Introduction to Active Directory Administrative Center Enhancements (Level 100)

  • Статья

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Центр active Directory Администратор istrative в Windows Server включает функции управления для следующих компонентов:

Корзина Active Directory

Случайное удаление объектов Active Directory — это обычное дело при работе с доменными службами Active Directory (AD DS) и службами Active Directory облегченного доступа к каталогам (AD LDS). В предыдущих версиях Windows Server до Windows Server 2008 R2 можно восстановить случайно удаленные объекты в Active Directory, но решения имели свои недостатки.

В Windows Server 2008 можно было использовать систему архивации данных Windows Server и команду принудительного восстановления ntdsutil , чтобы пометить объекты как заслуживающие доверия и обеспечить репликацию восстановленных данных по всему домену. Недостаток при использовании принудительного восстановления заключался в том, что его приходилось выполнять в режиме восстановления служб каталогов. В этом режиме контроллер домена, на котором выполнялось восстановление, необходимо было переводить в автономный режим. В связи с этим он не мог обрабатывать клиентские запросы.

В службе каталогов Active Directory Windows Server 2003 и доменных службах Active Directory в Windows Server 2008 можно было восстановить удаленные объекты Active Directory при помощи функции восстановления полностью удаленных объектов. Тем не менее ссылочные атрибуты восстановленных объектов (например, членство учетных записей пользователей в группах), удаленные физически, и очищенные нессылочные атрибуты не восстанавливались. Поэтому администраторы не могли полагаться на восстановление полностью удаленных объектов как на гарантированное решение при случайном удалении объектов. Дополнительные сведения о восстановлении полностью удаленных объектов см. в разделе Восстановление полностью удаленных объектов Active Directory.

Начиная с Windows Server 2008 R2 корзина Active Directory основана на существующей инфраструктуре восстановления полностью удаленных объектов и расширяет возможности сохранения и восстановления случайно удаленных объектов Active Directory.

Если корзина Active Directory включена, все ссылочные и нессылочные атрибуты удаленных объектов Active Directory сохраняются, а объекты полностью восстанавливаются в том же логически согласованном состоянии, в котором они находились непосредственно перед удалением. Например, восстановленные учетные записи пользователей автоматически восстанавливают все членства в группах и соответствующие права доступа, которыми они обладали внутри и вне доменов в момент перед удалением. Корзина Active Directory применяется для сред AD DS и AD LDS. Подробное описание корзины Active Directory см. в статье "Новые возможности AD DS: корзина Active Directory".

Новые возможности В Windows Server 2012 и более поздней версии функция корзины Active Directory улучшена с помощью нового графического пользовательского интерфейса для пользователей для управления удаленными объектами и восстановления. Теперь пользователи могут просмотреть список удаленных объектов и восстановить их в исходное или желаемое местоположение.

Если вы планируете включить корзину Active Directory в Windows Server, рассмотрите следующее:

  • По умолчанию корзина Active Directory отключена. Чтобы включить его, необходимо сначала повысить функциональный уровень леса среды AD DS или AD LDS до Windows Server 2008 R2 или более поздней версии. Это, в свою очередь, требует, чтобы все контроллеры домена в лесу или все серверы, на которых размещаются экземпляры конфигурации AD LDS, работали под управлением Windows Server 2008 R2 или более поздней версии.

  • Процесс включения корзины Active Directory необратим. После включения корзины Active Directory для конкретной среды отключить ее будет нельзя.

  • Чтобы управлять функцией корзины с помощью пользовательского интерфейса, необходимо установить версию Active Directory Администратор istrative Center в Windows Server 2012.

    Примечание.

    Вы можете использовать диспетчер сервера для установки средств удаленного сервера Администратор istration Tools (RSAT), чтобы использовать правильную версию Центра Администратор istrative Center Active Directory для управления корзиной через пользовательский интерфейс.

    Сведения об установке RSAT см. в статье "Средства удаленного сервера Администратор istration Tools".

Пошаговое руководство по использованию корзины Active Directory

В следующих шагах вы будете использовать ADAC для выполнения следующих задач корзины Active Directory в Windows Server 2012:

Примечание.

Для выполнения следующих шагов требуется членство в группе администраторов предприятия или эквивалентные разрешения.

