PowerShellを使用した10のActive Directory管理タスク

Jeffery Hicksは 、Windows IT Proで PowerShellを使用したADの管理に関する記事を執筆しました 。 開始点として、著者は10の一般的なAD管理タスクを実行し、PowerShellを使用してタスクを簡素化する方法を検討することにしました。

1. ユーザーパスワードをリセット
2. アカウントの有効化と無効化
3. ユーザーアカウントのブロックを解除
4. アカウントを削除
5. 空のグループを見つける
6. グループにユーザーを追加する
7. グループのメンバーをリストします。
8. レガシーコンピュータアカウントを見つける
9. コンピューターアカウントを無効にする
10. タイプ別のコンピューターの検索

さらに、著者は（もちろんPowerShellで）ブログを管理しています。jdhitsolutions.com/ blogをご覧になることをお勧めします。 そして最も関連性の高いものは、彼のtwitter twitter.com/jeffhicksから入手できます。

したがって、記事「PowerShellで解決されたトップ10のActive Directoryタスク」の翻訳があります。



Windows PowerShellを使用したActive Directory（AD）の管理は、思っているよりも簡単です。それを証明したいと思います。 以下のスクリプトを使用し、それらを使用して多くのAD管理タスクを解決できます。

必要条件

PowerShellを使用してADを管理するには、いくつかの要件を満たす必要があります。 ADのコマンドレットがWindows 7コンピューターでどのように機能するかを例として示します。

コマンドレットを使用するには、Windows Server 2008 R2レベルのドメインコントローラーが必要です。または、 Active Directory Management Gatewayサービスをレガシドメインコントローラー（レガシDC）にダウンロードしてインストールできます。 インストールする前にドキュメントを注意深く読んでください。 CDの再起動が必要です。

クライアント側で、 Windows 7またはWindows 8のいずれかのリモートサーバー管理ツール （RSAT）をダウンロードしてインストールします 。 Windows 7では、 コントロールパネルの[ プログラム]セクションを開き、[ Windowsの機能をオンまたはオフにする]を選択する必要があります 。 リモートサーバー管理ツールを見つけて、[ ロール管理ツール]セクションを展開します 。 AD DSおよびAD LDSツールの適切な項目を選択します。特に、図1に示すように、 Windows PowerShell用のActive Directoryモジュールオプションを選択する必要があることに注意してください（Windows 8では、すべてのツールがデフォルトで選択されます）。 これで作業する準備ができました。





図1 AD DSおよびAD LDSツールの有効化



ドメイン管理者アカウントでログインしました。 表示するコマンドレットのほとんどでは、代替の資格情報を指定できます。 いずれにせよ、ヘルプ（ Get-Help ）と例を読むことをお勧めします。以下に例を示します。

PowerShellセッションを開始し、モジュールをインポートします。

PS C:\> Import-Module ActiveDirectory
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

インポートの結果、新しいPSDriveが作成されますが、使用しません。 ただし、インポートされたモジュールで使用可能なコマンドを確認できます。

 PS C:\> get-command -module ActiveDirectory
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

これらのコマンドの利点は、単一のADオブジェクトに対してコマンドを使用できる場合、10、100、さらには1000でも使用できることです。これらのコマンドレットの一部がどのように機能するかを見てみましょう。

タスク1：ユーザーパスワードのリセット

典型的なタスクから始めましょう：ユーザーパスワードのリセット。 これはSet-ADAccountPasswordコマンドレットを使用して簡単かつ簡単に実行できます。 難しいのは、新しいパスワードをセキュリティで保護された文字列として指定する必要があることです。つまり、PowerShellセッション全体で暗号化され、メモリに保存されるテキストです。 最初に、新しいパスワードで変数を作成します。

 PS C:\> $new=Read-Host "Enter the new password" -AsSecureString
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次に、新しいパスワードを入力します。

 PS C:\>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

これで、アカウントを抽出し（ samAccountnameを使用するのが最適なオプションです）、新しいパスワードを設定できます。 ジャックフロストの例を次に示します。

 PS C:\> Set-ADAccountPassword jfrost -NewPassword $new
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

残念ながら、このコマンドレットの場合、バグが観察されます： -Passthru 、 -Whatif 、および-Confirmは機能しません。 ショートカットが必要な場合は、次を試してください。

 PS C:\> Set-ADAccountPassword jfrost -NewPassword (ConvertTo-SecureString -AsPlainText -String "P@ssw0rd1z3" -force)
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

最後に、ジャックが次回ログインするときにパスワードを変更する必要があり、 Set-ADUserを使用してアカウントを変更します。

 PS C:\> Set-ADUser jfrost -ChangePasswordAtLogon $True
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

コマンドレットの実行結果はコンソールに書き込まれません。 必要に応じて、 –Trueを使用します 。 しかし、図2に示すように、 Get-ADUserコマンドレットを使用してユーザー名を抽出し、 PasswordExpiredプロパティを指定することで、操作が成功したかどうかを確認できます。





図 2. PasswordExpiredプロパティを使用したGet-ADUserコマンドレットコマンドレットの結果



結論：PowerShellを使用してユーザーのパスワードをリセットすることはまったく難しくありません。 パスワードのリセットも、 Microsoft管理コンソール（MMC）のActive Directoryユーザーとコンピュータースナップインを使用して簡単に行えます。 ただし、タスクを委任する必要がある場合は、PowerShellの使用が適しています。前述のスナップインを展開したり、大規模な自動ITプロセス中にパスワードをリセットしたりしたくない場合。

タスク2：アカウントの有効化と無効化

次に、アカウントを無効にします。 ジャックフロストとは引き続き協力していきます。 このコードは-Whatifパラメーターを使用します。これは、コマンドを実行せずにテストするための変更を実装する他のコマンドレットで見つけることができます。

 PS C:\> Disable-ADAccount jfrost -whatif What if: Performing operation "Set" on Target "CN=Jack Frost, OU=staff,OU=Testing,DC=GLOBOMANTICS,DC=local".
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次に、実際に非アクティブ化します。

 PS C:\> Disable-ADAccount jfrost
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

そして、アカウントをアクティブにするときが来たら、どのコマンドレットが役立ちますか？

 PS C:\> Enable-ADAccount jfrost
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

これらのコマンドレットはパイプライン式で使用でき、必要な数のアカウントをアクティブ化または非アクティブ化できます。 たとえば、このコードは営業部門のすべてのアカウントを無効にします。

 PS C:\> get-aduser -filter "department -eq 'sales'" | disable-adaccount
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

もちろん、 Get-ADUserのフィルターを作成することは非常に困難ですが、 Disable-ADAccountコマンドレットで –Whatifパラメーターを使用することで解決できます。

タスク3：ユーザーアカウントのロック解除

ジャックが新しいパスワードを入力しようとしてアカウントをブロックした状況を考えてみてください。 GUIを介して彼のアカウントを見つけようとすることに加えて、簡単なコマンドでロック解除手順を実行できます。

 PS C:\> Unlock-ADAccount jfrost
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

このコマンドレットは-Whatifおよび-Confirm オプションもサポートしています 。

タスク4：アカウントを削除する

削除するユーザーの数に関係なく、 Remove-ADUserコマンドレットを使用して簡単に削除できます。 Jack Frostを削除する気はありませんが、必要であれば、次のコードを使用します。

 PS C:\> Remove-ADUser jfrost -whatif What if: Performing operation "Remove" on Target "CN=Jack Frost,OU=staff,OU=Testing,DC=GLOBOMANTICS,DC=local".
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

または、1つの簡単なコマンドで複数のユーザーを入力して削除できます。

 PS C:\> get-aduser -filter "enabled -eq 'false'" -property WhenChanged -SearchBase "OU=Employees, DC=Globomantics,DC=Local" | where {$_.WhenChanged -le (Get-Date).AddDays(-180)} | Remove-ADuser -whatif
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

このコマンドを使用すると、180日以上変更されていない従業員部門（OU）の非アクティブ化されたアカウントがすべて検出され、削除されます。

タスク5：空のグループを見つける

グループ管理は終わりのない感謝のない仕事です。 空のグループを見つけるには多くの方法があります。 組織によっては、他の式よりもうまく機能する式もあります。 以下のコードを使用すると、組み込み（組み込み）を含むドメイン内のすべてのグループを検索できます。

 PS C:\> get-adgroup -filter * | where {-Not ($_ | get-adgroupmember)} | Select Name
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

何百人ものメンバーがいるグループがある場合、このコマンドの使用には時間がかかる可能性があります。 Get-ADGroupMemberは各グループをチェックします。 制限またはカスタマイズできる場合は、改善されます。

別のアプローチを示します。

 PS C:\> get-adgroup -filter "members -notlike '*' -AND GroupScope -eq 'Universal'" -SearchBase "OU=Groups,OU=Employees,DC=Globomantics, DC=local" | Select Name,Group*
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

このコマンドは、OUグループのメンバーシップを持たないすべてのユニバーサルグループを検索し、一部のプロパティを表示します。 結果を図3に示します。



図 3.ユニバーサルグループの検索とフィルタリング

タスク6：ユーザーをグループに追加する

シカゴのITグループにJack Frostを追加しましょう。

 PS C:\> add-adgroupmember "chicago IT" -Members jfrost
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

はい、それはとても簡単です。 また、数百人のユーザーをグループに簡単に追加することもできますが、私の意見では、これは少し不便です。

 PS C:\> Add-ADGroupMember "Chicago Employees" -member (get-aduser -filter "city -eq 'Chicago'")
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

かっこ付きのパイプライン式を使用して、シカゴのCityプロパティを持つすべてのユーザーを検索しました。 括弧内のコードが実行され、受信したオブジェクトが–Memberパラメーターに渡されます。 各カスタムオブジェクトはChicago Employeesグループに追加されます。 5人または5,000人のユーザーを扱っているかどうかは関係ありません。グループメンバーシップの更新には数秒しかかかりません。 この式は、 ForEach-Objectを使用して作成することもできます。

 PS C:\> Get-ADUser -filter "city -eq 'Chicago'" | foreach {Add-ADGroupMember "Chicago Employees" -Member $_}
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

タスク7：グループメンバーの一覧表示



特定のグループのメンバーを知りたい場合があります。 たとえば、Domain Adminsグループのメンバーであるユーザーを定期的に確認する必要があります。

 PS C:\> Get-ADGroupMember "Domain Admins"
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

結果を図4に示します。





図 4. Domain Adminsグループのメンバー



コマンドレットは、グループの各メンバーのADオブジェクトを表示します。 ネストされたグループをどうしますか？ My Chicago All Usersグループは、ネストされたグループのコレクションです。 すべてのアカウントのリストを取得するには、 –Recursiveパラメーターを使用するだけです。

 PS C:\> Get-ADGroupMember "Chicago All Users" -Recursive | Select DistinguishedName
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

他の方法で行きたい場合-ユーザーがどのグループに属しているかを調べるには-MemberOfユーザープロパティを使用します ：

 PS C:\> get-aduser jfrost -property Memberof | Select -ExpandProperty memberOf CN=NewTest,OU=Groups,OU=Employees, DC=GLOBOMANTICS,DC=local CN=Chicago Test,OU=Groups,OU=Employees, DC=GLOBOMANTICS,DC=local CN=Chicago IT,OU=Groups,OU=Employees, DC=GLOBOMANTICS,DC=local CN=Chicago Sales Users,OU=Groups,OU=Employees, DC=GLOBOMANTICS,DC=local
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

-ExpandPropertyパラメーターを使用して、 MemberOf名を文字列として出力しました 。

タスク8：レガシーコンピューターアカウントの検索

私はよくこの質問を尋ねられます：「古いコンピューターアカウントを見つける方法？」。 そして、私はいつも答えます：「そしてあなたにとって何が時代遅れですか？」コンピュータアカウント（またはユーザー、それは重要ではありません）が時代遅れとして認識され、それ以上使用することができないとき、会社は異なって決定します。 私に関しては、パスワードが一定期間変更されていないアカウントに注意を払います。 私にとってこの期間は90日間です。この期間にコンピューターがドメインのパスワードを変更していない場合、ほとんどの場合、オフラインで古くなっています。 Get-ADComputerコマンドレットが使用されます。

 PS C:\> get-adcomputer -filter "Passwordlastset -lt '1/1/2012'" -properties *| Select name,passwordlastset
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

このフィルターはハードな値でもうまく機能しますが、このコードは2012年1月1日以降にパスワードを変更していないすべてのコンピューターアカウントに対して更新されます。 結果を図5に示します。





図 5.古いコンピューターアカウントを見つける



別のオプション：少なくともWindows 2003ドメインの機能レベルにいる場合、 LastLogontimeStampプロパティにフィルターを設定します。 この値は、1601年1月1日以降の100ナノ秒間隔の数であり、GMTに格納されているため、この値を使用するのは少し困難です。

 PS C:\> get-adcomputer -filter "LastlogonTimestamp -gt 0" -properties * | select name,lastlogontimestamp, @{Name="LastLogon";Expression={[datetime]::FromFileTime ($_.Lastlogontimestamp)}},passwordlastset | Sort LastLogonTimeStamp
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

私は責任を負い、 LastLogontimeStampの値を取得して使い慣れた形式に変換するカスタムプロパティを追加しました。 結果を図6に示します。





図 6. LastLogonTimeStampの値を使い慣れた形式に変換します



フィルターを作成するには、日付（たとえば、2012年1月1日）を正しい形式に変換する必要があります。 変換はFileTimeで行われます：

 PS C:\> $cutoff=(Get-Date "1/1/2012").ToFileTime() PS C:\> $cutoff 129698676000000000
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

