Münchner Straße 15, 89073 Ulm
+49 7319 53495-29

Powershell für AD

DEep dive kurs – Powershell für active directory

Zielgruppe

IT Mitarbeiter und Systemadministratoren welche den Schwerpunkt im Verzeichnisdienst Active Directory haben.

Dauer

Die Kursdauer beträgt 3 Tage.

Level

mittlere Komplexität

Zertifikat

Schulungsteilnehmer erhalten ein Zertifikat.

Preis

2450,- € inkl. MwSt.
Inklusive Verpflegung.

termine

Februar 2020

10febGanzer Tag12Powershell für AD

Mai 2020

18maiGanzer Tag20Powershell für AD

Beschreibung

In dem Workshop Powershell für Active Directory erlernen Sie die notwendigen Fähigkeiten um ein Active Directory on Premise oder in der Azure Cloud über die Windows Powershell zu administrieren.

Zu Beginn des Workshops betrachten wird die Schnittstellen welche ein Active Directory bietet um mit der Windows Powershell darauf aufzusetzen. Vorranging ist hier die Schnittstelle Active Directory Web Services (ADWS) über den TCP Port 9389 zu benennen. Leider bedient sich dieser Dienst der Schnittstelle SOAP (Simple Object Access Protocol). Diese ist etwas betagt (1998) und nicht immer die schnellste Art mit Active Directory zu kommunizieren. Neben ADWS kann die Windows Powershell noch auf die nativen LDAP-Schnittstellen von ADSI (Active Directory Services Interface) zurückgreifen. TCP 389, 636, 3268 und 3269 können per Powershell direkt adressiert werden.

Das Stretching und Aufwärmen erledigen wir in einem Block welcher kurz und knapp die Powershell-Grundlagen auffrischt. Darauffolgenden untersuchen wir die Schnittstelle LDAP und formulieren per ldp.exe ein paar LDAP-Abfragen. Ebenso müssen die verschiedenen LDAP-Controls wie RETURN_DELETED oder BITWISE_OR untersucht werden, damit später über [ADSI] und [ADSISearcher] flink gesucht und gefunden werden kann.

Der konkrete Einstieg in die Powershell für Active Directory erfolgt über das Powershell Modul „ActiveDirectory“ (wer hätte das gedacht?). Dieses Modul verwendet die Schnittstelle ADWS – daher müssen wir parallel die LDAP-Schnittstelle mit der Powershell betrachten. Dieses erfolgt durch die Accelerator [ADSI] und [ADSISearcher]. Interessant ist der Leistungsvergleich zwischen beiden Schnittstellen: welche ist denn nun die schnellere und welche ist die bequemere? ADWS unterliegt bestimmten Abfragerichtlinien, welche durch ein XML-Dokument gesteuert werden – hier sind in der Regel Anpassungen notwendig, sofern man bei ADWS als Schnittstelle bleiben möchte. Die Schnittstelle LDAP unterliegt ebenso Query-Policies, welche sind zu 100 % ändern müssen, damit die Powershell verwertbare Ergebnisse liefert.

Sind die Schnittstellen präpariert, kann es in die konkreten Beispiele zum Thema Powershell und Active Directory gehen. Der erste Stopp: Benutzerverwaltung mit der Windows Powershell (Get-ADUser -Properties * / New-ADUser / Set-ADUser). Hier werden User angelegt, aber noch wichtiger: bestehende Merkmale von existierenden Usern verändert („Hello Hash-Table!“). Attribute wie „useraccountcontrol“ (little endian) verlangen entweder zwei LDAP-Controls oder Operatoren wie „-bor“ / „-band“ um zu suchen und zu finden. Ebenso können per Windows Powershell die NT-Hashes von Benutzern ausgelesen und im Bedarfsfall synchronisiert werden. Eine Kennwortvalidierung (gutes Kennwort / schlechtes Kennwort) fällt beispielsweise genau in dieses Raster. Bei den klassischen Dienstkonten sollte noch per Powershell überprüft werden, ob die Kerberos-Verschlüsselung auf dem Stand der Dinge ist.

Ein Gruppenverwaltung per Powershell darf selbstverständlich nicht fehlen. Neben dem banalen Erstellen und Löschen von Gruppen werden hier aber die Schwerpunkte auf Gruppenabgleich und Gruppendifferenzen gesetzt. Wie kann ich beim Deep-nesting von Gruppen die User-Mitglieder noch ermitteln? Wie finde ich Schleifen bei Gruppenverschachtelungen?

Bei der Computerverwaltung per Powershell für Active Directory sind die Themen etwas knapper gestreut als beim User: Powershell-Remoting, Überwachen von Service Principal Names, Kennwortänderungen bei Computerkonten überwachen und defekte Secure Channels Reparieren (insbesondere, wenn der Computer nicht aus der Domäne genommen werden kann).

Die Powershell für Active Directory kann die Standorte und Dienste (Sites-and-Services) im puncto Replikationsgeschwindigkeit sehr flink bearbeiten. Durch einen simplen Powershell-Befehl wird die Replikationsgeschwindigkeit zwischen Standorten von 15 Minuten auf 18 Sekunden gedrückt. Weiterführend hilft Ihnen die Windows Powershell für Active Directory Subnetze zu entdecken welche in den Standorten und Diensten nicht definiert worden sind. Redundante Bridge-Head-Server sind für die Powershell ein Klack, ebenso wie die Steuerung der Replikationseigenschaften von Domain Controllern.