Шаг 1. Повышение режима работы леса

В этом шаге вы повысите режим работы леса. Прежде чем включить корзину Active Directory, необходимо сначала повысить функциональный уровень в целевом лесу, чтобы быть Windows Server 2008 R2 как минимум.

Чтобы повысить режим работы целевого леса:

  1. Щелкните правой кнопкой мыши значок Windows PowerShell, щелкните "Запустить от имени Администратор istrator" и введите dsac.exe, чтобы открыть ADAC.

  2. Щелкните Управление, Добавить узлы перехода и выберите соответствующий целевой домен в диалоговом окне Добавление узлов перехода , а затем нажмите кнопку ОК.

  3. Щелкните целевой домен в левой области навигации и на панели Задачи выберите Повышение режима работы леса. Выберите уровень функциональности леса, по крайней мере Windows Server 2008 R2 или более поздней версии, а затем нажмите кнопку "ОК".

PowerShell logo, Shows the PowerShell equivalent commands for raising the forest functional level.Эквивалентные команды Windows PowerShell

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

Set-ADForestMode -Identity contoso.com -ForestMode Windows2008R2Forest -Confirm:$false

Для аргумента -Identity укажите полное доменное имя DNS.

Шаг 2. Включить корзину

В этом шаге вы включите корзину для восстановления удаленных объектов в AD DS.

Чтобы включить корзину Active Directory в центре администрирования Active Directory в целевом домене:

  1. Щелкните правой кнопкой мыши значок Windows PowerShell, щелкните "Запустить от имени Администратор istrator" и введите dsac.exe, чтобы открыть ADAC.

  2. Щелкните Управление, Добавить узлы перехода и выберите соответствующий целевой домен в диалоговом окне Добавление узлов перехода , а затем нажмите кнопку ОК.

  3. В области задач щелкните Включить корзину... , нажмите кнопку ОК в предупреждающем сообщении, а затем нажмите кнопку ОК для обновления сообщения центра администрирования Active Directory.

  4. Нажмите клавишу F5, чтобы обновить центр администрирования Active Directory.

PowerShell logo, Shows the PowerShell equivalent commands for enabling the recycle bin.Эквивалентные команды Windows PowerShell

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

При возникновении ошибки можно попытаться переместить главные роли схемы и главной роли именования домена в один контроллер домена в корневом домене. Затем запустите командлет из этого контроллера домена.

Enable-ADOptionalFeature -Identity 'CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com' -Scope ForestOrConfigurationSet -Target 'contoso.com'

Шаг 3. Создание тестовых пользователей, группы и подразделения

В следующих процедурах вы создадите двух тестовых пользователей. Затем вы создадите группу проверки и добавите в нее тестовых пользователей. Вы также создадите подразделение.

Чтобы создать тестовых пользователей:

  1. Щелкните правой кнопкой мыши значок Windows PowerShell, щелкните "Запустить от имени Администратор istrator" и введите dsac.exe, чтобы открыть ADAC.

  2. Щелкните Управление, Добавить узлы перехода и выберите соответствующий целевой домен в диалоговом окне Добавление узлов перехода , а затем нажмите кнопку ОК.

  3. На панели Задачи выберите Создать и щелкните Пользователь.

    Screenshot that shows how to create a new test user.

  4. Введите следующие сведения в раздел Учетная запись и нажмите кнопку "ОК":

    • Полное имя: test1
    • Вход пользователя (SamAccountName): test1
    • Пароль: p@ssword1
    • Подтверждение пароля: p@ssword1

  5. Повторите предыдущие шаги, чтобы создать второго пользователя, test2.

Чтобы создать группу проверки и добавить в нее пользователей:

  1. Щелкните правой кнопкой мыши значок Windows PowerShell, щелкните "Запустить от имени Администратор istrator" и введите dsac.exe, чтобы открыть ADAC.

  2. Щелкните Управление, Добавить узлы перехода и выберите соответствующий целевой домен в диалоговом окне Добавление узлов перехода , а затем нажмите кнопку ОК.

  3. На панели Задачи выберите Создать и щелкните Группа.

  4. Введите следующие сведения в раздел Группа и нажмите кнопку ОК:

    • Имя группы:group1

  5. Щелкните group1и в области задач выберите Свойства.

  6. Щелкните Члены группы, выберите команду Добавить, введите test1;test2и нажмите кнопку ОК.