これで、 Get-ADComputerのフィルターでこの変数を使用できます。

 PS C:\> Get-ADComputer -Filter "(lastlogontimestamp -lt $cutoff) -or (lastlogontimestamp -notlike '*')" -property * | Select Name,LastlogonTimestamp,PasswordLastSet
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

指定されたコードは、図5に示されたのと同じコンピューターを検出します。

タスク9：コンピューターアカウントの無効化

おそらく、非アクティブなアカウントや古いアカウントを見つけた場合は、それらを非アクティブにすることをお勧めします。 これは非常に簡単です。 ユーザーアカウントの操作で使用したものと同じコマンドレットを使用します。 samAccountnameアカウントを使用して、それを調整できます。

 PS C:\> Disable-ADAccount -Identity "chi-srv01$" -whatif What if: Performing operation "Set" on Target "CN=CHI-SRV01, CN=Computers,DC=GLOBOMANTICS,DC=local".
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

または、パイプライン式を使用します。

 PS C:\> get-adcomputer "chi-srv01" | Disable-ADAccount
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

また、コードを使用して古いアカウントを見つけ、それらをすべて無効にすることもできます。

 PS C:\> get-adcomputer -filter "Passwordlastset -lt '1/1/2012'" -properties *| Disable-ADAccount
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

タスク10：タイプ別のコンピューターの検索

サーバーやワークステーションなど、種類ごとにコンピューターアカウントを検索する方法もよく聞かれます。 あなたの側では、これにはいくらかの創造性が必要です。 ADでは、おそらくOSを除いて、サーバーとクライアントを区別するものはありません。 コンピューターでWindows Server 2008を実行している場合、いくつかの追加手順を実行する必要があります。

まず、オペレーティングシステムのリストを取得する必要があります。次に、使用可能なOSでアカウントをフィルタリングします。

 PS C:\> Get-ADComputer -Filter * -Properties OperatingSystem | Select OperatingSystem -unique | Sort OperatingSystem
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

結果を図7に示します。





図 7. OSリストの取得



サーバーOSがインストールされているすべてのコンピューターを検索したい：

 PS C:\> Get-ADComputer -Filter "OperatingSystem -like '*Server*'" -properties OperatingSystem,OperatingSystem ServicePack | Select Name,Op* | format-list
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

結果を図8に示します。







他のAD Getコマンドレットと同様に、必要に応じて検索パラメーターを構成し、クエリを個々のOUに制限できます。 私が示したすべての式は、大規模なPowerShell式に統合できます。 たとえば、並べ替え、グループ化、フィルターの適用、CSVへのエクスポート、HTMLレポートの作成と電子メールへの送信など、すべてPowerShellを使用できます。 この場合、単一のきしみを書く必要はありません。

ボーナスは次のとおりです。HTMLファイルに保存されたユーザーパスワード有効期間レポート：

 PS C:\> Get-ADUser -Filter "Enabled -eq 'True' -AND PasswordNeverExpires -eq 'False'" -Properties PasswordLastSet,PasswordNeverExpires,PasswordExpired | Select DistinguishedName,Name,pass*,@{Name="PasswordAge"; Expression={(Get-Date)-$_.PasswordLastSet}} |sort PasswordAge -Descending | ConvertTo-Html -Title "Password Age Report" | Out-File c:\Work\pwage.htm
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

この式は少し威圧的に見えるかもしれませんが、PowerShellの知識が最小限であれば簡単に使用できます。 最後のアドバイスだけが残っています。PasswordAgeというカスタムプロパティを定義する方法です。 値は、今日とPasswordLastSetプロパティの間のギャップです。 次に、新しいプロパティの結果を並べ替えます。 図9は、小さなテストドメインの出力を示しています。







更新：

この投稿は、 WindowsITProポータルの記事の翻訳を提供します

PowerShellで解決された上位10個のActive Directoryタスク



ボーナス：システム管理を目的としたPowerShell \\Habréの記事

• Active Directoryパスワードの有効期限通知
• Powershellを使用してファイルの削除とアクセスを監査し、イベントをログファイルに書き込む
• Powershellは、変更アラートでActive Directoryを監査します。 パート1とパート2
• 失われたグループ。 ADの「奇妙な」グループの割り当てを調べる

PowerShellを使用して作業を簡素化するにはどうすればよいですか？