В этом руководстве мы покажем вам, как установить модуль PowerShell для Active Directory на практически любой версии Windows. Установка модуля Active Directory (AD) в PowerShell предоставляет специалистам по ИТ удобный и безопасный удаленный доступ для администрирования их сред AD, при этом не требуется интерактивное логиниться на своих контроллерах домена.
Microsoft не рекомендует очень распространенную и повсеместную практику интерактивного логина в Active Directory контроллеры домена (DC) для работы в Active Directory. Это является фундаментальным риском безопасности и неэффективно, чтобы назвать два недостатка. Лучшая практика, рекомендованная Microsoft, – это удаленно и безопасно использовать инструменты удаленного администрирования серверов (RSAT), включая модуль Active Directory для Windows PowerShell.
Установка модуля PowerShell для Active Directory
I will assist you in the installation of this rather powerful module on the varying Windows Server and Windows client operating systems. Hopefully, this guide will help you be more efficient, especially when it comes to PowerShell scripting and productivity gains.
Windows 7 (Windows Server 2008 R2)
Подождите… разве Windows 7 не была прекращена поддержка Microsoft около два с половиной года (на момент написания)? Ну да… вы правы. Никто не должен использовать Windows 7. Но, как мы ВСЕ знаем, подавляющее большинство предприятий и МСБ, определенно, имеют некоторые машины с Windows 7, заглядывающие из-за шторы.
Скачать и установить Remote Server Administration Tools (RSAT) для Windows 7
Сначала вам нужно скачать и установить Remote Server Administration Tools (RSAT) для Windows 7. Теперь, если вы перейдете по этой официальной ссылке на документацию Microsoft, вы увидите, что там обсуждается RSAT для Windows 7. Но, как ни пытайтесь, вы не найдете ссылки для скачивания (ее просто нет…).
Короче говоря, Microsoft удалила все официальные загрузки пакета RSAT для Windows 7. Но, благодаря web.archive.org, прошлое осталось в некотором виде: Вы можете скачать пакет по этой ссылке.
После того как вы его скачаете, дважды нажмите на него, нажмите Да для установки обновления, и кликните Принять в условиях лицензии.
По завершении установки, можете перейти к следующему шагу.
Кликните Пуск -> Панель управления -> Программы, а затем выберите ‘Включение или отключение компонентов Windows’ (‘Turn Windows features on or off’).
Разверните пункт Удаленные средства администрирования сервера -> Инструменты управления ролями -> Инструменты AD DS и AD LDS и поставьте галочку напротив ‘Модуль Active Directory для Windows PowerShell’ (‘Active Directory Module for Windows PowerShell’). Нажмите ОК.
Установка модуля PowerShell начнется, это может занять несколько минут.
После этого он исчезнет. Кликните Пуск -> Административные инструменты. Вверху вы можете кликнуть на Active Directory Module for Windows PowerShell.
Вот и все. Я просто набрал Get-ADUser -filter * для теста и проверки работы модуля:
Get-ADUser -filter *
Как видно ниже, модуль успешно подключился к моему Active Directory и вывел все учетные записи из моей лаборатории. Замечательно!
Windows Server 2008 R2
Итак, касательно установки этого на Windows Server 2008 R2, процесс довольно схож. Неудивительно, поскольку эта версия Windows Server и Windows 7 используют одну и ту же кодовую базу.
Вот различия и шаги, которые вам нужно выполнить. Не волнуйтесь, все просто:
1. Продолжайте использовать один и тот же источник загрузки для установки RSAT Tools и установите их.
2. Откройте Менеджер серверов и нажмите «Добавить функции.»
3. Прокрутите вниз и найдите Средства администрирования удаленных серверов -> Средства администрирования ролей -> Средства AD DS и AD LDS -> Модуль Active Directory для Windows PowerShell.
Вы также можете использовать следующие команды PowerShell для установки модуля:
Import-Module ServerManager
Add-WindowsFeature RSAT-AD-PowerShell
Готово!
