- Установка и импорт модуля Active Directory для PowerShell
- Установка модуля Active Directory для Windows PowerShell
- Импорт и использование модуля PowerShell для Active Directory
- Установка Active Directory через Powershell на версию Core
- Установка домен контроллера
- Установка леса
- Установка средств администрирования RSAT в Windows 10 1809 и выше
- RSAT в Windows 10 как Features on Demand (FoD)
- Установка RSAT в Windows 10 с помощью PowerShell
- Ошибка 0x800f0954 при установке RSAT в Windows 10
- Установка RSAT в Windows 10 в офлайн режиме
Установка и импорт модуля Active Directory для PowerShell
Сегодня я покажу, как установить и использовать модуль администрирования Active Directory для Windows PowerShell. Командлеты этого модуля можно использовать для получения информации и управлением различными объектами и параметрами AD. Данный модуль в серверных ОС устанавливается в виде отдельного компонента. На десктопные ОС (Windows 10, 8.1, 7) придется установить пакет Remote Server Administration Tools (RSAT) в состав которого входит модуль для взаимодействия с AD из PowerShell. Кроме этого модуля в состав RSAT входят все необходимые графические оснастки управления, утилиты командной строки и модули Windows PowerShell для администрирования Windows и AD. Данный пакет для вашей версии ОС нужно самостоятельно скачать с сайта Microsoft.
Установка модуля Active Directory для Windows PowerShell
Модуль Active Directory для Windows PowerShell впервые появился в Windows Server 2008 R2. Он автоматически устанавливается на контроллерах домена при их установке на них роли ADDS. Для использования комадлетов PowerShell из модуля AD в домене должен быть хотя бы один контроллер с Windows Server 2008 R2 или выше. Если в вашей сети имеются DC только с Windows Server 2003 и 2008, необходимо скачать и установить Active Directory Management Gateway Service. Командлеты PowerShell из модуля Active Directory взаимодействуют с веб-сервисом, который является частью контролера домена с ролью ADDS.
Вы можете установить модуль Active Directory для Windows PowerShell не только на контроллер домена, но и на любой рядовой сервер домена или рабочую станцию. В Windows Server 2016 установить модуль Active Directory для Windows PowerShell можно из графической консоли Server Manager с помощью мастера добавления ролей и компонентов. Достаточно запустить мастер и на этапе выбора компонентов нужно выбрать пункт Средства удаленного администрирования сервера -> Средства администрирования ролей -> Средства AD DS и AD LDS -> Модуль Active Directory для Windows PowerShell (Remote Server Administration Tools > Role Administration Tools > AD DS and AD LDS Tools ->Active Directory module for Windows PowerShell).
Данный модуль можно установит и с помощью PowerShell. Откройте консоль PowerShell с правами администратора и выполните команды:
Import-Module ServerManager
Add-WindowsFeature -Name «RSAT-AD-PowerShell» –IncludeAllSubFeature
В Windows 10, Windows 8.1 и Windows 10 для установки модуля RSAT-AD-PowerShell нужно сначала установить соответствующую версию RSAT, после этого модуль нужно включить в Панели управления (Панель управления -> Программы ->Программы и компоненты и нажмите «Включить компоненты Windows» -> Remote Server Administration Tools -> Role Administration Tools -> AD DS and AD LDS Tools -> включите компонент Active Directory Module for Windows POwerShell.
Либо можно установить модуль с помощью PowerShell:
Enable-WindowsOptionalFeature -Online -FeatureName RSATClient-Roles-AD-Powershell
Импорт и использование модуля PowerShell для Active Directory
В Windows 7 и Windows Server 2008 R2, на которых установлен PowerShell 2.0, чтобы начать пользоваться модулем AD необходимо импортировать его в сессию PowerShell командой:
Кроме того, вы можете экспортировать модуль с удаленной машины, где он уже установлен и импортировать его в свою сессию PowerShell:
$MySession = New-PSSession -ComputerName MyDomainController
Export-PSsession -Session $MySession -Module ActiveDirectory -OutputModule RemoteADPosh
Remove-PSSession -Session $MySession
Import-Module RemoteADPosh
В Windows Server 2012 R2/ 2016 и Windows 8.1 / Windows 10 модуль (если он установлен) импортируется в сессию автоматически.
Если компьютер включен в домен, по умолчанию создается диск по имени AD:..Вы можете перейти на этот диск командой CD и использовать привычные команды работы с файловой системой для навигации по этому диску. Пути представлены в формате X500.
PS C:\> cd AD:
PS AD:\> dir
…
PS AD:\> cd «DC=vmblog,DC=ru»
Вывести список доступных командлетов модуля для работы с Active Directory можно так:
Get-Command -Module ActiveDirectory
В различных версия Windows доступно разное количество командлетов:
- Windows Server 2008 R2 — 76 командлетов.
