Automatisierung der Active Directory- Domänendiensteverwaltung Präsentation: 45 Minuten Übungseinheit: 45 Minuten Am Ende dieser Unterrichtseinheit sollten die Kursteilnehmer in der Lage sein, die folgenden Aufgaben auszuführen: Verwenden von Befehlszeilentools für die Verwaltung. Verwenden von Windows PowerShell® für die Verwaltung. Ausführen von Massenvorgängen mit Windows PowerShell. Automatisieren der Active Directory®-Domänendiensteverwaltung mit Windows PowerShell. Weisen Sie die Kursteilnehmer unbedingt auf die zusätzlichen Informationen und Ressourcen zu dieser Unterrichtseinheit auf dem Kursbegleitmaterial hin. Erforderliche Unterlagen Für diese Unterrichtseinheit benötigen Sie die Microsoft® Office PowerPoint®-Datei 21410D_04.pptx. Wichtig: Verwenden Sie zum Anzeigen der Folien für diesen Kurs möglichst Office PowerPoint 2007 oder eine höhere Version. Wenn Sie PowerPoint Viewer oder eine frühere Version von Office PowerPoint verwenden, werden möglicherweise nicht alle Features der Folien ordnungsgemäß angezeigt. Vorbereitung Zur Vorbereitung dieser Unterrichtseinheit gehen Sie folgendermaßen vor: Lesen Sie alle Unterlagen für diese Unterrichtseinheit. Erarbeiten Sie die Durchführung der Demo und der Übungseinheiten. Arbeiten Sie den Abschnitt Lernzielkontrolle und Hauptlernziele der Unterrichtseinheit durch, und überlegen Sie sich, wie Sie den Kursteilnehmern damit helfen können, den Lehrstoff zu vertiefen und ihre Kenntnisse im Rahmen ihrer Tätigkeit umzusetzen. Unterrichtseinheit 4 Automatisierung der Active Directory- Domänendiensteverwaltung

Übersicht über die Unterrichtseinheit 4: Automatisierung der Active Directory-Domänendiensteverwaltung Ausführen von Massenvorgängen mit Windows PowerShell Beschreiben Sie kurz die in dieser Unterrichtseinheit enthaltenen Lektionen. Erklären Sie, dass sich dieses Modul auf die Verwendung von Befehlszeilentools und Windows PowerShell für das Ausführen der Massenverwaltung konzentriert.

21410D Lektion 1: Verwenden von Befehlszeilentools für die Active Directory-Domänendiensteverwaltung 4: Automatisierung der Active Directory-Domänendiensteverwaltung Was sind DS-Befehle?  

Automatisieren der AD DS-Verwaltung mit Befehlszeilentools Vorteile der Verwendung von für die Active Directory-Domänendiensteverwaltung genutzten Befehlszeilentools 4: Automatisierung der Active Directory-Domänendiensteverwaltung Automatisieren der AD DS-Verwaltung mit Befehlszeilentools Vorteile der Verwendung von Befehlszeilentools Schnellere Implementierung von Massenvorgängen Benutzerdefinierte Prozesse für die AD DS-Verwaltung AD DS-Verwaltung in Server Core Erläutern Sie, dass Befehlszeilentools für Massenvorgänge, wie die gleichzeitige Erstellung von 1.000 Benutzerkonten, verwendet werden. Darüber hinaus sind sie für sich wiederholende Aufgaben nützlich. Erklären Sie den Kursteilnehmern, dass der Hauptvorteil der Verwendung dieser Tools darin besteht, dass Befehle gespeichert und später erneut verwendet werden können.

21410D Was ist Csvde? 4: Automatisierung der Active Directory-Domänendiensteverwaltung AD DS Import Export csvde.exe filename.csv Erklären Sie den Kursteilnehmern, dass sie mithilfe des Befehlszeilentools csvde AD DS-Objekte erstellen oder exportieren können. Sie können csvde jedoch nicht verwenden, um vorhandene Objekte zu ändern oder zu löschen. Weisen Sie darauf hin, dass beim Exportieren von Objekten alle Attribute enthalten sind, sofern diese nicht vorher eingegrenzt werden. Die Teilnehmer können die daraufhin angezeigte Kopfzeile verwenden, um die LDAP-Namen (Lightweight Directory Access Protocol) bestimmter Attribute zu identifizieren, die in einer CSV-Datei enthalten sein sollen. Die meisten Organisationen verwenden csvde in erster Linie für den Datenexport. Führen Sie ggf. einen Export mit csvde aus, und überprüfen Sie den Inhalt der CSV-Datei. Verwenden Sie csvde, um Objekte in eine CSV-Datei zu exportieren -f filename  -d RootDN -p SearchScope -r Filter -l ListOfAtrributes Verwenden Sie csvde, um Objekte aus einer CSV-Datei zu erstellen csvde -i -f filename -k

