PowerShell 2.0 实践（八）管理活动目录（中）

上一次我们对活动目录的用户和组进行了简单的管理操作，使用了.NET框架中的System.DirectoryServices

System.DirectoryServices.AccountManagement等类。以及微软与Quest公司的PowerShell扩展，在实际应用中，推荐使用上述两种扩展，其语法更加简洁，便于维护。本次我们将尝试批量编辑域用户的信息，以及通过LDAP查询我们感兴趣的信息。

测试脚本下载

本系列所有脚本均在Windows Server 2008 R2 DataCenter (PowerShell 2.0) + PowerGUI Script Editor Free Edition x64中测试通过。

使用 Microsoft Active Directory Cmdlets 批量创建域用户。

首先准备一个csv文件，将待创建的域用户名写入：

其中第一行的"UserName"作为列名。CSV = Comma Separated Values，即"逗号分隔值"文件。这里使用的是一种广义的csv文件，可以看到并没有逗号，其实用其他分隔符也可以，只要能区分各个用户就可以了。

csv文件可以使用Excel打开：

循环遍历csv文件，提取UserName：

Clear-Host

Import-Csv -Path E:\PSTest\Users.csv | foreach {

New-ADUser -Name $_.UserName `

-SamAccountName $_.UserName -GivenName $_.UserName `

-Surname $_.UserName -Path "ou=Domain Controllers,dc=Lucifer,dc=com" `

-DisplayName $_.UserName -AccountPassword $null `

-CannotChangePassword $false `

-ChangePasswordAtLogon $true `

-UserPrincipalName "$_.UserName@manticore.org" `

}

运行结果：

可以看到用户默认是禁用的，稍后将学习怎么启用、禁用用户。

2、使用 Quest Active Directory Cmdlets 批量创建域用户。

Clear-Host

Import-Csv -Path E:\PSTest\Users.csv | foreach {

New-QADUser -Name $_.UserName `

-DisplayName $_.UserName `

-SamAccountName $_.UserName `

-ParentContainer "OU=Domain Controllers,DC=Lucifer,DC=com" `

}

还是使用刚才的csv文件，运行结果类似：

其实不一定非要使用csv文件，使用txt、xml等文件也可以，文件只是存储用户信息的容器，只要能获取文件中存储的用户信息即可。PowerShell对csv提供了内置支持，即Import-Csv、Export-Csv命令等，所以如果没有特殊需求，建议使用csv文件。

3、修改用户信息。

要修改用户信息，首先要知道用户有哪些信息：

Get-ADUser -Identity "User1" -Properties *

运行结果：

今天偶然看到AD PowerShell的官方博客，还是很不错的。

如上图所示，查询出了用户"User1"的所有信息，可以看到还是很多的。-Identity参数用于唯一标识用户，微软的Cmdlets支持如下四种Identity：

其中比较常用的是sAMAccountName。

可以用一些PowerShell或LDAP表达式来进行查询：

Logical Operator	Description	Equivalent LDAP operator/expression
-eq	Equal to. This will not support wild card search.	=
-ne	Not equal to. This will not support wild card search.	! x = y
-like	Similar to -eq and supports wildcard comparison. The only wildcard character supported is: *	=
-notlike	Not like. Supports wild card comparison.	! x = y
-approx	Approximately equal to	~=
-le	Lexicographically less than or equal to	<=
-lt	Lexicographically less than	! x >= y
-ge	Lexicographically greater than or equal to	>=
-gt	Lexicographically greater than	! x <= y
-and	AND	&
-or	OR	\|
-not	NOT	!
-bor	Bitwise OR	:1.2.840.113556.1.4.804:=
-band	Bitwise AND	:1.2.840.113556.1.4.803:=
-recursivematch	Uses LDAP_MATCHING_RULE_IN_CHAIN (Win2k3 SP2 and above)	:1.2.840.113556.1.4.1941:=

如：

Get-ADObject -Filter { CN -like "*bro*" }

Get-ADObject -LDAPFilter "(cn=*bro*)"

查询CN like bro的活动目录信息：

我对LDAP语法很不熟悉，临时查了些资料：

LDAP的存储规则

区分名（DN，Distinguished Name）

和自然界中的树不同，文件系统/LDAP/电话号码簿目录的每一片枝叶都至少有一个独一无二的属性，这一属性可以帮助我们来区别这些枝叶。

在文件系统中，这些独一无二的属性就是带有完整路径的文件名。比如/etc/passwd，该文件名在该路径下是独一无二的。当然我们可以有/usr/passwd, /opt/passwd，但是根据它们的完整路径，它们仍然是唯一的。

在LDAP中，一个条目的区分名称叫做"dn"或者叫做区分名。在一个目录中这个名称总是唯一的。比如，我的dn是"uid=aghaffar, ou=People, o=developer.ch"。不可能有相同的dn，但是我们可以有诸如"uid=aghaffar, ou=Administrators, o=developer.ch"的dn。这同上面文件系统中/etc/passwd 和 /usr/passwd的例子很类似。

我们有独一无二的属性，在"ou=Administrators, o=developer.ch" 中uid和在"ou=People, o=developer.ch"中的uid。这并不矛盾。

CN=Common Name 为用户名或服务器名，最长可以到80个字符，可以为中文；

OU=Organization Unit为组织单元，最多可以有四级，每级最长32个字符，可以为中文；

O=Organization 为组织名，可以3—64个字符长

C=Country为国家名，可选，为2个字符长

LDAP目录以一系列"属性对"的形式来存储记录项，每一个记录项包括属性类型和属性值（这与关系型数据库用行和列来存取数据有根本的不同）。

4、将用户"User1"的部门修改为"开发部"，并启用该用户：

Get-ADUser -Identity "User1" | Set-ADUser -Department "Develop" -Enabled $true