قم بتشغيل أدوات Active Directory كمستخدم آخر

موندوبايت » تطبيقات الكمبيوتر » كيفية تشغيل أدوات إدارة Active Directory كمستخدم آخر

استخدام بيانات اعتماد بديلة لتشغيل أدوات إدارة Active Directory دون تسجيل دخول كامل باستخدام حسابات ذات امتيازات.
إدارة متقدمة للمستخدمين والمجموعات والفرق والوحدات التنظيمية باستخدام PowerShell ووحدة ActiveDirectory، بما في ذلك العمليات المجمعة.
الاستفادة من أدوات سطر الأوامر ds* لإنشاء وتعديل والاستعلام عن وحذف كائنات Active Directory.
تشمل ممارسات الأمان الجيدة فصل حسابات الاستخدام اليومي عن الحسابات الإدارية، مما يقلل المخاطر في إدارة النطاق.

إدارة Active Directory باستخدام بيانات اعتماد مختلفة

عند إدارة نطاق، من الشائع جدًا أن يكون لديك حسابان منفصلان: أحدهما شخصي للاستخدام اليومي والآخر يتمتع بصلاحيات موسعة. بالنسبة للمهام الحساسة في Active Directory. تظهر المشكلة عندما تحتاج إلى فتح Active Directory Users and Computers (ADUC) أو Active Directory Admin Center أو وحدات تحكم MMC الأخرى باستخدام هذا الحساب ذي الامتيازات، ولكن دون تسجيل الدخول الكامل إلى النظام أو العمل كمسؤول مجال طوال الوقت.

في هذا السياق، إمكانية قم بتشغيل أدوات إدارة Active Directory كمستخدم آخرسواء من خلال الواجهة الرسومية أو PowerShell أو أدوات سطر الأوامر الكلاسيكية (dsadd، dsmod، dsquery، إلخ)، فمن الضروري معرفة كيفية إدارة المستخدمين والمجموعات والفرق والوحدات التنظيمية من هذه الأدوات لتحقيق أقصى استفادة منها دون المساس بأمان البيئة.

تشغيل وحدات تحكم Active Directory كمستخدم آخر (ADUC، ADAC، MMC)

السيناريو المعتاد هو أن يقوم فني يعمل بحساب نطاق قياسي ويحتاج إلى فتح dsa.msc (مستخدمو وأجهزة Active Directory) باستخدام بيانات اعتماد المسؤولدون مغادرة جلستك العادية. أسهل طريقة من سطح مكتب ويندوز هي استخدام خيار "التشغيل كمستخدم آخر" الكلاسيكي.

في الإصدارات الحديثة من نظام التشغيل ويندوز، يمكنك تشغيل ADUC بهذه الطريقة عن طريق الانتقال إلى الصفحة الرئيسية ← أدوات إدارية ← مستخدمو وأجهزة كمبيوتر Active Directoryلفتح وحدة التحكم، اضغط باستمرار على مفتاح Shift، وانقر بزر الماوس الأيمن على الأيقونة، وحدد "تشغيل كمستخدم آخر". ثم أدخل اسم المستخدم وكلمة المرور للحساب ذي الامتيازات المرتفعة، وسيتم فتح وحدة التحكم في هذا السياق.

إذا كنت تفضل العمل من سطر الأوامر، يمكنك أيضًا تحميل ADUC باستخدام أمر قائم على MMC. مثال بسيط باستخدام PowerShell هو تشغيل يشير ملف mmc.exe إلى الملحق dsa.mscلذا عليك فقط التركيز على المؤهلات:

بدء العملية «C:\Windows\System32\mmc.exe» -دليل العمل $PSHOME -قائمة الوسائط «dsa.msc»

سيفتح هذا الأمر وحدة التحكم باستخدام نفس بيانات الاعتماد التي استخدمتها لتسجيل الدخول إلى جلسة PowerShell. تكمن المشكلة عندما تكون جلسة PowerShell الخاصة بك تابعة لحساب لا يملك صلاحيات، وتريد إجبار العملية على التشغيل كمسؤول نطاق، ولكن دون تشغيل وحدة التحكم بالكامل بشكل دائم بصلاحيات ذلك المسؤول.