21410D Was ist Ldifde? 4: Automatisierung der Active Directory-Domänendiensteverwaltung Export ldifde.exe filename.ldif Import AD DS In diesem Thema ist es wichtig, zwischen ldifde und csvde zu unterscheiden. Die Hauptunterschiede lauten wie folgt: Ldifde kann Objekte ändern und entfernen. Nur sehr wenige Programme und Apps können Daten im LDIF-Datenaustauschformat (LDAP Data Interchange Format) exportieren und importieren. Verwenden Sie ldifde, um Objekte in eine LDIF-Datei zu exportieren -f filename -d RootDN -r Filter -p SearchScope -l ListOfAttributesToInclude -o ListOfAttributesToExclude Verwenden Sie ldifde zum Erstellen, Ändern oder Löschen von Objekten ldifde -i -f filename -k

21410D Was sind DS-Befehle? 4: Automatisierung der Active Directory-Domänendiensteverwaltung Windows Server 2012 enthält ds*-Befehle, die sich für die Verwendung in Skripts eignen Beispiele Geben Sie zum Ändern der Abteilung eines Benutzerkontos Folgendes ein Geben Sie zum Anzeigen der E-Mail-Adresse eines Benutzerkontos Folgendes ein Geben Sie zum Löschen eines Benutzerkontos Folgendes ein Geben Sie zum Erstellen eines neuen Benutzerkontos Folgendes ein Beschreiben Sie die ds*-Befehle, die zum Ändern von AD DS-Objekten verfügbar sind. Verwenden Sie die Beispiele auf der Folie, um die Befehlssyntax zu beschreiben. Stellen Sie sicher, dass die Kursteilnehmer das Format eines Distinguished Name verstehen. Erläutern Sie bei Bedarf, dass das Format eines Distinguished Name auf LDAP basiert. Beschreiben Sie Folgendes: Allgemeiner Name: cn Organisationseinheit: ou Domänenkomponente: dc Erläutern Sie den Kursteilnehmern, dass diese Tools im Gegensatz zu csvde und ldifde nicht explizit für die Massenverwaltung von Objekten entwickelt wurden. Sie ändern stattdessen einzelne Objekte oder führen Massenvorgänge aus. Veranschaulichen Sie ggf., wie mit dem Befehl dsquery zahlreiche Objekte gleichzeitig verwaltet werden können. Verwenden Sie beispielsweise den folgenden Befehl, um die Abteilung für alle Benutzer in der IT-Organisationseinheit zu ändern: Dsquery user "OU=IT, DC=Adatum,DC=com" | Dsmod user -dept IT Frage Welche Kriterien würden Sie aufstellen, um sich für die Verwendung von csvde, ldifde oder ds*-Befehlen zu entscheiden? Antwort Wenn Sie eine Datenquelle verwenden, die als CSV-Datei exportiert werden kann, werden Sie höchstwahrscheinlich csvde verwenden. Mit csvde können vorhandene Objekte jedoch nicht geändert werden. Sie verwenden csvde wahrscheinlich auch dann, wenn Sie Daten aus AD DS exportieren. Wenn Sie eine Datenquelle verwenden, die als LDIF-Datei exportiert werden kann, werden Sie höchstwahrscheinlich ldifde verwenden. Sie verwenden ldifde auch dann, wenn Sie vorhandene Objekte entfernen oder ändern müssen. Für das Ändern einzelner Objekte verwenden Sie höchstwahrscheinlich die ds*-Befehle, wenn Sie sich dafür entschieden haben, keine grafischen Tools zu verwenden. Dsmod user "cn=Joe Healy,ou=Managers, dc=adatum,dc=com" -dept IT Dsget user "cn=Joe Healy,ou=Managers, dc=adatum,dc=com" -email Dsrm "cn=Joe Healy,ou=Managers,dc=adatum,dc=com" Dsadd user "cn=Joe Healy,ou=Managers,dc=adatum,dc=com"

Lektion 2: Verwenden von Windows PowerShell für die AD DS-Verwaltung 4: Automatisierung der Active Directory-Domänendiensteverwaltung Verwenden von Windows PowerShell-Cmdlets zum Verwalten von Organisationseinheiten Damit Kursteilnehmer nachvollziehen können, wie Windows PowerShell zum Ausführen der AD DS- Verwaltung verwendet wird, ist es wichtig, dass ihnen Beispiele für die Verwendung von Cmdlets gezeigt werden. Beispiele sind auf vielen Folien in dieser Lektion vorhanden. Es ist wichtig, dass Sie alle Beispiele auf jeder Folie beschreiben, einschließlich des Zwecks jedes Parameters.

