Pomocí ActiveDirectory PowerShell modulu, můžete dotaz REKLAMNÍ sestavy s Get-AdGroup, přidat, aktualizovat a odstranit skupiny a členů skupiny. V tomto příspěvku na blogu se dozvíte něco o skupině Active Directory PowerShell cmdlets s množstvím příkladů pro referenci.
obsah
skupina Active Directory Cmdlets
po instalaci modulu ActiveDirectory PowerShell najdete několik cmdletů dostupných pro správu skupin.,
| Cmdlet Jméno | Popis |
|---|---|
| Přidat-ADGroupMember | slouží k přidání členů do REKLAMNÍ sestavy. |
| Add-ADPrincipalGroupMembership | Používá se k přidání hlavního inzerátu do reklamních skupin. |
| Get-ADGroup | Používá se k návratu skupiny nebo skupin z AD. |
| Get-ADGroupMember | Používá se k návratu členů reklamní skupiny., |
| Get-ADPrincipalGroupMembership | Používá se k získání skupin, jejichž členem je ad principal. |
| New-ADGroup | Používá se k vytvoření nové reklamní skupiny. |
| Remove-ADGroup | Používá se k odstranění reklamní skupiny. |
| Remove-ADGroupMember | Používá se k odstranění členů z reklamní skupiny. |
| Remove-ADPrincipalGroupMembership | Používá se k odstranění hlavního inzerátu z reklamních skupin. |
| Set-ADGroup | slouží k nastavení vlastností reklamní skupiny., |
Pomocí těchto rutin a trochu PowerShell kung-fu, můžete spravovat každý aspekt skupiny služby Active Directory s PowerShell.
Najít členy skupiny s Get-ADGroupMember
Get-AdGroupMember rutiny vrátí všechny členy ve skupině.
PS51> Get-ADGroupMember -Identity <identity string or object>Alternativně, můžete odkazovat na memberOf nemovitosti na konkrétního uživatele pomocí Get-Aduser rutiny., Pro opakovací informace o tom, jak vytvořit filtry, podívejte se na učení Active Directory Directory Directory a LDAP filtry v PowerShell.
dva příklady jsou níže.
PS51> Get-ADUser -Filter 'memberOf -eq ""'PS51> Get-ADUser -LDAPFilter '(memberOf=)'vrací se kolekce objektů ADPrincipal.
exportujte členy skupiny do souboru CSV
toto exportuje křestní jméno, příjmení a e-mailovou adresu každého uživatele. Potrubí výsledků zGet-ADGroupMember Get-ADUser protože tyto jsou ADPrincipal objekty, které nemají všechny vlastnosti, které ADUser objektů.,
Všimněte si, že používání
NoTypeInformationparametrExport-CSVaby bylo zajištěno, že CSV je kompatibilní s jinými aplikacemi.
Najít skupiny bez členů s Get-ADGroup
Použití Get-AdGroup najít skupiny, pomocí filtrů. Dva příklady níže.
PS51> Get-ADGroup -Filter "Members -notlike '*'"PS51> Get-ADGroup -LDAPFilter "(!(member=*))" vytvořte novou bezpečnostní skupinu pomocí příkazu New-AdGroup.,
PS51> New-ADGroup -Name '<group name>' -GroupScope <scope of group> -Path '<path of the OU tht will host the new group>'
PS51> New-ADGroup -Name '<group name>' -GroupScope <scope of group> -Path '<path of the OU tht will host the new group>'Pokud ne, Path parametr se dodává nová skupina bude vytvořena v kontejneru Users. Rozsah skupiny musí být buď DomainLocal Global nebo Universal.
Vytvořit novou distribuční skupinu s New-ADGroup
Použití New-AdGroup znovu vytvořit distribuční skupinu. Tentokrát zvolte GroupCategory Distribution.,
Přidat členy do skupiny s Add-ADGroupMember
Přidání uživatele do skupiny služby Active Directory s PowerShell lze provést pomocí Add-AdGroupMember cmdlet nebo Add-ADPrincipalGroupMembership rutiny.
Tento příkaz určuje skupinu jako identitu.