Windows 10
На Windows 10 Microsoft сделала серьезные шаги в сокращении времени установки инструментов RSAT и устранении различных проблем, сопутствующих этому — они включили их в компоненты операционной системы и добавили возможность установки через Дополнительные функции.
Кликните Пуск -> Настройки -> Приложения -> Дополнительные функции.
Нажмите кнопку «Добавить функцию» вверху, затем прокрутите вниз и поставьте галочку напротив «RSAT: Службы каталога Active Directory и инструменты служб Lightweight Directory Services».
Кликните кнопку Установить, и Windows 10 включит эту функцию.
Затем откройте меню Пуск в Windows 10, начните набирать «module», и вы найдете «Модуль Active Directory для Windows PowerShell.» Нажмите на него и начинайте использовать!
I’ll run the same Get-ADUser command, the output looks familiar, doesn’t it? ?
Get-ADUser -filter *
Windows 11
Процесс на Windows 11 очень похож на Windows 10, только макет Настроек был обновлен с несколькими изменениями по ходу. Давайте начнем это на одной из моих виртуальных машин Windows 11 в моей лаборатории.
Кликните Пуск -> Настройки -> Приложения -> Дополнительные функции.
Нажмите кнопку «Просмотр функций» в правом верхнем углу, затем прокрутите вниз и найдите «RSAT: Службы каталога Active Directory и инструменты служб Lightweight Directory Services.»
Щелкните Далее, и Windows 11 установит функцию для вас. Затем, как описано выше, щелкните кнопку Пуск снова, начните печатать “модуль”, и вуаля!
Нажмите “Модуль Active Directory для Windows PowerShell”. Мы можем использовать ту же команду Get-ADUser для подтверждения разрешений локально и в нашем домене Active Directory.
Get-ADUser -filter *
Windows Server 2012 R2 (Windows Server 2016, 2019, 2022 и Windows 8.1)
Поскольку процедура установки очень похожа между этими версиями Windows, я расскажу о едином наборе действий здесь. Это касается Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 и Windows Server 2022 (это также относится к Windows 8.1)
Напоминание: поддержка Windows 8.1 заканчивается в январе 2023 года и поддержка Windows Server 2012/Windows Server 2012 R2 закончится в октябре 2023 года. Будьте готовы!
Опять же, эти версии Windows используют одинаковую базу кода, поэтому шаги очень похожи. Давайте начнем с чистого, обновленного сервера участника Windows Server 2012 R2 в моей лаборатории Windows Server 2022 Active Directory Hyper-V.
Продолжим, открыв Менеджер серверов, затем мы нажмем на Добавить роли и компоненты.
Нажимайте Далее несколько раз, пока не дойдете до экрана «Выбор компонентов». Как и раньше, перейдите к «Средства администрирования удаленных серверов -> Средства администрирования ролей -> Средства AD DS и AD LDS -> и выберите Модуль Active Directory для Windows PowerShell.»
На следующем экране нажмите Установить и все готово!
Нажмите Пуск -> Административные инструменты. И вот оно. Откройте «Модуль Active Directory для Windows PowerShell.» Давайте снова используем ту же команду Get-ADUser.
Get-ADUser -filter *
PowerShell Core 6.0/7.x
Есть и другие функции продуктивности, которые помогут повысить вашу эффективность в качестве специалиста по ИТ. Сюда входит метод установки модуля Active Directory в PowerShell Core 6.x/7.x. Я продемонстрирую это здесь на одной из моих виртуальных машин с Windows 10 версии 21H2.
Первым шагом является установка инструментов RSAT, как описано выше. Вы можете следовать различным шагам, указанным в разделе “Windows 10” выше.
Как только у вас установлены инструменты, вы можете установить последнюю версию PowerShell Core, которая, на момент написания этого, является PowerShell 7.2.5. Ссылки для загрузки можно найти на этой странице.