21410D Verwenden von Windows PowerShell-Cmdlets zum Verwalten von Benutzerkonten 4: Automatisierung der Active Directory-Domänendiensteverwaltung Cmdlet Beschreibung New-ADUser Erstellt Benutzerkonten Set-ADUser Ändert die Eigenschaften von Benutzerkonten Remove-ADUser Löscht Benutzerkonten Set-ADAccountPassword Setzt das Kennwort eines Benutzerkontos zurück Set-ADAccountExpiration Ändert das Ablaufdatum eines Benutzerkontos Unlock-ADAccount Entsperrt ein Benutzerkonto, nachdem es nach zu vielen falschen Anmeldeversuchen gesperrt wurde Enable-ADAccount Aktiviert ein Benutzerkonto Disable-ADAccount Deaktiviert ein Benutzerkonto Beschreiben Sie den Kursteilnehmern alle auf der Folie aufgeführten Cmdlets. Beschreiben Sie zudem das Beispiel, in dem das New-ADUser-Cmdlet verwendet wird. Veranschaulichen Sie ggf. jedes der aufgelisteten Cmdlets. Damit Sie keine Folienbeispiele eingeben müssen, können Sie die unter E:\Labfiles\Mod04\Mod04Examples.ps1 aufgeführten Beispiele verwenden. Frage Sind alle Cmdlet-Parameter, mit denen Sie Benutzerkonten verwalten, identisch? Antwort Nein. Viele der Parameter sind die identisch oder ähnlich. Alle Cmdlets verfügen jedoch über eine eigene Liste von Parametern. New-ADUser "Sten Faerch" -AccountPassword (Read-Host -AsSecureString "Kennwort eingeben") -Department IT

Verwenden von Windows PowerShell-Cmdlets zum Verwalten von Gruppen 4: Automatisierung der Active Directory-Domänendiensteverwaltung Cmdlet Beschreibung New-ADGroup Erstellt neue Gruppen Set-ADGroup Ändert die Eigenschaften von Gruppen Get-ADGroup Zeigt die Eigenschaften von Gruppen an Remove-ADGroup Löscht Gruppen Add-ADGroupMember Fügt Gruppen Mitglieder hinzu Get-ADGroupMember Zeigt die Mitgliedschaft von Gruppen an Remove-ADGroupMember Entfernt Mitglieder aus Gruppen Add-ADPrincipalGroupMembership Fügt Objekten Gruppenmitgliedschaften hinzu Get-ADPrincipalGroupMembership Zeigt die Gruppenmitgliedschaft von Objekten an Remove-ADPrincipalGroupMembership Entfernt die Gruppenmitgliedschaft aus einem Objekt Beschreiben Sie den Kursteilnehmern alle auf der Folie aufgeführten Cmdlets. Erläutern Sie den Unterschied zwischen den *-ADGroupMember- und den *-ADPrincipalGroupMembership-Cmdlets. Der einfachste für die Kursteilnehmer hervorzuhebende Unterschied ist, dass die *-ADGroupMember-Cmdlets dem Ändern der Mitgliedschaft in den Gruppeneigenschaften ähneln. Demgegenüber ähneln die *- ADPrincipalGroupMembership-Cmdlets dem Ändern der Member Of-Eigenschaft in den Eigenschaften eines Objekts (beispielsweise ein Benutzerkonto). Ziehen Sie in Erwägung, die Art und Weise der Erstellung einer Gruppe zu demonstrieren, und fügen Sie ihr dann Gruppenmitglieder hinzu. Damit Sie keine Folienbeispiele eingeben müssen, können Sie die unter E:\Labfiles\Mod04\Mod04Examples.ps1 aufgeführten Beispiele verwenden. New-ADGroup -Name "CustomerManagement" -Path "ou=managers,dc=adatum,dc=com" -GroupScope Global -GroupCategory Security Add-ADGroupMember "CustomerManagement" -Members "Joe"