PS51> Add-ADGroupMember -Identity <identity string or object> -Members <identity string(s) or ADPrincipal(s)>Tento příkaz určuje hlavní reklamu jako identitu.,
PS51> Add-ADPrincipalGroupMembership -Identity <identity string or object> -MemberOf <identity string(s) or ADGroup(s)>Napište do Poznámky vlastnost skupiny s Set-AdGroup
pole označené Poznámky v ADUC je reprezentován Info majetek vrátil z Get-AdGroup.
za Prvé, najít skupinu změnit, nastavte Info majetek a pak použít Set-AdGroup commit změny do AD.
odeberte členy skupiny pomocí Remove-ADGroupMember
stejně jako všechny cmdlety PowerShell můžete před provedením změny použít parametr Confirm., Toto chování platí proRemove-AdGroupMember aRemove-ADPrincipalGroupMembership cmdlets příliš.
níže můžete odstranit členy skupiny bez potvrzení.
nebo se můžete rozhodnout odebrat členy skupiny s potvrzením pomocí parametru Confirm.
smazat skupinu S Remove-ADGroup
smazat skupinu bez potvrzení a s potvrzením.
přejmenovat skupinu s Rename-ADObject
skupinu můžete přejmenovat pomocí jedné vložky pomocí Rename-ADObject.,
PS51> Rename-ADObject -Identity <identity string or object> -NewName '<new name>'Získat číslo ze skupiny s Get-ADGroup
potřebujete najít celkový počet skupin se vrátil přes Get-AdGroup? Použijte vlastnost Count.
PS51> (Get-ADGroup -Filter '*').CountNajít skupiny s manažerem s Get-ADGroup
Filtr všech skupin, které manažera, které jim s Get-AdGroup a dobře řemeslně filtr LDAP.
PS51> Get-ADGroup -LDAPFilter '(managedby=*)'neexistuje žádný ekvivalentní filtr PowerShell.,
Najděte skupiny spravované konkrétním uživatelem pomocí Get-ADGroup
a najděte všechny skupiny spravované konkrétním uživatelem pomocí filtru PowerShell nebo filtru LDAP.
Nastavit Správce skupiny s Set-ADGroup
Spravovaných kartu v ADUC pro skupiny umožňuje určit někoho, kdo je zodpovědný za členství ve skupině. To automaticky neznamená, že manažer může změnit členství ve skupině ve skupině. Aby to bylo možné, je třeba změnit bezpečnostní oprávnění na majetku člena pro danou skupinu.,
akt zaškrtnutí Správce může aktualizovat seznam členů pro skupinu v Active Directory uživatelé a počítače (ADUC) změní oprávnění, aby to umožnilo.
Použití Set-ADGroup nastavit atributu ManagedBy:
PS51> Set-ADGroup -ManagedBy '<distinguished name, GUID, SID or SAM Account name of manager>'Aktualizaci seznamu Řízení Přístupu trvá několik dalších kroků., Následující fragment kódu uděluje uživateli Kristin Diaz možnost spravovat členství ve skupině. bf9679c0-0de6-11d0-a285-00aa003049e2 je GUID pro Member vlastnost skupiny.
Pokud je Kristin také nastavena jako manažer skupiny, zaškrtne se zaškrtávací políčko. Pokud ne, Kristin bude stále schopen řídit členství ve skupině, ale nebude zobrazen v ADUC jako manažer.,
Najděte všechny skupiny zabezpečení
seznam všech skupin zabezpečení v Active Directory pomocí PowerShell omezením vyhledávacího dotazu pouze na skupiny zabezpečení s těmito dvěma příklady. Co je to LDAP filtr, ptáte se? Zjistěte vše o filtrech LDAP.
Najděte distribuční skupiny
použijte PowerShell k vypsání skupin Active Directory (distribuce), které vylučují skupiny zabezpečení pomocí těchto dvou příkladů.,
Najít členství ve skupině pro uživatele s Get-ADPrincipalGroupMembership
PS51> Get-ADPrincipalGroupMembership -Identity <identity string or object>Všimněte si, že tento příkaz vyžaduje přístup k globální katalog.
Najít skupiny v organizační jednotce, a to včetně všech sub-OUs
Získat zrnitý pomocí SearchBase parametr omezit vaše vyhledávání na jednom OU pomocí těchto dvou příkladů.
Najděte skupiny v OU, včetně jakéhokoli sub-ou
potřebujete najít všechny skupiny v dětském ou? Použijte SearchScope SubTree.,
shrnutí
, které uzavírá naše ukázkové demo správy reklamních skupin pomocí PowerShell. Popadněte několik z nich, vyzkoušejte je ve své organizaci a začněte automatizovat!
Napsat komentář