Tagebuch

Конвертация vhdx в vhd:

Convert-VHD –Path "C:\folder\file.vhdx" –DestinationPath "C:\folder\newfile.vhd"

Использование MSA - Managed Service Account (управляемая учетная запись) - позволит настроить запуск некоторых служб от имени аккаунта с автоматической генерацией паролей, регулярной сменой и отсутствием дополнительных прав.
GMSA позволяет использовать msa на нескольких серверах.
Сервера 2008r2 и выше, сервисы - IIS, Exchange 10 и выше, SQL 2008 и выше, уровень леса 2008r2
Перед работой Import-Module ActiveDirectory.

Создание msa

New-ADServiceAccount name (по дефолту + нужные команды вроде установки SPN)
-AccountPassword - задать пароль, если вдруг надо, -DisplayName - отображаемое имя, -ServicePrincipalNames понятно.

Привязать к целевому серверу

Add-ADComputerServiceAccount -Identity servername -ServiceAccount msaname

Установить на целевой сервер:

Install-ADServiceAccount msaname

Периодически при инсталле будет отлуп:

Install-ADServiceAccount : Cannot install service account. Error Message: 'An unspecified error has occurred'.
At line:1 char:1

Как выяснилось, связано с репликацией между контроллерами. После того, как репликация пройдет, инсталл произойдет успешно.

GMSA создаётся так:
Для начала KDS новый ключ:
Add-KdsRootKey -EffectiveImmediately

New-ADServiceAccount gmsaname
 -DNSHostName - хост с KDS
-PrincipalsAllowedToRetrieveManagedPassword - какие компьютеры смогут получить доступ к записи.
То есть: New-ADServiceAccount gmsaname -DNSHostName keyhostname -PrincipalsAllowedToRetrieveManagedPassword servername$
Дальше инсталл на целевых серверахх как с msa

Удаление: Remove-ADServiceAccount msaname

Запуск пула IIS от имени msa: диспетчер IIS => app pools => your pool => advansed settings => proccess model => identity => custom account => set => user name - msa без пароля => ok => ok.

Ну и по мелочи на тему spn:

Посмотреть:

Get-ADServiceAccount msaname -Properties serviceprincipalname

Удалить:
Set-ADServiceAccount msaname -ServicePrincipalNames @{remove="spn"}

Добавить:
Set-ADServiceAccount msaname -ServicePrincipalNames @{add="spn"}

Задача следующее - есть домен domain1.ru. Части пользователей в качестве smtp-alias добавлены e-mail в домене domain2.com. Необходимо сформировать список всех e-mail в домене domain2.com.

Get-Mailbox -resultsize unlimited | Select-Object emailaddresses| Where-Object {$_.smtpaddress -like "*domain2.com*"}| Select-Object displayName,SmtpAddress | Export-csv C:\domain2.csv

Если долго всматриваться в чужой код, код может начать всматриваться в тебя. В моём случае это c++, написанный через visual studio, с целыми двумя комментариями. Алгоритм простой - идём в AD за данными пользователей, формируем адресную книжку. Ну и дальше IIS это дело публикует.
А пока код для меня выглядит страшно, нужно хоть что-то в плане справочника. Сделаем его на HTML.
Тут на помощь приходит powershell. Возрадуемся, господа, ибо он поддерживает css.

В качестве css для создания приятной для глаз таблички используем что-то вроде этого:

$a = "<style>"
$a = $a + "BODY{background-color:white;}"
$a = $a + "TABLE{border-width: 1px;border-style: solid;border-color: black;border-collapse: collapse;}"
$a = $a + "TH{border-width: 1px;padding: 0px;padding-top: 10px;padding-bottom: 10px;border-style: solid;border-color: black;background-color:silver}"
$a = $a + "TD{border-width: 1px;padding: 0px;padding-bottom: 5px;padding-left: 15px;padding-top: 5px;border-style: solid;border-color: black;background-color:white}"
$a = $a + "</style>"

В шапку скрипта кладём логичное:  Import-Module ActiveDirectory

Теперь основная часть, используем get-aduser. В качестве searchbase берём нужный OU, в качестве -Properties - перечень сведений, которые хотим поместить в таблицу.

$user = Get-ADUser -SearchBase "OU=DOMAIN,DC=LOCAL" -Properties DisplayName,Title,mail,telephoneNumber,physicalDeliveryOfficeName

Если необходимо убрать из списка отключенных пользователей, используем фильтр. А именно - после get-aduser пишем  -Filter {enabled -eq $true}

Если необходимо сделать выборку по пользователям определённой группы данного OU, тоже используем фильтр со значением  -Filter {memberof -like "CN=GROUP,OU=DOMAIN,DC=LOCAL"}

Если наоборот надо исключить пользователей конкретной группы, то же самое, только со значением -nolike

Если надо установить одновременно два фильтра, делаем это по принципу -Filter {(FILTER1) -and (FILTER2)}

Теперь сам вывод.

$user | Select-Object  -Property DisplayName,Title,mail,telephoneNumber,physicalDeliveryOfficeName | ConvertTo-Html  -head $a | Out-File C:\address\file.html

Если хотим измения названия столбцов, перед ConvertTo-Html определяем выводимые имена по принципу @{Name="новое имя", ;Expression={$_."Имя атрибута"}}

Итого в нашем примере это будет выглядеть как:

| Select @{Name="ИМЯ1";Expression={$_."DisplayName"}}, @{Name="ИМЯ2";Expression={$_."Title"}}, @{Name="E-mail";Expression={$_."mail"}}, @{Name="ИМЯ3";Expression={$_."telephoneNumber"}}, @{Name="ИМЯ4";Expression={$_."physicalDeliveryOfficeName"}}

Наслаждайтесь:)