21410D Verwenden von Windows PowerShell-Cmdlets zum Verwalten von Computerkonten 4: Automatisierung der Active Directory-Domänendiensteverwaltung Cmdlet Beschreibung New-ADComputer Erstellt neue Computerkonten Set-ADComputer Ändert die Eigenschaften von Computerkonten Get-ADComputer Zeigt die Eigenschaften von Computerkonten an Remove-ADComputer Löscht Computerkonten Test-ComputerSecureChannel Überprüft oder repariert die Vertrauensstellung zwischen einem Computer und der Domäne Zurücksetzen- ComputerMachinePassword Setzt das Kennwort für ein Computerkonto zurück Beschreiben Sie den Kursteilnehmern alle auf der Folie aufgeführten Cmdlets. Beziehen Sie sich beim Verwenden dieser Cmdlets auf die in Unterrichtseinheit 3 bereitgestellten Informationen zur Computerkontoverwaltung. Erwähnen Sie, dass das New-ADComputer-Cmdlet nicht über die Option verfügt, Berechtigungen für das Hinzufügen eines Computers zu einem neuen Computerkonto zu delegieren. Wenn diese Berechtigungen erforderlich sind, müssen die Kursteilnehmer sie manuell zuweisen. Die auf dem Computerkonto erforderlichen AD DS-Berechtigungen lauten: Kennwort zurücksetzen Bestätigtes Schreiben an Hostnamen (Domain Name System, DNS) Bestätigtes Schreiben an Dienstprinzipal Kontobeschränkungen schreiben Ziehen Sie in Erwägung, die Unterschiede in Bezug auf die Berechtigungen beim Erstellen eines Computerkontos in Active Directory-Benutzer und -Computer mit Delegierung und bei der Verwendung des New-AdComputer-Cmdlets zu demonstrieren. Damit Sie keine Folienbeispiele eingeben müssen, können Sie die unter E:\Labfiles\Mod04\Mod04Examples.ps1 aufgeführten Beispiele verwenden. New-ADComputer -Name "LON-SVR8" -Path "ou=marketing,dc=adatum,dc=com" -Enabled $true Test-ComputerSecureChannel -Repair

21410D Verwenden von Windows PowerShell-Cmdlets zum Verwalten von Organisationseinheiten 4: Automatisierung der Active Directory-Domänendiensteverwaltung Cmdlet Beschreibung New-ADOrganizationalUnit Erstellt Organisationseinheiten Set-ADOrganizationalUnit Ändert die Eigenschaften von Organisationseinheiten Get-ADOrganizationalUnit Zeigt Eigenschaften von Organisationseinheiten Remove-ADOrganizationalUnit Löscht Organisationseinheiten Beschreiben Sie den Kursteilnehmern alle auf der Folie aufgeführten Cmdlets. Erwähnen Sie, dass der Standardwert für den ProtectedFromAccidentalDeletion -Parameter $true lautet. Ziehen Sie eine Demonstration in Erwägung, bei der Sie: Eine neue Organisationseinheit erstellen. Versuchen, die Organisationseinheit zu entfernen, was aufgrund des Schutzes vor versehentlichem Löschen nicht gelingt. Den ProtectedFromAccidentalDeletion-Parameter auf $false setzen. Erneut versuchen, die Organisationseinheit zu entfernen. Dieses Mal sollten Sie erfolgreich sein. Damit Sie keine Folienbeispiele eingeben müssen, können Sie die unter E:\Labfiles\Mod04\Mod04Examples.ps1 aufgeführten Beispiele verwenden. Frage Ist der ProtectedFromAccidentalDeletion-Parameter auf dieser Folie erforderlich? Antwort Nein. Der Standardwert ist auf $true festgelegt. Sie erhalten dasselbe Ergebnis, wenn der ProtectedFromAccidentalDeletion-Parameter nicht verwendet wird. New-ADOrganizationalUnit -Name "Sales" -Path "ou=marketing,dc=adatum,dc=com" -ProtectedFromAccidentalDeletion $true

Lektion 3: Ausführen von Massenvorgängen mit Windows PowerShell 4: Automatisierung der Active Directory-Domänendiensteverwaltung Demo: Ausführen von Massenvorgängen mit Windows PowerShell Damit Kursteilnehmer nachvollziehen können, wie Windows PowerShell zum Ausführen von Massenvorgängen verwendet wird, ist es wichtig, dass ihnen Beispiele für die Verwendung von Cmdlets gezeigt werden. Auf vielen Folien dieser Lektion werden solche Beispiele bereitgestellt, und es ist wichtig, dass Sie alle Beispiele auf allen Folien sowie auch den Zweck der einzelnen Parameter beschreiben.

