemplos, foi preciso por, após o nome da OU, o local onde a sub-ou seria criada com o atributo -Path. Em nenhuma delas eu coloquei uma descrição. Caso precise inserir uma descrição, use o comando abaixo:
PS C:\ Set-ADOrganizationalUnit -Identity "ou=dp,ou=matriz,dc=contoso,dc=local" -Description "Depto Pessoal"
Caso queira excluir uma OU, antes é preciso remover a proteção contra exclusão.
PS C:\ Set-ADOrganizationalUnit -Identity "ou=dp,ou=matriz,dc=contoso,dc=local" -ProtectedFromAccidentalDeletion $false
PS C:\ Remove-ADOrganizationalUnit -Identity "ou=dp,ou=matriz,dc=contoso,dc=local" -Confirm:$false
No último comando, sem o atributo -Confirm:$false, você seria questionado se desejaria excluir ou não. Seria mais uma medida de segurança não por esse atributo.
- Criando Objetos Grupos
Um grupo é útil pois facilita atribuir direitos a objetos do AD a um determinado recurso. Será criado grupos globais de segurança para representar cada departamento criado.
PS C:\ New-ADGroup -Name "DP" -Path "ou=dp,ou=matriz,dc=contoso,dc=local" -GroupScope global -GroupCategory security
PS C:\ New-ADGroup -Name "TI" -Path "ou=ti,ou=matriz,dc=contoso,dc=local" -GroupScope global -GroupCategory security
PS C:\ New-ADGroup -Name "Financeiro" -Path "ou=financeiro,ou=matriz,dc=contoso,dc=local" -GroupScope global -GroupCategory security
***PS C:\ New-ADGroup -Name "Marketing" -Path "ou=marketing,ou=matriz,dc=contoso,dc=local" -GroupScope global -GroupCategory security ***
- Criando Objetos Usuários
Vamos popular as OUs com os objetos usuários e em seguida associar estes aos seus respectivos grupos.
PS C:\ New-ADUser -Name "Paulo Henrife da Silva" -GivenName "Henrique" -Surname "Henrique da Silva" -Path "ou=dp,ou=matriz,dc=contoso,dc=local" -AccountPassword (ConvertTo-SecureString -AsPlainText "123@mudar" -Force) -Enabled $false -SamA
ccountName phenrique -Department "Dpto Pessoal" -UserPrincipalName phenrique@contoso.local
Por questão de segurança, criamos uma conta desabilitada. Quando o usuário for de fato usar, aí a conta pode ser desbloqueada utilizando a senha padrão criada.
Caso queira habilitar esta ou outra conta, use o comando abaixo:
PS C:\ Enable-ADAccount -Identity phenrique
Para finalizar, deve-se associar este usuário criado ao seu respectivo grupo que é o DP.
PS C:\ Add-ADGroupMember -Identity DP -Members phenrique
Caso queira acrescentar mais de um membro ao mesmo grupo, basta separar os logins com vírgula no atributo -Members.
Bom, fico por aqui. Procure criar novos usuários para as outras OUs e associá-los com os respectivos grupos e assim solidificar o conhecimento.
Segue o link com vários comandos para o gerenciamento do AD DS https://technet.microsoft.com/en-us/library/ee617253.aspx