Mit dem ActiveDirectory PowerShell-Modul können Sie Anzeigengruppen mit Get-ADGroup abfragen, Gruppen und Gruppenmitglieder hinzufügen, aktualisieren und entfernen. In diesem Blogbeitrag werden Sie ein wenig über die Active Directory-Gruppe Powershell Cmdlets mit einer Tonne von Beispielen als Referenz lernen.

Inhaltsverzeichnis

Active Directory-Gruppen-Cmdlets

Sobald Sie das ActiveDirectory PowerShell-Modul installiert haben, finden Sie einige Cmdlets zum Verwalten von Gruppen.,

Cmdletname Beschreibung
Hinzufügen-ADGroupMember Wird zum Hinzufügen von Mitgliedern zu einer Anzeigengruppe verwendet.
Add-ADPrincipalGroupMembership Wird zum Hinzufügen eines AD-Principals zu AD-Gruppen verwendet.
Get-ADGroup Wird verwendet, um eine Gruppe oder Gruppen von AD zurückzugeben.
Get-ADGroupMember Wird verwendet, um die Mitglieder einer Anzeigengruppe zurückzugeben.,
Get-ADPrincipalGroupMembership Verwendet, um die Gruppen eine ANZEIGE AUFTRAGGEBER ist ein Mitglied.
New-ADGroup Wird zum Erstellen einer neuen Anzeigengruppe verwendet.
Remove-ADGroup Wird zum Löschen einer Anzeigengruppe verwendet.
Remove-ADGroupMember Wird zum Entfernen von Mitgliedern aus einer Anzeigengruppe verwendet.
Remove-ADPrincipalGroupMembership Wird zum Entfernen eines Anzeigenprinzipals aus Anzeigengruppen verwendet.
Set-ADGroup Wird zum Festlegen der Eigenschaften einer Anzeigengruppe verwendet.,

Mit diesen cmdlets und ein wenig PowerShell kung-fu, Sie können verwalten Sie jeden Aspekt der Active Directory-Gruppe mit PowerShell.

Suchen Sie die Mitglieder einer Gruppe mit Get-ADGroupMember

Das Cmdlet Get-AdGroupMember gibt alle Mitglieder einer Gruppe zurück.

PS51> Get-ADGroupMember -Identity <identity string or object>

Alternativ können Sie die memberOf Eigenschaft für einen bestimmten Benutzer mit der Get-Aduser cmdlet., Eine Auffrischung zum Erstellen von Filtern finden Sie in den Active Directory-und LDAP-Filtern in PowerShell.

Zwei Beispiele sind unten.

PS51> Get-ADUser -Filter 'memberOf -eq ""'PS51> Get-ADUser -LDAPFilter '(memberOf=)'

Dies gibt eine Sammlung von ADPrincipal Objekte.

Exportieren Sie die Mitglieder einer Gruppe in eine CSV-Datei

Dies exportiert den Vornamen, den Nachnamen und die E-Mail-Adresse jedes Benutzers. Leiten Sie die Ergebnisse vonGet-ADGroupMember an Get-ADUser weiter, da es sich um ADPrincipal-Objekte handelt, die nicht über alle Eigenschaften von ADUser-Objekten verfügen.,

Beachten Sie die Verwendung des NoTypeInformation Parameters von Export-CSV, um sicherzustellen, dass die CSV-Datei mit anderen Anwendungen kompatibel ist.

Gruppen ohne Mitglieder mit Get-ADGroup

Verwenden Sie Get-AdGroup, um Gruppen mit Filtern zu finden. Zwei Beispiele unten.

PS51> Get-ADGroup -Filter "Members -notlike '*'"PS51> Get-ADGroup -LDAPFilter "(!(member=*))"

Erstellen Sie eine neue Sicherheitsgruppe mit New-ADGroup

Sie erstellen eine neue Sicherheitsgruppe mit dem Befehl New-AdGroup.,

PS51> New-ADGroup -Name '<group name>' -GroupScope <scope of group> -Path '<path of the OU tht will host the new group>'

Wenn kein Parameter Path angegeben wird, wird die neue Gruppe im Container Users erstellt. Der Gruppenbereich muss entweder DomainLocal, Global oder Universalsein.

Erstellen Sie eine neue Verteilergruppe mit New-ADGroup

Verwenden Sie New-AdGroup erneut, um eine Verteilergruppe zu erstellen. Wählen Sie dieses Mal eine GroupCategory von Distribution.,

Mitglieder zu einer Gruppe hinzufügen mit Add-ADGroupMember

Das Hinzufügen von Benutzern zu einer Active Directory-Gruppe mit PowerShell kann mit dem Cmdlet Add-AdGroupMember oder dem Cmdlet Add-ADPrincipalGroupMembership erfolgen.

Dieser Befehl gibt die Gruppe als Identität an.

PS51> Add-ADGroupMember -Identity <identity string or object> -Members <identity string(s) or ADPrincipal(s)>

Dieser Befehl gibt den AD principal als Identität an.,

PS51> Add-ADPrincipalGroupMembership -Identity <identity string or object> -MemberOf <identity string(s) or ADGroup(s)>

Schreiben Sie in die Notes-Eigenschaft einer Gruppe mit Set-ADGroup

Das Feld Notes in ADUC wird durch die Info – Eigenschaft dargestellt, die von Get-AdGroupzurückgegeben wird.

