à l’aide du module ActiveDirectory PowerShell, vous pouvez interroger des groupes D’annonces avec Get-AdGroup, Ajouter, Mettre à jour et supprimer des groupes et des membres de groupe. Dans cet article de blog, vous allez en apprendre un peu plus sur les applets de commande PowerShell du groupe Active Directory avec une tonne d’exemples de référence.
table des matières
Cmdlets de groupe Active Directory
Une fois que vous installez le module ActiveDirectory PowerShell, vous trouverez quelques cmdlets disponibles pour gérer les groupes.,
Nom de la Cmdlet | Description |
---|---|
Ajouter-ADGroupMember | permet d’ajouter des membres à un groupe d’ANNONCES. |
Ajouter-ADPrincipalGroupMembership | Utilisé pour ajouter une ANNONCE principal de groupes d’ANNONCES. |
Get-ADGroup | Utilisé pour le retour d’un ou de plusieurs groupes d’ANNONCES. |
Get-ADGroupMember | Utilisé pour renvoyer les membres d’un groupe d’ANNONCES., |
Get-ADPrincipalGroupMembership | Utilisé pour obtenir les groupes AD principal est un membre de. |
Nouveau-ADGroup | permet de créer un nouveau groupe d’ANNONCES. |
Supprimer-ADGroup | permet de supprimer un groupe d’ANNONCES. |
Supprimer-ADGroupMember | Utilisé pour supprimer des membres d’un groupe d’ANNONCES. |
Remove-ADPrincipalGroupMembership | utilisé pour supprimer un principal D’annonce des groupes D’annonces. |
Set-ADGroup | Utilisé pour définir les propriétés d’un groupe d’ANNONCES., |
En utilisant ces applets de commande et un peu de kung-fu PowerShell, vous pouvez gérer tous les aspects du groupe Active Directory avec PowerShell.
rechercher les membres d’un groupe avec Get-ADGroupMember
l’applet de commandeGet-AdGroupMember
renvoie tous les membres d’un groupe.
PS51> Get-ADGroupMember -Identity <identity string or object>
Vous pouvez également référencer la propriétémemberOf
sur un utilisateur particulier en utilisant l’applet de commandeGet-Aduser
., Pour un rappel sur la façon de créer des filtres, consultez apprentissage des filtres Active Directory Directory et LDAP dans PowerShell.
deux exemples sont ci-dessous.
PS51> Get-ADUser -Filter 'memberOf -eq ""'PS51> Get-ADUser -LDAPFilter '(memberOf=)'
renvoie une collection d’objets ADPrincipal.
exporter les membres d’un groupe dans un fichier CSV
cela exporte le prénom, le nom et l’adresse e-mail de chaque utilisateur. Acheminez les résultats deGet-ADGroupMember
vers Get-ADUser
car ce sont des objets ADPrincipal qui n’ont pas toutes les propriétés des objets ADUser.,
Notez l’utilisation de la balise
NoTypeInformation
paramètre deExport-CSV
pour vous assurer que le fichier CSV est compatible avec d’autres applications.
rechercher des groupes sans membre avec Get-ADGroup
utilisezGet-AdGroup
pour rechercher des groupes à l’aide de filtres. Les deux exemples ci-dessous.
PS51> Get-ADGroup -Filter "Members -notlike '*'"PS51> Get-ADGroup -LDAPFilter "(!(member=*))"
Créer un nouveau groupe de sécurité avec la Nouvelle-ADGroup
Vous créez un nouveau groupe de sécurité à l’aide de la balise New-AdGroup
commande.,
PS51> New-ADGroup -Name '<group name>' -GroupScope <scope of group> -Path '<path of the OU tht will host the new group>'
Si pas de Path
paramètre est fourni, le nouveau groupe sera créé dans le conteneur Utilisateurs. La portée du groupe doit être DomainLocal
, Global
ou Universal
.
créez un nouveau groupe de distribution avec New-ADGroup
utilisez à nouveauNew-AdGroup
pour créer un groupe de distribution. Cette fois, choisissez un GroupCategory
de Distribution
.,
ajouter des membres à un groupe avec Add-ADGroupMember
L’ajout d’utilisateurs à un groupe Active Directory avec PowerShell peut se faire à l’aide de la cmdletAdd-AdGroupMember
ou de la cmdletAdd-ADPrincipalGroupMembership
.
Cette commande spécifie le groupe comme identité.
