Powershell建立AD帐户

760176104

　　朋友新开的公司规模越来越大，原来使用工作组的管理方式已经无法满足业务增长需求，让友情帮忙搭建一套AD环境出来，搭建AD的教程就先忽略了，就说建立OU与系统帐户还有加域吧。
　　本来都可以使用DOS命令(dsadd ou 和 dsadd user)进行的，但是微软大力推Powershell，还是要跟上时代的浪潮，琢磨了一下官方手册，于是出现了如下命令：
　　一、新建3个OU (在组织名称后再增加PC和USER两个OU，方便下发域策略(用户和计算机策略)
　　New-ADOrganizationalUnit -name LEE -path "DC=LEE,DC=NET"
　　New-ADOrganizationalUnit -name USER -path "OU=LEE,DC=LEE,DC=NET"
　　New-ADOrganizationalUnit -name PC -path "OU=LEE,DC=LEE,DC=NET"

• 　　New-ADOrganizationalUnit -name 业务 -path "OU=PC,OU=LEE,DC=LEE,DC=NET"
  　　New-ADOrganizationalUnit -name 采购 -path "OU=PC,OU=LEE,DC=LEE,DC=NET"
  　　New-ADOrganizationalUnit -name 生产 -path "OU=PC,OU=LEE,DC=LEE,DC=NET"
  　　New-ADOrganizationalUnit -name HR -path "OU=PC,OU=LEE,DC=LEE,DC=NET"
  
• 　　New-ADOrganizationalUnit -name 业务 -path "OU=USER,OU=LEE,DC=LEE,DC=NET"
  　　New-ADOrganizationalUnit -name 采购 -path "OU=USER,OU=LEE,DC=LEE,DC=NET"
  　　New-ADOrganizationalUnit -name 生产 -path "OU=USER,OU=LEE,DC=LEE,DC=NET"
  　　New-ADOrganizationalUnit -name HR -path "OU=USER,OU=LEE,DC=LEE,DC=NET"
  

　　二、建立AD帐户并绑定登录工作站

• 　　NEW-ADUSER -samaccountname KMD076 -name KMD076 -userprincipalname KMD076@LEE.NET -display 业务刘红灯 -accountpassword(ConvertTo-Securestring -String "km.2017" -asplaintext -force) -enabled $true -Description 业务刘红灯 -LogonWorkstations "KM-sales1" -path "OU=业务,OU=USER,OU=LEE,DC=LEE,DC=NET"
  
• 　　NEW-ADUSER -samaccountname KMD012 -name KMD012 -userprincipalname KMD012@LEE.NET -display SC刘慧鹏 -accountpassword(ConvertTo-Securestring -String "km.2017" -asplaintext -force) -enabled $true -Description SC刘慧鹏 -LogonWorkstations "KM-Wirecut2" -path "OU=生产,OU=USER,OU=LEE,DC=LEE,DC=NET"
  

　　NEW-ADUSER详细的命令参数可通过官网获取：
　　https://technet.microsoft.com/en-us/library/ee617253.aspx
　　三、创建计算机账户
　　NEW-ADCOMPUTER
　　NEW-ADCOMPUTER -NAME  KM-sales1 -PATH "OU=采购,OU=PC,OU=LEE,DC=LEE,DC=NET"
　　事先建立好未添加网域的电脑账户，加域后会自动连接到指定OU，而非默认的computer容器，更利于管理。
　　NEW-ADCOMPUTER详细的命令参数可通过官网获取：
　　https://technet.microsoft.com/en-us/library/ee617245.aspx
　　四、创建组策略并链接到指定的OU （这里以常用的Bginfo 做演示（结合SQLSERVER））
　　1、先准备SQL 数据库( 安装略) 并建立一个bginfo 的数据库，并将SA登录权限开启。

　　2、自定义bginfo配置文件字段：
　　打开bginfo.exe 自定义两个字段（SN号与机身型号），可以结合vbs或者WMI调取自己所需的字段；
　　我定义序列号（SN） 与机器型号(MODEL）；（

　　备注：
　　我司领导要求桌面不显示信息(IP/主机名等)，把字段全部清空, 仅收集客户端信息,各位就看你们的实际需求是否去除了。

　　3、bginfo程序字段链接SQL数据库
　　服务器输入SQL服务器的名称(建议关闭防火墙), 若通过windows账户进行登录的话，勾选使用信任连接（账户密码为windows账户与密码，一般为域用户）为测试环境这里就直接使用SA账户进行登录了，生产环境强烈不建议这么做。

　　4、将GPO连接到用户群组（bginfo为读取当前用户信息，链接到计算机策略获取电脑信息没太大意义）。
　　写个批处理bginfo.bat，红色区域不同域环境修改一下路径即可（这里以LEE.NET网域为例）
　　cmd /c
　　@echo off
　　"\\LEE.NET\SysVol\LEE.NET\Policies\{81CE5A09-F768-476F-BAE6-B65282C9F621}\User\Scripts\Logon\bginfo.exe" /nolicprompt /i"\\LEE.NET\SysVol\LEE.NET\Policies\{81CE5A09-F768-476F-BAE6-B65282C9F621}\User\Scripts\Logon\bgconfig.bgi" /timer:00

　　5、在客户端注销登录（登录账户需套用bginfo 的GPO）
　　不知这个是否为程序的bug还是有其他原因，虽然删除了所有显示的字段，还是会显示一下再自动消失。

　　6、SQL数据库中查看已存在自定义和微软默认的所有字段记录