Щелкните Далее после открытия мастера настройки. На экране “Необязательные действия” вы можете увидеть опцию “Включить удаленное управление PowerShell”. Обязательно установите этот флажок.
Нажмите Далее еще несколько раз и нажмите Установить.
После установки вы можете запустить его из меню “Пуск” от имени администратора.
Поскольку установленные модули фактически ‘следуют’ за различными версиями установленного PowerShell, я смог использовать PowerShell (Core) 7.2.5 и запустить команду Get-ADUser нативно.
Get-ADUser -filter *
Используя сеансы удаленного доступа и интерактивные сеансы в PowerShell
Еще одна довольно мощная функция – возможность запустить удаленный интерактивный сеанс PowerShell на вашем клиентском компьютере, находясь подключенным к одному из контроллеров домена. Позвольте мне продемонстрировать, как это сделать с помощью следующей команды:
Enter-PSsession ws16-dc1
Таким образом, если ваши специалисты по информационной безопасности не хотят устанавливать инструменты RSAT на вашем клиентском компьютере по какой-либо причине, вы все равно можете выполнять свои задачи в Active Directory с помощью PowerShell, не входя в свои доменные контроллеры. Довольно изящный трюк, верно?
Следующий вариант, которым мы располагаем, – использование так называемого неявного удаленного доступа. Это позволяет запускать командлеты AD из вашего локального сеанса. Однако команды выполняются удаленно на контроллере домена. Выполните следующие команды, чтобы добиться этого.
Первая команда ниже запускает сеанс PowerShell на моем контроллере домена с именем ws16-dc1 :
$Session = New-PSSession -ComputerName ws16-dc1
Следующая команда импортирует модуль Active Directory из удаленного сеанса в наш локальный сеанс:
Import-Module -PSsession $session -name ActiveDirectory
Все команды, которые вы выполняете, буквально обрабатываются и выполняются на вашем контроллере домена.
Экспорт модуля удаленного AD в локальный модуль
Последнее задание, которое мы можем выполнить здесь, – экспорт командлетов AD из вашей удаленной сессии в локальный модуль. Образцовые команды ниже выполнят это задание, создав локальный модуль в папке “Документы” на вашем компьютере в PowerShell\Modules\RemoteAD.
$session = New-PSSession -ComputerName ws16-dc1
Export-PSSession -Session $session -Module ActiveDirectory -OutputModule RemoteAD
Remove-PSSession -Session $session
Import-Module RemoteAD
Как и в случае с предыдущими шагами, которые мы выполнили, мы снова используем неявное сетевое взаимодействие, что означает, что все командлеты, которые мы используем, будут выполняться удаленно на контроллере домена, который мы указываем. Локальный модуль RemoteAD устанавливает подключение к командлетам на контроллере домена.
Бонусный совет: Если вы хотите использовать этот модуль RemoteAD на других клиентских компьютерах, вы может скопировать папку RemoteAD в папку модулей PowerShell Core на других компьютерах.
Разница между этими двумя методами состоит в том, что PowerShell устанавливает подключение к контроллеру домена только при первом использовании командлета AD. Это постоянное соединение. Вам не нужно добавлять вышеприведенные команды в свой скрипт или профиль, потому что PowerShell загрузит их автоматически. Однако имейте в виду, что вам может потребоваться повторить эти шаги, если и когда вы обновите модуль AD на вашем контроллере домена.
Вывод
Довольно освежительно обнаружить, что некоторые процедуры, через которые должны проходить специалисты по ИТ, довольно просты. Спасибо, Майкрософт, за то, что в течение последних десяти лет в целом процесс установки этого модуля Active Directory для PowerShell довольно удобен и последователен! Каждая мелочь помогает.
Благодаря подобным постам, если вам нужно забрать свой ДеЛориан и отправиться назад во времени, у вас будет все необходимое для выполнения этой задачи. Спасибо за внимание, и не стесняйтесь оставлять свои комментарии или вопросы внизу в разделе комментариев.
Source:
https://petri.com/install-active-directory-powershell-module/