Was sind Massenvorgänge? 4: Automatisierung der Active Directory-Domänendiensteverwaltung Ein Massenvorgang ist eine einzelne Aktion, bei der mehrere Objekte geändert werden Beispiele für Massenvorgänge Erstellen von Benutzerkonten auf der Grundlage von Daten aus einem Arbeitsblatt Deaktivieren aller Konten, die in den letzten sechs Monaten nicht verwendet wurden Umbenennen der Abteilung für viele Benutzer Sie können Massenvorgänge unter Verwendung von Folgendem ausführen Grafische Tools Befehlszeilentools Skript Definieren Sie einen Massenvorgang für die Kursteilnehmer, und stellen Sie einige Beispiele bereit, z. B.: Das Verschieben mehrerer Benutzerkonten in eine neue Organisationseinheit. Das Ändern des Abteilungsnamens für einen Satz von Benutzerkonten. Das Deaktivieren eines Satzes von Benutzerkonten.

Demo: Verwenden grafischer Tools zum Ausführen von Massenvorgängen 4: Automatisierung der Active Directory-Domänendiensteverwaltung In dieser Demo wird Folgendes gezeigt Erstellen einer Abfrage für alle Benutzer Konfigurieren des Company-Attributs für alle Benutzer Überprüfen, ob das Company-Attribut geändert wurde Vorbereitungsschritte Starten Sie den virtuellen Computer 21410D-LON-DC1. Demoschritte Erstellen einer Abfrage für alle Benutzer Melden Sie sich bei LON-DC1 als ADATUM\Administrator mit dem Kennwort Pa$$w0rd an. Klicken Sie im Server-Manager für On LON-DC1 auf Tools und dann auf Active Directory- Verwaltungscenter. Klicken Sie im Active Directory-Verwaltungscenter im Navigationsbereich auf die Option Globale Suche. Klicken ganz rechts im Bereich Globale Suche auf den Pfeil nach unten, der innerhalb eines Kreises angezeigt wird, um Kriterien hinzufügen anzuzeigen. Klicken Sie auf Kriterien hinzufügen, aktivieren Sie das Kontrollkästchen Objekttyp ist "Benutzer/inetOrgPerson/Computer/Gruppe/Organisationseinheit", und klicken Sie dann auf Hinzufügen. Überprüfen Sie das von Ihnen hinzugefügte Kriterium ist. Der Objekttyp ist: Benutzer. Klicken Sie auf die Schaltfläche Suchen. Konfigurieren des Company-Attributs für alle Benutzer Drücken Sie STRG+A, um alle Benutzerkonten auszuwählen, und klicken Sie dann auf Eigenschaften. Aktivieren Sie im Bereich Mehrere Benutzer im Abschnitt Organisation das Kontrollkästchen Firma. Geben Sie im Textfeld Firma den Wert A. Datum ein, und klicken Sie dann auf OK. (Weitere Hinweise auf der folgenden Folie)

Abfragen von Objekten mit Windows PowerShell 4: Automatisierung der Active Directory-Domänendiensteverwaltung Parameter Beschreibung SearchBase Gibt den AD DS-Pfad für den Beginn der Suche an SearchScope Gibt an, unter welcher Ebene unter SearchBase eine Suche ausgeführt werden sollte ResultSetSize Gibt an, wie viele Objekte als Antwort auf eine Abfrage zurückgegeben werden Eigenschaften Gibt an, welche Objekteigenschaften zurückgegeben und angezeigt werden Filter Definiert einen Filter mithilfe der PowerShell-Syntax LDAPFilter Definiert einen Filter mithilfe der LDAP-Abfragesyntax Es gibt zwei Folien zu diesem Thema. Verwenden Sie diese Folie, um die Filterparameter als eine Methode für das Ausführen von Abfragen mit Get-AD*-Cmdlets vorzustellen. Notieren Sie die Operatoren, die Sie verwenden können. Die Kursteilnehmer erwarten möglicherweise, dass mathematische Operatoren verwendet werden, beispielsweise das Gleichheitszeichen (=), das Kleiner-als-Zeichen (<) und das Größer-als-Zeichen (>). Teilen Sie ihnen mit, dass sie diese Operatoren nicht verwenden können. Heben Sie zudem hervor, dass -like nur zusammen mit dem Sternchen (*) als Platzhalterzeichen zum Abgleichen von Zeichenfolgen verwendet werden kann. Frage Worin besteht beim Vergleichen von Zeichenfolgen der Unterschied in der Verwendung zwischen -eq und -like? Antwort Der -eq-Operator wird verwendet, um eine genaue Übereinstimmung zu finden. Es wird dabei nicht zwischen Groß- und Kleinschreibung unterschieden. Der -like-Operator kann mit Sternchen (*) als Platzhalterzeichen verwendet werden, um Teiltreffer zu finden. Beschreibungen der Operatoren -eq Gleich -gt Größer als -ne Ungleich -ge Größer oder gleich -lt Kleiner als -like Verwendet Platzhalter für Mustervergleich -le Kleiner oder gleich

