すべてのPowerShellActive Directory(AD)タスクの前提条件は、ActiveDirectoryモジュールをインストールすることです。この人気のあるモジュールを使用すると、管理者はPowerShellを使用してActiveDirectoryにクエリを実行して変更を加えることができます。
このブログ投稿では、PowerShell ActiveDirectoryモジュールをWindows10にインストールする方法について詳しく説明します。次に、PowerShellを使用してADに接続する方法について説明し、ADに対して認証できるさまざまな方法について説明します。
目次
RSAT(リモートサーバー管理ツール)のインストール
始める前に、まずRSATパッケージについて知っておく必要があります。 Windowsのワークステーションバリアントを使用している場合は、リモートサーバー管理ツール(RSAT)パッケージをインストールする必要があります。 Windowsのサーバーバリアントを使用する場合、RSATはすでに利用可能です。
RSATがないと、「Get-AD *」という用語は、コマンドレット、関数、スクリプトファイルの名前として認識されません。または、ここで説明するコマンドを実行しようとすると、操作可能なプログラムタイプのメッセージが表示されます。
1809以前のWindows10のRSAT
Windows 10を使用している場合は、RSATパッケージをダウンロードします。 Microsoftのプレビルド1809。インストールはシンプルで簡単です。
方法がわからない場合は、ここでWindows10ビルドバージョンを見つける方法を学びます。
RSATをインストールしたら、WindowsPowerShell用のActiveDirectoryモジュールがWindowsの機能で有効になっていることを確認します。デフォルトでは、すでに存在しているはずです。
1809以降のWindows10のRSAT
1809以降のバージョンのWindowsでは、RSAT機能は次のように利用できます。オプション機能。外部パッケージをダウンロードする必要はありません。
1809年以降のWindows10にActiveDirectoryモジュールをインストールするには、Add-WindowsCapability
コマンドレットを使用します。これにより、以下に示すRsat.ActiveDirectory.DS-LDS.Toolsオプション機能が有効になります。
上記の構文は、Windows10ビルド1903およびWindows7でテストされました。
Windows Server2008R2以降のRSAT
WindowsServer 、PowerShell ServerManagerモジュールを使用して、PowerShellでRSAT-AD-PowerShell機能を有効にします。
PowerShellでADモジュールを読み込む方法
PowerShellは、インストール時にモジュールを自動インポートする可能性がありますが。ただし、正しく読み込まれるようにする場合は、Import-Module
コマンドを使用することもできます。
PowerShellを使用してActiveDirectoryモジュールをインポートするには、Import-Module ActiveDirectory
。モジュールが適切な場所にインストールされていれば、エラーは発生しません。
接続と認証
ActiveDirectoryモジュールをセットアップしたら、Active DirectoryPowerShellコマンドレットを使用できます。 。
コマンドレットはADのさまざまな部分と相互作用しますが、ほとんどすべてのコマンドレットに共通のパラメーターがあります。これらのパラメータの2つは、Server
とCredential
です。
特定のActiveDirectoryドメインコントローラーへの接続
デフォルトでは、ADコマンドレットがドメインコントローラーを検索します。ただし、別のドメインコントローラーに接続する必要がある場合は、Server
パラメーターを使用できます。
Server
パラメータは必須ではありません。 PowerShellは、デフォルトで接続するドメインコントローラーを見つけようとします。ドメインコントローラーは、リストされている順序で次のことを試行することによって決定されます。
- パイプラインで渡されるオブジェクトの
Server
プロパティを使用します。 - 使用している場合は、ADPowerShellプロバイダードライブに関連付けられているサーバーを使用します。
- クライアントコンピューターのドメインを使用します。
に接続できます。 Server
パラメーターの値を指定することによる特定のドメインコントローラー。次のようなさまざまな形式で複数の異なるADDSオブジェクトを指定できます。
- 指定されたドメイン名となるdomain.localやDOMAINなどのFQDNまたはNETBIOS名
- FQDNまたはドメインコントローラーとなるserver.domain.localやSERVERなどのNETBIOS名。
- server.domain.local:3268などの完全修飾ドメインコントローラーとポート
代替資格情報を使用したActiveDirectoryへの接続
Byデフォルトでは、Active Directory PowerShellコマンドレットは、ADに接続するためのユーザーアカウントを決定するために2段階のプロセスを使用します。
- コマンドが次の場合は、PowerShellADプロバイダードライブに関連付けられた資格情報を使用します。そこから実行します。
- ログオンしたユーザーの資格情報を利用します。
Credential
パラメーターを使用して代替資格情報を指定することもできます。
Credential
パラメーターを使用すると、PSCredentialオブジェクトを渡すことができます。ユーザー名を入力すると、パスワードの入力を求められ、これらの資格情報が使用されます。
Get-AdUser
コマンドレットの使用例を以下に示します。代替の資格情報。
AuthType
パラメーターで制御される、2つの可能な認証タイプも使用できます。これらのタイプは、ネゴシエート(デフォルト)とベーシックです。基本認証はSSL接続を介してのみ可能です。
まとめ
ActiveDirectoryPowerShellモジュールのセットアップは簡単で一般的なプロセスです。この記事に記載されている手順を使用すると、ActiveDirectoryのすべてを自動化する準備が整っているはずです。
さらに読む
- 32個のActiveDirectoryスクリプトであらゆるものを自動化