Category Archives: Active Directory AD

Pretraga i filtriranje računara u Active Directory pomoću Powershell-a

Često se dešava da nam Active Directory nije potpuno ažuriran u smislu da imamo nekih računara koji se više ne koriste, a nalaze se u različitim organizacionim jedinicama pa bi ih bilo vrlo teško locirati bez PowerShell-a. Jedan od načina je da pronađemo računare na koje je poslednje logovanje bilo pre više od 100 dana i prebacimo ih u jednu organizacionu jedinicu gde ih kasnije možemo brisati.

Prvo ćemo postaviti željeni datum u promenljivu d sa komandom:

$d = [DateTime]::Today.AddDays(-100)

Zatim ćemo iskoristiti komandu koja pretražuje i izlistava računare u AD, Get-ADComputer, a zatim sa filter parametrom izlistati sve računare koji su u statusu enable i kojima je zadnji datum logovanja manji ili jednak od datuma koji smo stavili u promenljivu $d.

Get-ADComputer -filter {(enabled -eq "true") -and 
(lastlogondate -le $d)} -properties Name,LastLogonDate

Nakon toga možemo sve računare prebaciti u novu OU:

Move-ADObject -Targetpath 'ou=Disabled Computers,dc=rajco,dc=me'

Ukoliko hoćemo više detalja o svojstvima računara koje ćemo dobiti u rezultatu možemo koristiti komandu:

Get-ADComputer -filter {(enabled -eq "true") -and (lastlogondate -le $d)} -Properties * |
ft name, lastlogondate, operatingsystem
Get-ADComputer -filter {(enabled -eq "true") -and (lastlogondate -le $d)}`
-Properties * | select Name, LastLogonDate, OperatingSystem | Out-GridView

Evo kako izgledaju rezultati poslednje dve komande respektivno:

PS_AD01

PS_AD02

Ukoliko pretragu želimo da izvršimo prema imenu računara komanda bi izgledala:

Get-ADComputer -Filter "Name -like '*AICABO*'" | ForEach-Object {$_.Name}

Sada se možemo poigrati i pronaći sve željene računare i proveriti veličinu particija i slobodnog prostora:

 $Computers = Get-ADComputer -Filter "Name -Like '*AACABO*'" |
 ForEach-Object {$_.Name}
Get-WMIObject Win32_LogicalDisk -filter “DriveType=3" -computer $computers | `
Select SystemName,DeviceID,VolumeName,@{Name=”size(GB)”;Expression=`
{“{0:N1}” -f($_.size/1gb)}},@{Name=”freespace(GB)”;Expression={“{0:N1}” `
-f($_.freespace/1gb)}} | Out-GridView

PS_AD04

Mogućnosti su velike, pa možete sami da nastavite sa isprobavanjem komandi po vašoj želji i potrebama.

RSAT Tools i Powershell pretraga zaključanih naloga

Iskoristiću ovaj post da objasnim instaliranje i korišćenje RSAT alata, a zatim da dam primer korišćenja Powershell-a preko RSAT-a. RSAT (Remote Server Administration Tools) nam dozvoljava upravljanje rolama i karakteristikama (Roles and Features) koje su instalirane na udaljenom serveru sa operativnim sistemom Windows Server 2008 i 2008R2 (važi i za pojedine role i karakteristike na verziji servera 2008 i 2003). Na primeru koji ću pokazati vidimo koliko je RSAT koristan, ne samo u olakšavanju upravljanja, već i donošenjem novih i poboljšanih komandi.

RSAT je dostupan za obe arhitekture procesora (x86 i x64) a obradićemo verziju za Windows 7 SP1 (mora biti u ediciji Enterprise, Professional ili Ultimate). Bitna stavka je da alat dolazi u vidu ažuriranja i mora se potpuno ukloniti svaka prethodna verzija pre instalacije nove, podrazumeva se da se ne može instalirati na ciljanom serveru. Takođe su nam potrebna administratorska prava na računaru na kom istaliramo alat. Kada završimo instalaciju ostaje nam da u Control Panelu pod opcijom Program and Features dodamo karakteristike i role sa kojim želimo da upravljamo.

RSAT-01

Sada možemo da počnemo sa upravljanjem željenih rola na ciljanom serveru/serverima. Ukoliko ste na klijentskom računaru već logovani kao administrator sa potrebnim pravima na udaljenom serveru onda je dovoljno samo da pokrenete neki od alata. Pošto nije dobra praksa biti logovan na klijentski računar i raditi stalno sa administratorskim pravima onda je potrebno alat pokrenuti kao drugi korisnik i ukucati administratorske kredencijale. Takođe postoji opcija prilikom korišćenja Powershell-a da prilikom izvršavanja same komande obezbedimo kredencijale koji su dovoljni za tu akciju i time izbegnemo rad sa pravima većim od potrebnih.

RSAT-02

Na ovom primeru vidimo da su instalirani svi dostupni alati jer računar nije u produkciji, već u testnom okruženju. Vi ćete naravno izabrati alate za role koje imate instalirane. U svakom trenutku možete dodati i neki koji vam kasnije zatreba. Kao što sam rekao na sledećem primeru ćemo videti kolika je korist od RSAT-a.

Ukoliko dobijete zadatak da proverite sve zaključane naloge u vašem domenu a pri tome imate stotine ili hiljade naloga taj posao ručno bi bio nemoguć, a ako je domain controler na verziji nižoj od Windows Servera 2008 R2 trebaće vam neki PS skript ili ne daj bože VB :). Uz pomoć RSAT alata to možemo uradti sa jednom komandom na sledeći način:

RSAT-03

Search-ADAccount -LockedOut

U prvom redu izlistavamo sve zaključane naloge na domenu.