- Windows Server 2012 — 135 командлетов
- Windows Server 2012 R2 / 2016 — 147 командлетов.
Итак, теперь вы можете использовать командлеты PowerShell для администрирования AD. На нашем сайты вы можете познакомиться с использованием следующих командлетов из модуля AD для PowerShell: Get-ADGroupMember , Add-ADGroupMember , Move-ADDirectoryServerOperationMasterRole, New-ADGroup.
Установка Active Directory через Powershell на версию Core
Установку Active Directory я проводил на версии Sercer Core 2016 с Powershell 5.1. Все нужные командлеты должны быть c версии Windows Server 2012. В редакции 2008 командлет будет звучать как Add-WindowsFeature, вместо Install.
На мой взгляд отличный вариант использовать наш второй сервер AD в виде версии Core т.к. и обновлений существенно меньше, безопасность выше, нагрузка меньше. Единственный минус — это проблемы с ОС или ролью, которые достаточно сложно диагностировать в командной строке, но для этого есть второй сервер с GUI.
В версии Core у нас изначально запускается CMD, что бы запустить Powershell пишем:
Т.к. я провожу установку на новый сервер первое что я делаю — меняю IP на статику. Для этого получаем список адаптеров:
Нам нужно значение ifIndex:
Далее меняем IP:
Где:
-IPAddress — IP адрес для этого сервера
-DefaultGateway — шлюз
-PrefixLength — битовая длина маски, в моем случае соответствует 255.255.255.0
-InterfaceIndex — индификатор интерфейса (номер с рисунка выше)
Далее устанавливаем DNS сервер, если нужен (для существующего леса нужен):
Где:
-InterfaceIndex — тот же индефикатор, что и выше
-ServerAddresses — наши DNS, разделенные запятой.
Меняем имя компьютера:
Где:
-NewName — новое имя
Теперь нам нужно узнать имя роли для установки. Таким командлетом мы получим все роли и компоненты включающие в себя «AD»:
Нам нужно значение из колонки Name. Перейдем к установке роли:
Где:
-Name — имя роли
Можно так же добавить ключ -IncludeManagementTools , который добавит компоненты графического интерфейса и средства командной строки. Я обычно добавляю т.к. стараюсь избежать вероятных проблем с RSAT со стороны клиента, но это маловероятно.
Вот чем эти варианты отличаются:
Ключ -WhatIF проверяет как пройдет процесс установки, но не делает ее. Ключ -Verbose проводит установку и показывает весь ход установки более детально.
После этого у нас появится ряд дополнительных команд для установки разных вариантов Active Directory:
Add-ADDSReadOnlyDomainControllerAccount — устанавливает домен контроллер только для чтения
Install-ADDSDomain — создает новы домен в лесу
Install-ADDSDomainController — создает домен контроллер
Команды с Test — проверяют пререквизиты перед установкой.
Установка домен контроллера
Далее у нас есть 2 варианта установки. Если мы устанавливаем домен контроллер в существующем лесу, то мы можем его ввести в домен (DNS прописывали выше) а затем выполнить команду от привилегированного пользователя. Вводим в домен этой командой:
Где:
-DomainName — имя существующего домена
Или мы можем ввести логин/пароль перед самой устновкой домен контроллера:
Где:
$Cred — переменная с привилегированными учетными данными (powershell сам запросит их). Она не нужна, если мы уже в домене и залогинены под нужной учеткой.
-InstallDNS — устанавливаем DNS
-Credential — переменная с учеткой
-DomainName — имя домена
После этого powershell попросит ввести пароль для восстановления AD и через несколько минут установка завершится.
Одни из дополнительных ключей, которые могут пригодиться:
-InstallationMediaPath — установка базы с флешки (когда база очень большая)
-ReplicationSourceDC — откуда релицировать данные
-SysvolPath — место для хранения sysvol
-DatabasePath — место для хранения базы
-LogPath — место для хранения логов домен контроллера
-MoveInfrastructureOperationMasterRoleIfNecessary — переносит мастера инфраструктуры. Если включен этот ключ, то мы добавить -NoGlobalCatalog соответственно
Установка леса
Если мы просто введем команду, то нас все спросят по сценарию. В случае выше запросят пароль для восстановления AD.