Abfragen von Objekten mit Windows PowerShell 4: Automatisierung der Active Directory-Domänendiensteverwaltung Zeigen Sie alle Eigenschaften für ein Benutzerkonto an  Zeigen Sie alle Benutzerkonten in der Organisationseinheit Marketing und alle ihre untergeordneten Container an Zeigen Sie alle Benutzerkonten mit einem letzten Anmeldedatum an, das älter als ein bestimmtes Datum ist Zeigen Sie alle Benutzerkonten in der Marketingabteilung mit einem letzten Anmeldedatum an, das älter als ein bestimmtes Datum ist   Get-ADUser -Identity "Administrator" -Properties * Dies ist die zweite Folie für dieses Thema. Beschreiben Sie anhand der Beispiele die häufig mit dem Get-ADUser-Cmdlet verwendeten Parameter. Damit Sie keine Folienbeispiele eingeben müssen, können Sie die unter E:\Labfiles\Mod04\Mod04Examples.ps1 aufgeführten Beispiele verwenden. Get-ADUser -Filter * -SearchBase "ou=Marketing,dc=adatum,dc=com" -SearchScope subtree Get-ADUser -Filter {lastlogondate -lt "September 1, 2014"} Get-ADUser -Filter {(lastlogondate -lt "September 1, 2014") -and (department -eq "Marketing")}

Ändern von Objekten mit Windows PowerShell 4: Automatisierung der Active Directory-Domänendiensteverwaltung Verwenden Sie den senkrechten Strich ( | ) zum Übergeben einer Liste von Objekten an ein Cmdlet zur weiteren Verarbeitung Erläutern Sie den Kursteilnehmern, wie sie den senkrechten Strich ( | ) verwenden können, um Objekte an ein anderes Cmdlet für die weitere Verarbeitung weiterzugeben. Verwenden Sie die auf der Folie aufgeführten Beispiele, um zu zeigen, dass sie entweder die Ergebnisse einer Abfrage oder den Inhalt einer Textdatei verwenden können. Betonen Sie den Kursteilnehmern gegenüber, dass zufällige Daten nicht an ein anderes Cmdlet übergeben werden können. Die Objekte, die an ein Cmdlet übergeben werden, müssen vom richtigen Typ sein. Sie können beispielsweise eine Liste mit Benutzerkontenobjekten an das Set-ADUser-Cmdlet weitergeben. Es ist jedoch nicht möglich, eine Liste von Gruppen an das Set-ADUser-Cmdlet weiterzugeben. Die Hilfedokumentation für jedes Set-AD*-Cmdlet gibt an, wie die Identität des zu ändernden Objekts angegeben werden soll. Beim Verwenden einer Liste mit Objekten aus einer Textdatei wird darauf hingewiesen, wie sie die Daten in der Textdatei formatieren müssen. Mit dem Set-ADUser- Cmdlet können sie beispielsweise Benutzerobjekte nach Distinguished Name, Globally Unique Identifier (GUID), Sicherheits-ID (SID) oder Sicherheitskonto-Manager-Kontonamen identifizieren. Damit Sie keine Folienbeispiele eingeben müssen, können Sie die unter E:\Labfiles\Mod04\Mod04Examples.ps1 aufgeführten Beispiele verwenden. Frage Welche Attribute eines Benutzerkontos können Sie beim Erstellen einer Abfrage mit dem Parameter Filter verwenden? Antwort Sie können jeden Benutzerkontoparameter verwenden, den Sie abfragen können. Verwenden Sie den Parameter Properties mit dem Wert * (-Properties *), um alle Eigenschaften zu identifizieren, die abgerufen werden können. Get-ADUser -Filter {company -notlike "*"} | Set-ADUser -Company "A. Datum" Get-ADUser -Filter {lastlogondate -lt "September 1, 2014"} | Disable-ADAccount Get-Content C:\users.txt | Disable-ADAccount

