Još u vrijeme kada sam bio dječiji skriptar, volio sam se igrati s Windows Forms. Kažu da prva ljubav nikad ne umire, a naravno, tu i tamo me zasvrbi. Ponovno se dogodilo ranije ovog tjedna, a odabrana meta nisu bili ništa drugo do zastrašujući predlošci imenika i postavke u Entra ID/Microsoft 365. Već sam mnogo puta obrađivao navedene objekte, posljednji put u ovaj članak o tome kako njima upravljati putem Graph SDK-a za PowerShell. Ono što je uvijek bio dosadan i zamršen proces samo se pogoršalo prelaskom na Graph, a čini se da Microsoft nije baš zainteresiran za olakšavanje stvari administratorima.
Sadržaj objave
Pokretanje alata
Upoznaj moju najnovija kreacijas namjerom da olakša rad s objektima predložaka postavki imenika kao i s njima povezanim objektima postavki. To je PowerShell skripta koja iskorištava Windows Forms za predstavljanje dijaloškog okvira koji je jednostavan za rad za pregled, dodavanje, ažuriranje ili uklanjanje postavki imenika unutar vaše organizacije. Nema više posla s GUID-ovima, JSON-ovima i svim tim sranjima, složenost je skrivena iza jednostavnog GUI-ja. Podržane su i postavke specifične za grupu, ali više o tome kasnije.
možete preuzmi skriptu za moje GitHub spremište. Za najbolje iskustvo, trebali biste ga pokrenuti putem PowerShell 7.4+, iako bi (uglavnom) trebao raditi na starijim verzijama, uključujući Windows PowerShell. Osim zahtjeva za host, trebat će vam verzija Graph SDK-a za PowerShell koja uključuje potrebne cmdlete, recimo 2.25.0 ili noviju. Testirajte ga sa starijim verzijama ako morate, nisam se trudio time.
Kao i sa svime što se tiče Grapha, moramo se pobrinuti i za potrebna dopuštenja. The službena dokumentacija reći će vam to GroupSettings.ReadWrite.All trebao biti dovoljan za sve operacije. U stvarnosti to ne vrijedi. Da biste dobili cijeli skup predložaka postavki imenika, trebat će vam Imenik.Pročitaj.Sve dozvole. Imenik.ČitanjePisanje.Sve je potreban ako želite napraviti promjene na njima. Neki predlošci mogu imati dodatne zahtjeve, na primjer, “Postavke pravila pristanka” zahtijevaju Policy.ReadWrite.Authorization djelokrug.
Skripta koristi dopuštenja delegata, što znači da korisnik s kojim se autentificirate mora također imati odgovarajuću ulogu unutar Entre. Globalni čitatelj trebao bi biti dovoljan za operacije samo za čitanje; Administrator grupe jedan za ažuriranje bilo kojeg objekta postavke koji se odnosi na grupu. Ostatak može zahtijevati više povlaštenih uloga, pogledajte službenu dokumentaciju za više pojedinosti. Također možete ažurirati bitove provjere autentičnosti za korištenje dopuštenja aplikacije ako je potrebno, oni su podržani za sve operacije.
Skripta će se prvo povezati s Graphom i dohvatiti sve predloške postavki direktorija i objekte postavki. Zatim će pozvati dijaloški okvir Postavke direktorija, ispisujući cijeli skup dostupnih predložaka ispod padajuće kontrole na vrhu. Ako odgovarajući objekt postavki postoji za odabrani predložak, njegove odgovarajuće vrijednosti bit će popunjene pod kontrolom DataGridView; inače će navedena kontrola biti obrisana. U svakom trenutku možete koristiti Osvježiti gumb za ponovno učitavanje skupa predložaka i postavki.
Ovisno o prisutnosti objekta postavki za odabrani predložak, Dodati, Ažurirati i Ukloniti gumbi će prema potrebi biti omogućeni ili onemogućeni. Imajte na umu da po predlošku možete imati samo jedan objekt postavke, što se također odnosi na objekte postavki specifične za grupu. Onemogućavanjem odgovarajućih kontrola nastojimo minimizirati mogućnost bilo kakvih pogrešaka na strani poslužitelja, budući da rukovanje onima u obrascu može biti komplicirano (pogledajte dolje).