استخدم PowerShell ببيانات اعتماد مختلفة لأدوات Active Directory

تتيح لك PowerShell تشغيل العمليات باستخدام مستخدم آخر من خلال المعلمة -الاعتماد من أوامر cmdlets مثل Start-Processالفكرة بسيطة: تقوم بتمرير كائن PSCredential، ويتم فتح وحدة التحكم باستخدام هذه الهوية. هذا يغنيك عن بدء جلسة PowerShell كاملة بصفتك مسؤول نطاق، مما يقلل من خطر ارتكاب أخطاء جسيمة.

النمط الأكثر شيوعًا لإعداد بيانات الاعتماد يتضمن استخدام الحصول على بيانات الاعتماديؤدي هذا إلى فتح مربع حوار آمن حيث تُدخل اسم المستخدم وكلمة المرور. ثم تُعيد استخدام هذا الكائن لتشغيل وحدة التحكم المقابلة. على سبيل المثال، لبدء تشغيل ADUC كمستخدم مختلف:

$cred = Get-Credential
Start-Process «C:\Windows\System32\mmc.exe» -ArgumentList «dsa.msc» -Credential $cred

في هذا النموذج، تعمل نافذة ADUC كحساب ذي صلاحيات مميزة، لكن جلسة التفاعل العادية تظل جلسة المستخدم العادي. إنه نهج أكثر حكمة بكثير من ابدأ تشغيل وحدة تحكم PowerShell بالكامل باستخدام حساب مسؤول المجاللأنه يحد من السياق المرتفع فقط للأداة التي تحتاج إليه.

إذا كنت ترغب في زيادة أتمتة عملية بدء التشغيل، يمكنك تضمين الأمر داخل دالة PowerShell التي يتم استدعاؤها، على سبيل المثال، ADUCوأضفه إلى ملفك الشخصي:

دالة ADUC {
$cred = Get-Credential
Start-Process «C:\Windows\System32\mmc.exe» -ArgumentList «dsa.msc» -Credential $cred
}

من تلك اللحظة فصاعدًا، سيكفي أن تكتب ADUC استخدم PowerShell لطلب بيانات الاعتماد وفتح وحدة التحكم. يمكنك تطبيق هذه الطريقة نفسها على أدوات إدارة Active Directory الأخرى، مثل مركز إدارة Active Directory (dsac.exe) أو أي وحدة تحكم إدارة Microsoft (MMC) أخرى تستخدمها يوميًا.

توصيات أمنية عند العمل مع حسابات ذات صلاحيات عالية

عند دمج الحسابات العادية وحسابات مسؤول النطاق، هناك نقطة رئيسية واحدة: تجنب البقاء مسجلاً الدخول إلى الحساب الإداري لفترة أطول من اللازم.إن استخدام "التشغيل كمستخدم آخر" أو المعلمة -Credential في PowerShell يعكس بدقة فلسفة أقل الامتيازات.

ومن الجوانب المهمة الأخرى عدم إعادة استخدام هذه الحسابات لـ افتح التطبيقات العامة مثل المتصفحات، وبرامج البريد الإلكتروني، أو بيئات التطوير المتكاملة (IDEs).على سبيل المثال، فإن السماح للمستخدم بتشغيل Visual Studio باستخدام بيانات اعتماد مسؤول المجال لا يفتح الباب أمامهم للتلاعب بمجلدات النظام فحسب، بل يزيد أيضًا من مساحة الهجوم ضد البرامج الضارة أو التعليمات البرمجية الخبيثة التي يمكن أن ترث تلك الامتيازات المرتفعة.