PowerShell logo, Shows the PowerShell equivalent commands for adding users to the group.Эквивалентные команды Windows PowerShell

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

Add-ADGroupMember -Identity group1 -Member test1

Чтобы создать подразделение:

  1. Щелкните правой кнопкой мыши значок Windows PowerShell, щелкните "Запустить от имени Администратор istrator" и введите dsac.exe, чтобы открыть ADAC.

  2. Нажмите кнопку "Управление", нажмите кнопку "Добавить узлы навигации" и выберите соответствующий целевой домен в диалоговом окне "Добавить узлы навигации " и нажмите кнопку **ОК

  3. На панели Задачи выберите Создать и щелкните Подразделение.

  4. Введите следующие сведения в раздел Подразделение и нажмите кнопку ОК:

    • NameOU1

PowerShell logo, Shows the PowerShell equivalent commands for creating an organizational unit.Эквивалентные команды Windows PowerShell

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

1..2 | ForEach-Object {New-ADUser -SamAccountName test$_ -Name "test$_" -Path "DC=fabrikam,DC=com" -AccountPassword (ConvertTo-SecureString -AsPlainText "p@ssword1" -Force) -Enabled $true}
New-ADGroup -Name "group1" -SamAccountName group1 -GroupCategory Security -GroupScope Global -DisplayName "group1"
New-ADOrganizationalUnit -Name OU1 -Path "DC=fabrikam,DC=com"

Шаг 4. Восстановление удаленных объектов

В следующих процедурах вы восстановите удаленные объекты из контейнера Удаленные объекты в их исходное расположение и в другое расположение.

Чтобы восстановить удаленные объекты в их исходное расположение:

  1. Щелкните правой кнопкой мыши значок Windows PowerShell, щелкните "Запустить от имени Администратор istrator" и введите dsac.exe, чтобы открыть ADAC.

  2. Щелкните Управление, Добавить узлы перехода и выберите соответствующий целевой домен в диалоговом окне Добавление узлов перехода , а затем нажмите кнопку ОК.

  3. Выберите пользователей test1 и test2, щелкните Удалить в области задач и нажмите кнопку Да , чтобы подтвердить удаление.

    PowerShell logo, Shows the PowerShell equivalent commands for removing users.Эквивалентные команды Windows PowerShell

    Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

    Get-ADUser -Filter 'Name -Like "*test*"'|Remove-ADUser -Confirm:$false

  4. Перейдите в контейнер Deleted Objects , выберите test2 и test1 , а затем щелкните Восстановить на панели Задачи .

  5. Чтобы убедиться, что объекты были восстановлены в их исходное расположение, перейдите в целевой домен и проверьте, указаны ли там учетные записи пользователей.

    Примечание.

    Если вы перейдете к разделу Свойства в учетных записях пользователей test1 и test2 , а затем щелкните Член групп, вы увидите, что их членство в группах также было восстановлено.

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

PowerShell logo, Shows the PowerShell equivalent commands for restoring objects to their original location.Эквивалентные команды Windows PowerShell

Get-ADObject -Filter 'Name -Like "*test*"' -IncludeDeletedObjects | Restore-ADObject

Чтобы восстановить удаленные объекты в другое расположение:

  1. Щелкните правой кнопкой мыши значок Windows PowerShell, щелкните "Запустить от имени Администратор istrator" и введите dsac.exe, чтобы открыть ADAC.

  2. Щелкните Управление, Добавить узлы перехода и выберите соответствующий целевой домен в диалоговом окне Добавление узлов перехода , а затем нажмите кнопку ОК.

  3. Выберите пользователей test1 и test2, щелкните Удалить в области задач и нажмите кнопку Да , чтобы подтвердить удаление.

  4. Перейдите в контейнер Deleted Objects , выберите test2 и test1 , а затем щелкните Восстановить в на панели Задачи .

  5. Выберите OU1 , а затем нажмите кнопку ОК.

  6. Чтобы убедиться, что объекты были восстановлены в расположение OU1, перейдите в целевой домен, дважды щелкните OU1 и проверьте, указаны ли там учетные записи пользователей.

