Роли сервера windows server 2012

Активация TS

Для начала нужно установить источник, с помощью которого будет происходить активация.

1. Диалог «Средства» (Tools) — Terminal Services — «Средство диагностики лицензирования…» (Remote Desktop LD). 
2. Разрешений пока нет в наличии, так как не задан их источник и режим проведения активации. Нужно задать источник в Локальных ГП. В окне «Выполнить» введите:

3. В каталоге слева последовательно разверните пункты:

«Конфигурация компьютера» — «Административные шаблоны» — «Компоненты Windows» — «Службы удалённых РС» — «Узел сеансов удалённых РС» — «Лицензирование».

4. В конечном пункте «Лицензирование» откройте «Использовать указанные серверы лицензирования УРС» (двойной клик по названию).
5. Переключите опцию в положение «Включено». Здесь же укажите IP-адрес или имя в сети для источника лицензий. 
6. Измените установки политики «Задать режим лицензирования УРС» — «Включено». А также укажите режим из двух вариантов:

• «На пользователя». Будет ограничено количество одновременно подключаемых компьютеров.
• «На устройство». Вводит ограничения на количество пользователей, которые могут совершать действия в одно время.

После редактирования и самопроверки редактор политик можно закрыть. Вернитесь в Remote Desktop LD. Скорее всего, здесь возникнет ошибка — licensing server задан, но не активен. Теперь нам нужно запустить его:

1. Вкладка «Средства» — Terminal Services — RDLM.
2. Вызовите меню правым кликом мыши. Выберите Activate Server. 
3. В открывшемся Мастере сразу нажмите «Далее». Начнётся настройка параметров.
4. Оставьте настройку «Авто» в следующем поле.
5. Введите параметры организации. Их необходимо задать полностью
6. Дополнительные сведения в следующем окне вводить необязательно.
7. Сейчас нужно инсталлировать сами лицензии. Нажмите «Далее» при активном флаге «Запустить мастер установки…».
8. В Windows Server 2012 R2 запустится соответствующий Мастер. Можете сразу выбрать нужную программу лицензирования. Мы рассматриваем инструкцию на примере с вариантом Enterprise Agreement. 
9. В следующих диалогах введите параметры, важные для Соглашения. В итоге вы получите подтверждение, что всё прошло хорошо.

А теперь проверьте правильность параметров активации в «Диспетчере лицензирования…». Убедитесь, функционирует ли сервер. Вместе с тем вы можете перейти в Remote Desktop Licensing Diagnoser и проверить параметры на отсутствие ошибок. Убедитесь, что количество лицензий соответствует нужному. 

На этом активацию терминального сервера в Windows Server 2012 R2 можно считать завершённой.

Теперь вы способны без проблем выполнять соединение, используя стандартную функцию Windows «Подключение к удалённому РС». Чтобы пользователь смог подключиться, его параметры должны быть определены в группе «Пользователи удалённого рабочего стола».

Инструменты управления Active Directory

Управлять сервером Windows можно как непосредственно сидя за перед ним, так и удалённо. Удалённо сервером можно управлять как с другого сервера, так и с помощью рабочих станций, но для того, чтобы рабочие станции могли использоваться для управления сервером, могут потребоваться дополнительные действия по установке компонентов.

Управление сервером осуществляется через:

1. Оснастки в Microsoft Management Console (MMC) (Консоли управления Microsoft). На сервере эти инструменты доступны по умолчанию, а на рабочих станциях для получения этой оснастки необходимо предварительно установить средства удалённого администрирования. Сами оснастки перечислены чуть ниже.
2. Active Directory Administrative Center (Центр администрирования Active Directory), dsac.exe, как показано на скриншоте ниже, является универсальным местом, которое используется для управления службами каталогов Windows Server.
3. Windows Admin Center. Как на сервере, так и на рабочих станциях необходимо установить сам Windows Admin Center, а затем плагин для Active Directory.
4. Active Directory Module for Windows PowerShell (Модуль Active Directory для Windows PowerShell). На серверах Windows данный модуль устанавливается автоматически во время развёртывания Active Directory Domain Services. На рабочих станциях Windows требуется его отдельная установка.