في البيئات التي يوجد بها العديد من مستخدمي التطبيقات التي تتطلب رفع مستوى النظام، يُنصح أكثر تطبيق سياسات التقييد والنشر (مثل AppLocker أو سياسات المجموعة المحددة)، أو العمل مع حزم MSI وسياسات التثبيت المركزية، بدلاً من توزيع حسابات المسؤول أو حفظ كلمات المرور في البرامج النصية.

كيفية نقل جدول ورقي إلى برنامج إكسل باستخدام الكاميرا

إدارة Active Directory باستخدام PowerShell: إعداد Active Directory والوحدة النمطية

قبل أن تتمكن من استخدام PowerShell لإدارة Active Directory، عليك التأكد من جاهزية بيئتك: إصدار PowerShell الصحيح واستيراد وحدة AD. توفر هذه الوحدة أوامر cmdlets مثل: Get-ADUser، New-ADUser، Get-ADGroup، Get-ADDomain والشركة.

للتحقق من إصدار PowerShell على نظامك، يمكنك استخدام أوامر مختلفة. أحد أبسطها هو احصل على المضيفوالذي يُعيد معلومات حول وحدة التحكم، بما في ذلك الإصدار. بدلاً من ذلك، يمكنك التحقق مباشرةً من جدول إصدارات PowerShell باستخدام PSVersionTable دولار وإذا كنت مهتمًا فقط برقم الإصدار، فقم بالوصول إلى الحقل المحدد. $ PSVersionTable.PS الإصدار.

بعد التأكد من صحة الإصدار، تتمثل الخطوة التالية في تحميل وحدة إدارة Active Directory. تُسمى هذه الوحدة ActiveDirectory وهو بمثابة جسر للعمل مع كائنات الدليل من خلال PowerShell. يجب عليك فتح جلسة PowerShell بصلاحيات المسؤول واستيراد الوحدة النمطية باستخدام:

ActiveDirectory لوحدة الاستيراد

تتم عملية الاستيراد عادةً بسرعة ودون ظهور أي رسالة خطأ؛ فإذا لم تظهر أي رسالة خطأ، فمن المرجح أن الوحدة قد تم تحميلها بنجاح. ومن ثم، ستتمكن من الوصول إلى مجموعة أوامر Active Directory الكاملة للعمل بها. المستخدمين والمجموعات، الفرق، والغابات، والمجالات.

عرض معلومات الغابة والمجال ووحدة تحكم المجال

بعد تحميل وحدة Active Directory، يمكنك البدء في جمع البيانات حول البنية التحتية. أحد الأوامر المفيدة الأولى هو Get-ADForest، والذي يوفر نظرة عامة على الغابة: اسم الغابة، وقائمة النطاقات، والمواقع، والأقسام، وجذر النطاق أو المستوى الوظيفي للغابة، من بين تفاصيل أخرى ذات صلة.

إذا كنت مهتمًا بالتركيز على المجال المحدد الذي تعمل فيه، فإن الأمر المكافئ هو الحصول على ADDomainيقوم هذا الأمر بإرجاع معلومات مثل اسم المجال، والمجال الأصل المحتمل، والمجالات الفرعية، وجذر نظام أسماء النطاقات، ومستوى وظائف المجال، والغابة التي ينتمي إليها، واسم NetBIOS، ومحاكي PDC، وRID الرئيسي أو الرئيسي للبنية التحتية.

يمكن تصفية مخرجات كلا الأمرين وتنسيقها لعرض الحقول التي تهمك فقط. على سبيل المثال، يمكنك ربط الاستعلامات معًا باستخدام استخدم الأنبوب (|) لإعادة توجيه الإخراج وحدد لاختيار الخصائص: Get-ADDomain | Select Name, DomainMode o Get-ADForest | Select ForestModeعلى سبيل المثال لا الحصر، بعض الحالات النموذجية.

بالإضافة إلى ذلك، يتيح لك PowerShell عرض المعلومات بتنسيقات متنوعة. ثلاثة من أكثرها استخدامًا هي: FT (تنسيق الجدول)، FL (تنسيق القائمة) و Out-GridViewاستخدامها بسيط للغاية، مثل إضافتها بعد الأنبوب، على سبيل المثال: Get-ADDomain | Select Name, DomainMode | FTأو استبدل FT بـ FL أو Out-GridView حسب ما إذا كنت بحاجة إلى جدول أو قائمة مفصلة أو نافذة تفاعلية.