PowerShell logo, Shows the PowerShell equivalent commands for restoring deleted objects to a different location.Эквивалентные команды Windows PowerShell

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

Get-ADObject -Filter 'Name -Like "*test*"' -IncludeDeletedObjects | Restore-ADObject -TargetPath "OU=OU1,DC=contoso,DC=com"

Детально настроенная политика паролей

Операционная система Windows Server 2008 предоставляет организациям возможность определить разные политики паролей и блокировки учетных записей для разных групп пользователей в домене. В доменах Active Directory до Windows Server 2008 ко всем пользователям в домене можно было применить только одну политику паролей и политику блокировки учетных записей. Эти политики устанавливались в политике домена по умолчанию. В результате организации, которые хотели установить разные параметры паролей и блокировки учетных записей для разных групп пользователей, были вынуждены либо создавать фильтр паролей, либо развертывать несколько доменов. Оба варианта требуют высоких затрат.

При помощи детально настроенных политик паролей можно задать несколько политик паролей в одном домене и применять различные ограничения в рамках политик паролей и блокировки учетных записей для разных групп пользователей в домене. Например, для учетных записей привилегированных пользователей можно установить более строгие параметры, а для остальных — менее строгие. В других случаях можно применять особую политику паролей для учетных записей, пароли которых синхронизируются с другими источниками данных. Подробное описание детально настроенной политики паролей см. в разделе Доменные службы Active Directory: детально настроенные политики паролей

Новые возможности

В Windows Server 2012 и более поздней версии более точное управление политиками паролей упрощается и более наглядно, предоставляя пользовательский интерфейс администраторам AD DS для управления ими в ADAC. Администратор istrator теперь может просматривать результативную политику пользователя, просматривать и сортировать все политики паролей в определенном домене и управлять отдельными политиками паролей визуально.

Если вы планируете использовать детализированные политики паролей в Windows Server 2012, рассмотрите следующее:

  • Встроенные политики паролей применяются только к глобальным группам безопасности и объектам пользователей (или объектам inetOrgPerson, если они используются вместо пользовательских объектов). По умолчанию только члены группы администраторов домена могут устанавливать детально настроенные политики паролей. Однако вы также можете делегировать возможность настройки этих политик другим пользователям. Домен должен иметь режим работы Windows Server 2008 или выше.

  • Для администрирования политик паролей с помощью графического пользовательского интерфейса необходимо использовать Windows Server 2012 или более позднюю версию Центра active Directory Администратор istrative Center.

    Примечание.

    Вы можете использовать диспетчер сервера для установки средств удаленного сервера Администратор istration Tools (RSAT), чтобы использовать правильную версию Центра Администратор istrative Center Active Directory для управления корзиной через пользовательский интерфейс.

    Сведения об установке RSAT см. в статье "Средства удаленного сервера Администратор istration Tools".

Пошаговое руководство по использованию детально настроенной политики паролей

В следующей пошаговой процедуре вы используете центр администрирования Active Directory для выполнения следующих задач, связанных с детально настроенной политикой паролей:

Примечание.

Для выполнения следующих шагов требуется членство в группе администраторов домена или эквивалентные разрешения.

Шаг 1. Повышение режима работы домена

В следующей процедуре вы создайте уровень функциональности домена целевого домена до Windows Server 2008 или более поздней версии. Для включения более точных политик паролей требуется уровень функциональности домена Windows Server 2008 или более поздней версии.

Чтобы повысить режим работы домена:

  1. Щелкните правой кнопкой мыши значок Windows PowerShell, щелкните "Запустить от имени Администратор istrator" и введите dsac.exe, чтобы открыть ADAC.

  2. Щелкните Управление, Добавить узлы перехода и выберите соответствующий целевой домен в диалоговом окне Добавление узлов перехода , а затем нажмите кнопку ОК.

  3. Щелкните целевой домен в левой области навигации и в области Задачи выберите Повышение режима работы домена. Выберите уровень функциональности леса, по крайней мере Windows Server 2008 или более поздней версии, и нажмите кнопку "ОК".

PowerShell logo, Shows the PowerShell equivalent commands for raising the domain functional level.Эквивалентные команды Windows PowerShell

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

Set-ADDomainMode -Identity contoso.com -DomainMode 3

Шаг 2. Создание тестовых пользователей, группы и подразделения

Чтобы создать тестовых пользователей и группу, необходимые для этого шага, выполните действия, описанные здесь: Шаг 3. Создание тестовых пользователей, групп и подразделений (для демонстрации детальной политики паролей не требуется создавать подразделение).

Шаг 3. Создание новой детально настроенной политики паролей

В следующей процедуре вы создадите новую детально настроенную политику паролей при помощи пользовательского интерфейса в центре администрирования Active Directory.