Имеются следующие оснастки в Microsoft Management Console (MMC) (консоли управления Microsoft), mmc.exe:

• Active Directory Users and Computers (Пользователи и компьютеры Active Directory), dsa.msc, используется для управления пользователями, компьютерами, группами, организационными единицами и другими объектами Active Directory.
• Active Directory Domains and Trusts (Домены и доверие Active Directory), domain.msc, используется для управления доменами, доверительными отношениями между доменами.
• Active Directory Sites and Services (Сайты и службы Active Directory), dssite.msc, используются для управления репликацией и службами между сайтами.

Всего будет рассмотрено четыре набора инструментов для управления Active Directory. Может показаться, что столько вариантов это избыточно. Особенно если учесть, что Центр администрирования Active Directory и Windows Admin Center это просто графические обёртки для PowerShell, который также доступен в виде Модуля Active Directory для Windows PowerShell. Тем не менее, разница между ними заключается не только в интерфейсе инструментов, между ними есть более значимая практическая разница.

Инструмент	Позволяет управлять с компьютера, не являющегося частью домена	Подходит для локальной настройки Windows Server Core
Оснастки в Microsoft Management Console (MMC)	Нет	Нет
Active Directory Administrative Center	Нет	Нет
Windows Admin Center	Да	Нет
Active Directory Module for Windows PowerShell	Да	Да

Одинаковые характеристики в таблице имеют только два инструмента, но они различаются интерфейсом.

Работа с объектами

Так как PowerShell работает с объектами, он позволяет выполнять некие действия над этими объектами, например:

• Measure-Object – командлет позволяет рассчитывать на основе свойств объектов такие числовые агрегирующие параметры как: минимальное, максимальное, среднее значение, сумму и количество. Например, Вы хотите узнать максимальный или средний размер файла в определенном каталоге, или просто узнать количество файлов (запущенных процессов, служб и так далее);
• Select-Object – с помощью данного командлета можно выбрать определенные объекты или свойства этих объектов, например Вы хотите выводить только название файла и его размер;
• Sort-Object — сортирует объекты по значениям свойств;
• Where-Object – командлет для того чтобы ставить условие для выборки объектов на основе значений их свойств;
• Group-Object – группирует объекты, которые содержат одинаковое значение для заданных свойств;
• ForEach-Object – перебор объектов с целью выполнения определенной операции над каждым из этих объектов.

Получение источника NTP из нескольких серверов

Когда мы сталкиваемся с проблемой синхронизации времени, лучше проверить источник, из которого сервер получает время.

Вероятный результат

Считывает входные данные списка серверов и пытается найти источник NTP из предоставленного списка.

NTP Source Powershell Scripts

$Inventory = New-Object System.Collections.ArrayList
$AllComputers = gc C:\users\admin\desktop\server.txt
foreach($computers in $allcomputers){
$Computers
$ComputerInfo = New-Object System.Object
$ntp = w32tm /query /computer:$computers /source

$ComputerInfo |Add-Member -MemberType NoteProperty -Name "ServerName" -Value "$Computers" 

$ComputerInfo |Add-Member -MemberType NoteProperty -Name "NTP Source" -Value "$Ntp" 


$Inventory.Add($ComputerInfo) | Out-Null
  }

$Inventory | Export-Csv C:\users\admin\desktop\NTP.csv -NoTypeInformation

Установка Windows Server 2012 R2 на VDS

На хороших хостингах установить Windows Server можно в автоматическом режиме при создании нового VDS. Посмотрим, как это работает, на примере Timeweb.

1. Открываем панель управления VDS.

2. Переходим в раздел «Список VDS».

3. Нажимаем на кнопку «Создать сервер».

4. Указываем любое имя и комментарий (опционально).

5. Выбираем в списке операционных систем Windows Server 2012 R2.

6. Настраиваем конфигурацию сервера: количество ядер процессора, объем оперативной памяти (минимум 512 МБ) и размер хранилища (минимум 32 ГБ).

7. Включаем защиту от DDoS, если она требуется.

8. Нажимаем на кнопку «Создать сервер».

Лицензия уже входит в итоговую стоимость сервера. При создании VDS система будет установлена и активирована. Хостер отправит на почту данные для авторизации на сервере, чтобы вы могли его настроить.

Если на хостинге нет автоматической установки Windows Server, то придется инсталлировать систему вручную. Для этого нужно купить лицензию и скачать ISO-образ WS 2012 R2. 