Bei dem Thema Group Policy ist die Powershell weniger im Bereich der Erstellung und Administration gedacht. Hier legen wir die Schwerpunkte auf die Dokumentation von Gruppenrichtlinien, die inhaltliche Integrität von GPOs sowie der Überwachung der GPO-Replikation. WMI-Filter für GPOs können mit der Windows Powershell nicht nur auf Funktion, sondern auch auf Laufzeit geprüft werden.

Im Bereich vom Domain Name System (DNS) wird man mit der Powershell ein paar neue Features von Server 2016 DNS entdecken: QueryResolutionPolicies. Split-Brain und Geo-Cluster finden hier im DNS eine Lösung (wenn auch umständlich in der Implementierung und späteren Wartung). Wir administrieren Zonen und werden viel Spaß mit der Konvertierung der Rückgabewerte haben.

Powershell für Active Directory und Schema geht an sich recht fix: Schemaerweiterungen werden hier im Workshop durch die Powershell korrekt durchgeführt, bestehende Schema-Objekte durch die Powershell verändert und missliebige Schema-Objekte durch die Powershell abgeschaltet (nein, Löschen geht auch mit der Powershell im Active Directory Schema nicht).

Die Königsdisziplin on Premise ist die Berechtigungsverwaltung im Active Directory durch die Windows Powershell. Das sieht am Anfang schwieriger aus als es dann endlich ist. Mit ein paar Code-Beispielen an der Hand können Sie später selber in Windeseile sich Scripte schreiben, welche Delegationsmodelle nach Lust und Laune umsetzen können. Sie werden später sehen: dynamic parameters sind hier eine sehr bequeme Angelegenheit.

Übersicht

  • Schnittstellen der Windows Powershell für ADS
  • Kurze Einführung Powershell und LDAP
  • Powershell für ADS
  • Usermanagement
  • Gruppenverwaltung
  • Computerverwaltung
  • Standorte und Dienste
  • Group Policies
  • DNS
  • Active Directory Schema
  • Berechtigungen im Active Directory
  • Azure

Details zum Kursinhalt

Schnittstellen der WindowsPowershell für ADS
  • ADWS TCP 9389
  • LDAP TCP 389 / LDAPS TCP 636
  • LDAP TCP 3268 / LDAPS TCP 3269

Kurze EinführungPowershell und LDAP

  • Auffrischung derPowershell Grundlagen
  • LDAP und LDAP-Query
  • LDAP-Controls
Powershell für ADS
  • ADWS Module Active Directory
  • [ADSI] & [ADSISearcher]
  • Leistungsvergleiche zwischen ADWS und LDAP
  • ADWS-Query-Policies
  • LDAP-Query-Policies
Usermanagement
  • Benutzer anlegen, verändern und löschen mit derPowershell
  • Little endian-Attribute abfragen
  • User Security administrieren (useraccountcontrol)
  • NT-Hashes von Usern abfragen und synchronisieren
  • Kerberos-Verschlüsselung optimieren
Gruppenverwaltung
  • Gruppen anlegen, verändern und löschen mit derPowershell
  • Gruppeninhalte synchronisieren
  • Gruppeninhalte divergieren
  • Gruppentypen verändern
  • deep nesting von Gruppen überblicken
Computerverwaltung
  • Powershell Remoting im Überblick
  • SPNs überprüfen und administrieren
  • Kennwortänderungen von Computern mit derPowershell überwachen und administrieren
  • Reparatur von defekten Secure Channels (insbesondere Domain Controller Secure Channel)
Standorte und Dienste
  • Replikationsgeschwindigkeit mit derPowershell erhöhen
  • Überwachung nicht definierter Subnetze im AD durch diePowershell
  • Standortoptimierung mit der WindowsPowershell
  • Replikationseigenschaften von Domain Controllern mit derPowershell administrieren
Group Policies
  • Dokumentation von Group Policies durch die WindowsPowershell
  • Überprüfung der Integrität von Policies durch diePowershell
  • Überprüfung der Replikation von Policies durch diePowershell
  • WMI-Filter von GPOs auf Funktion und Geschwindigkeit testen
DNS
  • Zonen anlegen, verändern und löschen mit derPowershell
  • GlobalQueryBlockList, GlobalNameZones und QueryResolutionPolicies
  • Konvertieren der Rückgabewerte
Active Directory Schema
  • Schema-Objekte abfragen, verändern und abschalten
  • Schema-Erweiterung durch diePowershell richtig durchführen
Berechtigungen im Active Directory
  • Berechtigungen mit derPowershell setzen und verändern
  • Berechtigungen mit derPowershell dokumentieren
  • Überwachung mit derPowershell setzen und verändern
  • Überwachung mit derPowershell dokumentieren
Azure
  • User abfragen, ändern, löschen (AzureADPowershell)
  • Gruppen abfragen, ändern, löschen
  • Azure AD Applications verwalten
  • Devices & Domains verwalten
X