لفهم حالة وحدات تحكم المجال بشكل أفضل، يمكنك استخدام الأمر الحصول على ADDomainControllerباستخدام هذه الأداة، يمكنك عرض جميع وحدات التحكم بالمجال الموجودة وتصفيتها وفقًا لمعايير مختلفة باستخدام مُعدِّل -Filter أو دمجه مع Select. وهذا يوفر لك معلومات دقيقة حول وحدات التحكم المتاحة، ودورها، وخصائصها الأخرى المرتبطة بها.

الحصول على معلومات المستخدم باستخدام PowerShell

يُعدّ الاستعلام عن بيانات المستخدم أحد أكثر استخدامات وحدة Active Directory شيوعًا. الأمر البرمجي الأساسي هو الحصول على ADUserيتيح لك هذا مراجعة إعدادات حساب معين أو إنشاء قوائم مجمعة. إذا كنت ترغب في الاطلاع على البيانات الأساسية لمستخدم معين، يمكنك تحديده مباشرةً باستخدام اسم حسابه.

Get-ADUser user01

عندما تحتاج إلى سمات أكثر من تلك المعروضة افتراضيًا، يكون مُعدِّل المفتاح هو -الخصائصيمكنك استخدامها مع علامة النجمة (*) لطلب جميع الحقول المتاحة أو تحديد حقول معينة فقط. على سبيل المثال: Get-ADUser usuario01 -Properties * أو Get-ADUser usuario01 -Properties CN, UserPrincipalName, whenCreated, whenChangedوذلك بحسب عمق المعلومات التي تبحث عنها.

ومن الاستفسارات العملية الأخرى حساب إجمالي عدد مستخدمي النطاقمفيد لإجراء عمليات تدقيق سريعة أو مراقبة النمو. ويتحقق ذلك عادةً من خلال دمج عامل التصفية العام مع عدد محدد. (Get-ADUser -Filter *).countتستفيد هذه الصيغة من حقيقة أن PowerShell يعمل مع الكائنات، مما يسمح بإمكانيات لا حصر لها لمعالجة النتائج.

ضع في اعتبارك دائمًا أنه في PowerShell لا تتعامل فقط مع النصوص العادية ولكن أيضًا مع الهياكل الكاملة، لذلك يمكنك إجراء عمليات تصفية وفرز وتحويل قوية للغاية على مجموعة المستخدمين دون مغادرة وحدة التحكم.

إضافة وإزالة المستخدمين الأفراد باستخدام PowerShell

تتضمن عملية إنشاء المستخدمين باستخدام PowerShell عادةً خطوة تمهيدية تتعلق بكلمة المرور. لا يمكن إدخال كلمة المرور كنص عادي مباشرةً في أمر إنشاء المستخدم؛ بل يجب تحويلها إلى سلسلة نصية. سلسلة آمنة من خلال ConvertTo-SecureStringومن الأمثلة النموذجية على ذلك:

$userpassword = ConvertTo-SecureString -AsPlainText -Force -String “SecurePassword123”

بمجرد تخزين كلمة المرور الآمنة في هذا المتغير، يمكنك تسجيل المستخدم باستخدام الأمر cmdlet مستخدم جديدبأبسط طريقة، يكفي شيء كهذا: New-ADUser -Name usuario02 -AccountPassword $userpasswordإذا كنت ترغب في إثراء عملية التسجيل منذ البداية، يمكنك إضافة معلمات مثل الوصف أو تمكين الحساب تلقائيًا باستخدام -Enabled $true.

