Установка и импорт модуля Active Directory для PowerShell

Сегодня я покажу, как установить и использовать модуль администрирования Active Directory для Windows PowerShell. Командлеты этого модуля можно использовать для получения информации и управлением различными объектами и параметрами AD. Данный модуль в серверных ОС устанавливается в виде отдельного компонента. На десктопные ОС (Windows 10, 8.1, 7) придется установить пакет Remote Server Administration Tools (RSAT) в состав которого входит модуль для взаимодействия с AD из PowerShell. Кроме этого модуля в состав RSAT входят все необходимые графические оснастки управления, утилиты командной строки и модули Windows PowerShell для администрирования Windows и AD. Данный пакет для вашей версии ОС нужно самостоятельно скачать с сайта Microsoft.

Установка модуля Active Directory для Windows PowerShell

Модуль Active Directory для Windows PowerShell впервые появился в Windows Server 2008 R2. Он автоматически устанавливается на контроллерах домена при их установке на них роли ADDS. Для использования комадлетов PowerShell из модуля AD в домене должен быть хотя бы один контроллер с Windows Server 2008 R2 или выше. Если в вашей сети имеются DC только с Windows Server 2003 и 2008, необходимо скачать и установить Active Directory Management Gateway Service. Командлеты PowerShell из модуля Active Directory взаимодействуют с веб-сервисом, который является частью контролера домена с ролью ADDS.

Вы можете установить модуль Active Directory для Windows PowerShell не только на контроллер домена, но и на любой рядовой сервер домена или рабочую станцию. В Windows Server 2016 установить модуль Active Directory для Windows PowerShell можно из графической консоли Server Manager с помощью мастера добавления ролей и компонентов. Достаточно запустить мастер и на этапе выбора компонентов нужно выбрать пункт Средства удаленного администрирования сервера -> Средства администрирования ролей -> Средства AD DS и AD LDS -> Модуль Active Directory для Windows PowerShell (Remote Server Administration Tools > Role Administration Tools > AD DS and AD LDS Tools ->Active Directory module for Windows PowerShell).

Данный модуль можно установит и с помощью PowerShell. Откройте консоль PowerShell с правами администратора и выполните команды:

Import-Module ServerManager
Add-WindowsFeature -Name «RSAT-AD-PowerShell» –IncludeAllSubFeature

В Windows 10, Windows 8.1 и Windows 10 для установки модуля RSAT-AD-PowerShell нужно сначала установить соответствующую версию RSAT, после этого модуль нужно включить в Панели управления (Панель управления -> Программы ->Программы и компоненты и нажмите «Включить компоненты Windows» -> Remote Server Administration Tools -> Role Administration Tools -> AD DS and AD LDS Tools -> включите компонент Active Directory Module for Windows POwerShell.

Либо можно установить модуль с помощью PowerShell:

Enable-WindowsOptionalFeature -Online -FeatureName RSATClient-Roles-AD-Powershell

Импорт и использование модуля PowerShell для Active Directory

В Windows 7 и Windows Server 2008 R2, на которых установлен PowerShell 2.0, чтобы начать пользоваться модулем AD необходимо импортировать его в сессию PowerShell командой:

Кроме того, вы можете экспортировать модуль с удаленной машины, где он уже установлен и импортировать его в свою сессию PowerShell:

$MySession = New-PSSession -ComputerName MyDomainController
Export-PSsession -Session $MySession -Module ActiveDirectory -OutputModule RemoteADPosh
Remove-PSSession -Session $MySession
Import-Module RemoteADPosh

В Windows Server 2012 R2/ 2016 и Windows 8.1 / Windows 10 модуль (если он установлен) импортируется в сессию автоматически.

Если компьютер включен в домен, по умолчанию создается диск по имени AD:..Вы можете перейти на этот диск командой CD и использовать привычные команды работы с файловой системой для навигации по этому диску. Пути представлены в формате X500.

PS C:\> cd AD:
PS AD:\> dir
…
PS AD:\> cd «DC=vmblog,DC=ru»

Вывести список доступных командлетов модуля для работы с Active Directory можно так:

Get-Command -Module ActiveDirectory

В различных версия Windows доступно разное количество командлетов:

• Windows Server 2008 R2 — 76 командлетов.
• Windows Server 2012 — 135 командлетов
• Windows Server 2012 R2 / 2016 — 147 командлетов.

Итак, теперь вы можете использовать командлеты PowerShell для администрирования AD. На нашем сайты вы можете познакомиться с использованием следующих командлетов из модуля AD для PowerShell: Get-ADGroupMember , Add-ADGroupMember , Move-ADDirectoryServerOperationMasterRole, New-ADGroup.

