Как можно активировать модуль ActiveDirectory через GPO или скриптом?

Question

[Вася Пупкин]

Есть скрипт, который вешается на логон пользователя, скрипт отрабатывается частично. В логах вижу ошибку на строчке Import-module ActiveDirectory, о том что модуль ActiveDirectory не найден.
Если на ПК где выполняется скрипт под правами админа запустить PS и выполнить:

Add-WindowsCapability –online –Name “Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0”

После чего снова запустить скрипт, то все выполнится корректно.

Пробовал сделать как тут описано, но не работает. Т.е. я скопировал файлы из папки Modules в папку, которую разместил в netlogon, чтобы папка была по умолчанию в доступе у всех и не копировать всю папку на каждый комп в домене каждый раз. Добавил туда же два файла, которые и импортируются в итоге, в скрипте в самом начале добавил две строки:

Import-Module "\\domain.local\NETLOGON\ActiveDirectory\Microsoft.ActiveDirectory.Management.dll"
Import-Module "\\domain.local\NETLOGON\ActiveDirectory\Microsoft.ActiveDirectory.Management.resources.dll"

Ошибка та же самая, что и без установленного модуля.

Может можно Add-WindowsCapability как-то выпонить через GPO на всех тачках, потому что их много?

Сам скрипт PS

$User = $env:UserName
$FileName = "Sign"
$FileExtension = "htm","rtf","txt"
$PathOriginal = "\\domain.local\NETLOGON"
$Path = "C:\Users\Public\Downloads"
$PathSignature = "$PathOriginal\OutlookSignature"
$PathSignatureTemplates = "$PathOriginal\OutlookSignature\Templates"

$PathSignatureUser = "$Path\OutlookSignature\$User"
$AppSignatures =$env:APPDATA + "\Microsoft\Signatures"

Import-Module "\\domain.local\NETLOGON\ActiveDirectory\Microsoft.ActiveDirectory.Management.dll"
Import-Module "\\domain.local\NETLOGON\ActiveDirectory\Microsoft.ActiveDirectory.Management.resources.dll"
$AD_user = Get-ADUser $User -Properties Title,Company,homePhone,telephoneNumber,sn,givenName

New-Item -Path "$Path\OutlookSignature\$User" -ItemType Container –Force
foreach ($Ext in $FileExtension)
{
Copy-Item -Force "$PathSignatureTemplates\$FileName.$Ext" "$PathSignatureUser\$FileName.$Ext"
}

foreach ($Ext in $FileExtension)
{
(Get-Content "$PathSignatureUser\$FileName.$Ext") | Foreach-Object {
$_ -replace "@sn", $AD_user.sn `
-replace "@givenName", $AD_user.givenName `
-replace "@Title", $AD_user.Title `
-replace "@Company", $AD_user.Company `
-replace "@homePhone", $AD_user.homePhone `
-replace "@ipPhone", $AD_user.telephoneNumber
} | Set-Content "$PathSignatureUser\$FileName.$Ext"
}

foreach ($Ext in $FileExtension)
{
Copy-Item -Force "$PathSignatureUser\$FileName.$Ext" "$AppSignatures\$User.$Ext"
write-host "$PathSignatureUser\$FileName.$Ext"
write-host "$AppSignatures\$User.$Ext"
}

#Office 2016 and Over
If (Test-Path HKCU:'\Software\Microsoft\Office\16.0') {
Remove-ItemProperty -Path HKCU:\Software\Microsoft\Office\16.0\Outlook\Setup -Name First-Run -Force -ErrorAction SilentlyContinue -Verbose
New-ItemProperty HKCU:'\Software\Microsoft\Office\16.0\Common\MailSettings' -Name 'ReplySignature' -Value $User -PropertyType 'String' -Force
New-ItemProperty HKCU:'\Software\Microsoft\Office\16.0\Common\MailSettings' -Name 'NewSignature' -Value $User -PropertyType 'String' -Force
}

UPD №1: Скорректировал скрипт и убрал строку Import-module ActiveDirectory т.к. я же загружаю его через dll. Ошибка недоступности модуля ушла, но в скрипт добавляет в подпись только givenName почему то, а все остальное пустое.

UPD №2: Если я просто зайду на ПК под юзером, открою powershell и выполню 1 команду из скрипта

Import-Module "\\domain.local\NETLOGON\ActiveDirectory\Microsoft.ActiveDirectory.Management.dll"

То все подгружается корректно и я могу использовать тот же Get-ADUser, а значит эти две строчки работают.

Почему тогда при выполнении скрипта в подписи вставляется только givenName? Как будто -replace не отрабатывает замену всех атрибутов или Get-ADUser не может считать остальные данные которые указаны.
Что еще можно протестировать, почему передаются не все данные?

UPD №3: Выполнение в одну строчку команды Get-ADUser так же отрабатывает без ошибок, но почему то выдает меньше информации, возможно поэтому ничего кроме givenName через нее и не получается собрать?

Результат вывода

UPD №4: Проблема по сути в этом и есть. Та же самая строка на ПК с установенной оснасткой выдает то что указано в -Properties, без оснастки не выдает. Как исправить пока не понятно.