على سبيل المثال، لا شيء يمنعك من إنشاء مستخدم ووصفه بشكل أوضح باستخدام: إنشاء مستخدم جديد باسم usuario02 ووصف "حساب اختبار مؤقت" وتفعيله وكلمة مروره.من المستحسن دائماً متابعة هذه التسجيلات بمراجعة لاحقة للتأكد من إنشاء المستخدم بشكل صحيح في الوحدة التنظيمية المناسبة.

الدليل الشامل لتحليل ملفات .dmp في نظام Windows: دليل خطوة بخطوة مع الأدوات

فيما يتعلق بحذف المستخدمين، يمكنك استخدام أوامر cmdlets محددة لحسابات المستخدمين المحليين أو حسابات النطاق. بعض البرامج النصية تستخدمها. إزالة المستخدم المحلي لحذف الحسابات المحلية من جهاز الكمبيوتر، أما بالنسبة لمستخدمي النطاق، فإن النهج يتضمن استخدام أوامر Active Directory مثل Remove-ADUser، مما يشير إلى هوية الحساب الذي تريد حذفه.

إنشاء وحذف المستخدمين بشكل جماعي باستخدام ملفات CSV

عندما تنمو مؤسسة ما أو يكون هناك معدل دوران كبير للموظفين، فإن أكثر ما يمكن فعله هو اللجوء إلى أتمتة إضافة المستخدمين وإزالتهم من خلال ملفات CSV وبرامج PowerShell النصيةالنهج العام متشابه للغاية في كلتا الحالتين: يتم إنشاء جدول بيانات بسيط، وحفظه بتنسيق CSV، ومعالجته سطرًا بسطر من PowerShell.

بالنسبة للتسجيلات الجماعية، يحتوي ملف CSV عادةً على سطر أول يتضمن أسماء الحقول (مثل اسم المستخدم وكلمة المرور)، وسطر لكل حساب جديد ترغب في إنشائه. مثال بسيط على ذلك:

اسم المستخدم، كلمة المرور
user01,password01
user02,password02

بمجرد إنشاء الملف وحفظه بامتداد .csv، يتم استيراده إلى PowerShell باستخدام استيراد ملف CSVإسنادها إلى متغير يحتوي على القائمة الكاملة للإدخالات. على سبيل المثال: $listadeusuarios = Import-Csv -Path usuarios.csvمن المهم تشغيل الأمر من نفس الدليل الذي يوجد به الملف أو تحديد المسار المطلق المقابل.

ومن هناك، يتم استعراض القائمة باستخدام حلقة foreachلكل سجل، يتم تحويل كلمة المرور إلى سلسلة آمنة (SecureString) ثم يتم تنفيذ أمر الإنشاء. ومن المخططات الشائعة جدًا للحسابات المحلية ما يلي:

foreach ($i in $userlist){
$userpassword = ConvertTo-SecureString $i.password -AsPlainText -Force
إنشاء مستخدم محلي جديد $i.user - كلمة المرور $userpassword
}

يمكن تكييف هذا النمط نفسه لمستخدمي النطاق مع New-ADUserبإضافة المعايير اللازمة (الوحدة التنظيمية، الاسم الكامل، عنوان البريد الإلكتروني، إلخ). بالإضافة إلى ذلك، يمكنك تفعيل الإخراج التفصيلي للاطلاع على كل سطر على حدة لمعرفة ما إذا تم إنشاء كل مستخدم بنجاح، وتلقي تأكيدات "صحيح" عند النجاح.

في حالة الحذف الجماعي، يكون المنطق مشابهًا ولكنه أبسط، لأن ملف CSV يحتوي على عمود واحد فقط بمعرف المستخدم (على سبيل المثال، "user") عادةً ما يكون كافيًا. يتم استيراد هذه القائمة، والتكرار عليها، ثم تنفيذ أمر الحذف. إزالة المستخدم المحلي للحسابات المحلية أو Remove-ADUser لمستخدمي النطاق:

$userlist = Import-Csv -Path deletedusers.csv
foreach ($i in $userlist){
Remove-LocalUser $i.user
}

لا توفر طريقة العمل هذه الوقت فحسب، بل تقلل أيضًا من الخطأ البشري عند التعامل مع العديد من الحسابات في وقت واحد، شريطة أن يتم إعداد ملف CSV ومراجعته جيدًا قبل التنفيذ.