Чтобы создать новую детально настроенную политику паролей:

  1. Щелкните правой кнопкой мыши значок Windows PowerShell, щелкните "Запустить от имени Администратор istrator" и введите dsac.exe, чтобы открыть ADAC.

  2. Щелкните Управление, Добавить узлы перехода и выберите соответствующий целевой домен в диалоговом окне Добавление узлов перехода , а затем нажмите кнопку ОК.

  3. В области навигации центра администрирования Active Directory откройте контейнер System и щелкните Password Settings Container.

  4. В области задач выберите Создатьи щелкните Параметры паролей.

    Заполните или измените содержимое полей на странице свойств, чтобы создать новый объект Параметры паролей . Требуются поля Имя и Приоритет .

    Screenshot that shows how to create or edit password settings.

  5. Рядом с пунктом Применяется напрямую к, Добавить, введите group1и нажмите кнопку ОК.

    В результате объект политики паролей будет связан с членами глобальной группы, которую вы создали для тестовой среды.

  6. Нажмите кнопку ОК , чтобы подтвердить создание.

PowerShell logo, Shows the PowerShell equivalent commands for creating a new fine grained password policy.Эквивалентные команды Windows PowerShell

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

New-ADFineGrainedPasswordPolicy TestPswd -ComplexityEnabled:$true -LockoutDuration:"00:30:00" -LockoutObservationWindow:"00:30:00" -LockoutThreshold:"0" -MaxPasswordAge:"42.00:00:00" -MinPasswordAge:"1.00:00:00" -MinPasswordLength:"7" -PasswordHistoryCount:"24" -Precedence:"1" -ReversibleEncryptionEnabled:$false -ProtectedFromAccidentalDeletion:$true
Add-ADFineGrainedPasswordPolicySubject TestPswd -Subjects group1

Шаг 4. Просмотр результирующего набора политик для пользователя

В следующей процедуре вы просмотрите параметры результирующего пароля для пользователя, входящего в группу, для которой вы установили детально настроенную политику паролей в разделе Step 3: Create a new fine-grained password policy.

Чтобы просмотреть результирующую политику для пользователя:

  1. Щелкните правой кнопкой мыши значок Windows PowerShell, щелкните "Запустить от имени Администратор istrator" и введите dsac.exe, чтобы открыть ADAC.

  2. Щелкните Управление, Добавить узлы перехода и выберите соответствующий целевой домен в диалоговом окне Добавление узлов перехода , а затем нажмите кнопку ОК.

  3. Выберите пользователя test1 , входящего в группу group1 , с которой вы связали детально настроенную политику паролей в разделе Step 3: Create a new fine-grained password policy.

  4. Щелкните Просмотреть итоговые параметры пароля в области задач .

  5. Изучите политику параметров паролей и нажмите кнопку Отмена.

PowerShell logo, Shows the PowerShell equivalent commands for viewing a resultant set of policies for a user.Эквивалентные команды Windows PowerShell

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

Get-ADUserResultantPasswordPolicy test1

Шаг 5. Изменение детально настроенной политики паролей

В следующей процедуре вы измените детально настроенную политику паролей, созданную в разделе Step 3: Create a new fine-grained password policy.

Чтобы изменить детально настроенную политику паролей:

  1. Щелкните правой кнопкой мыши значок Windows PowerShell, щелкните "Запустить от имени Администратор istrator" и введите dsac.exe, чтобы открыть ADAC.

  2. Щелкните Управление, Добавить узлы перехода и выберите соответствующий целевой домен в диалоговом окне Добавление узлов перехода , а затем нажмите кнопку ОК.

  3. В области навигациицентра администрирования Active Directory разверните узел Система и щелкните Контейнер параметров пароля.

  4. Выберите детально настроенную политику паролей, которую вы создали в разделе Step 3: Create a new fine-grained password policy , и щелкните Свойства на панели Задачи .

  5. В разделе Вести журнал паролейизмените значение параметра Сохранено паролей на 30.

  6. Щелкните OK.

PowerShell logo, Shows the PowerShell equivalent commands for editing a fine-grained password policy.Эквивалентные команды Windows PowerShell

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

Set-ADFineGrainedPasswordPolicy TestPswd -PasswordHistoryCount:"30"

Шаг 6. Удаление детально настроенной политики паролей

Чтобы удалить детально настроенную политику паролей:

  1. Щелкните правой кнопкой мыши значок Windows PowerShell, щелкните "Запустить от имени Администратор istrator" и введите dsac.exe, чтобы открыть ADAC.