Установка Active Directory через Powershell на версию Core

Установку Active Directory я проводил на версии Sercer Core 2016 с Powershell 5.1. Все нужные командлеты должны быть c версии Windows Server 2012. В редакции 2008 командлет будет звучать как Add-WindowsFeature, вместо Install.

На мой взгляд отличный вариант использовать наш второй сервер AD в виде версии Core т.к. и обновлений существенно меньше, безопасность выше, нагрузка меньше. Единственный минус — это проблемы с ОС или ролью, которые достаточно сложно диагностировать в командной строке, но для этого есть второй сервер с GUI.

В версии Core у нас изначально запускается CMD, что бы запустить Powershell пишем:

Т.к. я провожу установку на новый сервер первое что я делаю — меняю IP на статику. Для этого получаем список адаптеров:

Нам нужно значение ifIndex:

Далее меняем IP:

Где:
-IPAddress — IP адрес для этого сервера
-DefaultGateway — шлюз
-PrefixLength — битовая длина маски, в моем случае соответствует 255.255.255.0
-InterfaceIndex — индификатор интерфейса (номер с рисунка выше)

Далее устанавливаем DNS сервер, если нужен (для существующего леса нужен):

Где:
-InterfaceIndex — тот же индефикатор, что и выше
-ServerAddresses — наши DNS, разделенные запятой.

Меняем имя компьютера:

Где:
-NewName — новое имя

Теперь нам нужно узнать имя роли для установки. Таким командлетом мы получим все роли и компоненты включающие в себя «AD»:

Нам нужно значение из колонки Name. Перейдем к установке роли:

Где:
-Name — имя роли

Можно так же добавить ключ -IncludeManagementTools , который добавит компоненты графического интерфейса и средства командной строки. Я обычно добавляю т.к. стараюсь избежать вероятных проблем с RSAT со стороны клиента, но это маловероятно.

Вот чем эти варианты отличаются:

Ключ -WhatIF проверяет как пройдет процесс установки, но не делает ее. Ключ -Verbose проводит установку и показывает весь ход установки более детально.

После этого у нас появится ряд дополнительных команд для установки разных вариантов Active Directory:

Add-ADDSReadOnlyDomainControllerAccount — устанавливает домен контроллер только для чтения
Install-ADDSDomain — создает новы домен в лесу
Install-ADDSDomainController — создает домен контроллер
Команды с Test — проверяют пререквизиты перед установкой.

Установка домен контроллера

Далее у нас есть 2 варианта установки. Если мы устанавливаем домен контроллер в существующем лесу, то мы можем его ввести в домен (DNS прописывали выше) а затем выполнить команду от привилегированного пользователя. Вводим в домен этой командой:

Где:
-DomainName — имя существующего домена

Или мы можем ввести логин/пароль перед самой устновкой домен контроллера:

Где:
$Cred — переменная с привилегированными учетными данными (powershell сам запросит их). Она не нужна, если мы уже в домене и залогинены под нужной учеткой.
-InstallDNS — устанавливаем DNS
-Credential — переменная с учеткой
-DomainName — имя домена

После этого powershell попросит ввести пароль для восстановления AD и через несколько минут установка завершится.

Одни из дополнительных ключей, которые могут пригодиться:
-InstallationMediaPath — установка базы с флешки (когда база очень большая)
-ReplicationSourceDC — откуда релицировать данные
-SysvolPath — место для хранения sysvol
-DatabasePath — место для хранения базы
-LogPath — место для хранения логов домен контроллера
-MoveInfrastructureOperationMasterRoleIfNecessary — переносит мастера инфраструктуры. Если включен этот ключ, то мы добавить -NoGlobalCatalog соответственно

Установка леса

Если мы просто введем команду, то нас все спросят по сценарию. В случае выше запросят пароль для восстановления AD.

Одни из дополнительных ключей:
-DatabasePath — путь где будет храниться база NTDS
-ForestMode — уровень работы леса
-DomainMode — уровень работы
-LogPath — место хранения логов
-SysvolPath — место хранения sysvol

Установка средств администрирования RSAT в Windows 10 1809 и выше

Начиная с Windows 10 1809 Microsoft изменила способ установки пакета удаленного администрирования серверов RSAT (Remote Server Administration Tools). Ранее после каждого апгрейда билда Windows 10 (например, с 1809 до 1903), вы должны были вручную скачать msu пакет с последней версией дистрибутива c RSAT и установить его на компьютере, то теперь на странице загрузки RSAT на сайте Microsoft висит следующая надпись:

RSAT в Windows 10 как Features on Demand (FoD)

Дело в том, что, начиная с Windows 10 1809 (17763) вы более не должны вручную скачивать последнюю версию RSAT с сайта Майкрософт. Теперь пакет Remote Server Administration Tools встроен в образ Windows 10 и устанавливается в виде отдельной опции (Функции по требованию / Features on Demand). Установка RSAT возможно из приложения Параметры.

