az ActiveDirectory PowerShell modul segítségével lekérdezheti a hirdetési csoportokat a Get-AdGroup segítségével, hozzáadhatja, frissítheti és eltávolíthatja a csoportokat és a csoport tagjait. Ebben a blogbejegyzésben, fogsz tanulni egy kicsit az Active Directory csoport PowerShell cmdlets egy csomó példát referencia.
Tartalomjegyzék
Active Directory Group Cmdlets
miután telepítette az ActiveDirectory PowerShell modult, néhány parancsmagot talál a csoportok kezelésére.,
| Cmdlet név | leírás |
|---|---|
| add-adgroupmember | tagok hozzáadása egy hirdetési csoporthoz. |
| Add-ADPrincipalGroupMembership | ad principal hozzáadása a hirdetési csoportokhoz. |
| Get-ADGroup | egy csoport vagy csoportok AD-ből való visszatéréséhez használt. |
| Get-ADGroupMember | egy hirdetéscsoport tagjainak visszaadására szolgál., |
| Get-ADPrincipalGroupMembership | a csoportokhoz egy ad principal tagja. |
| új-ADGroup | új hirdetési csoport létrehozásához használt. |
| Remove-ADGroup | egy hirdetéscsoport törléséhez használt. |
| Remove-ADGroupMember | tagokat távolítottak el egy hirdetési csoportból. |
| Remove-ADPrincipalGroupMembership | egy ad principal eltávolításához használt AD csoportok. |
| Set-ADGroup | egy hirdetéscsoport tulajdonságainak beállításához használt., |
ezekkel a parancsmagokkal és egy kis PowerShell kung-fu-val kezelheti az Active Directory csoport minden aspektusát a PowerShell segítségével.
keresse meg a csoport tagjait a Get-ADGroupMember
The Get-AdGroupMember cmdlet visszaadja a csoport összes tagját.
PS51> Get-ADGroupMember -Identity <identity string or object>Alternatív megoldásként hivatkozhat a memberOftulajdonságra egy adott felhasználónál a Get-Aduser cmdlet használatával., Egy frissítő, hogyan kell építeni szűrők, nézd meg a tanulás Active Directory Directory és LDAP szűrők PowerShell.
két példa az alábbiakban.
PS51> Get-ADUser -Filter 'memberOf -eq ""'PS51> Get-ADUser -LDAPFilter '(memberOf=)'Ez adprincipális objektumok gyűjteményét adja vissza.
exportálja a csoport tagjait egy CSV fájlba
Ez exportálja az egyes felhasználók keresztnevét, vezetéknevét és e-mail címét. Pipe az eredmények aGet-ADGroupMember Get-ADUser mert ezek ADPrincipal objektumok, amelyek nem rendelkeznek az összes tulajdonsággal, hogy ADUser objektumok.,
vegye figyelembe a
NoTypeInformationExport-CSVparaméter használatát annak biztosítása érdekében, hogy a CSV fájl kompatibilis legyen más alkalmazásokkal.
Csoportok keresése a Get-ADGroup
Get-AdGroup csoportok szűrőkkel való kereséséhez. Két példa az alábbiakban.
PS51> Get-ADGroup -Filter "Members -notlike '*'"PS51> Get-ADGroup -LDAPFilter "(!(member=*))"hozzon létre egy új biztonsági csoportot az új-ADGroup
új biztonsági csoportot hoz létre a New-AdGroup paranccsal.,
PS51> New-ADGroup -Name '<group name>' -GroupScope <scope of group> -Path '<path of the OU tht will host the new group>'Ha nincs Path paraméter, az új csoport jön létre a felhasználók konténer. A csoport hatókörének DomainLocal, Global vagy Universalkell lennie.
hozzon létre egy új disztribúciós csoportot a New-ADGroup
Use New-AdGroup újra egy disztribúciós csoport létrehozásához. Ezúttal válasszon egy GroupCategory Distribution – t.,
add tagok egy csoport Add-ADGroupMember
hozzáadása felhasználók egy Active Directory csoport PowerShell lehet tenni a Add-AdGroupMember cmdlet vagy a Add-ADPrincipalGroupMembership cmdlet.
Ez a parancs a csoportot identitásként határozza meg.