تغيير كلمات المرور وفتح الحسابات باستخدام PowerShell

غالباً ما تستغرق إدارة كلمات المرور اليومية جزءاً كبيراً من وقت فريق الدعم. يوفر PowerShell أوامر بسيطة للغاية لهذا الغرض. تغيير أو إعادة تعيين كلمات مرور المستخدمين في Active Directoryيُعد هذا الأمر مفيدًا بشكل خاص عندما لا يستطيع المستخدمون أنفسهم القيام بذلك من محطات عملهم.

إذا كنت تعرف كلمة مرور المستخدم الحالية، يمكنك استخدامها تعيين كلمة مرور حساب ADA ما عليك سوى تحديد الحساب الذي تعمل عليه. سيطلب منك النظام إدخال كلمة مرورك الحالية والجديدة. أما إذا كنت لا تعرف كلمة مرورك القديمة وترغب في إعادة تعيينها، فاستخدم الأمر نفسه مع المُعدِّل -Reset، على سبيل المثال: Set-ADAccountPassword usuario01 -Reset، بالإضافة إلى المعايير اللازمة لإنشاء المفتاح الجديد.

هناك سيناريو شائع آخر وهو قفل الحسابات بسبب محاولات تسجيل دخول فاشلة. لفتح هذه الحسابات، يمكنك استخدام الأمر cmdlet. فتح حساب ADAوالتي يمكنك استخدامها مباشرة أو مع خيارات التشخيص. على سبيل المثال، Unlock-ADAccount usuario01 -Verbose يعرض معلومات إضافية حول العملية، بينما Unlock-ADAccount usuario01 -WhatIf يتيح لك ذلك محاكاة ما سيحدث إذا قمت بفتح القفل، دون تطبيق أي تغييرات حقيقية.

لإجراء تعديلات على سمات مثل الوصف أو القسم أو المدينة، يكون الأمر cmdlet المشار إليه هو مجموعة ADUserتتضمن الصيغة العامة تحديد المستخدم والمعلمات التي ترغب في تغييرها. على سبيل المثال، يمكنك تحديث الوصف باستخدام أمر مثل: Set-ADUser usuario01 -Description "Usuario de marketing"مع الحرص دائماً على وضع الوصف بين علامتي اقتباس عندما يتضمن مسافات.

إدارة المجموعات في Active Directory باستخدام PowerShell

تُعدّ المجموعات ركيزة أساسية في تحديد الصلاحيات، ويجب إدارتها بنفس العناية التي تُدار بها المستخدمين. لعرض معلومات حول مجموعة معينة من خلال PowerShell، استخدم الأمر cmdlet. احصل على ADGroup، الذي يتم تمرير اسم المجموعة إليه. على سبيل المثال، Get-ADGroup "GrupoVentas" يقوم بإرجاع تفاصيل الكائن، بما في ذلك نطاقه ونوعه.

إذا كنت بحاجة إلى معرفة من ينتمي إلى مجموعة معينة، فإن الأداة المناسبة هي الحصول على ADGroupMember. مع Get-ADGroupMember "GrupoVentas" ستحصل على قائمة بالكائنات الأعضاء (المستخدمين، وأجهزة الكمبيوتر، والمجموعات الأخرى)، بالإضافة إلى معلومات مثل نوع الكائن أو معرّفه الأمني (SID). يُعد هذا الاستعلام مفيدًا بشكل خاص عند تدقيق الملكية الحساسة.

وعلى العكس من ذلك، لإضافة مستخدم إلى مجموعة موجودة، يتم استخدام الأمر cmdlet. إضافة عضو في مجموعة ADتعتمد صيغته على تحديد اسم المجموعة ومعرّف الحساب (عادةً SamAccountName) الذي ترغب في إضافته. مثال نموذجي على ذلك: Add-ADGroupMember "GrupoVentas" usuario01، مما يضيف هذا المستخدم إلى المجموعة دون الحاجة إلى فتح وحدات التحكم الرسومية.

