在本文中，我们将在Ubuntu 14.04上安装和配置PowerBroker Identity Services(PBI)，以便与Windows Active Directory域加入。
我们还将考虑如何使用dsquery命令从AD中删除陈旧计算机帐户。

下载并安装

首先，我们需要从Github下载最新版本的PowerBroker Identity Services

此外，我们可以通过在Ubuntu OS上运行以下命令来下载它：

wget https://github.com/BeyondTrust/pbis-open/releases/download/8.5.3/pbis- open-8.5.3.293.linux.x86.deb.sh

现在，我们需要设置执行位并使用root权限执行包：

chmod +x pbis-open-8.5.3.293.linux.x86_64.deb.sh

sudo ./pbis-open-8.5.3.293.linux.x86_64.deb.sh

它会在安装期间提出几个问题，因此选择相应的选项。
完成安装后，将计算机连接到域。

PBIS配置

我们已准备好继续配置。
请导航到/opt/pbis/bin/directory并运行domainjoin-cli命令加入主机到Active Directory域。

cd /opt/pbis/bin/
sudo domainjoin-cli join [DomainName [DomainAccount]

其中：

domainname域名帐户的域名域名的名称(user @ domainname)

示例：sudo domainjoin-cli加入example.com管理员提示时，请提供Active Directory管理员的密码。在成功的身份验证时，该命令将Ubuntu计算机添加为域的成员。该命令还在/etc/hosts文件中添加条目。

要检查Ubuntu域设置，需要从终端运行以下命令：

sudo domainjoin-cli query

该命令将显示Ubuntu计算机已加入的域的名称.Example：name = username域= emply.com可分辨名称= cn = username，cn = computers，dc =示例，dc = comnote：如果我们想要从域中删除Ubuntu计算机，我们需要运行

sudo domainjoin-cli leave

一旦加入到域名重要事项，就是将sudoers组的访问权限限制为仅限域管理组的成员。这可以通过添加％域^ admins all =(全部)在组部分中更新/etc/sudoers文件来完成，因此sudoers文件部分如下所示：

# Members of the admin group Jan gain root privileges
%admin ALL=(ALL) ALL
%domain^admins ALL=(ALL) ALL

使用PBI的好处是它允许多种方法来自定义登录，域前缀，登录shell，文件夹名称等。要为域用户设置默认配置，我们需要使用PBI设置所有环境必填域用户将记录在系统中。
请打开终端并运行以下命令：

sudo /opt/pbis/bin/config UserDomainPrefix [Domain]

设置域前缀

sudo /opt/pbis/bin/config AssumeDefaultDomain True

将此设置为"真实"避免所有时间输入域名

sudo /opt/pbis/bin/config LoginShellTemplate /bin/bash

设置默认shell.

sudo /opt/pbis/bin/config HomeDirTemplate %H/%D/%U

将不同的主目录设置为机器上的本地用户

sudo /opt/pbis/bin/config RequireMembershipOf "[Domain]\[SecurityGroup]"

设置特定的Active Directory Security SacthsNext步骤，我们需要编辑PAMD.D常见会话文件。请输入终端：

sudo vi /etc/pam.d/common-session

导航到状态足够的PAM_LSASS.SO的行，并用会话替换它[成功=确定默认=忽略] pam_lsass.so

然后，我们需要编辑LightDM配置文件并添加以下行：

sudo vi /usr/share/lightdm/lightdm.conf.d/50-unity-greeter.conf

allow-guest=false
greeter-show-manual-login=true

请注意，如果我们使用的是lubuntu 14.04，Lightdm配置文件将是60-lightdm-gtk-greeter.conf

测试它！

一旦对所有选项满意，只需重新启动机器：

reboot

并登录：

ssh [username]@[servername]

如何重新启动PBIS服务

PBIS代理由Service Manager LWSMD守护程序组成，位于/OPT/PBIS/SBIN/LWSMD中。
此守护程序包括LSASS服务，处理身份验证，授权，缓存和LDMAP查找。
由于身份验证服务寄存器仅信任启动时，因此在修改信任关系后，应将LSASS与PBIS服务管理器重新启动。
要重新启动服务，只需运行：

/opt/pbis/bin/lwsm restart lsass

如何使用命令行卸载PBI

要使用命令卸载PBI，请运行以下命令：

/opt/pbis/bin/uninstall.sh uninstall

如果要完全删除系统的所有挂钩相关文件，请运行清除过程：

/opt/pbis/bin/uninstall.sh purge

如何在Active Directory中查找和删除陈旧计算机

有些组织具有最大的不活动时间，可以允许AD域帐户。
因此，应删除在此类时间段内处于非活动状态的帐户。
但强烈建议我们首先在删除它们之前找出所有非活动帐户。
在我们的文章中，我们将使用命令提示符。
通过使用DSQuery命令，可以使用命令提示符来执行不活动帐户，禁用或者删除它们。
基本上，DSQuery命令根据指定的条件搜索AD对象(例如，特定时间段的非活动帐户)。
稍后，可以将搜索结果作为DSMOD和DSRM命令的输入给出，以便禁用和删除帐户。
首先，我们需要在AD主机上打开命令提示符。
然后，要查找非活动的计算机，请运行：

dsquery computer -inactive

现在，要禁用非活动计算机，请运行：

dsquery computer -inactive | dsmod computer -disabled yes

禁用后，允许通过运行删除它们：

dsquery computer -disabled | dsrm -noprompt

请注意，它不能通过运行直接删除它们：

dsquery computer -inactive | dsrm -noprompt