Da biste stvorili novi objekt postavki na temelju danog predloška, prvo pritisnite Dodati dugme. Ovo će popuniti zadane vrijednosti iz odabranog predloška, ali neće ništa napisati na poslužitelj. U ovom trenutku možete slobodno mijenjati zadane postavke. Da biste potvrdili novi objekt postavki, pritisnite Ažurirati dugme. The U REDU i Otkazati gumbi su tu da omoguće zatvaranje obrasca putem tipki Enter/Escape, sami ne rade mnogo.
Slično, ako uređujete vrijednosti za postojeći objekt postavke, koristite Ažurirati gumb za potvrdu promjena. Pritiskom na Ažurirati gumb izvršava odgovarajući cmdlet za stvaranje novog objekta postavki za odabrani predložak postavki direktorija ili ažuriranje postojećeg, prema potrebi. Zatim osvježavamo podatke na strani poslužitelja kako bismo osigurali da su promjene izvršene prema očekivanjima i izbjegli potencijalne probleme s prepisivanjem već ažuriranih objekata postavki. Naravno, možete prisiliti i ručno osvježavanje, kada je potrebno.
Rukovanje objektima postavki specifičnim za grupu
Posljednja kontrola koju trebamo pokriti je gumb za odabir grupe. Ali prvo malo konteksta. Kao što vjerojatno znate, predlošci postavki direktorija dolaze s dva različita okusa – jedan predstavlja konfiguracije na razini stanara i drugi koji se može dodijeliti određenim (grupnim) objektima za kontrolu nekih aspekata njihovog ponašanja. Potonja kategorija trenutno je zapravo ograničena samo na postavke pristupa za goste za unificirane grupe, s nekim novim dodacima koji dolaze u bliskoj budućnosti (kao što je navedeno, još ne možemo govoriti o njima).
Imajući gore navedeno na umu, možete vidjeti zašto dohvaćanje objekata postavki na razini stanara ne pokriva sve scenarije. Ali kako bismo uključili one specifične za grupu, moramo izdati zaseban upit po grupi. Stoga je pretjerano raditi ovo za sve grupe unutar stanara i izvan je opsega alata. Umjesto toga, nudimo mogućnost upita za pojedinačne postavke grupe na zahtjev dopuštajući vam da unesete GUID odgovarajuće grupe. Relevantna kontrola vidljiva je ispod statusne trake samo kada je odabran predložak specifičan za grupu.
Udaranje Odaberite grupu gumb na traci statusa (kao što je prikazano na gornjoj snimci zaslona) donosi jednostavan modalni dijaloški okvir u koji možete unijeti GUID grupe za koju želite upravljati postavkama. Zatim dohvaćamo objekt postavki koji odgovara odabranoj kombinaciji grupe/predloška, ako takav postoji, i prebacujemo preostale kontrole kako bismo vam omogućili da napravite promjene prema potrebi. U budućoj verziji alata mogli bismo razmotriti zamjenu ovoga s “biračem grupe” ili barem dopuštanjem traženja grupe po imenu, ali za ova početna izdanja ova jednostavna implementacija dobro obavlja posao.
Validacija i druge QoL stvari
Alat će pokušati potvrditi vrijednosti postavki gdje je to moguće. Budući da svaki objekt predloška postavki direktorija uključuje definiciju vrste vrijednosti koje prihvaća, možemo osigurati da se za bilo koje Booleovo svojstvo, na primjer, unese samo vrijednost true/false. Slično, možemo potvrditi GUID i URI vrijednosti, do određene mjere. Možemo čak ići korak dalje i uzeti u obzir dopuštene raspone za Prag zaključavanja unutar postavki pravila za lozinku i slično. Uz to, ovo nipošto nisu iscrpne provjere, stoga svakako dajte valjane podatke 🙂
Osim toga, dostupne su i neke druge značajke kvalitete života. Na primjer, rad s popisom zabranjenih lozinki, dijelom predloška “Postavke pravila lozinke”, zahtijeva odvajanje pojedinačnih unosa pomoću znaka kartice. Iako alat ispravno obrađuje takve unose (pogledajte prvu sliku zaslona gore), dodavanje novih unosa na popis zabranjenih lozinki nije baš jednostavno unutar prikaza podatkovne mreže. U najboljem slučaju, tamo možete zalijepiti vrijednosti odvojene tabulatorima.