كيفية إصلاح خطأ "لا يحتوي Ethernet على تكوين IP صالح" خطوة بخطوة

بمجرد فهم هذه الأوامر الأساسية، يصبح من السهل إنشاء برامج نصية أكثر تعقيدًا تعمل على أتمتة تسجيلات المستخدمين المتزامنة وإدراجهم في مجموعات قياسية وفقًا للمنطقة أو القسم أو الموقع، مما يقلل من العمل اليدوي ويتجنب حالات الإغفال في تعيين الأذونات.

أدوات سطر الأوامر الكلاسيكية لـ Active Directory (dsadd، dsmod، dsrm، dsquery)

بالإضافة إلى PowerShell، لا تزال العديد من البيئات تستخدم ما يلي: أدوات سطر الأوامر لخدمة الدليل (ds*)ينطبق هذا بشكل خاص على الأنظمة التي تعمل بنظام التشغيل Windows Server 2003 أو الإصدارات الأحدث، حيث تتوفر هذه الأدوات المساعدة. ورغم قدمها، إلا أنها لا تزال مفيدة لكتابة البرامج النصية الخفيفة أو تنفيذ مهام محددة من خلال موجه الأوامر (cmd.exe).

على سبيل المثال، يمكن إنشاء حساب مستخدم باستخدام مستخدم dsaddتحديد الاسم المميز (DN) للكائن واسم SAM. يمكن بعد ذلك تعيين كلمة المرور باستخدام المعامل -pwd. فيما يلي مخطط أساسي: dsadd user <user_dn> -samid <sam_name> -pwd <password>، حيث يحدد الاسم المميز (DN) الوحدة التنظيمية التي تم إنشاء المستخدم فيها.

لإعادة تعيين كلمة مرور مستخدم موجود، يمكنك استخدام مستخدم dsmod باستخدام المعامل -pwd، على سبيل المثال: dsmod user <user_dn> -pwd <new_password>إذا كنت ترغب في إجبار المستخدم على تغيير كلمة المرور عند تسجيل دخوله التالي، فما عليك سوى إضافة -mustchpwd yesبحيث يطلب النظام التحديث بمجرد إعادة مصادقة المستخدم.

كما أن تعطيل أو تمكين الحسابات أمر سهل مع مستخدم dsmod بفضل المعامل `-disabled`، الذي يقبل `yes` أو `no` حسب رغبتك في منع أو السماح بتسجيل الدخول. أما لحذف مستخدم، فيمكنك استخدام dsrm فيما يتعلق بالرقم المميز المقابل، ضع في اعتبارك أن الحذف دائم، وحتى إذا تم إنشاء حساب مرة أخرى بنفس الاسم، فلن يكون المعرف الأمني هو نفسه بعد الآن.

في مرحلة المجموعات، مجموعة dsadd يُتيح لك هذا إنشاء مجموعات جديدة عن طريق تحديد الاسم المميز (DN)، واسم SAM، وما إذا كانت مجموعة أمان أو توزيع، ونطاقها (محلي النطاق، أو عالمي، أو شامل). تتم إضافة الأعضاء باستخدام dsmod group -addmbrتحديد الاسم المميز للمجموعة والاسم المميز للكائن الذي ترغب في إضافته. كما يُمكن تغيير نوع المجموعة (أمان أو توزيع) ونطاقها باستخدام معلمات مثل -secgrp o -scopeمع مراعاة القيود الوظيفية للمجال دائمًا.

تتم إدارة حسابات الفريق بواسطة كمبيوتر dsadd لإنشائها، ويمكن إضافتها إلى المجموعات باستخدام dsmod group -addmbr <computer_dn>لإعادة تعيين حساب الكمبيوتر (على سبيل المثال، عند وجود مشكلات ثقة بين الكمبيوتر والنطاق)، يمكنك dsmod computer -resetولتمكين أو تعطيل الحساب الذي تستخدمه dsmod computer -disabled {yes|no}قطع أو استعادة اتصال ذلك الكمبيوتر بالنطاق.

