Cmdlet Set-adcomputer memungkinkan Anda untuk mengubah atribut akun komputer di Active Directory. Pada artikel ini, kami akan menunjukkan cara menggunakan skrip log masuk dan cmdlet Set-ADComputer untuk menulis nama pengguna saat ini dan alamat IP ke properti komputer dalam AD. Skrip seperti itu dapat berguna ketika Anda perlu menemukan komputer di domain yang sedang dikerjakan oleh pengguna tertentu..
Konten:
- Menggunakan Set-ADComputer untuk Mengubah Atribut Komputer dalam AD
- Cara menambahkan nama pengguna ke properti komputer dalam AD?
Menggunakan Set-ADComputer untuk Mengubah Atribut Komputer dalam AD
Cmdlet Set-adcomputer adalah bagian dari modul Active Directory untuk PowerShell dan mengharuskan modul dipasang di komputer. Pertimbangkan cara menggunakan cmdlet Set-ADComputer. Mari kita coba menambahkan nama perusahaan dan departemen ke properti komputer di AD. Pertama, menggunakan Get-ADComputer, kami akan memverifikasi apa yang ditentukan untuk komputer tertentu di domain di bidang perusahaan, departemen, dan deskripsi.
Get-ADComputer SRV-MAN01 -properties * | select-object dNSHostName, operatingSystem, perusahaan, departemen, deskripsi | ft -wrap -auto
Seperti yang Anda lihat, komputer tidak memiliki bidang dengan deskripsi, nama perusahaan, dan departemen.
Mari kita coba ubah deskripsi komputer dengan perintah:
Set-ADComputer -Identity SRV-MAN01 -Add @ "description" = "Server Manajemen Infrastruktur"
Anda dapat menentukan lokasi komputer:
Set-ADComputer -Identity SRV-MAN01-Lokasi “Spb / Rusia”
Jika Anda perlu mengatur beberapa parameter komputer, gunakan konfigurasi PowerShell berikut:
$ Server = Dapatkan-ADComputer -Identity SRV-MAN01
$ Server.company = "contoso"
$ Server.department = "IT"
Set-ADComputer -Instance $ Server
Periksa apakah atribut komputer telah berubah:
Get-ADComputer SRV-MAN01 -properties * | select-object dNSHostName, operatingSystem, perusahaan, departemen, deskripsi | ft -wrap -auto
Seperti yang Anda lihat, sekarang atribut komputer berisi informasi yang kami butuhkan. Sekarang kita dapat memilih komputer dalam AD berdasarkan kriteria ini. Misalnya, saya ingin memilih semua komputer dari departemen IT Contoso. Perintah untuk mengambil mungkin terlihat seperti ini:
Dapatkan-ADComputer -Filter company -eq 'contoso'-AND department -like' IT ' -properties * | select-object dNSHostName, operatingSystem, perusahaan, departemen, deskripsi | ft -wrap -auto
Cmdlet Set-ADComputer juga memungkinkan Anda untuk mengunci (membuka kunci) akun komputer dalam AD:
Set-ADComputer pc-name -Enabled $ false
Cara menambahkan nama pengguna ke properti komputer dalam AD?
Pertimbangkan contoh yang lebih menarik dan berguna menggunakan cmdlet Set-ADComputer. Misalkan Anda memutuskan untuk menyimpan atribut pada setiap komputer di Active Directory alamat IP saat ini dan nama pengguna yang terakhir kali masuk.
Alamat IP komputer yang akan kami simpan di atribut deskripsi, dan nama pengguna yang bekerja di komputer ada di atribut Dikelola oleh.
Pertama-tama, perlu untuk mendelegasikan hak ke grup Pengguna Domain (atau grup keamanan pengguna lain) pada OU dengan komputer untuk mengubah nilai di bidang objek seperti Komputer: ManagedBy dan deskripsi (Tulis deskripsi + Menulis dikelola oleh).
Sekarang buat kebijakan baru dengan skrip Logon PowerShell berikut (Konfigurasi Pengguna -> Kebijakan -> Pengaturan Windows -> Skrip -> Logon), yang harus dimulai saat pengguna masuk:
$ curhostname = $ env: computername
$ env: HostIP = (
Get-NetIPConfiguration |
Dimana-Obyek
$ _. IPv4DefaultGateway -ne $ null -dan
$ _. NetAdapter.Status -ne "Terputus"
) .IPv4Address.IPAddress
$ currus_cn = (get-aduser $ env: UserName -properties *). DistinguishedName
$ ADComp = Dapatkan-ADComputer -Identity $ curhostname
$ ADComp.ManagedBy = $ currus_cn
$ ADComp.description = $ env: HostIP
Set-ADComputer -Instance $ ADComp
Skrip PowerShell ini berjalan sebagai pengguna, menentukan nama dan alamat IP komputer saat ini, CN pengguna, dan menyimpannya di akun komputer dalam AD.
Kebijakan ini harus dikaitkan dengan wadah dengan komputer dan mengaktifkan Kunci Kebijakan Grup Konfigurasikan mode Pemrosesan Loopback Kebijakan Grup pengguna (lihat disini).
Sekarang, ketika pengguna masuk ke sistem di komputer, ia menjalankan skrip ini dan memperbarui deskripsi komputer dalam AD.
Konsol ADUC sekarang menampilkan alamat IP komputer, dan di properti komputer pada tab Dikelola oleh sekarang ada tautan aktif ke akun pengguna yang terakhir terdaftar di komputer ini.
Sekarang Anda dapat dengan cepat menemukan komputer dalam domain berdasarkan alamat IP:
get-adcomputer -filter description -like "10.10.1. *" -properties * | pilih nama, deskripsi, dikelolaDengan
Atau Anda dapat menemukan semua komputer di domain tempat pengguna tertentu masuk (cmdlet Get-AdUser digunakan untuk mendapatkan DistinguishedName pengguna):
$ user = 'daivanov'
$ user_cn = (get-aduser $ user -properties *). DistinguishedName
Dapatkan-ADComputer -Filter "ManagedBy -eq '$ user_cn'" -properties * | pilih nama, deskripsi, dikelolaBy | ft
Demikian pula, Anda dapat menulis informasi apa pun tentang workstation atau pengguna ke properti akun komputer di AD dan menggunakannya untuk mencari (pilih) komputer di AD.
Skenario serupa dengan menyimpan informasi tentang model dan nomor seri server dalam AD dibahas dalam artikel berikutnya.