PS51> Add-ADGroupMember -Identity <identity string or object> -Members <identity string(s) or ADPrincipal(s)>
Cette commande spécifie l’ANNONCE principale de l’Identité.,
PS51> Add-ADPrincipalGroupMembership -Identity <identity string or object> -MemberOf <identity string(s) or ADGroup(s)>
écrire dans la propriété Notes d’un groupe avec Set-AdGroup
le champ intitulé Notes dans ADUC est représenté par la propriétéInfo
renvoyée parGet-AdGroup
.
tout d’Abord, trouver le groupe à modifier, définissez Info
propriété et ensuite utiliser Set-AdGroup
pour valider la modification d’ANNONCE.
supprimer les membres du groupe avec Remove-ADGroupMember
Comme toutes les applets de commande PowerShell, vous pouvez utiliser le paramètreConfirm
pour être invité avant une modification., Ce comportement s’applique à la balise Remove-AdGroupMember
et Remove-ADPrincipalGroupMembership
applets de commande trop.
ci-dessous, vous pouvez supprimer des membres du groupe sans confirmation.
ou vous pouvez choisir de supprimer les membres du groupe avec confirmation en utilisant le paramètreConfirm
.
Supprimer un groupe à Supprimer-ADGroup
Supprimer un groupe avec pas de confirmation et à la confirmation.
Renommer un groupe à Renommer-ADObject
Vous pouvez renommer un groupe par l’intermédiaire d’un one-liner à l’aide de Rename-ADObject
.,
PS51> Rename-ADObject -Identity <identity string or object> -NewName '<new name>'
Obtenir le nombre de groupes avec Get-ADGroup
avez-vous besoin de trouver le nombre total de groupes retournée par Get-AdGroup
? Utilisez la propriétéCount
.
PS51> (Get-ADGroup -Filter '*').Count
Trouver des groupes avec un gestionnaire avec Get-ADGroup
Filtrer tous les groupes qui ont un gestionnaire affecté à eux avec des Get-AdGroup
et bien conçu filtre LDAP.
PS51> Get-ADGroup -LDAPFilter '(managedby=*)'
Il n’y a pas de filtre PowerShell équivalent pour cela.,
recherchez les groupes gérés par un utilisateur spécifique avec Get-ADGroup
Améliorez vos compétences de filtrage et trouvez tous les groupes gérés par un utilisateur spécifique à l’aide d’un filtre PowerShell ou D’un filtre LDAP.
définir le gestionnaire de groupe avec Set-ADGroup
L’onglet Géré par dans ADUC pour les groupes vous permet de désigner quelqu’un qui est responsable de l’appartenance au groupe. Cela ne signifie pas automatiquement que le gestionnaire peut modifier l’appartenance au groupe du groupe. Pour que cela soit possible, les autorisations de sécurité doivent être modifiées sur la propriété membre du groupe en question.,
le fait de cocher la zone de liste Manager can update membership pour un groupe dans Active Directory Users and Computers (aduc) modifie les autorisations pour permettre cela.
Utiliser Set-ADGroup
pour définir l’attribut ManagedBy:
PS51> Set-ADGroup -ManagedBy '<distinguished name, GUID, SID or SAM Account name of manager>'
la mise à Jour de la liste de Contrôle d’Accès ne prend que quelques étapes plus., L’extrait de code suivant donne à L’utilisateur Kristin Diaz la possibilité de gérer l’appartenance au groupe. bf9679c0-0de6-11d0-a285-00aa003049e2 est le GUID de la propriété Member
du groupe.
Si Kristin est également définie comme gestionnaire du groupe, la case à cocher sera cochée. Si ce n’est pas le cas, Kristin sera toujours en mesure de gérer les membres du groupe mais ne sera pas affichée dans ADUC en tant que gestionnaire.,
rechercher tous les groupes de sécurité
répertoriez tous les groupes de sécurité dans Active Directory avec PowerShell en limitant votre requête de recherche aux seuls groupes de sécurité avec ces deux exemples. Quel Est ce filtre LDAP, demandez-vous? Tout savoir sur les filtres LDAP.
rechercher des groupes de Distribution
utilisez PowerShell pour répertorier les groupes Active Directory (distribution), ce qui exclut les groupes de sécurité utilisant ces deux exemples.,
Trouver l’appartenance à un groupe pour un utilisateur avec Get-ADPrincipalGroupMembership
PS51> Get-ADPrincipalGroupMembership -Identity <identity string or object>
Notez que cette commande nécessite l’accès à un catalogue global.
rechercher des groupes dans une unité D’organisation, sans inclure de sous-unités d’organisation
obtenir granulaire en utilisant le paramètreSearchBase
pour limiter votre recherche à une seule unité d’organisation en utilisant ces deux exemples.
Trouver des groupes dans une unité d’organisation, y compris tous les sous-Unités
avez-vous besoin de trouver tous les groupes d’unités d’organisation enfant? Utiliser un SearchScope
de SubTree
.,
résumé
qui conclut notre démonstration par exemple de la gestion des groupes D’annonces avec PowerShell. Prenez – en quelques-uns, essayez-les dans votre organisation et commencez à automatiser!
Laisser un commentaire