Для установки системы из ISO-образа обычно используется панель VMmanager. Порядок ручной инсталляции такой:

1. Запускаем VMmanager.

2. Открываем раздел «Виртуальные машины» в меню слева.

3. Останавливаем VDS, на который будем устанавливать WS 2012 R2.

4. Кликаем на кнопку «Диски» на верхней панели.

5. Выбираем пункт «ISO» на верхней панели.

6. В строке «Имя образа» выбираем дистрибутив Windows Server, указываем шину «IDE» и порядок загрузки «В начало».

7. Возвращаемся в раздел «Диски виртуальной машины» и ставим шину IDE для виртуального диска.

8. Жмем на кнопку «Интерфейсы» на верхней панели.

9. Выбираем интерфейс и нажимаем на кнопку «Изменить».

10. Далее – интерфейс «rtl8139». Это нужно для автоматической установки сетевого адаптера.

    

    

    

    

    

    

    

    

    

    

11. Возвращаемся в раздел «Виртуальные машины» и запускаем VDS, которую мы остановили на втором шаге.

12. Переходим в консоль VNC — на верхней панели есть соответствующая кнопка.

В VNC-консоли запустится установка Windows Server 2012 R2. Если вы ставили любую другую версию ОС от Майкрософт, то без проблем здесь разберетесь. 

1. Нажимаем на кнопку «Установить».

2. Вводим лицензионный ключ для активации системы.

3. Выбираем установку с графическим интерфейсом — так будет проще разобраться с настройками.

4. Принимаем лицензионное соглашение.

5. Запускаем выборочную установку.

6. Выбираем диск и при необходимости делим его на части.

7. Ждем, пока скопируются файлы.

8. Придумываем пароль администратора.

9. Ожидаем завершения установки.

Ручная установка занимает заметно больше времени и требует опыта в администрировании. Автоматическая же инсталляция намного быстрее и проще.

Защита от DDoS + CDN в подарок при заказе VDS Timeweb

Обезопасьте свой проект и ускорьте его работу: при заказе любого тарифа вы получаете защиту от DDoS + CDN на 3 месяца бесплатно. Сообщите в поддержку промокод community3.

Заказать

Что такое роли и компоненты

Вот согласитесь, что просто голая операционная система, какой бы она не была хорошей никому не нужна, ее основной функцией является создание каркаса для установки расширений и программ. Когда мы с вами установили Windows Server 2019, и произвели начальную ее настройку, мы можем делать из пустой ОС, сервер с сервисами. Встроенными сервисами, которые могут работать на 2019 сервере, являются роли и компоненты.

Роль — Серверной ролью называют, программную реализацию, крупного сервиса в Windows Server 2019, всего их в системе 20 штук. Еще ее можно назвать совокупностью компонентов, объединенных по одному признаку, например, роль IIS, которая состоит из огромного количества маленьких компонентов.

Компонент — по сути это мини роль, простой сервис, например, установка NET.Framework 3.5 или Telnet клиент.

Статус репликации AD

Если вы хотите узнать статус репликации AD в вашем домене, этот скрипт является наиболее подходящим для этого. Он предоставляет статус репликации и, если есть какая-либо ошибка, показывает ее.

Вероятный результат

Вы можете запланировать выполнение этого скрипта на регулярной основе, если возникнут ошибки, вы сможете проверить и устранить их.

AD-Replication-status Powershell Scripts

$myRepInfo = @(repadmin /replsum * /bysrc /bydest /sort:delta)
 
# Initialize our array.
$cleanRepInfo = @()
   # Start @ #10 because all the previous lines are junk formatting
   # and strip off the last 4 lines because they are not needed.
    for ($i=10; $i -lt ($myRepInfo.Count-4); $i++) {
            if($myRepInfo -ne ""){
            # Remove empty lines from our array.
            $myRepInfo -replace '\s+', " "           
            $cleanRepInfo += $myRepInfo            
            }
            }           
$finalRepInfo = @()  
            foreach ($line in $cleanRepInfo) {
            $splitRepInfo = $line -split '\s+',8
            if ($splitRepInfo -eq "Source") { $repType = "Source" }
            if ($splitRepInfo -eq "Destination") { $repType = "Destination" }
           