Чтобы установить RSAT в Windows 10 1809, нужно перейти в раздел Settings -> Apps -> Manage Optional Features -> Add a feature (Параметры Windows -> Приложения -> Дополнительные возможности -> Добавить компонент). Здесь вы можете выбрать и установить нужные вам инструменты из пакета RSAT.

Доступны следующие инструменты администрирования:

• RSAT: Active Directory Domain Services and Lightweight Directory Services Tools
• RSAT: BitLocker Drive Encryption Administration Utilities
• RSAT: Active Directory Certificate Services Tools
• RSAT: DHCP Server Tools
• RSAT: DNS Server Tools
• RSAT: Failover Clustering Tools
• RSAT: File Services Tools
• RSAT: Group Policy Management Tools
• RSAT: IP Address Management (IPAM) Client
• RSAT: Data Center Bridging LLDP Tools
• RSAT: Network Controller Management Tools
• RSAT: Network Load Balancing Tools
• RSAT: Remote Access Management Tools
• RSAT: Remote Desktop Services Tools
• RSAT: Server Manager
• RSAT: Shielded VM Tools
• RSAT: Storage Migration Service Management Tools
• RSAT: Storage Replica Module for Windows PowerShell
• RSAT: System Insights Module for Windows PowerShell
• RSAT: Volume Activation Tools
• RSAT: Windows Server Update Services Tools

Установка RSAT в Windows 10 с помощью PowerShell

Вы можете установить компоненты администрирования RSAT с помощью PowerShell. В этом примере мы покажем, как управлять компонентами RSAT в Windows 10 1903.

С помощью следующей команды можно проверить, установлены ли компоненты RSAT в вашем компьютере:

Get-WindowsCapability -Name RSAT* -Online

Можно представить статус установленных компонентов RSAT в более удобной таблице:

Get-WindowsCapability -Name RSAT* -Online | Select-Object -Property DisplayName, State

Как вы видите, компоненты RSAT не установлены (NotPresent).

Для установки данных опций Windows можно использовать командлет Add-WindowsCapacity.

Чтобы установить конкретный инструмент RSAT, например инструменты управления AD (в том числе консоль ADUC и модуль Active Directory для Windows Powershell), выполните команду:

Add-WindowsCapability –online –Name “Rsat.ActiveDirectory.DS-LDS.Tools

Для установки консоли управления DNS и модуля PowerShell DNSServer, выполните:

Add-WindowsCapability –online –Name “Rsat.Dns.Tools

Add-WindowsCapability -Online -Name Rsat.BitLocker.Recovery.Tools

0.0.1.0
Add-WindowsCapability -Online -Name Rsat.CertificateServices.Tools

0.0.1.0
Add-WindowsCapability -Online -Name Rsat.DHCP.Tools

0.0.1.0
Add-WindowsCapability -Online -Name Rsat.FailoverCluster.Management.Tools

0.0.1.0
Add-WindowsCapability -Online -Name Rsat.FileServices.Tools

0.0.1.0
Add-WindowsCapability -Online -Name Rsat.GroupPolicy.Management.Tools

0.0.1.0
Add-WindowsCapability -Online -Name Rsat.IPAM.Client.Tools

0.0.1.0
Add-WindowsCapability -Online -Name Rsat.LLDP.Tools

0.0.1.0
Add-WindowsCapability -Online -Name Rsat.NetworkController.Tools

0.0.1.0
Add-WindowsCapability -Online -Name Rsat.NetworkLoadBalancing.Tools

0.0.1.0
Add-WindowsCapability -Online -Name Rsat.RemoteAccess.Management.Tools

0.0.1.0
Add-WindowsCapability -Online -Name Rsat.RemoteDesktop.Services.Tools

0.0.1.0
Add-WindowsCapability -Online -Name Rsat.ServerManager.Tools

0.0.1.0
Add-WindowsCapability -Online -Name Rsat.Shielded.VM.Tools

0.0.1.0
Add-WindowsCapability -Online -Name Rsat.StorageMigrationService.Management.Tools

0.0.1.0
Add-WindowsCapability -Online -Name Rsat.StorageReplica.Tools

0.0.1.0
Add-WindowsCapability -Online -Name Rsat.SystemInsights.Management.Tools

0.0.1.0
Add-WindowsCapability -Online -Name Rsat.VolumeActivation.Tools

0.0.1.0
Add-WindowsCapability -Online -Name Rsat.WSUS.Tools

Чтобы установить сразу все доступные инструменты RSAT, выполните:

Get-WindowsCapability -Name RSAT* -Online | Add-WindowsCapability –Online

Чтобы установить только отсутствующие компоненты RSAT, выполните:

Теперь убедитесь, что инструменты RSAT установлены (статус Installed);

После этого установленные инструменты RSAT отобразятся в панели Manage Optional Features.

Ошибка 0x800f0954 при установке RSAT в Windows 10

Если у вас на десктопах с Windows 10 есть доступ в Интернет, но при установке RSAT через Add-WindowsCapability или DISM (DISM.exe /Online /add-capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools

0.0.1.0), вы видите ошибку 0x800f0954, значит ваш компьютер настроен на обновление с локального сервера обновлений WSUS при помощи групповой политики.

Для корректно установки компонентов RSAT в Windows 10 1809+ вы можете временно отключить обновление со WSUS сервера в реестре (HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU параметр UseWUServer = 0) и перезапустить службу обновления.

Можно воспользоваться таким PowerShell скриптом:

$val = Get-ItemProperty -Path «HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU» -Name «UseWUServer» | select -ExpandProperty UseWUServer
Set-ItemProperty -Path «HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU» -Name «UseWUServer» -Value 0
Restart-Service wuauserv
Get-WindowsCapability -Name RSAT* -Online | Add-WindowsCapability –Online
Set-ItemProperty -Path «HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU» -Name «UseWUServer» -Value $val
Restart-Service wuauserv

Либо вы можете настроить новый параметр GPO, который позволяет настраивать параметры установки дополнительных компонентов Windows и Feature On Demand (в том числе RSAT).

1. Откройте редактор локальной GPO – gpedit.msc ;
2. Перейдите в раздел Computer Configuration ->Administrative Templates ->System;
3. Включите политику Specify settings for optional component installation and component repair, и включите опцию Download repair content and optional features directly from Windows Updates instead of Windows Server Updates Services (WSUS) (Скачайте содержимое для восстановления и дополнительные компненты непосредственно из Центра обновления Windows вместо использования службы WSUS);
4. Сохраните изменения и обновите настройки политик ( gpupdate /force ).

Теперь установка RSAT через PowerShell или Dism должна выполняться без ошибок.

Установка RSAT в Windows 10 в офлайн режиме

Если при установке RSAT вы столкнетесь с ошибкой Add-WindowsCapability failed. Error code = 0x800f0954, или в списке дополнительных компонентов вы не видите RSAT (Компоненты для установки отсутствуют), скорее всего ваш компьютер настроен на получение обновлений со внутреннего WSUS/SCCM SUP сервера.

Рассмотрим, как установить RSAT в Windows 10 1903 в офлайн режиме (корпоративная сеть без прямого доступа в Интеренет).

Для офлайн установки RSAT нужно скачать ISO образ диска с FoD для вашей версии Windows 10 из вашего личного кабинета на сайте лицензирования Microsoft — Volume Licensing Service Center (VLSC). Образ называется примерно так: Windows 10 Features on Demand, version 1903.

Например, для Windows 10 1903 x64 нужно скачать образ SW_DVD9_NTRL_Win_10_1903_64Bit_MultiLang_FOD_.ISO (около 5 Гб). Распакуйте образ в сетевую папку. У вас получится набор из множества *.cab файлов.

Теперь для установки компонентов RSAT на десктопе Windows 10 нужно указывать путь к данному сетевому каталогу с FoD. Например:

Add-WindowsCapability -Online -Name Rsat.ActiveDirectory.DS-LDS.Tools

0.0.1.0 -LimitAccess -Source \\msk-fs01\Distr\Windows-FOD\Win101903x64\

Также вы можете указать путь к каталогу с компонентами FoD с помощью рассмотренной выше групповой политики. Для этого в паромере Alternative source file path нужно указать UNC путь к каталогу.

Или можете задать этот параметр через реестр отдельной политикой, указав путь к каталогу в параметр LocalSourcePath (тип REG_Expand_SZ) в ветке реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Servicing.

После этого, пользователи смогут самостоятельно устанавливать компоненты RSAT через графический интерфейс добавления компонент Windows 10.