Server Core模式是讓Windows Server 2012發揮絕佳效能的運作平台,目前它除了提供更便利的命令管理工具外,還內建了二千四百多個可用的PowerShell命令,相較前一版可以說是一日千里。如何善用一些常用的管理工具與命令讓伺服器的管理更加靈活,即是本文要與各位讀者分享的重點。
當需要將某位現行的使用者加入到某本機群組時,執行「net localgroup 群組名稱 使用者名稱 /add」命令即可。若要將某一位使用者從所屬的群組中移除,則將「/add」參數改成「/delete」。
如圖38所示下達「net localgroup 群組名稱」命令,可以查出某個本機群組內有哪些成員。範例中可以看到查詢的Administrators群組之中目前僅有預設的Administrator帳戶以及後來加入的JoviKu帳戶。
 |
| ▲圖38 查看群組成員。 |
如果要查詢某一位使用者的完整設定檔內容,則如圖39所示下達「net user 使用者名稱」命令。在此範例中可以查看這位使用者的全名、註解、是否在使用中或是已經到期、密碼到期日、是否允許變更密碼、容許使用的工作站、上次登入時間、目前所屬的群組清單等等。
 |
| ▲圖39 查看使用者資訊。 |
系統管理員若想要隨時幫某位本機使用者修改密碼,只須如圖40所示下達「net user 使用者名稱 *」命令,執行後再輸入兩次的新密碼,即可完成變更。
 |
| ▲圖40 變更使用者密碼。 |
介紹完Windows Server 2012在單機使用者與群組的管理之後,緊接著說明網域使用者與群組的管理技巧。首先,如圖41所示執行「Get-ADUser -Filter * -SearchBase "OU=業務部,DC=lab01,DC=local" | FT Name,SID -AutoSize」命令,查詢所有位於指定網域以及組織容器下的使用者清單與相對的SID。
 |
| ▲圖41 查看指定OU使用者資訊。 |
然而,當使用者相當多時,卻可能只想查詢某一個姓氏開頭,或是以某一個名字結尾的使用者清單,便可以參考使用以下這個命令範例「Get-ADUser -Filter 'Name -like "顧*"' | FT Name,SID -AutoSize」。範例中的「-Filter 'Name -like "顧*"'」是關鍵的參數,表示要查詢所有姓顧的使用者名單,由此可知,可以善用引號中的萬用字元來做篩選。
接下來,如圖42所示透過命令參數「New-ADUser -SamAccountName AndyLu -AccountPassword (read-host "Set user password" -assecurestring) -name "AndyLu" -enabled $true -PasswordNeverExpires $true -ChangePasswordAtLogon $false」,新增一位網域使用者並且完成初始密碼設定,範例中是以新增一個名為「AndyLu」的使用者帳戶為例。
 |
| ▲圖42 建立AD使用者。 |
如果想要把前面步驟所建立的「AndyLu」使用者加入到指定的群組內,例如系統內建的Domain Admins網域群組,則可以如圖43所示執行如下的命令參數:
 |
| ▲圖43 新增群組成員。 |
當完成以PowerShell命令來新增使用者與設定群組之後,可以如圖44所示在「Active Directory使用者和群組」介面內開啟相對的群組內容,查看新使用者是否已經出現在「成員」清單中。
 |
| ▲圖44 查看群組成員。 |
對於一些留職停薪的人員,可能需要暫時停用他的帳戶,則如圖45所示執行命令參數「Disable-ADAccount -Identity Amy」,然後再下達「Get-ADUser Amy」查看Amy這位使用者帳戶是否已停用(Enabled = False)。等到Amy又回來復職之後,再執行命令「Enable-ADAccount Amy」,即可繼續使用此帳戶。
 |
| ▲圖45 停用AD帳戶。 |
在批次管理需求方面,如果要將業務部的OU所有使用者帳戶停用,可以如圖46所示執行命令「Get-ADUser -Filter 'Name -like "*"' -SearchBase "OU=業務部,DC=lab01,DC=local" | Disable-ADAccount」,其中'Name -like "*"'可以用*來取代,如果是要針對所有特定的帳戶,例如姓顧的人員,則可以下達「'Name -like "顧*"'」。
 |
| ▲圖46 停用OU中所有AD帳戶。 |