Administrer brugerkonti i PowerShell
Brugeradministration er et kerneansvar for administratorer. Du kan bruge Active Directory-modulet til Windows PowerShell-cmdlet'er til at oprette, redigere og slette brugerkonti enkeltvist eller samlet. Brugerkonto-cmdlet'er har ordet "Bruger" eller "Konto" i navneordsdelen af navnet. Hvis du vil identificere de tilgængelige cmdlet'er, skal du medtage dem i søgninger med jokertegn, når du bruger Get-Help- eller Get-Command.
I følgende tabel vises almindelige cmdlet'er til administration af brugerkonti.
tabel 1: Cmdlet'er til administration af brugerkonti
| Cmdlet | Beskrivelse |
|---|---|
| Opretter en brugerkonto | |
| Get-ADUser- | Henter en brugerkonto |
| Set-ADUser- | Ændrer egenskaberne for en brugerkonto |
| Remove-ADUser | Sletter en brugerkonto |
| Set-ADAccountPassword- | Nulstiller adgangskoden for en brugerkonto |
| Unlock-ADAccount | Låser en brugerkonto op, der er blevet låst, efter at det tilladte antal forkerte logonforsøg er overskredet |
| Enable-ADAccount- | Aktiverer en brugerkonto |
| Disable-ADAccount- | Deaktiverer en brugerkonto |
Henter brugere
Cmdlet'en Get-ADUser kræver, at du identificerer den eller de brugere, du vil hente. Det kan du gøre ved hjælp af parameteren -Identity, som accepterer en af flere egenskabsværdier, herunder SAM-kontonavnet (Security Accounts Manager) eller det entydige navn.
Windows PowerShell returnerer kun et standardsæt af egenskaber, når du bruger Get-ADUser. Hvis du vil gennemse andre egenskaber, skal du bruge parameteren -Properties med en kommasepareret liste over egenskaber eller jokertegnet "*".
Du kan f.eks. hente standardsættet med egenskaber sammen med en brugers afdeling og mailadresse med SAM-kontoen anabowman ved at angive følgende kommando i konsollen og derefter trykke på tasten Enter:
Get-ADUser -Identity anabowman -Properties Department,EmailAddress
Den anden måde at angive en bruger eller brugere på er med parameteren -Filter. Parameteren -Filter accepterer en forespørgsel, der er baseret på regulære udtryk, som beskrives mere detaljeret i senere moduler i dette kursus. Hvis du f.eks. vil hente alle AD DS-brugere og deres egenskaber, skal du angive følgende kommando i konsollen og derefter trykke på enter-tasten:
Get-ADUser -Filter * -Properties *
Seddel
Hjælpen til Get-ADUser- indeholder eksempler, der bruger funktioner i Windows PowerShell, som du får mere at vide om senere i dette kursus. Mere avancerede -Filter-handlinger kræver f.eks. sammenligningsoperatorer, som du får mere at vide om i det næste modul.
Oprettelse af nye brugerkonti
Når du bruger New-ADUser-cmdlet'en til at oprette nye brugerkonti, er parameteren -Name påkrævet. Du kan også angive de fleste andre brugeregenskaber, herunder en adgangskode. Når du opretter en ny konto, skal du overveje følgende punkter:
- Hvis du ikke bruger parameteren -AccountPassword, angives der ingen adgangskode, og brugerkontoen er deaktiveret. Du kan ikke angive parameteren -Enabled som
$true, når der ikke er angivet en adgangskode. - Hvis du bruger parameteren -AccountPassword til at angive en adgangskode, skal du angive en variabel, der indeholder adgangskoden som en sikker streng eller vælge at angive adgangskoden fra konsollen. En sikker streng krypteres i hukommelsen.
- Hvis du angiver en adgangskode, kan du aktivere brugerkontoen ved at angive parameteren -Enabled som
$true.
I følgende tabel vises almindelige parametre for cmdlet'en New-ADUser.
tabel 2: Almindelige parametre for New-ADUser-
| Parameter | Beskrivelse |
|---|---|
| -Kontoudgiftsdato | Definerer udløbsdatoen for en brugerkonto |
| -Kontoadgangskode | Definerer adgangskoden for en brugerkonto |
| -ChangePasswordAtLogon | Kræver en brugerkonto for at ændre adgangskoder ved næste logon |
| -Afdeling | Definerer afdelingen for en brugerkonto |
| -DisplayName | Definerer det viste navn for en brugerkonto |
| -HomeDirectory | Definerer placeringen af hjemmemappen for en brugerkonto |
| -HomeDrive | Definerer de drevbogstaver, der knyttes til startmappen for en brugerkonto |
| -GivenName | Definerer fornavnet på en brugerkonto |
Hvis du vil tilføje en brugerkonto og angive attributten Afdeling til it- , skal du angive følgende kommando i konsollen og derefter trykke på Enter:
New-ADUser "Ana Bowman" -Department IT
Da der ikke er angivet en adgangskode af den kommando, du kørte, er brugerkontoen deaktiveret, og du kan ikke aktivere den, før der er tildelt en adgangskode.
Seddel
Senere i kurset lærer du, hvordan du bruger kommaseparerede filer til masseoprettelse af brugerkonti med automatisk tildelte adgangskoder.