Kako bi se to riješilo, svaki put kad pokušate urediti (ili pogledati) tekstni okvir s više redaka Popis zabranjenih lozinki vrijednost. Omogućuje vam iskustvo jednostavnog korištenja slično onom koje se koristi unutar portala Entra, gdje se svaki unos lozinke može staviti u novi red. Alat će zatim “prevesti” u traženi format, bez da vas opterećuje detaljima. Također će ukloniti duplicirane vrijednosti, obrezati razmake i ukloniti “prazne” unose. Snimak zaslona u nastavku ilustrira kako sve ovo funkcionira:
Posljednja napomena u vezi s Popis zabranjenih lozinki. Microsoft nameće zahtjev za duljinu za svaki pojedinačni unos na popisu, koji mora biti između 4 i 16 znakova. Odgovarajuće provjere implementirane su u skriptu uz gore navedene transformacije. Ovo nije uvjet koji vam alat nameće, krivite Microsoft! Također, ne postoji provjera zahtjeva složenosti za bilo koji unos lozinke, tako da su svi nizovi kao što su “aaaaa” ili “pass1” važeći.
Ostala moguća poboljšanja
Gore smo spomenuli jedno potencijalno poboljšanje za buduće verzije alata, točnije robusnije mogućnosti grupnog odabira ako je oblik kontrole preuzimanja ili funkcije pretraživanja. Naravno, kao i kod svake druge skripte, postoji bezbroj drugih stvari koje potencijalno možete poboljšati. Na primjer, možemo olakšati konfiguraciju postavke pravila imenovanja grupe, kao što je predstavljeno putem PrefixSuffixNamingRequirement vrijednost. Mnoge vrijednosti vrste popisa/niza potencijalno mogu imati koristi od tretmana sličnog onom koji smo dali Popis zabranjenih lozinki postavka, i tako dalje.
Pojednostavljeniji pristup zahtjevima dopuštenja za PowerShell cmdlete još je jedna stvar koju možemo razmotriti za buduće verzije alata, uključujući pružanje iskustva samo za čitanje. Kako neke od metoda dolaze s visoko privilegiranim dopuštenjima i zahtjevima za korisničku ulogu, pretpostavljam da će mnogi administratori biti oprezni, i to opravdano. Trenutna implementacija također je malo lakša u rukovanju pogreškama kada su u pitanju iznimke povezane s dopuštenjima, što zauzvrat može rezultirati lošim iskustvom… koje slobodno možete poboljšati!
Govoreći o rukovanju pogreškama, velik dio logike koju koristi alat ugniježđen je unutar rukovatelja događajima kontrola obrasca. Ovo ima nesretnu nuspojavu prisiljavanja da koristimo nezavršavajuće iznimke u mnogim dijelovima, jer će se inače sam obrazac pokvariti. Iako smo implementirali neku logiku za rukovanje Graphovim odgovorima, kad god se cmdlet ne uspije izvršiti zbog parametra koji nedostaje, nepostojeće varijable i tako dalje, ne može se obraditi rezultirajuća pogreška završetka. Ako naiđete na takve scenarije, svakako mi pingajte o tome ili otvorite problem na GitHubu.
Pružanje nekih izlaznih podataka za promjene izvršene putem alata također bi moglo biti korisno. Trenutačno takva opcija nije dostupna, ali možete dobiti dodatne pojedinosti za izvođenje različitih operacija uključivanjem verbose izlaza (tj. postavljanjem vrijednosti ugrađenog $VerbosePreference varijabla za Nastaviti).
Na kraju, javite mi ako pronađete Dodati ponašanje gumba zbunjujuće i što mislite o željenom iskustvu. Kao i uvijek, svi drugi komentari i povratne informacije su dobrodošli!
