在 Windows Server 2000、2003 和2008 中，管理員使用各種命令行工具和管理控制臺管理單元連接到其 Active Directory 域進(jìn)行管理工作，通常我們習(xí)慣于使用MMC界面，但是很多高級管理操作只能在CMD下完成，而CMD下的命令經(jīng)常成為我們的困惑。并且基于CMD的腳本的編寫對于系統(tǒng)管理員要求很高。為了解決這種情況Windows Server 2008 R2 中的 Active Directory 模塊合并了一組 cmdlet的Windows PowerShell 模塊.通過使用這些cmdlet，可在單一的獨(dú)立程序包中管理您的 Active Directory 域、Active Directory 輕型目錄服務(wù) (AD LDS) 配置集和 Active Directory 數(shù)據(jù)庫裝載工具實(shí)例。

首先讓我們了解一下PowerShell的功能，系統(tǒng)維護(hù)、管理中大家常在命令提示符(cmd.exe)下進(jìn)行操作，對Windows PowerShell可能還是比較陌生。Windows PowerShell將成為CDM的繼任者，是下一代命令行工具。Windows PowerShell目前***版本為2.0，并且已經(jīng)集成到Windows Server 2008及Windows 7中。Windows PowerShell使得IT管理員更容易地控制系統(tǒng)管理和加速自動(dòng)化，作為系統(tǒng)管理員應(yīng)該掌握和使用它。Windows PowerShell 是一種新的交互式的命令行和基于任務(wù)腳本編寫技術(shù)，它使信息技術(shù) (IT) 管理員能夠全面地自動(dòng)操作和控制系統(tǒng)管理任務(wù)，從而提高了管理員的生產(chǎn)力。

Windows PowerShell 包括多個(gè)系統(tǒng)管理實(shí)用工具、一致的語法和命名慣例、及對普通管理數(shù)據(jù)更好地導(dǎo)航，如登記、證書存儲 或 Windows Management Instrumentation (WMI)。Windows PowerShell 還專門針對 IT 管理，提供直觀的腳本編寫語言。之前的UNIX 的世界就有功能強(qiáng)大的 shell，而現(xiàn)在 Windows 環(huán)境也有了；Windows PowerShell 不僅提供功能相當(dāng)于BASH的命令列 shell，同時(shí)也內(nèi)建腳本語言以及輔助腳本程序的工具。Windows PowerShell 是以 .NET 技術(shù)為基礎(chǔ)，并且與現(xiàn)有的 WSH 保持回溯兼容，因此 Windows PowerShell 的腳本程序不僅能存取 .NET CLR，也能使用現(xiàn)有的 COM 技術(shù)。

PowerShell有一個(gè)非常好的特點(diǎn)，那就是它有一個(gè)非常全面的幫助系統(tǒng)，并與Shell本身緊密集成?，F(xiàn)在僅僅知道了cmdlet的名字，就可以通過調(diào)用Get-Help來獲取其他有關(guān)這個(gè)cmdlet的信息例如：Get-Help Get-Command。然而，這些信息主要是一個(gè)語法圖和一些簡單描述。如果希望獲取到更多的信息，包括了例子和參數(shù)的詳細(xì)描述等信息，就需要加入-full參數(shù)，例如：Get-Help Get-Command –Full。對例子感興趣，那么就加入-examples參數(shù)，例如Get-Help Get-command –examples。最讓人高興的是可以使用管道技術(shù)將Get-Help定向輸出到more命令中，它允許你每次顯示一個(gè)屏幕的內(nèi)容，例如Get-Help Get-Command –full | more。Windows PowerShell 包含了數(shù)種系統(tǒng)管理工具、簡易且一致的語法，提升管理者處理常見如登錄數(shù)據(jù)庫、WMI。

Exchange Server 2007 以及 System Center Operations Manager 2007 等服務(wù)器軟件都將內(nèi)建 Windows PowerShell。PowerShell現(xiàn)在配備了Active Directory域服務(wù)（AD DS）模塊，包含了超過75個(gè)Active Directory cmdlets。并且可以使用全新的PowerShell腳本，在Technet網(wǎng)站上提供了大量的腳本資源，現(xiàn)在可以通過腳本和PoweShell圖形界面實(shí)現(xiàn)對于活動(dòng)目錄的管理。最讓人感到驚喜的是tab-completion--按Tab鍵自動(dòng)補(bǔ)齊功能，在用戶敲擊Tab鍵時(shí)，Windows會根據(jù)用戶當(dāng)時(shí)的情況，自動(dòng)補(bǔ)齊下一步要輸入的字符。這樣將大大簡化管理員的工作并且降低使用CMD時(shí)命令容易拼寫錯(cuò)誤的問題。

 

