管理者の生活を簡素化し、ADディレクトリで自動モードでユーザー名とコンピューター名を関連付けます

こんにちは、ハブラ！

おそらく、すべてのシステム管理者がユーザーのコンピューター名の決定に問題を抱えていたと思われます。 つまり、従業員の名前は知っているが、彼がどんな種類のコンピューターを持っているのかは分からない。 そして、多くの場合、ユーザーにコンピューターの名前を判別させようとすると、苦痛が生じます。 代わりに、コンピューター名ではなく、ユーザー名、メール、電話番号などに名前を付けます。 そして、システムに関する情報がどこにあるのかをユーザーに説明しようとすると、従業員の執念と激しい憎悪が生じます。 もちろん、デスクトップなどの目立つ場所にコンピュータ名を表示できるユーティリティを作成することもできますが、そのためには、この情報がある場所を毎回説明する必要があります。 問題を少し単純化しますが、完全には解決しません。 さらに、私はユーザーとすべてが彼が座っているコンピューターの名前を知らないという事実に傾いています。 その結果、コンピューター名の定義を現代的、便利、正確、そして最も重要なことには自動化することが決定されました。





コンピューターへの接続は次のようになります。 さらに、管理者アカウントを使用してスナップインを開く必要さえありません。 これがすべてどのように機能し、インフラストラクチャでそれを行う方法に興味がある人は、catの下で歓迎します。

上記を達成するには、ADが何であるかを理解し、AD内のオブジェクトの構造を少なくとも大まかに理解し、スクリプトがどのように機能するかを理解し、猫を愛する必要があります。

一般原則

ユーザーの下から起動されたスクリプトは、それが実行されているコンピューターの名前を決定し、その代わりに現在のユーザーがADディレクトリーの属性の値を書き込みます。 さらに、管理者はこの属性値をどうするかを自由に決定できます。 この記事では、PowerShellスクリプトの例と、 Active Directoryユーザーとコンピュータースナップイン（以降ADUCと呼びます）にコンテキストメニュー項目を追加する例を示します。

属性を作成する

多くの人は、一般に入手可能な録音を使用して、遠くまで行かず、賢明でもありませんでした。たとえば、ユーザーのWebページパラメーターは、デフォルトで自分で録音に使用できます。 しかし、私はこの考えが好きではありませんでした。二重の目的がなく、妥協を必要としないユーザー向けに特別な属性を作成したかったのです。 そして、状況が将来どのように発展し、この属性の使用を必要とするかを誰が知っていますか？

そのため、スキーマに新しい属性を作成するには、最初にスナップを追加する必要があります。 リモート管理パッケージがインストールされているコンピューターまたはドメインコントローラーでは、ローカル管理者としてregsvr32 schmmgmt.dllを実行する必要があります 。 このスナップインがデフォルトで登録されていない理由を説明するのは困難です。これは、無知に邪魔されないようにするためのようです。 それでも、DLLを登録することで追加できます。 その後、 Active Directoryスキーマスナップインを開き、[ 属性]セクションに移動します。 新しい属性を作成します。 ここでは、もちろん、属性は実験の場所ではなく、属性は一度作成されるだけなので、属性を削除したり名前を変更したりすることはできません。 この警告は、属性が追加されるすべての場所にありますが、それでも:)新しい属性を追加するには、 スキーマ管理者権限も必要です。 管理ユーザーがエンタープライズ管理者権限を持っている場合、これで十分です。

新しい属性を追加するには、OIDを入力する必要があります。 これはオブジェクトの一意の識別子です。 これについてはGoogleで読むことができますが、これ以上詳しくはしませんが、ユニークでなければなりません。 OIDの共通部分は受け入れられないものであり、だれかによって侵入された場合、将来的には解決できない問題が発生する可能性があります。 OIDは通常、1.2.840.113556以降の数字で始まります。 特に気にしませんでした 3番目の数字（840）は国コード、4番目は会社コード（Microsoft）です。存在しない国800のコードを入力し、ドットを介して2つの乱数を生成しました。 国のリストはここにあります 。 実際、この場合はITU-Tに連絡して一意のOIDを要求する必要がありますが、答えは私には届かず、ボトルに入って乱数に基づいて作成しませんでした。 その後、比較的一意の識別子を生成するスクリプトを見つけましたが、手遅れでした:)）