Verwenden von CSV-Dateien 4: Automatisierung der Active Directory-Domänendiensteverwaltung In der ersten Zeile einer .csv-Datei werden die Namen der Spalten definiert Eine foreach-Schleife verarbeitet den Inhalt einer CSV-Datei, der in eine Variable importiert wurde Vorname,Nachname,Abteilung Greg,Guzik,IT Robin,Young,Research Qiong,Wu,Marketing Verwenden Sie den Inhalt auf der Folie, um die folgenden vier wichtigen Punkte zu erläutern: Die Kopfzeile in der CSV-Datei gibt den Namen jeder Spalte an. Import-Csv liest den Inhalt der CSV-Datei. Eine foreach-Schleife verarbeitet jede Zeile der CSV-Datei. Der $i stellt jede Zeile dar, wie sie verarbeitet wird. Damit Sie keine Folienbeispiele eingeben müssen, können Sie die unter E:\Labfiles\Mod04\Mod04Examples.ps1 aufgeführten Beispiele verwenden. Frage Inwiefern ändert sich in der foreach-Schleife $i? Antwort Die foreach-Schleife verarbeitet jede Zeile aus der CSV-Datei, die in die $users-Variable geladen wird. Die Schleife wird einmal pro Zeile für die CSV-Datei ausgeführt. Die Variable $i stellt jede Zeile dar, wie sie verarbeitet wird. $users=Import-CSV -LiteralPath "C:\users.csv" foreach ($user in $users) { Write-Host "Der Vorname lautet:" $user.Vorname }

Demo: Ausführen von Massenvorgängen mit Windows PowerShell 4: Automatisierung der Active Directory-Domänendiensteverwaltung In dieser Demo wird Folgendes gezeigt Konfigurieren einer Abteilung für Benutzer Erstellen einer Organisationseinheit Ausführen eines Skripts zum Erstellen neuer Benutzerkonten Überprüfen, ob neue Benutzerkonten erstellt wurden Vorbereitungsschritte Sie benötigen für diese Demo den virtuellen Computer 21410D-LON-DC1. Er sollte nach der vorherigen Demo ausgeführt werden. Demoschritte Konfigurieren einer Abteilung für Benutzer Klicken Sie auf LON-DC1 in der Taskleiste auf das Windows PowerShell-Symbol. Geben Sie in der Windows PowerShell-Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: Get-ADUser -Filter * -SearchBase "ou=Research,dc=adatum,dc=com" Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: Get-ADUser -Filter * -SearchBase "ou=Research,dc=adatum,dc=com" | Set-ADUser -Department Research Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: Get-ADUser -Filter "department -eq 'Research'" | Format-Table DistinguishedName,Department Get-ADUser -Filter "department -eq 'Research'" -Properties Department | Format-Table DistinguishedName,Department Erstellen einer Organisationseinheit New-ADOrganizationalUnit LondonBranch -Path "dc=adatum,dc=com" (Weitere Hinweise auf der folgenden Folie)

21410D Übungseinheit: Automatisieren der AD DS-Verwaltung mit Windows PowerShell 4: Automatisierung der Active Directory-Domänendiensteverwaltung Übung 3: Verwenden von Windows PowerShell zum Ändern von Benutzerkonten in einem Massenvorgang Bevor die Kursteilnehmer die Übungseinheit beginnen, lesen Sie das Szenario zur Übungseinheit und zeigen Sie die nächste Folie an. Lesen Sie den Kursteilnehmern vor Beginn jeder Übungseinheit das entsprechende Szenario dieser Übung vor. Die Szenarien bieten Kontext für die Übungseinheit und die Übungen und erleichtern die Besprechung am Ende der Übungseinheit. Erinnern Sie die Kursteilnehmer daran, die Diskussionsfragen im Anschluss an die letzte praktische Übung zu beantworten. Übung 1: Erstellen von Benutzerkonten und Gruppen mit Windows PowerShell Die A. Datum Corporation hat eine Anzahl von Skripts, die zuvor verwendet wurden, um Benutzerkonten mit Befehlszeilentools zu erstellen. Unternehmensweit ist jedoch vorgeschrieben, dass alles zukünftige Skripting mit Windows PowerShell durchgeführt wird. Der erste Schritt beim Erstellen von Skripts besteht darin, die für die Verwaltung von AD DS-Objekten in Windows PowerShell erforderliche Syntax zu bestimmen. Übung 2: Verwenden von Windows PowerShell für das Erstellen von Benutzerkonten in einem Massenvorgang Sie besitzen eine CSV-Datei, die eine große Liste neuer Benutzer für die Filiale enthält. Es ist ineffizient, diese Benutzer einzeln mit grafischen Tools zu erstellen. Daher verwenden Sie stattdessen ein Windows PowerShell-Skript. Eine Kollegin, die in der Skripterstellung erfahren ist, hat Ihnen ein von ihr erstelltes Skript bereitgestellt. Sie müssen das Skript ändern, damit es mit dem Format Ihrer CSV-Datei übereinstimmt. Übung 3: Verwenden von Windows PowerShell zum Ändern von Benutzerkonten in einem Massenvorgang Sie haben eine Anforderung erhalten, alle Benutzerkonten in der Organisationseinheit der neuen Zweigstelle mit der richtigen Adresse des neuen Gebäudes zu aktualisieren. Sie wurden zudem gebeten sicherzustellen, dass alle neuen Benutzerkonten in der Filiale dergestalt konfiguriert sind, dass Benutzer bei der nächsten Anmeldung gezwungen werden, das Kennwort zu ändern. Anmeldeinformationen Virtuelle Computer 21410D-LON-DC1 21410D-LON-CL1 Benutzername ADATUM\Administrator Kennwort Pa$$w0rd Geschätzte Dauer: 45 Minuten