            if ($splitRepInfo -notmatch "DSA") {      
            # Create an Object and populate it with our values.
           $objRepValues = New-Object System.Object
               $objRepValues | Add-Member -type NoteProperty -name DSAType -value $repType # Source or Destination DSA
               $objRepValues | Add-Member -type NoteProperty -name Hostname  -value $splitRepInfo # Hostname
               $objRepValues | Add-Member -type NoteProperty -name Delta  -value $splitRepInfo # Largest Delta
               $objRepValues | Add-Member -type NoteProperty -name Fails -value $splitRepInfo # Failures
               #$objRepValues | Add-Member -type NoteProperty -name Slash  -value $splitRepInfo # Slash char
               $objRepValues | Add-Member -type NoteProperty -name Total -value $splitRepInfo # Totals
               $objRepValues | Add-Member -type NoteProperty -name "% Error"  -value $splitRepInfo # % errors  
               $objRepValues | Add-Member -type NoteProperty -name ErrorMsg  -value $splitRepInfo # Error code
          
            # Add the Object as a row to our array   
            $finalRepInfo += $objRepValues
           
            }
            }
$html = $finalRepInfo|ConvertTo-Html -Fragment       
           
$xml = $html

$attr = $xml.CreateAttribute("id")
$attr.Value='diskTbl'
$xml.table.Attributes.Append($attr)


$rows=$xml.table.selectNodes('//tr')
for($i=1;$i -lt $rows.count; $i++){
    $value=$rows.Item($i).LastChild.'#text'
    if($value -ne $null){
       $attr=$xml.CreateAttribute('style')
       $attr.Value='background-color: red;'
       $rows.Item($i).Attributes.Append($attr)
    }
   
    else {
       $value
       $attr=$xml.CreateAttribute('style')
       $attr.Value='background-color: green;'
       $rows.Item($i).Attributes.Append($attr)
    }
}

#embed a CSS stylesheet in the html header
$html=$xml.OuterXml|Out-String
$style='<style type=text/css>#diskTbl { background-color:black ; } 
td, th { border:1px solid black; border-collapse:collapse; }
th { color:black; background-color:yellow; }
table, tr, td, th { padding: 2px; margin: 0px } table { margin-left:50px; }</style>'


ConvertTo-Html -head $style -body $html -Title " AD Replication Report"|Out-File C:\Scripts_new\Replication\ReplicationReport.htm

$html1=get-content C:\Scripts_new\Replication\ReplicationReport.htm
$smtpServer = ""
$smtpFrom = ""
$smtpTo = ""
$messageSubject = ""
 
$message = New-Object System.Net.Mail.MailMessage $smtpfrom, $smtpto
$message.Subject = $messageSubject
$message.IsBodyHTML = $true
 
$message.Body =$html1
 
$smtp = New-Object Net.Mail.SmtpClient($smtpServer)
$smtp.Send($message)

#send-MailMessage  -From "[email protected]" -to "[email protected]" -Subject "Lycra AD Replication Report(Do not reply)" -SmtpServer "lycra-com.mail.protection.outlook.com" -body  -BodyAsHtml

Особый порт для подключения

По умолчанию, для подключения к терминальному серверу по RDP используется порт 3389. Если необходимо, чтобы сервер слушал на другом порту, открываем реестр, и переходим в ветку:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

Находим ключ PortNumber и задаем ему значение в десятично представлении, равное нужному номеру порта:

Также можно применить команду:

reg add «HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp» /v PortNumber /t REG_DWORD /d 3388 /f

* где 3388 — номер порта, на котором будет принимать запросы терминальный сервер.

Работа с компьютером

Windows PowerShell позволяет выполнять административные задачи для операционной системы и компьютера в целом, например, перезапустить операционную систему или переименовать компьютер.

• Restart-Computer – командлет перезапускает операционную систему (перезагружает компьютер);
• Stop-Computer – выключает компьютер;
• Rename-Computer – переименовывает компьютер;
• Checkpoint-Computer — создает точку восстановления системы на локальном компьютере;
• Restore-Computer — запускает восстановление системы на локальном компьютере;
• Disable-ComputerRestore — отключает функцию восстановления системы на указанном диске файловой системы;
• Enable-ComputerRestore — включает функцию восстановления системы на указанном диске файловой системы;
• Remove-Computer — удаляет локальный компьютер из домена;
• Get-EventLog – выводит информацию о событиях в журнале событий, или список журналов событий на локальном или удаленном компьютере;
• Clear-EventLog — удаляет записи из указанных журналов событий.