一般に、彼らはOIDで決定しました。 次に、構文属性を指定する必要があります。 私の構成では、これはUnicode Stringです。 また、もちろん、属性名が必要です。 この例では、 LabelComputerという名前を使用します。実際の構成では、もっと良いものを考え出すのが良いでしょう。

属性を作成したら、クラスに追加する必要があります。 ユーザークラスを選択し、[ 属性 ]タブに新しい属性を追加します。 これで、必要な権限を持つユーザーは、この属性をユーザーに書き込む権利を持ちます。 デフォルトでは、 アカウントオペレーター以上がこれらの権利を所有しています。 しかし、ユーザー自身がこの属性を編集できる状況に興味があります。 そのような目的のために、自分を擬人化するSELFという名前のユーザーがいます。 LabelComputer属性を書き込むために、 SELFユーザーにすべてのユーザーの権利を与える必要があります。 なぜなら 誰もまだ相続をキャンセルしていません。必要に応じて上位に進み、権利を変更します。 ドメイン全体の権利を変更することをお勧めします。DC = contoso、dc = comの場合、 ADUCスナップインでドメインオブジェクトのセキュリティ設定を入力します。 権限タブに移動し、[ 詳細設定 ]ボタンをクリックします。 SELFユーザーの権利を追加し、 LabelComputer属性の読み取りと書き込みを許可します。 ところで、リスト内の属性は、作成後すぐには表示されません。 属性の作成から、権利の割り当てリストおよびユーザー属性のプロパティに表示されるまでには時間がかかります。

マーキング

その結果、権利を割り当てた属性を作成しました。 作業段階に進み、コンピューター名を属性値に追加する必要があります。

このために、VBscriptが使用されます。 実践が示すように、MicrosoftはPowerShellをVBSの代わりにしようとはしていません。 なんて残念。 このようなタスクの場合、VBSはより高速でより汎用性があります。

現在のユーザーにデータを書き込むスクリプト：

On Error Resume Next Set objSysInfo = CreateObject("ADSystemInfo") Set objNetwork = CreateObject("WScript.Network") Set objUser = GetObject("LDAP://" & objSysInfo.UserName) objUser.Put "LabelComputer", objNetwork.ComputerName objUser.SetInfo
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

スクリプトはシンプルで原始的です。 ただし、スクリプトとモデルを拡張して、コンピューターだけでなく、たとえば関連性の時間を節約することもできますが、この例ではこれについては触れません。

グループポリシーを使用するスクリプトは、ログオン時に実行するように割り当てられます。 しかし、それだけではありません。 ある人が2台のコンピューターにログオンしているときに状況が発生する可能性がありますが、この場合でも、情報が関係するようにします。 これを行うには、コンピューターのロック解除イベントのトリガーを使用して、スケジューラにスクリプトの実行を追加します。



この場合、ログインが複数のコンピューターで実行された場合でも、最後にブロック解除されたコンピューターが関連します。 失望は1つだけです。 この方法は、Vista +コンピューターでのみ機能します。 つまり、XPでは、スケジューラーでこのようなトリガーを設定することはできません。 また、残念ながら、VBSではコンピューターがロックされているかどうかを判断することもできません。 それ以外の場合は、コンピューターがロックされているかどうかを確認して、15分ごとにスクリプトを実行できます。 VBSでは、主観的な基準（セキュリティイベントログのエントリなど）によってのみ判断できますが、少なくともこのログを表示するには、通常のユーザーにアクセス許可を与える必要があります。 これは不便で適用性が低く、実際にXPは小さくなっています。このコンピューターのグループは無視でき、ログオンスクリプトで十分です。