  2. Щелкните Управление, Добавить узлы перехода и выберите соответствующий целевой домен в диалоговом окне Добавление узлов перехода , а затем нажмите кнопку ОК.

  3. В области навигации центра администрирования Active Directory разверните контейнер System и щелкните Password Settings Container.

  4. Выберите детально настроенную политику паролей, которую вы создали в разделе Step 3: Create a new fine-grained password policy и щелкните Свойства на панели Задачи.

  5. Снимите флажок Защитить от случайного удаления и нажмите кнопку ОК.

  6. Выберите детально настроенную политику паролей и нажмите Удалить на панели Задачи.

  7. В диалоговом окне подтверждения нажмите кнопку ОК .

Intro to AD Admin centerЭквивалентные команды Windows PowerShell

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

Set-ADFineGrainedPasswordPolicy -Identity TestPswd -ProtectedFromAccidentalDeletion $False
Remove-ADFineGrainedPasswordPolicy TestPswd -Confirm

Средство просмотра журнала Windows PowerShell

Центр администрирования Active Directory — это инструмент пользовательского интерфейса, который представляет собой надстройку Windows PowerShell. В Windows Server 2012 и более поздней версии ИТ-администраторы могут использовать ADAC для изучения командлетов Windows PowerShell для Active Directory с помощью средства просмотра журнала Windows PowerShell. При выполнении действий в пользовательском интерфейсе пользователь видит эквивалентную команду Windows PowerShell в средстве просмотра журнала Windows PowerShell. Это позволяет администраторам создавать автоматические сценарии и сокращать повторяющиеся задачи, тем самым повышая производительность ИТ-ресурсов. Кроме того, эта функция сокращает время на изучение Windows PowerShell для Active Directory и повышает уверенность пользователей в правильности сценариев автоматизации.

При использовании средства просмотра журнала Windows PowerShell в Windows Server 2012 или более поздней версии следует учитывать следующее:

  • Чтобы использовать средство просмотра сценариев Windows PowerShell, необходимо использовать Windows Server 2012 или более новую версию ADAC.

    Примечание.

    Вы можете использовать диспетчер сервера для установки средств удаленного сервера Администратор istration Tools (RSAT), чтобы использовать правильную версию Центра Администратор istrative Center Active Directory для управления корзиной через пользовательский интерфейс.

    Сведения об установке RSAT см. в статье "Средства удаленного сервера Администратор istration Tools".

  • Основные сведения о Windows PowerShell. Например, вам нужно знать принципы конвейерной передачи в Windows PowerShell. Дополнительные сведения о конвейерной передаче в Windows PowerShell см. в разделе Конвейерная передача и конвейер в Windows PowerShell.

Пошаговое руководство по использованию средства просмотра журнала Windows PowerShell

В следующей процедуре вы используете средство просмотра журнала Windows PowerShell в центре администрирования Active Directory для создания сценария Windows PowerShell. Прежде чем приступить к этой процедуре, удалите пользователя test1 из группы group1.

Чтобы создать сценарий с помощью средства просмотра журнала PowerShell:

  1. Щелкните правой кнопкой мыши значок Windows PowerShell, щелкните "Запустить от имени Администратор istrator" и введите dsac.exe, чтобы открыть ADAC.

  2. Щелкните Управление, Добавить узлы перехода и выберите соответствующий целевой домен в диалоговом окне Добавление узлов перехода , а затем нажмите кнопку ОК.

  3. Разверните область Журнал Windows PowerShell внизу окна центра администрирования Active Directory.

  4. Выберите пользователя test1.

  5. Нажмите кнопку "Добавить в группу"... в области "Задачи ".

  6. Перейдите в группу group1 и нажмите кнопку ОК в диалоговом окне.

  7. Перейдите в область Журнал Windows PowerShell и найдите только что созданную команду.

  8. Скопируйте эту команду и вставьте ее в предпочтительный редактор для создания сценария.

    Например, вы можете изменить команду, чтобы добавить другого пользователя в группу group1или чтобы добавить пользователя test1 в другую группу.

См. также

Расширенное управление AD DS с помощью Центра Администратор istrative Center (уровень 200)