Eine der wirklich nützlichen Neuerungen in Windows Server 2019 ist die Möglichkeit, Server zu betreten, ohne Sysprep oder eine Neuinstallation durchführen zu müssen. Die Bereitstellung der Infrastruktur auf virtuellen Servern mit Windows Server war noch nie einfacher.
Heute werden wir darüber sprechen, wie einfach es ist, Active Directory über Powershell zu installieren und zu verwalten.
Legen Sie die Rolle fest
RSAT oder lokaler Server mit GUI:Zuerst müssen Sie den Server zu RSAT hinzufügen. Es wird auf der Hauptseite unter Verwendung eines Domainnamens oder einer IP-Adresse hinzugefügt. Stellen Sie sicher, dass Sie das Login im Format
local\Administrator eingeben, sonst akzeptiert der Server das Passwort nicht.
Gehen Sie zum Hinzufügen von Komponenten und wählen Sie AD DS aus.
Powershell:Wenn Sie den Namen der Systemkomponente nicht kennen, können Sie den Befehl ausführen und eine Liste der verfügbaren Komponenten, ihrer Abhängigkeiten und Namen abrufen.
Get-WindowsFeature
Kopieren Sie den Namen der Komponente und fahren Sie mit der Installation fort.
Install-WindowsFeature -Name AD-Domain-Services
Windows Admin Center:
Gehen Sie zu "Rollen und Funktionen" und wählen Sie ADDS (Active Directory Domain Services) aus.
Und das ist buchstäblich alles. Es ist derzeit nicht möglich, Active Directory über das Windows Admin Center zu verwalten. Seine Erwähnung ist nichts weiter als eine Erinnerung daran, wie nutzlos er bisher ist.
Stellen Sie den Server auf einen Domänencontroller hoch
Und dafür schaffen wir einen neuen Wald.
RSAT oder lokale GUI-Server:Wir empfehlen dringend, dass Sie alles als Standardeinstellung belassen, alle Komponenten funktionieren einwandfrei und müssen nicht ohne besondere Notwendigkeit berührt werden.
Powershell:Zuerst müssen Sie eine Gesamtstruktur erstellen und ein Kennwort dafür festlegen. Powershell hat einen separaten Variablentyp für Kennwörter - SecureString, mit dem ein Kennwort sicher im RAM gespeichert und sicher über das Netzwerk übertragen wird.
$pass = Read-Host -AsSecureString
Jedes Cmdlet, das das Kennwort eines anderen Benutzers verwendet, muss auf diese Weise eingegeben werden. Schreiben Sie zuerst das Kennwort in SecureString und geben Sie dann diese Variable im Cmdlet an.
Install-ADDSForest -DomainName test.domain -SafeModeAdministratorPassword $pass
Wie bei der Installation über die GUI ist auch die Ausgabe an die Konsole gleich. Im Gegensatz zu einem Server mit einer grafischen Benutzeroberfläche ist für die Installation einer Rolle und eines Servers als Domänencontroller kein Neustart erforderlich.
Die Installation des Controllers mit RSAT dauert länger als mit Powershell.
Wir verwalten die Domain
Um zu verstehen, wie stark sich die Active Directory-Verwaltung durch Powershell und AD AC (Active Directory-Verwaltungscenter) unterscheidet, sollten Sie ein paar Arbeitsbeispiele betrachten.
Erstellen Sie einen neuen Benutzer
Angenommen, wir möchten einen Benutzer in der Benutzergruppe erstellen und möchten, dass er ein Kennwort für sich selbst festlegt. Über AD AC sieht das so aus:
New-ADUser -Name BackdoorAdmin -UserPrincipalName BackdoorAdmin@test Get-ADUser BackdoorAdmin
Es gibt keine Unterschiede zwischen AD DC und Powershell.
Benutzer aktivieren
RSAT oder lokale GUI-Server:Über die GUI muss der Benutzer zuerst das dem Gruppenrichtlinienobjekt entsprechende Kennwort festlegen und erst danach kann es aktiviert werden.
Powershell:PowerShell ist fast dasselbe, nur der Benutzer kann auch ohne Passwort aktiviert werden.
Set-ADUser -Identity BackdoorAdmin -Enabled $true -PasswordNotRequired $true
Benutzer zur Gruppe hinzufügen
RSAT oder lokaler Server mit GUI:In AD DC müssen Sie zu den Eigenschaften des Benutzers gehen, die Spalte mit der Benutzermitgliedschaft in den Gruppen suchen, die Gruppe finden, in der wir sie platzieren möchten, und sie schließlich hinzufügen und dann auf OK klicken.
Powershell:Wenn wir den Namen der Gruppe, die wir benötigen, nicht kennen, können wir eine Liste dieser Gruppen erstellen.
(Get-ADGroup -Server localhost -Filter *).name
Sie können eine Gruppe mit den folgenden Eigenschaften erstellen:
Get-ADGroup -Server localhost -Filter {Name -Like "Administrators"}
Zum Schluss fügen Sie den Benutzer der Gruppe hinzu:
Aufgrund der Tatsache, dass in Powershell alles ein Objekt ist, müssen wir wie bei AD DC zunächst eine Benutzergruppe abrufen und dann hinzufügen.
$user = Get-ADUser BackdoorAdmin
Fügen Sie dann dieses Objekt der Gruppe hinzu:
Get-ADGroup -Server localhost -Filter {Name -Like "Administrators"} | Add-ADGroupMember -Members $user
Und überprüfe:
Get-ADGroupMember -Identity Administrators
Wie Sie sehen, gibt es kaum Unterschiede bei der Verwaltung von AD über AD AC und Powershell.
Fazit:
Wenn Sie bereits auf die Bereitstellung von AD und anderen Diensten gestoßen sind, haben Sie möglicherweise die Ähnlichkeiten der Bereitstellung über RSAT und Powershell bemerkt und festgestellt, wie sehr alles wirklich aussieht. Immerhin GUI im Kern.
Wir hoffen, der Artikel war nützlich oder interessant.
Und zum Schluss noch ein paar praktische Tipps:
- Installieren Sie keine anderen Rollen auf einem Domänencontroller.
- Verwenden Sie BPA (Best Practice Analyzer), um den Controller etwas zu beschleunigen
- Verwenden Sie nicht den eingebauten Enterprice Admin, sondern immer Ihr eigenes Konto.
- Stellen Sie beim Bereitstellen des Servers auf einer weißen IP-Adresse mit weitergeleiteten Ports oder auf VSD sicher, dass Port 389 geschlossen ist. Andernfalls werden Sie zum Angriffspunkt für DDoS-Angriffe.
Wir bieten auch die Möglichkeit, unsere früheren Beiträge zu lesen: eine
Geschichte darüber, wie wir virtuelle Client-Maschinen am Beispiel unseres
VDS Ultralight- Tarifs mit Server Core für 99 Rubel vorbereiten,
wie man mit Windows Server 2019 Core arbeitet und wie man eine GUI darauf installiert und wie
man den Server mit Windows Admin verwaltet Stellen Sie fest, wie Exchange 2019 unter Windows Server Core 2019
installiert wirdWir bieten einen aktualisierten UltraLite
Windows VDS- Tarif für 99 Rubel mit installiertem Windows Server 2019 Core an.