なぜなら すべての入力ではなく、ローカルの入力のみにフラグを立てたいので、ローカルコンピューターではない端末や他のサーバーでの実行からログオンスクリプトを除外する必要があります。 これを実現するには、マージモードでグループポリシーを閉じ 、グループポリシーオブジェクトをパーソナルコンピューター、サーバーのない領域に適用します。 この方法は十分に悪く、リソースを浪費します。グループポリシーの閉鎖は、すべてのコンピューターではなく、絶対に必要な場合にのみ使用することをお勧めします。 しかし、おそらくこれは改善の次の段階になるでしょう。 それでも、この方法では、ログオンスクリプトとスケジューラ設定を使用して、必要なグループポリシーを実行するコンピューターを明確に制限します。

PowerShellサンプルデータ収集スクリプト

メインタスクが完了しました。 現在のコンピューターに関する情報がユーザーに表示され始めていることがわかり始めています。



次に、このデータで何かをする必要があります。 たとえば、ユーザーがどのコンピューターに座っている便利なタブレットを作成します。 または、最近のログインにもかかわらず、どのユーザーが属性に値を持っていないか、グループポリシーがシステムで実行されているかどうか、または何らかの理由でユーザーに属性値をユーザーに書き込むための十分な権限がないかどうかを確認します。 これは、たとえばユーザーが権利の継承を無効にしている場合に発生します。



作業に役立つ3つのPowerShellスクリプトを作成しました。

値のないユーザーを検索する

 Import-Module ActiveDirectory Get-ADObject -filter {(sAMAccountType -eq "805306368") -and (LabelComputer -notlike "*")} -Properties DisplayName,GivenName,SN,LabelComputer,cn,sAMAccountName,lastLogonTimestamp, OperatingSystem -SearchBase "OU= ,DC=contoso,dc=com" | Select-Object @{Expression={$_.DisplayName};Label=" "},@{Expression={$_.sAMAccountName};Label=""}, @{label=" ";expression={[datetime]::FromFileTime($_.lastLogonTimestamp)}} | Sort-Object " "| Format-Table -Autosize Read-Host "      .     ..."
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

このスクリプトは、ユーザーのみが表示される美しいテーブル、表示名、ログイン、最終ログイン日を作成します。 ここでは、不審なユーザーを確認し、最近のログインにもかかわらず、コンピューター名がまだ欠落している理由を理解しようとします。

タグ付きのすべてのコンピューター

 Import-Module ActiveDirectory Get-ADObject -filter {(sAMAccountType -eq "805306368") -and (LabelComputer -like "*")} -Properties DisplayName,GivenName,SN,LabelComputer,cn,sAMAccountName,lastLogon -SearchBase "OU= ,DC=contoso,dc=com" | Select-Object @{Expression={$_.DisplayName};Label=" "},@{Expression={$_.sAMAccountName};Label=""}, @{Expression={$_."LabelComputer"};Label=" "},@{label=" ";expression={[datetime]::FromFileTime($_.lastLogon)}} | Sort-Object " " | Format-Table -Autosize Read-Host "      .     ..."
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

このスクリプトは前のものと似ていますが、タグ付けされたユーザーのリストを表示します。 マークされたユーザーの相対数を推定できます。

ユーザーによるコンピューター名の検索

 Import-Module ActiveDirectory $exit = 0 do { Write-Host "   : , ,  , ,  .     ." $us = Read-Host -Prompt "   " $find = "" $find += '*' + $us + '*' write-host = $find Get-ADObject -filter {(sAMAccountType -eq "805306368") -and ((GivenName -like $find ) -or (sn -like $find ) -or (cn -like $find ) -or (DisplayName -like $find ) -or (LabelComputer -like $find ) -or (sAMAccountName -like $find ))} -Properties DisplayName,GivenName,SN,LabelComputer,cn,sAMAccountName | Select-Object @{Expression={$_.DisplayName};Label=" "},@{Expression={$_.sAMAccountName};Label=""},@{Expression={$_."LabelComputer"};Label=" "} | Format-Table -Autosize } While ($us -ne "")
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