Szenario der Übungseinheit 4: Automatisierung der Active Directory-Domänendiensteverwaltung Sie arbeiten seit mehreren Jahren als Desktopcomputer- Supportspezialist für die A. Datum Corporation. In dieser Rolle haben Sie Desktopcomputer untersucht, um eine Problembehandlung bei App- und Netzwerkproblemen vorzunehmen. Sie haben kürzlich eine Beförderung in das Serversupportteam angenommen. Als eine Ihrer ersten Aufgaben müssen Sie den Infrastrukturdienst für eine neue Zweigniederlassung konfigurieren Als Bestandteil der Konfiguration einer neuen Zweigstelle müssen Sie Benutzer- und Gruppenkonten erstellen. Das Erstellen mehrerer Benutzer mit grafischen Tools ist ineffizient, daher verwenden Sie Windows PowerShell

Welche Dateierweiterung weisen Windows PowerShell-Skripts auf? Lernzielkontrolle 4: Automatisierung der Active Directory-Domänendiensteverwaltung Welche Dateierweiterung weisen Windows PowerShell-Skripts auf? Fragen zur Lernzielkontrolle für die Übungseinheit Frage Werden neue Benutzerkonten standardmäßig aktiviert oder deaktiviert, wenn Sie sie mit dem New-ADUser-Cmdlet erstellen? Antwort Neue Benutzerkonten sind standardmäßig deaktiviert, wenn Sie sie mit dem New-ADUser-Cmdlet erstellen. Welche Dateierweiterung weisen Windows PowerShell-Skripts auf? Windows PowerShell-Skripts weisen die Dateierweiterung PS1 auf.

Lernzielkontrolle und Hauptlernziele der Unterrichtseinheit 4: Automatisierung der Active Directory-Domänendiensteverwaltung Tools Frage(n) zur Lernzielkontrolle Verweisen Sie die Kursteilnehmer auf den entsprechenden Abschnitt im Kurs, sodass sie die in diesem Abschnitt gestellten Fragen beantworten können. Frage Ein Kollege erstellt ein Windows PowerShell-Skript, das Benutzerkonten aus Daten erstellt, die in einer CSV-Datei enthalten sind. Beim Versuch, ein Standardkennwort festzulegen, treten bei seinem Skript jedoch Fehler auf. Woran könnte das liegen? Antwort Die häufigste Fehlerquelle beim Festlegen von Kennwörtern während der Erstellung von Benutzerkonten liegt im Format der Variable, die das Kennwort enthält. Die Variable, die ein Benutzerkennwort enthält, muss eine sichere Zeichenfolge sein. Nach dem Importieren von Standardkennwörtern aus der CSV-Datei muss Ihr Kollege den Wert in eine sichere Zeichenfolge konvertieren, sodass der Wert im Arbeitsspeicher verschlüsselt wird. Ein weiteres Problem, das häufig vorliegt, ist der Versuch, Kennwörter zu verwenden, die die die Komplexitätsanforderungen nicht erfüllen. Wenn Sie versuchen, ein Benutzerkonto mit den New-ADUser- Cmdlets zu erstellen und ein Kennwort zu verwenden, das die Komplexitätsanforderungen nicht erfüllt, dann wird zwar das Benutzerkonto erstellt, das Kennwort wird jedoch nicht festgelegt, wodurch das Benutzerkonto deaktiviert wird. Sie sind ein Administrator für einen Schulbezirk, der jährlich 20.000 neue Benutzerkonten für Schüler erstellt. Im Verwaltungssystem für Schüler wird eine Liste der neuen Schüler generiert, und die Liste wird dann als CSV-Datei exportiert. Welche Informationen benötigen Sie nach dem Exportieren der Daten in eine CSV-Datei, damit die Daten in einem Skript verwendet werden können? Sie müssen den Namen und den Speicherort der CSV-Datei kennen, um die CSV-Datei verwenden zu können. Diese Informationen ermöglichen Ihnen, die CSV-Datei in eine Variable zu importieren. Sie müssen auch den Namen jeder Spalte in der CSV-Datei kennen. Wenn es keine Kopfzeile mit Spaltennamen gibt, dann müssen Sie eine erstellen. (Weitere Hinweise auf der folgenden Folie)