Одни из дополнительных ключей:
-DatabasePath — путь где будет храниться база NTDS
-ForestMode — уровень работы леса
-DomainMode — уровень работы
-LogPath — место хранения логов
-SysvolPath — место хранения sysvol
Установка средств администрирования RSAT в Windows 10 1809 и выше
Начиная с Windows 10 1809 Microsoft изменила способ установки пакета удаленного администрирования серверов RSAT (Remote Server Administration Tools). Ранее после каждого апгрейда билда Windows 10 (например, с 1809 до 1903), вы должны были вручную скачать msu пакет с последней версией дистрибутива c RSAT и установить его на компьютере, то теперь на странице загрузки RSAT на сайте Microsoft висит следующая надпись:
RSAT в Windows 10 как Features on Demand (FoD)
Дело в том, что, начиная с Windows 10 1809 (17763) вы более не должны вручную скачивать последнюю версию RSAT с сайта Майкрософт. Теперь пакет Remote Server Administration Tools встроен в образ Windows 10 и устанавливается в виде отдельной опции (Функции по требованию / Features on Demand). Установка RSAT возможно из приложения Параметры.
Чтобы установить RSAT в Windows 10 1809, нужно перейти в раздел Settings -> Apps -> Manage Optional Features -> Add a feature (Параметры Windows -> Приложения -> Дополнительные возможности -> Добавить компонент). Здесь вы можете выбрать и установить нужные вам инструменты из пакета RSAT.
Доступны следующие инструменты администрирования:
- RSAT: Active Directory Domain Services and Lightweight Directory Services Tools
- RSAT: BitLocker Drive Encryption Administration Utilities
- RSAT: Active Directory Certificate Services Tools
- RSAT: DHCP Server Tools
- RSAT: DNS Server Tools
- RSAT: Failover Clustering Tools
- RSAT: File Services Tools
- RSAT: Group Policy Management Tools
- RSAT: IP Address Management (IPAM) Client
- RSAT: Data Center Bridging LLDP Tools
- RSAT: Network Controller Management Tools
- RSAT: Network Load Balancing Tools
- RSAT: Remote Access Management Tools
- RSAT: Remote Desktop Services Tools
- RSAT: Server Manager
- RSAT: Shielded VM Tools
- RSAT: Storage Migration Service Management Tools
- RSAT: Storage Replica Module for Windows PowerShell
- RSAT: System Insights Module for Windows PowerShell
- RSAT: Volume Activation Tools
- RSAT: Windows Server Update Services Tools
Установка RSAT в Windows 10 с помощью PowerShell
Вы можете установить компоненты администрирования RSAT с помощью PowerShell. В этом примере мы покажем, как управлять компонентами RSAT в Windows 10 1903.
С помощью следующей команды можно проверить, установлены ли компоненты RSAT в вашем компьютере:
Get-WindowsCapability -Name RSAT* -Online
Можно представить статус установленных компонентов RSAT в более удобной таблице:
Get-WindowsCapability -Name RSAT* -Online | Select-Object -Property DisplayName, State
Как вы видите, компоненты RSAT не установлены (NotPresent).
Для установки данных опций Windows можно использовать командлет Add-WindowsCapacity.
Чтобы установить конкретный инструмент RSAT, например инструменты управления AD (в том числе консоль ADUC и модуль Active Directory для Windows Powershell), выполните команду:
Add-WindowsCapability –online –Name “Rsat.ActiveDirectory.DS-LDS.Tools
Для установки консоли управления DNS и модуля PowerShell DNSServer, выполните:
Add-WindowsCapability –online –Name “Rsat.Dns.Tools
Add-WindowsCapability -Online -Name Rsat.BitLocker.Recovery.Tools
0.0.1.0
Add-WindowsCapability -Online -Name Rsat.CertificateServices.Tools
0.0.1.0
Add-WindowsCapability -Online -Name Rsat.DHCP.Tools
0.0.1.0
Add-WindowsCapability -Online -Name Rsat.FailoverCluster.Management.Tools
0.0.1.0
Add-WindowsCapability -Online -Name Rsat.FileServices.Tools
0.0.1.0
Add-WindowsCapability -Online -Name Rsat.GroupPolicy.Management.Tools
0.0.1.0
Add-WindowsCapability -Online -Name Rsat.IPAM.Client.Tools
0.0.1.0
Add-WindowsCapability -Online -Name Rsat.LLDP.Tools
0.0.1.0
Add-WindowsCapability -Online -Name Rsat.NetworkController.Tools
0.0.1.0
Add-WindowsCapability -Online -Name Rsat.NetworkLoadBalancing.Tools
0.0.1.0
Add-WindowsCapability -Online -Name Rsat.RemoteAccess.Management.Tools
0.0.1.0
Add-WindowsCapability -Online -Name Rsat.RemoteDesktop.Services.Tools
0.0.1.0
Add-WindowsCapability -Online -Name Rsat.ServerManager.Tools
0.0.1.0
Add-WindowsCapability -Online -Name Rsat.Shielded.VM.Tools
0.0.1.0
Add-WindowsCapability -Online -Name Rsat.StorageMigrationService.Management.Tools
0.0.1.0
Add-WindowsCapability -Online -Name Rsat.StorageReplica.Tools
0.0.1.0
Add-WindowsCapability -Online -Name Rsat.SystemInsights.Management.Tools
0.0.1.0
Add-WindowsCapability -Online -Name Rsat.VolumeActivation.Tools
0.0.1.0
Add-WindowsCapability -Online -Name Rsat.WSUS.Tools
Чтобы установить сразу все доступные инструменты RSAT, выполните:
Get-WindowsCapability -Name RSAT* -Online | Add-WindowsCapability –Online
Чтобы установить только отсутствующие компоненты RSAT, выполните:
Теперь убедитесь, что инструменты RSAT установлены (статус Installed);
После этого установленные инструменты RSAT отобразятся в панели Manage Optional Features.