Установка RSAT в Windows 7

Набор утилит Microsoft Remote Server Administration Tools (RSAT) позволяет администраторам удаленно управлять ролями и функциями сервера Windows Server 2008 R2 с компьютера под управлением Windows 7. Он включает в себя поддержку удаленного управления компьютерами под управлением Server Core или полноценного сервера Windows Server 2008 R2.

Установка RSAT осуществляется в 2 этапа:

1. Собственно установка дистрибутива RSAT (где его взять я уже описывал в статье о включении Windows 7 в домен AD, на всякий случай напомню https://www.microsoft.com/downloads/details.aspx?FamilyID=7d2f6ad7-656b-4313-a005-4e344e43997d&displaylang=en)
2. Активация функций и консолей (оснасток) RSAT.

Шаг 1. Установка RSAT

wusa Windows6.1-KB958830-x86.msu /quiet (x86) wusa Windows6.1-KB958830-x64.msu /quiet (x64)

После установки пакета RSAT, который содержит большинство необходимых администратору утилит и оснасток, они будут доступны в панели управления (Programs & Features — Windows Features).

Шаг 2. Включаем оснастки и функции RSAT

Различные функции пакета RSAT можно активировать с помощью утилиты командной строки (CLI), которая называется DISM (Deployment Image Servicing and Management), ее использование полностью аналогично процедуре включения/выключения функций и ролей в Windows Server 2008 R2 Server Core.

DISM позволяет перечислить, установить, удалить, настроить или обновить функции и пакеты в образе системы Windows. Список доступных команд зависит от того, в каком режиме работы находится система: offline или online.

Чтобы получить список всех доступных функций, наберите в командной строке:

dism /Online /Get-Features

Чтобы активировать ту или иную функцию, воспользуйтесь командой:

dism /Online /Enable-Feature /FeatureName:

Например:

dism /Online /Enable-Feature:RemoteServerAdministrationTools dism /Online /Enable-Feature:RemoteServerAdministrationTools-Roles-DHCP

Ниже я приведу полный список имен функций, доступных в RSAT

Названия функций RemoteServerAdministrationTools RemoteServerAdministrationTools-ServerManager RemoteServerAdministrationTools- RemoteServerAdministrationTools-Roles RemoteServerAdministrationTools-Roles-CertificateServices RemoteServerAdministrationTools-Roles-CertificateServices-CA RemoteServerAdministrationTools-Roles-CertificateServices-OnlineResponder RemoteServerAdministrationTools-Roles-AD RemoteServerAdministrationTools-Roles-AD-DS RemoteServerAdministrationTools-Roles-AD-DS-SnapIns RemoteServerAdministrationTools-Roles-AD-DS-AdministrativeCenter RemoteServerAdministrationTools-Roles-AD-DS-NIS RemoteServerAdministrationTools-Roles-AD-LDS RemoteServerAdministrationTools-Roles-AD-Powershell RemoteServerAdministrationTools-Roles-DHCP RemoteServerAdministrationTools-Roles-DNS RemoteServerAdministrationTools-Roles-FileServices RemoteServerAdministrationTools-Roles-FileServices-Dfs RemoteServerAdministrationTools-Roles-FileServices-Fsrm RemoteServerAdministrationTools-Roles-FileServices-StorageMgmt RemoteServerAdministrationTools-Roles-HyperV RemoteServerAdministrationTools-Roles-RDS RemoteServerAdministrationTools-Features RemoteServerAdministrationTools-Features-BitLocker RemoteServerAdministrationTools-Features-Clustering RemoteServerAdministrationTools-Features-GP RemoteServerAdministrationTools-Features-LoadBalancing RemoteServerAdministrationTools-Features-SmtpServer RemoteServerAdministrationTools-Features-StorageExplorer RemoteServerAdministrationTools-Features-StorageManager RemoteServerAdministrationTools-Features-Wsrm

Набор утилит RSAT в Windows Server 2008 R2 и Windows 7также позволит вам осуществлять удаленное управления серверами (работающий под управлением Windows Server 2008 R2) с помощью оснастки Server Manager посредством удаленного PowerShell. Роли сервера и его функции будут доступны для управления при помощи локальных и удаленных скриптов PowerShell 2.0. Таким образом, после установки RSAT Windows 7, в вашем распоряжении появится знакомая вам консоль Server Manager.

