mediante el módulo ActiveDirectory PowerShell, puede consultar grupos de anuncios con Get-AdGroup, agregar, actualizar y eliminar grupos y miembros de grupo. En esta publicación de blog, aprenderá un poco sobre los cmdlets de PowerShell del grupo Active Directory con un montón de ejemplos como referencia.

tabla de contenido

Cmdlets de grupo de Active Directory

Una vez que instale el módulo ActiveDirectory PowerShell, encontrará algunos cmdlets disponibles para administrar grupos.,

Nombre del Cmdlet Descripción
Añadir-ADGroupMember se Utiliza para añadir miembros a un grupo de ANUNCIOS.
Add-ADPrincipalGroupMembership se utiliza para agregar una entidad de anuncio a los grupos de anuncios.
Get-ADGroup se utiliza para devolver un grupo o grupos desde AD.
Get-ADGroupMember se Utiliza para devolver a los miembros de un grupo de ANUNCIOS.,
Get-ADPrincipalGroupMembership se utiliza para obtener los grupos de los que es miembro Un ad principal.
New-ADGroup se utiliza para crear un nuevo grupo de anuncios.
Remove-ADGroup se utiliza para eliminar un grupo de anuncios.
Remove-ADGroupMember se utiliza para eliminar miembros de un grupo de anuncios.
Remove-ADPrincipalGroupMembership se utiliza para eliminar un principal de anuncios de los grupos de anuncios.
Set-ADGroup se utiliza para establecer las propiedades de un grupo de anuncios.,

con estos cmdlets y un poco de kung-fu de PowerShell, puede administrar todos los aspectos del grupo de Active Directory con PowerShell.

buscar los miembros de un grupo con Get-ADGroupMember

el cmdletGet-AdGroupMember devuelve todos los miembros de un grupo.

PS51> Get-ADGroupMember -Identity <identity string or object>

alternativamente, puede hacer referencia a la propiedad memberOfen un usuario concreto utilizando el cmdlet Get-Aduser., Para obtener un repaso sobre cómo crear filtros, consulte aprender los filtros de directorio y LDAP de Active Directory en PowerShell.

dos ejemplos están abajo.

PS51> Get-ADUser -Filter 'memberOf -eq ""'PS51> Get-ADUser -LDAPFilter '(memberOf=)'

esto devuelve una colección de objetos ADPrincipal.

exportar los miembros de un grupo a un archivo CSV

esto exporta el nombre, apellido y dirección de correo electrónico de cada usuario. Canalice los resultados deGet-ADGroupMembera Get-ADUser porque estos son objetos ADPrincipal que no tienen todas las propiedades que tienen los objetos ADUser.,

observe el uso del parámetro NoTypeInformationde Export-CSV para asegurarse de que el archivo CSV sea compatible con otras aplicaciones.

encuentra grupos sin miembros con Get-ADGroup

usaGet-AdGroup para encontrar grupos usando filtros. Dos ejemplos a continuación.

PS51> Get-ADGroup -Filter "Members -notlike '*'"PS51> Get-ADGroup -LDAPFilter "(!(member=*))"

crear un nuevo grupo de seguridad con New-ADGroup

crear un nuevo grupo de seguridad con el comando New-AdGroup.,

PS51> New-ADGroup -Name '<group name>' -GroupScope <scope of group> -Path '<path of the OU tht will host the new group>'

Si no Path parámetro se suministra, el nuevo grupo será creado en el contenedor Usuarios. El ámbito del grupo debe ser DomainLocal, Global o Universal.

cree un nuevo grupo de distribución con New-ADGroup

Use New-AdGroup de nuevo para crear un grupo de distribución. Esta vez, elija un GroupCategory de Distribution.,

Agregar miembros a un grupo con Add-ADGroupMember

La adición de usuarios a un grupo de Active Directory con PowerShell se puede hacer mediante el cmdlet Add-AdGroupMember o el cmdlet Add-ADPrincipalGroupMembership.

Este comando Especifica el grupo como identidad.

PS51> Add-ADGroupMember -Identity <identity string or object> -Members <identity string(s) or ADPrincipal(s)>

Este comando Especifica el principal de AD como identidad.,

PS51> Add-ADPrincipalGroupMembership -Identity <identity string or object> -MemberOf <identity string(s) or ADGroup(s)>

escribir en la propiedad Notes de un grupo con Set-AdGroup

el campo etiquetado Notes en ADUC está representado por la propiedad Info devuelta desde Get-AdGroup.

primero, busque el grupo a cambiar, establezca la propiedad Info y luego use Set-AdGroup para confirmar el cambio en AD.

Remove group members with Remove-ADGroupMember

Al igual que todos los cmdlets de PowerShell, puede usar el parámetro Confirm para que se le solicite antes de realizar un cambio., Este comportamiento también se aplica a los cmdlets Remove-AdGroupMember y Remove-ADPrincipalGroupMembership.

a continuación puede eliminar miembros del grupo sin confirmación.

o puede elegir eliminar miembros del grupo con confirmación utilizando el parámetro Confirm.

eliminar un grupo con Remove-ADGroup

eliminar un grupo sin confirmación y con confirmación.

cambiar el nombre de un grupo con Rename-ADObject

Puede cambiar el nombre de un grupo a través de una línea usando Rename-ADObject.,

PS51> Rename-ADObject -Identity <identity string or object> -NewName '<new name>'

obtenga el número de grupos con Get-ADGroup

¿necesita encontrar el número total de grupos devueltos a través de Get-AdGroup? Utilice la propiedad Count.

PS51> (Get-ADGroup -Filter '*').Count

buscar grupos con un administrador con Get-ADGroup

filtrar todos los grupos que tienen un administrador asignado a ellos con Get-AdGroup y un filtro LDAP bien diseñado.

PS51> Get-ADGroup -LDAPFilter '(managedby=*)'

no hay un filtro de PowerShell equivalente para esto.,

buscar grupos administrados por un usuario específico con Get-ADGroup

mejore sus habilidades de filtro y busque todos los grupos administrados por un usuario específico mediante un filtro de PowerShell o un filtro LDAP.

establecer el Administrador de grupo con Set-ADGroup

la pestaña administrado por en ADUC para grupos le permite designar a alguien que es responsable de la membresía del grupo. Esto no significa automáticamente que el administrador pueda alterar la pertenencia al grupo. Para que esto sea posible, los permisos de seguridad deben cambiarse en la propiedad miembro del grupo en cuestión.,

el hecho de marcar el cuadro de Lista administrador puede actualizar membresía para un grupo en Usuarios y equipos de Active Directory (ADUC) cambia los permisos para permitir esto.

administrado por la pestaña en Usuarios y equipos de Active Directory

UseSet-ADGroup para establecer el atributo managedBy:

PS51> Set-ADGroup -ManagedBy '<distinguished name, GUID, SID or SAM Account name of manager>'

la actualización de la lista de control de acceso toma algunos pasos más., El siguiente fragmento de código otorga al usuario Kristin Diaz la capacidad de administrar la membresía del grupo. bf9679c0-0de6-11d0-A285-00aa003049e2 es el GUID para la propiedad Member del grupo.

si Kristin también se establece como el administrador del grupo, la casilla de verificación se marcará. Si no es así, Kristin todavía podrá administrar la membresía del grupo, pero no se mostrará en ADUC como gerente.,

buscar todos los grupos de seguridad

enumere todos los grupos de seguridad en Active Directory con PowerShell limitando la consulta de Búsqueda solo a los grupos de seguridad con estos dos ejemplos. ¿Qué es ese filtro LDAP? Aprende todo sobre los filtros LDAP.

buscar grupos de distribución

Use PowerShell para enumerar los grupos de Active Directory (distribución), lo que excluye los grupos de seguridad mediante estos dos ejemplos.,

buscar membresía de grupo para un usuario con Get-ADPrincipalGroupMembership

PS51> Get-ADPrincipalGroupMembership -Identity <identity string or object>

tenga en cuenta que este comando requiere acceso a un catálogo global.

buscar grupos en una unidad organizativa, sin incluir ningún Subu

obtener granular utilizando el parámetro SearchBase para limitar su búsqueda a una sola unidad organizativa utilizando estos dos ejemplos.

buscar grupos en una unidad organizativa, incluyendo cualquier sub-unidad organizativa

¿necesita encontrar todos los grupos en unidades organizativas secundarias? Utilice un SearchScopede SubTree.,

resumen

que concluye nuestra demostración basada en ejemplos de administración de grupos de anuncios con PowerShell. Tome algunos de estos, pruébelos en su organización y comience a automatizar!