Ошибка 0x800f0954 при установке RSAT в Windows 10
Если у вас на десктопах с Windows 10 есть доступ в Интернет, но при установке RSAT через Add-WindowsCapability или DISM (DISM.exe /Online /add-capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools
0.0.1.0), вы видите ошибку 0x800f0954, значит ваш компьютер настроен на обновление с локального сервера обновлений WSUS при помощи групповой политики.
Для корректно установки компонентов RSAT в Windows 10 1809+ вы можете временно отключить обновление со WSUS сервера в реестре (HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU параметр UseWUServer = 0) и перезапустить службу обновления.
Можно воспользоваться таким PowerShell скриптом:
$val = Get-ItemProperty -Path «HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU» -Name «UseWUServer» | select -ExpandProperty UseWUServer
Set-ItemProperty -Path «HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU» -Name «UseWUServer» -Value 0
Restart-Service wuauserv
Get-WindowsCapability -Name RSAT* -Online | Add-WindowsCapability –Online
Set-ItemProperty -Path «HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU» -Name «UseWUServer» -Value $val
Restart-Service wuauserv
Либо вы можете настроить новый параметр GPO, который позволяет настраивать параметры установки дополнительных компонентов Windows и Feature On Demand (в том числе RSAT).
- Откройте редактор локальной GPO – gpedit.msc ;
- Перейдите в раздел Computer Configuration ->Administrative Templates ->System;
- Включите политику Specify settings for optional component installation and component repair, и включите опцию Download repair content and optional features directly from Windows Updates instead of Windows Server Updates Services (WSUS) (Скачайте содержимое для восстановления и дополнительные компненты непосредственно из Центра обновления Windows вместо использования службы WSUS);
- Сохраните изменения и обновите настройки политик ( gpupdate /force ).
Теперь установка RSAT через PowerShell или Dism должна выполняться без ошибок.
Установка RSAT в Windows 10 в офлайн режиме
Если при установке RSAT вы столкнетесь с ошибкой Add-WindowsCapability failed. Error code = 0x800f0954, или в списке дополнительных компонентов вы не видите RSAT (Компоненты для установки отсутствуют), скорее всего ваш компьютер настроен на получение обновлений со внутреннего WSUS/SCCM SUP сервера.
Рассмотрим, как установить RSAT в Windows 10 1903 в офлайн режиме (корпоративная сеть без прямого доступа в Интеренет).
Для офлайн установки RSAT нужно скачать ISO образ диска с FoD для вашей версии Windows 10 из вашего личного кабинета на сайте лицензирования Microsoft — Volume Licensing Service Center (VLSC). Образ называется примерно так: Windows 10 Features on Demand, version 1903.
Например, для Windows 10 1903 x64 нужно скачать образ SW_DVD9_NTRL_Win_10_1903_64Bit_MultiLang_FOD_.ISO (около 5 Гб). Распакуйте образ в сетевую папку. У вас получится набор из множества *.cab файлов.
Теперь для установки компонентов RSAT на десктопе Windows 10 нужно указывать путь к данному сетевому каталогу с FoD. Например:
Add-WindowsCapability -Online -Name Rsat.ActiveDirectory.DS-LDS.Tools
0.0.1.0 -LimitAccess -Source \\msk-fs01\Distr\Windows-FOD\Win101903x64\
Также вы можете указать путь к каталогу с компонентами FoD с помощью рассмотренной выше групповой политики. Для этого в паромере Alternative source file path нужно указать UNC путь к каталогу.
Или можете задать этот параметр через реестр отдельной политикой, указав путь к каталогу в параметр LocalSourcePath (тип REG_Expand_SZ) в ветке реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Servicing.
После этого, пользователи смогут самостоятельно устанавливать компоненты RSAT через графический интерфейс добавления компонент Windows 10.