Suchen Sie zuerst die zu ändernde Gruppe, setzen Sie die Eigenschaft Info und verwenden Sie dann Set-AdGroup, um die Änderung auf AD zu übertragen.

Gruppenmitglieder entfernen mit Remove-ADGroupMember

Wie alle PowerShell-Cmdlets können Sie den Parameter Confirm verwenden, um aufgefordert zu werden, bevor eine Änderung vorgenommen wird., Dieses Verhalten gilt auch für die Cmdlets Remove-AdGroupMember und Remove-ADPrincipalGroupMembership.

Unten können Sie Gruppenmitglieder ohne Bestätigung entfernen.

Oder Sie können Gruppenmitglieder mit Bestätigung mithilfe des Parameters Confirm entfernen.

Löschen einer Gruppe mit Remove-ADGroup

Löschen einer Gruppe ohne Bestätigung und mit Bestätigung.

Gruppe umbenennen mit Rename-ADObject

Sie können eine Gruppe über einen Einzeiler mit Rename-ADObjectumbenennen.,

PS51> Rename-ADObject -Identity <identity string or object> -NewName '<new name>'

Ermitteln Sie die Anzahl der Gruppen mit Get-ADGroup

Müssen Sie die Gesamtzahl der über Get-AdGroupzurückgegebenen Gruppen ermitteln? Verwenden Sie die Eigenschaft Count.

PS51> (Get-ADGroup -Filter '*').Count

Suchen Sie Gruppen mit einem Manager mit Get-ADGroup

Filtern Sie alle Gruppen, denen ein Manager zugewiesen ist, mit Get-AdGroup und einem gut ausgearbeiteten LDAP-Filter.

PS51> Get-ADGroup -LDAPFilter '(managedby=*)'

Hierfür gibt es keinen gleichwertigen PowerShell-Filter.,

Gruppen suchen, die von einem bestimmten Benutzer verwaltet werden Mit Get-ADGroup

Verbessern Sie Ihre Filterfähigkeiten und suchen Sie alle Gruppen, die von einem bestimmten Benutzer verwaltet werden, entweder mithilfe eines PowerShell-Filters oder eines LDAP-Filters.

Setzen Sie den Gruppenmanager mit Set-ADGroup

Mit der Registerkarte Managed By in ADUC for groups können Sie jemanden festlegen, der für die Mitgliedschaft in der Gruppe verantwortlich ist. Dies bedeutet nicht automatisch, dass der Manager die Gruppenmitgliedschaft der Gruppe ändern kann. Damit dies möglich ist, müssen die Sicherheitsberechtigungen für die Member-Eigenschaft für die betreffende Gruppe geändert werden.,

Durch das Ankreuzen des Kästchens Manager kann das Mitgliedschaftslistenfeld für eine Gruppe in Active Directory-Benutzern und-Computern (ADUC) aktualisiert werden, ändern Sie die Berechtigungen, um dies zuzulassen.

Verwaltet Durch tab in Active Directory Benutzer und Computer

Verwenden Set-ADGroup zu set die ManagedBy attribut:

PS51> Set-ADGroup -ManagedBy '<distinguished name, GUID, SID or SAM Account name of manager>'

Die Aktualisierung der Zugriffssteuerungsliste dauert noch ein paar Schritte., Das folgende Code-Snippet gewährt dem Benutzer Kristin Diaz die Möglichkeit, die Mitgliedschaft in der Gruppe zu verwalten. bf9679c0-0de6-11d0-a285-00aa003049e2 ist die GUID für die Member Eigentum der Gruppe.

Wenn Kristin auch als Manager der Gruppe gesetzt ist, dann wird das Häkchen angekreuzt. Wenn nicht, kann Kristin weiterhin die Mitgliedschaft in der Gruppe verwalten, wird jedoch nicht in ADUC als Manager angezeigt.,

Finden Sie alle Sicherheitsgruppen

Listen Sie alle Sicherheitsgruppen in Active Directory mit PowerShell auf, indem Sie Ihre Suchanfrage mit diesen beiden Beispielen nur auf Sicherheitsgruppen beschränken. Was ist das für ein LDAP-Filter, fragst du? Erfahren Sie alles über LDAP-Filter.

Distributionsgruppen suchen

Verwenden Sie PowerShell, um Active Directory-Gruppen (Distributionen) aufzulisten, die Sicherheitsgruppen anhand dieser beiden Beispiele ausschließen.,

Gruppenmitgliedschaft für einen Benutzer mit Get-ADPrincipalGroupMembership suchen

PS51> Get-ADPrincipalGroupMembership -Identity <identity string or object>

Beachten Sie, dass für diesen Befehl Zugriff auf einen globalen Katalog erforderlich ist.

Suchen Sie Gruppen in einer OU, ohne Sub-OUs

Holen Sie sich granular mit dem SearchBase Parameter, um Ihre Suche auf eine einzelne OU mit diesen beiden Beispielen zu begrenzen.

Gruppen in einer OU finden, einschließlich aller Unter-OUs

Müssen Sie alle Gruppen in untergeordneten OUs finden? Verwenden Sie eine SearchScope von SubTree.,

Zusammenfassung

Das schließt unsere beispielgesteuerte Demo zum Verwalten von Anzeigengruppen mit PowerShell ab. Schnappen Sie sich ein paar davon, probieren Sie sie in Ihrer Organisation aus und beginnen Sie mit der Automatisierung!