Полезные командлеты Windows PowerShell

В данном разделе я перечислю командлеты PowerShell, которые Вы точно будете использовать.

• Get-Help – показывает справку по командлету, функции и общую справку по Windows PowerShell. Справка бывает нескольких типов: краткая, детальная, полная и вывод только примеров;
• Update-Help — загружает и устанавливает новые файлы справки, т.е. обновление справки;
• Get-Command – командлет поиска нужной команды, можно искать как по глаголу, так и по существительному, также возможно использование маски, если Вы не знаете точное наименование глагола или существительного;
• Get-Alias – показывает псевдонимы, все или конкретной команды;
• Get-PSDrive – показывает подключенные диски;
• Get-Member – выводит свойства и методы, которые есть у объекта;
• Get-WindowsFeature – выводит сведения о доступных ролях и компонентах сервера;
• Install-WindowsFeature (эквивалентен Add-WindowsFeature) — устанавливает роли или компоненты на указанный сервер;
• Uninstall-WindowsFeature (эквивалентен Remove-WindowsFeature) – удаляет роли или компонента сервера;
• Get-History — возвращает список команд, введенных в ходе текущей сессии.

Разовое удаление пользователей AD или массовое

Нужно удалить пользователя без каких-либо дополнительных кликов, данный скрипт именно для этого. Вы можете удалить одного пользователя или удалить пользователей в массовом порядке.

Как это работает

Удаление пользователя – это отдельная команда в Powershell, но для массового удаления требуются данные, которые могут быть получены их CSV или текстового файла, что и делается в этом скрипте.

Вероятный результат

Если вы все сделаете правильно, то удаленные пользователи не будут видны в dsa.msc.

Delete-user-account Powershell Scripts

Delete Active Directory User.txt

#Wintel-AD-Disable Active Directory User:

#for single:
Import-Module ActiveDirectory
Remove-ADAccount -Identity user1

###################for bulk################################

#imports active directory module to only corrent session as it is related to AD

Import-Module ActiveDirectory

#Takes input from users.csv file into this script

Import-Csv "C:\Users.csv" | ForEach-Object {

#assign input value to variable-samAccountName 

$samAccountName = $_."samAccountName"

#get-aduser will retrieve samAccountName from domain users. if we found it will disable else it will go to catch

try { Get-ADUser -Identity $samAccountName |
Remove-ADAccount  
}

#It will run when we can't find user

catch {

#it will display the message

  Write-Host "user:"$samAccountname "is not present in AD"
}
}

users.csv

samAccountName
akhila
user1

readme.txt

This script will disable particularly given user accounts in AD.

Prerequisites:

1.We should provide the user accounts which are in AD.

Steps to run the script:

1.Provide user names in csv file to script.
2.It will check for user in AD.
3.if it is there, it will disable else it will provide a message like user is not present in AD.

Отчет об устаревших объектах

Хотите узнать, какие объекты еще присутствуют в вашем домене, тогда это отличный скрипт, который найдет их и поможет вам полностью создать объекты. Это самый интересный скрипт в категории скриптов Active Directory Powershell.

Вероятный результат

Вы можете удалить неиспользуемые объекты, если они соответствуют вашим критериям поиска.

Stale comp reports Powershell Scripts

###############################################

#Description:
#This script will fetch stale computer objects beyond 90 days . And should run in any of the AD servers.
################################################################################################

#FIND INACTIVE COMPUTERS
#-------------------------------

Import-Module ActiveDirectory

#Get AD Computers that haven't logged on in xx days

$DaysInactive = 90
$InactiveDate = (Get-Date).Adddays(-($DaysInactive))
$Computers = Get-ADComputer -Filter { LastLogonDate -lt $InactiveDate -and Enabled -eq $true } -Properties LastLogonDate | Select-Object Name, LastLogonDate, DistinguishedName


# REPORTING
#-------------------------------
# Export results to CSV

$Computers | Export-Csv C:\Users\test\Desktop\InactiveComputers.csv -NoTypeInformation

Удаляем лишние команды из Проводника

Откройте редактор групповой политики (команда gpedit.msc) и перейдите в раздел Конфигурация пользователя, Административные шаблоны, Компоненты Windows, Проводник (рис. 1.).

Рис. 1. Параметры Проводника

Как видите, есть много полезных и не очень групповых политик в Windows Server 2016. Рассмотрим несколько полезных. Так, Скрыть выбранные диски из окна Мой компьютер (рис. 2) позволяет удалить значки выбранных дисков из окна Этот компьютер (в последних версиях Windows это окно называется именно так).

Рис. 2. Ограничиваем доступ пользователей в Windows Server 2016 к определенным дискам

Впрочем, если пользователь окажется умным и введет путь диска (например, D:\) в окне Проводника, он сможет получить доступ к нему. Для таких умных пользователей предназначена групповая политика Запретить доступ к дискам через «Мой компьютер» (рис. 3).

Рис. 3. Запретить доступ к дискам

Неплохо было бы еще и запретить пользователю использовать окно Выполнить (открывается при нажатии Win + R). Для этого нужно включить групповую политику Отключить сочетания клавиш Windows + X. Правда, такая настройка «убьет» все сочетания, в том числе и Win + R, но отдельной групповой политики, которая бы отключала отдельные команды, в современных версиях Windows Server нет (хотя раньше была опция, скрывающая команду Выполнить)

Клиенты, которые могут использовать групповую политику

В процессе перехода на использование Windows 2000 в вашей сети наверняка будут присутствовать компьютеры, оснащенные более ранними версиями Windows

Чтобы эффективно управлять такой сетью, важно понимать, в отношении каких компьютеров будет действовать групповая политика. Далее перечисляются операционные системы, в отношении которых действует групповая политика.

• Windows 2000 & 2003 Server. Компьютеры, оснащенные операционной системой Windows 2000 Server, могут быть либо обычными членами домена Active Directory, либо контроллерами домена. Групповая политика в полной мере применяется к обеим разновидностям серверов.
• Windows 2000 & XP Professional. Групповая политика в полной мере применяется в отношении клиентских компьютеров, оснащенных Windows 2000 Professional.
• Windows NT 4.0 Workstation и Server. В отношении таких компьютеров можно применить только системные политики в стиле NT 4.0. Для создания таких политик используется редактор poledit.exe. При помощи poledit.exe администратор может создавать файлы .adm. Windows NT 4.0 не поддерживает Active Directory и не использует объектов локальной политики, поэтому в отношении компьютеров, оснащенных этой операционной системой, групповая политика не применяется.
• Windows 95 и Windows 98. Для создания системной политики в операционных системах Windows 98 и Windows 95 используется специальный редактор системной политики. Получившийся в результате редактирования файл с расширением .pol следует скопировать в каталог SysVol. Редакторы системной политики, входящие в комплект Windows 2000 и Windows NT, не совместимы с Windows 98 и Windows 95. Групповая политика Windows 2000 в отношении таких компьютеров не применяется.
• Windows NT 3.51, Windows 3.1 и DOS. Групповая политика не применяется.

Работа с фоновыми заданиями

В Windows PowerShell есть возможность запускать задачи в фоновом режиме, для того чтобы, не дожидаясь окончания работы команды (для случаев, когда задача выполняется долго), продолжать работать в текущей сессии. Для работы с фоновыми заданиями в PowerShell есть следующие командлеты:

• Start-Job – запустить фоновую задачу;
• Stop-Job – остановить фоновую задачу
• Get-Job – посмотреть список фоновых задач;
• Receive-Job – посмотреть результат выполнения фоновой задачи;
• Remove-Job – удалить фоновую задачу;
• Wait-Job – перевести фоновую задачу на передний план, для того чтобы дожидаться ее окончания.

Работа с компьютером

Windows PowerShell позволяет выполнять административные задачи для операционной системы и компьютера в целом, например, перезапустить операционную систему или переименовать компьютер.