Search-ADAccount -LockedOut | Unlock-ADAccount

Drugim redom prosleđujemo (pipe) komandu za otključavanje svih naloga. Ukoliko nemamo dovoljna prava ovde možemo dobiti grešku pa je potrebno ponoviti akciju sa odgovarajućim dozvolama. Na kraju ponavljamo prvu komandu da bi se uverili da smo otključali sve naloge. Sve ovo smo radili sa klijentskog računara i pokrenutim Active Directory Module for Powershell, da smo pokrenuli samo Powershell morali bi da importujemo odgovarajući modul sa komandom:

Import-Module ActiveDirectory

Velika verovatnoća je da ne želimo da otključamo sve naloge, već da izaberemo pojedinačno, tada koristimo

RSAT-04

Imamo parametar confirm pa će nam PS tražiti da potvrdimo svaki nalog pojedinačno. Takođe u nastavku vidimo da možemo koristiti select da bi izabrali polja u prikazu koja nas interesuju.

PS C:\Users\Administrator> Search-ADAccount -LockedOut | select Name

Kao što vidimo sada vrlo lako možemo vršiti upravljanje serverima sa lokalnog računara čak i uz korišćenja komandi koje nam ne bi bile dostupne na serveru. Još jedna velika prednost je ukoliko više administratora koristi RDP konekciju ka serverima, a znamo da je, ne računajući terminal servise, ili po novom RDP rolu, broj istovremenih RDP konekcija dve, tako da treći administrator neće moći da pristupi serveru bez da izloguje jednog od prve dvojice ili odlaskom do servera i logovanjem lokalno.

Dodavanje prava korisnicima za slanje mejlova u ime grupe

Dešava se da imamo slučajeve kada je potrebno nekim korisnicima omogućiti slanje e-mail poruka u ime distribucione grupe. Rešenje je vrlo jednostavno ali se često dešava da administratori misle da negde greše jer kada se sve odradi mejlovi neće prolaziti odmah pri testiranju pa tu može biti “začkoljica”.

Prva stvar koju treba da uradimo je da dodamo Send as prava za korisnika u traženoj grupi. To možemo uraditi preko Active Directory ili preko powershell-a.

Prvo izaberemo željenu grupu i otvorimo Security karticu:

SendAs01

Zatim dodamo korisnika koji treba da ima prava slanja u ime grupe:

SendAs02

I na kraju štikliramo Send as polje alow:

SendAs03

Drugi način je da u EMS-u otkucate komandu:

Add-ADPermission -Identity "Rajco Group" -User Predrag.Rajicic

-AccessRights ExtendedRight -ExtendedRights "Send As"

Time je sve rešeno, ali da bi odmah proradilo slanje sa grupe potrebno je isključiti Outlook i obrisati foldere Offline Address Book i RoamCache iz C:\Users\Korisnik\AppData\Local\Microsoft\Outlook

Slike korisnika u Outloku 2010 i Exchange-u 2010 (GAL Pictures in Exchange 2010)

Danas mi koleginica, sva zadovoljna, sugeriše kako svi učesnici konverzacije imaju sličice u nekoj e-mail prepisci, pa možda ne bi bilo loše da podelim sa vama kako podesiti slike na Exchange 2010 koje će se prikazivati u vašem Outlook-u. Slike se dodaju u aktivni direktorijum(Active Directory) a ne u Outlook, ali Exchange 2010 i Outlook 2010 su preduslovi da bi korisnici mogli da vide slike pa je naslov prilagođen tome.

Dugo vremena je prikazivanje slike u outlook-u bio zahtev Exchange administratora i samih korisnika pogotovu u većim organizacijama, kao što je naša, gde ima dosta lokacija geografski udaljenih pa neke od kolega retko ili nikad ne viđamo. Sa Exchange 2010 nam je ta opcija postala dostupna.Dok je korisnicima bitno samo da imaju sliku Active Directory administratori se prvo pitaju kolika će im onda biti AD baza? Slike koje importujemo, po Microsoft-u, ne mogu biti veće od 10KB mada je meni uspevalo da i malo veće slike postavim(samo u testiranju jer nema razloga da bude veće od 7-8KB, što nas u našem konkretnom slučaju od 300 korisnika dovodi do ukupnog povećanja saobraćaja u replikaciji od par Mb. Mi koristimo slike veličine 128×128 piksela.

Primedba:Preporučena veličina slike je 96x96 piksela

  • Prva stvar koju treba da uradimo je promena scheme i to samo ukoliko koristite Exchange 2010 bez SP, u protivnom nema potrebe raditi ovaj korak.
    Regsvr32 schmmgmt.dll

GAL_03

  • Posle toga možemo da otvorimo MMC konzolu i izaberemo Active Directory Schema

GAL_04

  • Pod atrbibut delom nađemo thumbnailPhoto i štikliramo opciju Replicate this attribute to the GC

GAL_05

  • Posle ovoga je ostalo da dodajemo slike korisnicima. To se naravno može samo uraditi preko Exchange Managment Shell-a (EMS).
Import-RecipientDataProperty -Identity "Predrag Rajičić" -Picture -FileData ([Byte[]]$(Get-Content -Path "D:\slike\rajco128.jpg" -Encoding Byte -ReadCount 0))

Evo i slike koja je korišćena u primeru:

rajco128

Ukoliko želite da postavite više slika odjednom onda koristite get-distributiongroupmember i prosleđujete sa | pipe karakterom korisnike kojima želite da dodate sliku.

  • Evo kako to izgleda kada je sve završeno

GAL_01

GAL_02