さて、そして、直接、検索。 検索がユーザーのすべての主要なパラメーターで行われるように。 見つかったテーブルを返します。



すべてのスクリプトについて、出力はFormat-TableではなくExport-CSVで実行でき、すぐにCSVファイルを作成して、スプレッドシートエディターで既に分析できます。

{{映画の始まりのレオナルド・ディカプリオの写真}}

スナップへのアイテムの追加

スクリプトは美しいですが、もっと自動化が必要です。 そして、コンテキストメニューをクリックすると、リモートコントロール用のDameWareプログラムが自動的にコンピューターに接続されるようにしたかったのです。 もちろん、任意の便利なプログラムを実行できます。したがって、必要に応じて、たとえばマシンをリモートで再起動できます。 ただし、 DameWareの例を検討してください。

ADUCスナップインのコンテキストメニューの設定は、最初は見えますが、ADディレクトリにあるため、ローカルにはありません。 新しいアイテムを追加するには、AD構成エディターであるADSI Editユーティリティを使用する必要があります。 AD構成に接続する必要があります。





変更に必要な属性はオブジェクトにあります

CN =ユーザーディスプレイ、CN = 419、CN = DisplaySpecifiers、CN =構成、DC = contoso、DC = com また、 CN = 419は、ご想像のとおり 、言語です。 英語のADUCスナップインのパラメーターを変更する必要がある場合、 CN = 419をCN = 409に変更する必要があります。



adminContextMenuにアイテムを追加します。 私が理解するように、最初はソート番号であり、2番目は名前自体であり、3番目は実際に実行されるオブジェクトのアドレスです。 パラメーターはコンマで区切られます。 ユーザーオブジェクトのADUCを再起動すると、新しく作成されたアイテムがコンテキストメニューに表示されます。 スクリプトはユーザーとして起動され、その代わりにスナップインが起動されます。 合計で、 ADUCのコンテキストメニューからプログラムを起動すると、スクリプトまたはプログラムはパラメーターで2つの値を受け取ります。これらはオブジェクトDNとオブジェクトタイプです。 スクリプトでユーザー名を見つけるための最初のパラメーターのみに関心があります。

 On Error Resume Next Set WshShell = CreateObject("WScript.Shell") set fs=createobject("Scripting.FileSystemObject") Dim CompName Dim RunCMD Dim FilePath Set objAD = GetObject(Wscript.arguments.Item(0)) CompName = objAD.Get ("LabelComputer") If CompName = "" Then WScript.Echo "    " If CompName = "" Then WScript.quit If MsgBox ("   " & CompName & "?",vbOKCancel+vbQuestion,"?") = vbCancel Then WScript.quit If fs.FileExists ("C:\Program Files\DameWare\DameWare Mini Remote Control 7.5\DWRCC.exe") Then FilePath = """C:\Program Files\DameWare\DameWare Mini Remote Control 7.5\DWRCC.exe""" RunCMD = FilePath &" -c: -h: -x: -m:" & CompName & " -u:LocalAdmin -p:1072206713 -d:contoso" RetCode = WshShell.Run (RunCMD,5)
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

このスクリプトは、資格情報contoso \ LocalAdminを使用してDamwareプログラムを起動します。 このユーザーは、以前にユーザーのコンピューターのローカル管理者のリストに追加されていました。 実際、オプション-u：、-p :、および-d：を除外すると、現在のユーザーの代わりにDameWareが起動します。 ユーザーのコンピューターのローカル管理者権限がある場合、これは簡単です。



将来的には、このテーマを開発して、テクニカルサポート部門の電話をSIPソフトフォンに転送し、すべての作業スキームをプログラムに適合させて、着信コールで必要なすべてのサンプルが作成され、発信者に関するすべての情報がすぐに画面に表示されるようにします。 そして幸せが来るでしょう！



ここではユニークな知識は説明されていませんが、少なくともスクリプトの例がこの分野を理解する初心者に役立つことを願っています:)あなたはこれをすべて改善し続け、新しい属性を追加し、ユーザーだけでなくコンピューターにもラベルを追加してタイムスタンプを追加できます最新のコンピューターなどを保存する 各企業には独自のニーズがあります。