فيما يتعلق بالوحدات التنظيمية، dsadd ou يُستخدم لإنشاء وحدات تنظيمية جديدة من خلال توفير اسمها المميز (DN)، بينما dsrm يزيلها. يُنصح دائمًا بتنظيم المستخدمين والمجموعات ضمن وحدات تنظيمية محددة جيدًا، بدلاً من ترك الكائنات في حاويات عامة مثل "المستخدمون" أو "المدمج"، لأن هذا يُسهّل تفويض الأذونات وتطبيق سياسات المجموعة.

البحث والاستعلام في Active Directory باستخدام dsquery

عندما تحتاج إلى تحديد موقع كائنات معينة في Active Directory من سطر الأوامر، فإن عائلة dsquery وهنا تبرز أهمية هذه الأدوات. فهي تتيح لك إجراء عمليات بحث باستخدام معايير مختلفة دون الحاجة إلى فتح واجهات رسومية، وهو أمر عملي للغاية بالنسبة للبرامج النصية أو الاتصالات عن بُعد ذات الحد الأدنى.

للعثور على حسابات المستخدمين، يكون الأمر الأساسي هو مستخدم dsquery ثم أدخل معايير البحث التي تهمك (على سبيل المثال، بالاسم، أو بالموقع في الشجرة، وما إلى ذلك). وبالمثل، للتواصل مع dsquery يركز على العلاقات، مجموعة dsquery في مجموعات، برنامج dsquery للكمبيوتر في حسابات الفريق، باستخدام خيارات مثل في الحالة الأخيرة -name <nombre_equipo> للبحث باستخدام CN.

إذا كنت ترغب في سرد الوحدات التنظيمية، يمكنك استخدام dsquery ouأما لتحديد موقع وحدات تحكم المجال، فستستخدم خادم dsqueryمع معايير مختلفة حسب ما إذا كنت ترغب في التصفية حسب الموقع أو الدور أو الإصدارات. في الحالات المتقدمة، الأمر dsquery * يتيح لك ذلك إجراء عمليات بحث مخصصة في LDAP باستخدام أي سمة كمعيار، مما يمنحك مرونة أكبر بكثير على حساب بناء جملة أكثر تعقيدًا بعض الشيء.

وأخيرًا، يمكن أيضًا معرفة المجموعات التي ينتمي إليها مستخدم معين باستخدام مستخدم dsget -عضو فييُعيد هذا الأمر جميع عناصر المجموعة المرتبطة بهذا الاسم المميز. تُعد هذه المعلومات قيّمة للغاية عند تشخيص مشكلات الأذونات أو حذف العناصر القديمة.

من الممكن الجمع بين كل هذه الأدوات - تشغيل وحدات تحكم MMC كمستخدم آخر، وأوامر PowerShell لـ AD، وأدوات ds* الكلاسيكية إدارة Active Directory بشكل آمن ومرن وفعالالعمل يوميًا باستخدام حساب قياسي ورفع الامتيازات فقط في العمليات التي تتطلب ذلك حقًا، مع ضوابط دقيقة على المستخدمين وكذلك المجموعات والفرق والوحدات التنظيمية.

إنشاء وتحديث بيانات المستخدمين من ملف CSV للموارد البشرية باستخدام PowerShell

إسحاق

كاتب شغوف بعالم البايت والتكنولوجيا بشكل عام. أحب مشاركة معرفتي من خلال الكتابة، وهذا ما سأفعله في هذه المدونة، لأعرض لك كل الأشياء الأكثر إثارة للاهتمام حول الأدوات الذكية والبرامج والأجهزة والاتجاهات التكنولوجية والمزيد. هدفي هو مساعدتك على التنقل في العالم الرقمي بطريقة بسيطة ومسلية.