Школа физики

Мы с ребятами занялись вопросом автоматизации этого процесса. Теоретическое изучение темы показало, что достичь цели можно несколькими способами:

1. Сценарием на языке Visual Basic Scripting Edition, который на сервере Active Directory интерпретируется компонентом Windows Script Host.
2. Windows PowerShell
3. Программы сторонних производителей, предназначенные для администрирования AD

Так как Microsoft рекомендует для администрирования инструмент Windows PowerShell, реализовывать задуманное на практике мы решили именно этим способом.

В результате нескольких часов проб и ошибок у нас получился скрипт, который способен автоматически создать пользователей в Активном Каталоге, извлекая исходные данные из текстового файла.

Итак, практическая реализация автоматического создания пользователей в Активном Каталоге ( Active Directory) при помощи Windows PowerShell:

В первую очередь создаём текстовый файл с данными пользователей и необходимыми параметрами. Первая строчка файла должна содержать названия параметров, остальные строчки – значения этих параметров, разделённые запятыми.

Все возможные параметры можно посмотреть на вкладке «Редактор атрибутов» в свойствах пользователя AD. Включается видимость вкладки «Редактор атрибутов» в главном меню панели администрирования «Компьютеры и пользователи»: в пункте меню «Вид» нужно установить флажок «Дополнительные параметры».

Естественно, в создаваемом текстовом файле не обязательно указывать все параметры пользователя. Мы в нашем текстовом файле указали только самые необходимые: Имя, Фамилия, Логин, Пароль. В итоге получился файл такого вида:

Name,Surname,Login,Password
Федор,Иванов,f.ivanov,QWERty
Вячеслав,Ломаков,v.lomakov,DERWry

Файл сохранили в формате csv, как рекомендуют многие гуру в своих блогах. Кстати, файл csv удобно создавать из MS Office Excel, это один из встроенных форматов, в котором можно сохранить документ Excel. Однако, забегая вперед, скажу, что с csv у нас возникли проблемы – имена пользователей, написанные кириллицей, занеслись в профили пользователей AD в неправильном виде. Проблема с кодировкой. Пришлось сохранять csv в формате txt, и вот тогда всё прошло гладко.

Созданный текстовый файл мы поместили в сетевую общую папку и приступили к созданию скрипта.

В первой строчке импортируем модули PowerShell для AD:

Затем импортируем пользователей из нашего текстового файла:

Параметр $1 означает, что в качестве пути к CSV-файлу будет использоваться первый по счету параметр командной строки. Запускаться скрипт будет следующим образом:

Users.csv – это наш созданный текстовый файл. Далее нам нужно пройтись по всему массиву пользователей из списка:

Знак открытой фигурной скобки означает начало цикла. Этот цикл проходит по всем объектам списка, и прискаивает текущий объект переменной $CurrentUser.

Затем, для упрощения – присвоим значения соответствующих полей отдельным переменным:

Для того, чтобы задать пароль пользователю – необходимо перевести его в шифрованный формат SecureString:

Теперь сформируем дисплейное имя пользователя, его логин, User Principal Name.

Наконец, можно перейти к самой главной процедуре: созданию учетной записи пользователя.

Здесь, в принципе, все параметры понятны. Параметр -ChangePasswordAtLogon 1 означает, что пользователю будет предложено сменить пароль сразу после логина.
По умолчанию в PowerShell, в отличие от стандартного визарда в оснастке ActiveDirectory Users And Computers учетные записи только что созданных пользователей будут отключены (Disabled). Поэтому сразу после создания учетные записи нужно включить:

Теперь нужно закрыть цикл знаком «}». Cкрипт готов!

Целиком скрипт выглядит так: