mediante el módulo ActiveDirectory PowerShell, puede consultar grupos de anuncios con Get-AdGroup, agregar, actualizar y eliminar grupos y miembros de grupo. En esta publicación de blog, aprenderá un poco sobre los cmdlets de PowerShell del grupo Active Directory con un montón de ejemplos como referencia.
tabla de contenido
Cmdlets de grupo de Active Directory
Una vez que instale el módulo ActiveDirectory PowerShell, encontrará algunos cmdlets disponibles para administrar grupos.,
| Nombre del Cmdlet | Descripción |
|---|---|
| Añadir-ADGroupMember | se Utiliza para añadir miembros a un grupo de ANUNCIOS. |
| Add-ADPrincipalGroupMembership | se utiliza para agregar una entidad de anuncio a los grupos de anuncios. |
| Get-ADGroup | se utiliza para devolver un grupo o grupos desde AD. |
| Get-ADGroupMember | se Utiliza para devolver a los miembros de un grupo de ANUNCIOS., |
| Get-ADPrincipalGroupMembership | se utiliza para obtener los grupos de los que es miembro Un ad principal. |
| New-ADGroup | se utiliza para crear un nuevo grupo de anuncios. |
| Remove-ADGroup | se utiliza para eliminar un grupo de anuncios. |
| Remove-ADGroupMember | se utiliza para eliminar miembros de un grupo de anuncios. |
| Remove-ADPrincipalGroupMembership | se utiliza para eliminar un principal de anuncios de los grupos de anuncios. |
| Set-ADGroup | se utiliza para establecer las propiedades de un grupo de anuncios., |
con estos cmdlets y un poco de kung-fu de PowerShell, puede administrar todos los aspectos del grupo de Active Directory con PowerShell.
buscar los miembros de un grupo con Get-ADGroupMember
el cmdletGet-AdGroupMember devuelve todos los miembros de un grupo.
PS51> Get-ADGroupMember -Identity <identity string or object>alternativamente, puede hacer referencia a la propiedad memberOfen un usuario concreto utilizando el cmdlet Get-Aduser., Para obtener un repaso sobre cómo crear filtros, consulte aprender los filtros de directorio y LDAP de Active Directory en PowerShell.
dos ejemplos están abajo.
PS51> Get-ADUser -Filter 'memberOf -eq ""'PS51> Get-ADUser -LDAPFilter '(memberOf=)'esto devuelve una colección de objetos ADPrincipal.
exportar los miembros de un grupo a un archivo CSV
esto exporta el nombre, apellido y dirección de correo electrónico de cada usuario. Canalice los resultados deGet-ADGroupMembera Get-ADUser porque estos son objetos ADPrincipal que no tienen todas las propiedades que tienen los objetos ADUser.,
observe el uso del parámetro
NoTypeInformationdeExport-CSVpara asegurarse de que el archivo CSV sea compatible con otras aplicaciones.
encuentra grupos sin miembros con Get-ADGroup
usaGet-AdGroup para encontrar grupos usando filtros. Dos ejemplos a continuación.
PS51> Get-ADGroup -Filter "Members -notlike '*'"PS51> Get-ADGroup -LDAPFilter "(!(member=*))"crear un nuevo grupo de seguridad con New-ADGroup
crear un nuevo grupo de seguridad con el comando New-AdGroup.,
PS51> New-ADGroup -Name '<group name>' -GroupScope <scope of group> -Path '<path of the OU tht will host the new group>'Si no Path parámetro se suministra, el nuevo grupo será creado en el contenedor Usuarios. El ámbito del grupo debe ser DomainLocal, Global o Universal.
cree un nuevo grupo de distribución con New-ADGroup
Use New-AdGroup de nuevo para crear un grupo de distribución. Esta vez, elija un GroupCategory de Distribution.,
Agregar miembros a un grupo con Add-ADGroupMember
La adición de usuarios a un grupo de Active Directory con PowerShell se puede hacer mediante el cmdlet Add-AdGroupMember o el cmdlet Add-ADPrincipalGroupMembership.
Este comando Especifica el grupo como identidad.
PS51> Add-ADGroupMember -Identity <identity string or object> -Members <identity string(s) or ADPrincipal(s)>Este comando Especifica el principal de AD como identidad.,
PS51> Add-ADPrincipalGroupMembership -Identity <identity string or object> -MemberOf <identity string(s) or ADGroup(s)>escribir en la propiedad Notes de un grupo con Set-AdGroup
el campo etiquetado Notes en ADUC está representado por la propiedad Info devuelta desde Get-AdGroup.
primero, busque el grupo a cambiar, establezca la propiedad Info y luego use Set-AdGroup para confirmar el cambio en AD.
Remove group members with Remove-ADGroupMember
Al igual que todos los cmdlets de PowerShell, puede usar el parámetro Confirm para que se le solicite antes de realizar un cambio., Este comportamiento también se aplica a los cmdlets Remove-AdGroupMember y Remove-ADPrincipalGroupMembership.
a continuación puede eliminar miembros del grupo sin confirmación.
o puede elegir eliminar miembros del grupo con confirmación utilizando el parámetro Confirm.
eliminar un grupo con Remove-ADGroup
eliminar un grupo sin confirmación y con confirmación.
cambiar el nombre de un grupo con Rename-ADObject
Puede cambiar el nombre de un grupo a través de una línea usando Rename-ADObject.,
PS51> Rename-ADObject -Identity <identity string or object> -NewName '<new name>'obtenga el número de grupos con Get-ADGroup
¿necesita encontrar el número total de grupos devueltos a través de Get-AdGroup? Utilice la propiedad Count.
PS51> (Get-ADGroup -Filter '*').Countbuscar grupos con un administrador con Get-ADGroup
filtrar todos los grupos que tienen un administrador asignado a ellos con Get-AdGroup y un filtro LDAP bien diseñado.
PS51> Get-ADGroup -LDAPFilter '(managedby=*)'no hay un filtro de PowerShell equivalente para esto.,
buscar grupos administrados por un usuario específico con Get-ADGroup
mejore sus habilidades de filtro y busque todos los grupos administrados por un usuario específico mediante un filtro de PowerShell o un filtro LDAP.
establecer el Administrador de grupo con Set-ADGroup
la pestaña administrado por en ADUC para grupos le permite designar a alguien que es responsable de la membresía del grupo. Esto no significa automáticamente que el administrador pueda alterar la pertenencia al grupo. Para que esto sea posible, los permisos de seguridad deben cambiarse en la propiedad miembro del grupo en cuestión.,
el hecho de marcar el cuadro de Lista administrador puede actualizar membresía para un grupo en Usuarios y equipos de Active Directory (ADUC) cambia los permisos para permitir esto.
UseSet-ADGroup para establecer el atributo managedBy:
PS51> Set-ADGroup -ManagedBy '<distinguished name, GUID, SID or SAM Account name of manager>' la actualización de la lista de control de acceso toma algunos pasos más., El siguiente fragmento de código otorga al usuario Kristin Diaz la capacidad de administrar la membresía del grupo. bf9679c0-0de6-11d0-A285-00aa003049e2 es el GUID para la propiedad Member del grupo.
si Kristin también se establece como el administrador del grupo, la casilla de verificación se marcará. Si no es así, Kristin todavía podrá administrar la membresía del grupo, pero no se mostrará en ADUC como gerente.,
buscar todos los grupos de seguridad
enumere todos los grupos de seguridad en Active Directory con PowerShell limitando la consulta de Búsqueda solo a los grupos de seguridad con estos dos ejemplos. ¿Qué es ese filtro LDAP? Aprende todo sobre los filtros LDAP.
buscar grupos de distribución
Use PowerShell para enumerar los grupos de Active Directory (distribución), lo que excluye los grupos de seguridad mediante estos dos ejemplos.,
buscar membresía de grupo para un usuario con Get-ADPrincipalGroupMembership
PS51> Get-ADPrincipalGroupMembership -Identity <identity string or object>tenga en cuenta que este comando requiere acceso a un catálogo global.
buscar grupos en una unidad organizativa, sin incluir ningún Subu
obtener granular utilizando el parámetro SearchBase para limitar su búsqueda a una sola unidad organizativa utilizando estos dos ejemplos.
buscar grupos en una unidad organizativa, incluyendo cualquier sub-unidad organizativa
¿necesita encontrar todos los grupos en unidades organizativas secundarias? Utilice un SearchScopede SubTree.,
resumen
que concluye nuestra demostración basada en ejemplos de administración de grupos de anuncios con PowerShell. Tome algunos de estos, pruébelos en su organización y comience a automatizar!
Deja una respuesta