• Restart-Computer – командлет перезапускает операционную систему (перезагружает компьютер
  );
• Stop-Computer – выключает компьютер;
• Rename-Computer – переименовывает компьютер;
• Checkpoint-Computer — создает точку восстановления системы на локальном компьютере;
• Restore-Computer — запускает восстановление системы на локальном компьютере;
• Disable-ComputerRestore — отключает функцию восстановления системы на указанном диске файловой системы;
• Enable-ComputerRestore — включает функцию восстановления системы на указанном диске файловой системы;
• Remove-Computer — удаляет локальный компьютер из домена;
• Get-EventLog – выводит информацию о событиях в журнале событий, или список журналов событий на локальном или удаленном компьютере;
• Clear-EventLog — удаляет записи из указанных журналов событий.

Полезные команды Powershell для Active Directory

Получить всех пользователей AD в домене

Get-aduser -properties * -filter *

Модуль импорта Active Directory

Import-module activedirectory

Получить все компьютеры из домена

Get-adcomputer -properties * -filter *

Отключить пользователя AD по имени учетной записи SAM

Disable-ADaccount -identity "Name"

Экспорт данных в формат CSV

Get-adcomputer -properties * -filter * |export-csv "give path"

Получить имя учетной записи AD Groups SAM

Get-ADgroup -identity "provide group name"

Выбрать конкретный атрибут пользователя

Get-aduser -properties * -filter *

Получить информацию о домене

Get-ADdomain

Установите роль Active Directory

Install-windowsfeature AD-Domain-Services

Получить список контроллеров домена

Get-ADDomainController

Работа с элементами

В Windows PowerShell есть командлеты, которые умеют работать с элементами, под элементами здесь можно понимать: файлы, папки, ключи реестра и так далее.

• Clear-Item — очищает содержимое элемента, но не удаляет сам элемент;
• Copy-Item – копирует элемент;
• Get-Item — получает элемент в указанном месте;
• Invoke-Item — выполняет действие по умолчанию над указанным элементом;
• Move-Item – перемещает элемент;
• New-Item – создает новый элемент;
• Remove-Item – удаляет указанные элементы;
• Rename-Item — переименовывает элемент в пространстве имен поставщика Windows PowerShell;
• Set-Item — изменяет элемент;
• Get-ChildItem — возвращает элементы и дочерние элементы в одном или нескольких определенных местах;
• Get-Location – выводит информацию о текущем местонахождении.

Вопросы и ответы

Дополнительные сведения относительно понижения и удаления AD.

1. Как удалить дочерний домен?

Мы должны быть уверены, что в данном домене не осталось важных ресурсов предприятия. После необходимо по очереди удалить все контроллеры домена по данной инструкции. При удалении последнего сервера AD для дочернего домена, будет удален сам дочерний домен из леса.

2. Как понизить режим работы домена?

Данный режим не понизить — это односторонняя операция. Максимум, что можно сделать, это восстановить службу AD из резервной копии, когда режим был нужного уровня.

3. Что делать, если умер основной контроллер домена?

Рассмотрим несколько вариантов:

• Если есть резервная копия, восстанавливаемся из нее.
• Если в среде несколько контроллеров домена, захватываем FSMO-роли (подробнее в инструкции Управление FSMO ролями Active Directory с помощью Powershell) и вручную удаляем уже несуществующий контроллер. После можно поднять новый контроллер, сделав его резервным.
• Хуже, когда нет ни копий, ни второго контроллера. В таком случае, поднимаем новый контроллер, создаем новый лес, домен и переводим все компьютеры в него.

4. Что делать, если контроллер домена возвращает ошибку при понижении?

Самый лучший способ, разобраться с ошибкой, решив проблему, которая ее вызывает. Если это не удалось сделать, принудительно понижаем сервер командой:

dcpromo /forceremoval

Зачем может понадобиться удаление компонентов

Казалось бы, особой выгоды из удаления компонентов извлечь невозможно. Однако не забывайте, что в своем эксперименте я удалял только те компоненты, которые изначально отключены. В организациях могут быть свои причины для удаления других компонентов (например, мультимедийных), когда заранее известны сценарии использования рабочих станций.

Кроме того, удалив компонент, администратор может быть уверен, что пользователь его уже не установит. Конечно, для включения компонента нужны права администратора, но во многих организациях пользователи работают с полными правами.

Наконец, управление компонентами в клиентской ОС и ролями сервера в Windows Server — это смежные технологии. При этом удаление ролей дает намного более ощутимый эффект. Так, если оставлена только одна роль сервера (например, Hyper-V), счет в экономии дискового пространства идет уже на гигабайты.