PS51> Add-ADGroupMember -Identity <identity string or object> -Members <identity string(s) or ADPrincipal(s)>Ez a parancs az Ad principal-t adja meg identitásként.,
PS51> Add-ADPrincipalGroupMembership -Identity <identity string or object> -MemberOf <identity string(s) or ADGroup(s)>írja be a jegyzetek tulajdonság egy csoport Set-AdGroup
a mező jelölt Megjegyzések ADUC képviseli aInfo tulajdonság visszatért.
először keresse meg a módosítani kívánt csoportot, állítsa be a Infotulajdonságot, majd használja a Set-AdGroup a változás AD-re történő elkövetéséhez.
távolítsa el a csoporttagokat az Eltávolítás-ADGroupMember
mint minden PowerShell cmdlet, használhatja aConfirm paramétert, hogy a változás megtörténjen., Ez a viselkedés vonatkozik a Remove-AdGroupMember és Remove-ADPrincipalGroupMembership cmdlets is.
alább eltávolíthatja a csoporttagokat megerősítés nélkül.
vagy dönthet úgy, hogy eltávolítja a csoporttagokat megerősítéssel a Confirm paraméter segítségével.
Csoport törlése Remove-ADGroup
Csoport törlése megerősítés nélkül.
nevezzen át egy csoportot átnevezéssel-Adobject
átnevezhet egy csoportot egy vonalhajón keresztül a Rename-ADObjecthasználatával.,
PS51> Rename-ADObject -Identity <identity string or object> -NewName '<new name>'Szerezd meg a csoportok számát Get-ADGroup
meg kell találni a csoportok teljes számát keresztül vissza ? Használja aCount tulajdonságot.
PS51> (Get-ADGroup -Filter '*').Countcsoportokat talál a Get-ADGroup
csoportokkal, amelyek a és egy jól kialakított LDAP szűrővel rendelkeznek.
PS51> Get-ADGroup -LDAPFilter '(managedby=*)'ehhez nincs egyenértékű PowerShell szűrő.,
keresse meg az adott felhasználó által kezelt csoportokat a Get-ADGroup
szűrési készségekkel, és keresse meg az adott felhasználó által kezelt csoportokat PowerShell szűrő vagy LDAP szűrő segítségével.
állítsa be a csoportkezelőt Set-ADGroup
a csoportok által kezelt lap lehetővé teszi, hogy kijelöljön valakit, aki felelős a csoport tagságáért. Ez nem jelenti automatikusan azt, hogy a menedzser megváltoztathatja a csoport tagságát. Ahhoz, hogy ez lehetséges legyen, a biztonsági engedélyeket meg kell változtatni a kérdéses Csoport tag tulajdonságán.,
az Active Directory Users and Computers (ADUC) egy csoport tagsági listájának frissítésére vonatkozó Aktusmódosítások módosítják az engedélyeket.
Use Set-ADGroup div> a managedby attribútum beállításához:
PS51> Set-ADGroup -ManagedBy '<distinguished name, GUID, SID or SAM Account name of manager>' a hozzáférés-vezérlési lista frissítése még néhány lépést tesz., A következő kódrészlet A Kristin Diaz felhasználó számára lehetővé teszi a csoport tagságának kezelését. a bf9679c0-0de6-11d0-a285-00aa003049e2 a Member csoport tulajdonának azonosítója.
Ha Kristin is be van állítva a csoport vezetőjeként, akkor a jelölőnégyzet be lesz jelölve. Ha nem, Kristin továbbra is képes lesz kezelni a csoport tagságát, de nem jelenik meg az ADUC-ban, mint menedzser.,
keresse meg az összes biztonsági csoportot
sorolja fel az Active Directory összes biztonsági csoportját a PowerShell segítségével úgy, hogy a keresési lekérdezést csak a két példával rendelkező biztonsági csoportokra korlátozza. Mi az az LDAP szűrő, kérdezed? Tudjon meg mindent az LDAP szűrőkről.
keresse meg a disztribúciós csoportokat
használja a PowerShell-t az Active Directory csoportok (disztribúció) listájához, amely kizárja a biztonsági csoportokat e két példa felhasználásával.,
csoport tagság keresése a Get-ADPrincipalGroupMembership
PS51> Get-ADPrincipalGroupMembership -Identity <identity string or object>vegye figyelembe, hogy ez a parancs hozzáférést igényel egy globális katalógushoz.
keressen csoportokat egy OU-ban, kivéve bármely al-ou-t
a SearchBase paraméter segítségével a keresést egyetlen OU-ra korlátozhatja e két példa segítségével.
Csoportok keresése egy OU-ban, beleértve bármely al-ou-t
meg kell találnia az összes csoportot a child OUs-ban? Használja a SearchScope SubTree.,
összefoglaló
Ez befejezi a PowerShell-rel rendelkező hirdetési csoportok kezelésének példaorientált bemutatóját. Fogj egy pár ilyen, próbálja ki őket a szervezet, majd indítsa el az automatizálás!
Vélemény, hozzászólás?