Answer 1

[MaxKozlov]

То, что пытается делать скрипт, точнее для чего конкретно используется модуль, надо делать на админской машине

spoiler

$_ -replace "@sn", $AD_user.sn `
-replace "@givenName", $AD_user.givenName `
-replace "@Title", $AD_user.Title `
-replace "@Company", $AD_user.Company `
-replace "@homePhone", $AD_user.homePhone `
-replace "@ipPhone", $AD_user.telephoneNumber
} | Set-Content "$PathSignatureUser\$FileName.$Ext"

и потом юзеру просто качать из шары

А сам модуль для этого не предназначен

Впрочем, если очень хочется, вы можете получить все те же свойства через [ADSI]

Но я б не стал. это всё медленно, скрипт не чекает, что всё уже создано, то есть юзеру ждать каждый раз

update: Пример через ADSI, если таки надо:

$NTAccount = [System.Security.Principal.NTAccount]::new($env:username)
$sid = $NTAccount.Translate([System.Security.Principal.SecurityIdentifier]).Value
$User = [adsi]"LDAP://<SID=$sid>"
$User.DisplayName

Comments

[Вася Пупкин]

надо делать на админской машине

Что именно делать, заменять данные в файле? И на какой админской машине? Каким образом это реализовать и что поменяется?
Вроде с этой частью проблем нет. Сейчас пользователь копирует себе в общую папку на своем ПК файлы и там меняет, что изменится, если эти файлы будут меняться на какой то другой тачке, а потом только копироваться на ПК пользователя?

Скрипт висит на logon у всех юзеров (200+) и меняет у всех подпись в Outlook, каждый раз, когда он логинится. Люди меняют ее под себя, поэтому сделан скрипт, чтобы у всех она была однообразна и сбрасывалась при входа, поскольку как ее заблокировать я не нашел. Нашел более-менее рабочий скрипт, который я могу скорректировать со своими скудными знаниями.

[Вася Пупкин]

MaxKozlov обновил основной вопрос, может быть натолкнете в нужном направлении, куда копать.

[MaxKozlov]

Вася Пупкин, Один раз выполнить для всех пользователей у себя (по мере появления новых выполнять и для них),
Сгенерённые подписи сложить в общедоступную шару, оттуда и обновлять у людей через логон-скрипт простым копированием как у вас

$PathSignatureUser = "\\server\share\$($env:username)"
foreach ($Ext in $FileExtension)
{
Copy-Item -Force "$PathSignatureUser\$FileName.$Ext" "$AppSignatures\$User.$Ext"
}

Как технически заблокировать изменение подписи не могу сходу сказать, у нас все подписи делаются одинаковыми административными методами, чего и вам желаю :)

[Вася Пупкин]

MaxKozlov, Спасибо за инфу. Пока сложно мне для понимания как реализовать все на powershell, буду смотреть/тренироваться, как это можно автоматизировать поменяв скрипт. Логику вроде уловил.

P.S. Административными методами сложно, есть особо тугие.

[MaxKozlov]

Вася Пупкин, Ну если понятно, есть кнопка "отметить решением" :)

А скриптовать - да точно также, только в цикле и запускать у себя

Get-ADUSer -Filter * -Property .... | Where-Object {
# Тут отфильтровать только ненужных типа системных и отключенных
} | Foreach-Object {
$user = $_
   ...
  foreach ($ext in ...) {
       ...
       $signature | set-content .... -path "\\server\share\$(user.samaccountname).$ext"
    }
}

P.S. На то и административные методы, чтобы до тугих через кошелёк доходило :)

[Вася Пупкин]

MaxKozlov,

А скриптовать - да точно также, только в цикле и запускать у себя

Т.е. по сути разбить на две независимые части?

1. Первую, которая ADUser и размещение в сетевой папке, запускать на контроллере, когда добавляются новые юзеры или меняются данные в карточках.
2. Вторую с копированием из шары и заменой подписи, вешать на logon пользователя.

[MaxKozlov]

Вася Пупкин, Именно, только не обязательно на контроллере, достаточно компа админа с RSAT

Answer 2

[Alexey Dmitriev]

Модуль ActiveDirectory для Powershell - это модуль управления AD с помощью Powershell.
Если все-таки странным образом он используется в скриптах GPO, хотя это и выглядит очень и очень странно - нужно обеспечить его установку и возможность запуска на всех машинах, к которым применяется GPO.

Answer 3

[Роман Безруков]

как-то так без загрузки модулей:

$AD_user = Invoke-Command -ComputerName $DC -ScriptBlock {Get-ADUser $Using:User -Properties * | Select-Object DisplayName,Title,Company,StreetAddress,PostalCode,L,Mobile,Mail,wwwHomePage} -ErrorAction Stop

Comments

[Вася Пупкин]

Роман Безруков Не работает, поскольку выдается ошибка прав доступа к $DC если там указывать контроллер домена, как ПК на котором есть рабочий PS. Скрипт запускается под каждым пользователем, а у них ограниченные права и доступа на контроллер соответственно нет и не будет.

Но я пофиксил вопрос и Import-Module отрабатывает корректно, проблема теперь в другом