Disable-ADAccount	禁用 Active Directory 帳戶。
Enable-ADAccount	啟用 Active Directory 帳戶。
Unlock-ADAccount	解鎖 Active Directory 帳戶。
Get-ADAccountAuthorizationGroup	獲取包含帳戶的 Active Directory 安全組。
Set-ADAccountExpiration	設(shè)置 Active Directory 帳戶的截止日期。
Set-ADAccountPassword	修改 Active Directory 帳戶的密碼。
Set-ADDefaultDomainPasswordPolicy	修改 Active Directory 域的默認(rèn)密碼策略。
Move-ADDirectoryServerOperationMasterRole	將操作主機(jī)（也稱為靈活單主機(jī)操作或 FSMO）角色移動(dòng)到 Active Directory 域控制器。
Get-ADDomain	獲取 Active Directory 域。
Add-ADDomainControllerPasswordReplicationPolicy	將用戶、計(jì)算機(jī)和組添加至只讀域控制器 (RODC) 密碼復(fù)制策略 (PRP) 的允許列表或拒絕列表。
Set-ADDomainMode	設(shè)置 Active Directory 域的域功能級別。
Set-ADForestMode	設(shè)置 Active Directory 林的林模式。
Get-ADGroup	獲取一個(gè)或多個(gè) Active Directory 組。
New-ADGroup	創(chuàng)建 Active Directory 組。
Remove-ADGroup	刪除 Active Directory 組。
Set-ADGroup	修改 Active Directory 組。
Add-ADGroupMember	向 Active Directory 組添加一個(gè)或多個(gè)成員。
Get-ADGroupMember	獲取 Active Directory 組的成員。
Remove-ADGroupMember	從 Active Directory 組刪除一個(gè)或多個(gè)成員。
Get-ADObject	獲取一個(gè)或多個(gè) Active Directory 對象。
Move-ADObject	將 Active Directory 對象或?qū)ο笕萜饕苿?dòng)至不同的容器或域。
New-ADObject	創(chuàng)建 Active Directory 對象。
Remove-ADObject	刪除 Active Directory 對象。
Rename-ADObject	更改 Active Directory 對象的名稱。
Restore-ADObject	還原 Active Directory 對象。
Set-ADObject	修改 Active Directory 對象。
Get-ADOptionalFeature	獲取一個(gè)或多個(gè) Active Directory 可選功能。
Get-ADOrganizationalUnit	獲取一個(gè)或多個(gè) Active Directory OU。
New-ADOrganizationalUnit	新建 Active Directory OU。
Remove-ADOrganizationalUnit	刪除 Active Directory OU。
Set-ADOrganizationalUnit	修改 Active Directory OU。
Add-ADPrincipalGroupMembership	將成員添加至一個(gè)或多個(gè) Active Directory 組。
Get-ADPrincipalGroupMembership	獲取擁有指定用戶、計(jì)算機(jī)或組的 Active Directory 組。
Remove-ADPrincipalGroupMembership	將成員從一個(gè)或多個(gè) Active Directory 組中刪除。
New-ADServiceAccount	新建 Active Directory 服務(wù)帳戶。
Remove-ADServiceAccount	刪除 Active Directory 服務(wù)帳戶。
Set-ADServiceAccount	修改 Active Directory 服務(wù)帳戶。
Get-ADUser	獲取一個(gè)或多個(gè) Active Directory 用戶。
New-ADUser	新建 Active Directory 用戶。
Remove-ADUser	刪除 Active Directory 用戶。
Set-ADUser	修改 Active Directory 用戶。

 要增加Active Directory域服務(wù)模塊，使用“Add-Module ActiveDirectory”命令，然后“Get-Module”；

 

參數(shù)	描述
-Name <name of the drive>	指定要添加的驅(qū)動(dòng)器的名稱。
-PSProvider ActiveDirectory	提供程序的名稱，在本例中為 ActiveDirectory。
-Root "<DN of the partition/NC>"	指定提供程序的內(nèi)部根目錄或路徑。
–Server <server or domain name (NetBIOS/FQDN)[:port number]>	指定托管您的 Active Directory 域或 AD LDS 實(shí)例的服務(wù)器。
-Credential <domain name>\<username>	指定連接到 Active Directory 域 AD LDS 服務(wù)器必須擁有的憑據(jù)。

雖然PoweShell對于很多人比較陌生，但是只要使用 Get-Help <cmdlet name> -Detailed

和Get-Help <cmdlet name> -Full，其中 <cmdlet name> 是要研究的cmdlet 的名稱。就可以獲取詳細(xì)的信息，這樣更加便于我們盡快掌握PowerShell的使用。希望大家可以通過新的PowerShell更加有效的管理活動(dòng)目錄。

 

 

 

2、要得到Contoso.com域的信息， Get-ADDomain “Contoso.com”；

 

3、要顯示域控制器的具體信息， Get-ADDomainController –Discover（參數(shù)）；

 

4、要在Contoso.com域下的下建立Guangzhou組織單元，

 

New-ADOrganizationalUnit -Name "guangzhou" -Path "DC=Contoso,DC=com"

 

5、將新的提供程序驅(qū)動(dòng)器連接到 Active Directory 域、AD LDS 服務(wù)器或 Active Directory 數(shù)據(jù)庫裝載工具實(shí)例，

 

New-PSDrive -Name <name of the drive> -PSProvider ActiveDirectory -Root "<DN of the partition/NC>" –Server <server or domain name (NetBIOS/FQDN)[:port number]> -Credential <domain name>\<username>