PowerShellV2介绍.docVIP

PowerShell V2介绍今天要为大家介绍的是和管理活动目录林和域对象有关的cmdlets。涉及到的名词有ADDomain、ADDomainController、ADDomainControllerPasswordReplicationPolicy、ADDomainControllerPasswordReplicationPolicyUsage、ADDomainMode、ADForest、ADDirectoryServer和ADDirectoryServerOperationMasterRole。我们可以使用以下命令来得到包含这些名词的cmdlets： Get-Command *ADDomain*,*ADForest*,*ADDirectory* -Module ActiveDirectory | Sort Noun | FT -a 最后的返回结果中包含13个cmdlets： 接下来将基于完成具体任务的方式来介绍名词部分是ADDomain及ADForest的cmdlets。 对FSMO主机进行操作 如果我们需要对FSMO主机进行操作则需要使用Get-ADDomain、Set-ADDomain、Get-ADForest及Set-ADForest这四个cmdlets。首先来看看Get-ADDomain能提供给我们一些什么样的信息。 大家可以看到Get-ADDomain得到的信息还是很丰富的，比如子域的信息（ChildDomains），域功能级(DomainMode)，操作主机（PDCEmulator、RIDMaster）等等。接下来我们来看看Get-ADForest会得到哪些信息： 大家可以看到Get-ADForest为我们提供了林范围内的一些信息，接下来我们就来看看如何得到FSMO角色所在的主机。 具体命令如下： Get-ADDomain | fl PDC*,*MasterGet-ADForest | fl *Master 在得到FSMO主机角色之后，相信大家接下来就会很好奇能不能使用PowerShell来转移FSMO角色了。当然从Windows Server 2008 R2开始我们就可以不在使用ntdsutil或者图形界面来转移FSMO角色了。在AD PowerShell 模块中为活动目录管理员准备了Move-ADDirectoryServerOperationMasterRole cmdlet来转移FSMO角色。下面我们就来看下如何使用这个cmdlet。具体命令如下： Move-ADDirectoryServerOperationMasterRole -Identity dc01 -OperationMasterRole SchemaMaster 执行效果如下，这里我们可以利用之前的命令来确定命令有没有执行成功。 这里需要注意的是Identity参数，大家从Get-Forest返回的值来看肯定会认为用代替dc02作为Identity的参数值也是可以的。但实际上这并不可行。原因在于此cmdlet在执行时会从CN=Configuration,dc=contoso,dc=com分区中查找信息，也就是说如果我们想要以DN作为Identity参数的值的话，那么需要使用类似以下形式的DN：CN=DC01,CN=Servers,CN=Shanghai,CN=Sites,CN=Configuration,DC=contoso,DC=com 修改单个用户将计算机加入域的上限数量 相信很多朋友都知道，默认情况下域中的普通用户可以将10台计算机加入到域，超过这个上限之后便无法添加了。根据KB251335的说明，我们可以通过预先创建用户的计算机账号，为用户授予计算机账号所在OU的添加/删除计算机对象权限，以及修改ms-DS-MachineAccountQuota这个属性来绕过这个限制。接下来就来看看如何使用相关cmdlets来修改ms-DS-MachineAccountQuota这个属性。 根据“获得对象，然后对其进行操作”的PowerShell AD Module的使用原则，首先要确定如何使用cmdlet来获得我们所需的对象。由于ms-DS-MachineAccountQuota这个属性是域对象的一个属性，因此可以使用Get-ADDomain来得到域对象。接下来我们自然而然地会想到将得到的对象通过管道传递给Set-ADDomain来修改相关的属性值。默认情况下，Set-ADDomain并不直接提供与属性相对应的参数来修改属性值，因此我们还是和之前修改用户对象的属性一样，需要使用哈希表来表示需要进行修改的具体属性值。命令如下： Get-ADDomain | Set-ADDomain -Replace @{ms-ds-Machi