Utilizzando il modulo ActiveDirectory PowerShell, è possibile interrogare gruppi di ANNUNCI con Get-AdGroup, aggiungere, aggiornare e rimuovere gruppi e membri del gruppo. In questo post del blog, imparerai un po ‘ sui cmdlet PowerShell di Active Directory group con una tonnellata di esempi di riferimento.
Sommario
Cmdlet Gruppo Active Directory
Una volta installato il modulo ActiveDirectory PowerShell, troverete alcuni cmdlet disponibili per gestire i gruppi.,
| Nome Cmdlet | Descrizione |
|---|---|
| Aggiungi-ADGroupMember | consente di aggiungere membri a un gruppo di ANNUNCI. |
| Add-ADPrincipalGroupMembership | Utilizzato per aggiungere un principal AD ai gruppi di ANNUNCI. |
| Get-ADGroup | Usato per restituire un gruppo o gruppi da AD. |
| Get-ADGroupMember | Utilizzato per restituire i membri di un gruppo di ANNUNCI., |
| Get-ADPrincipalGroupMembership | Utilizzato per ottenere i gruppi di cui un AD principal è membro. |
| New-ADGroup | Utilizzato per creare un nuovo gruppo di ANNUNCI. |
| Remove-ADGroup | Utilizzato per eliminare un gruppo di annunci. |
| Remove-ADGroupMember | Utilizzato per rimuovere i membri da un gruppo di ANNUNCI. |
| Remove-ADPrincipalGroupMembership | Utilizzato per rimuovere un principal di ANNUNCI dai gruppi di ANNUNCI. |
| Set-ADGroup | Utilizzato per impostare le proprietà di un gruppo di ANNUNCI., |
Utilizzando questi cmdlet e un po ‘ di PowerShell kung-fu, è possibile gestire ogni aspetto del gruppo Active Directory con PowerShell.
Trova i membri di un gruppo con Get-ADGroupMember
Il cmdletGet-AdGroupMember restituisce tutti i membri di un gruppo.
PS51> Get-ADGroupMember -Identity <identity string or object>In alternativa, è possibile fare riferimento alla proprietà memberOfsu un particolare utente utilizzando il cmdlet Get-Aduser., Per un aggiornamento su come creare filtri, controlla Learning Active Directory Directory e Filtri LDAP in PowerShell.
Di seguito sono riportati due esempi.
PS51> Get-ADUser -Filter 'memberOf -eq ""'PS51> Get-ADUser -LDAPFilter '(memberOf=)'Questo restituisce una raccolta di oggetti ADPrincipal.
Esporta i membri di un gruppo in un file CSV
Questo esporta il nome, il cognome e l’indirizzo email di ciascun utente. Convogliare i risultati daGet-ADGroupMember aGet-ADUser perché si tratta di oggetti ADPrincipal che non hanno tutte le proprietà degli oggetti ADUser.,
Si noti l’uso del parametro
NoTypeInformationdiExport-CSVper garantire che il file CSV sia compatibile con altre applicazioni.
Trova gruppi senza membri con Get-ADGroup
Usa Get-AdGroup per trovare gruppi usando i filtri. Due esempi qui sotto.
PS51> Get-ADGroup -Filter "Members -notlike '*'"PS51> Get-ADGroup -LDAPFilter "(!(member=*))"Creare un nuovo gruppo di sicurezza con New-ADGroup
Si crea un nuovo gruppo di sicurezza utilizzando il comando New-AdGroup.,
PS51> New-ADGroup -Name '<group name>' -GroupScope <scope of group> -Path '<path of the OU tht will host the new group>'Se non viene fornito alcun parametroPath, il nuovo gruppo verrà creato nel contenitore Utenti. L’ambito del gruppo deve essere DomainLocal, Global o Universal.
Crea un nuovo gruppo di distribuzione con New-ADGroup
Usa di nuovoNew-AdGroup per creare un gruppo di distribuzione. Questa volta, scegliere un GroupCategorydiDistribution.,
Aggiungere membri a un gruppo con Add-ADGroupMember
L’aggiunta di utenti a un gruppo Active Directory con PowerShell può essere eseguita utilizzando il cmdletAdd-AdGroupMember o ilAdd-ADPrincipalGroupMembership.
Questo comando specifica il gruppo come Identità.
PS51> Add-ADGroupMember -Identity <identity string or object> -Members <identity string(s) or ADPrincipal(s)>Questo comando specifica l’AD principal come Identità.,
PS51> Add-ADPrincipalGroupMembership -Identity <identity string or object> -MemberOf <identity string(s) or ADGroup(s)>Scrivere nella proprietà Notes di un gruppo con Set-AdGroup
Il campo denominato Notes in ADUC è rappresentato dalla proprietà Inforestituita da Get-AdGroup.
Innanzitutto, trova il gruppo da modificare, imposta la proprietà Info e quindi usa Set-AdGroup per eseguire il commit della modifica su AD.
Rimuovi i membri del gruppo con Remove-ADGroupMember
Come tutti i cmdlet di PowerShell, è possibile utilizzare il parametroConfirm da richiedere prima di apportare una modifica., Questo comportamento si applica anche ai cmdletRemove-AdGroupMember eRemove-ADPrincipalGroupMembership.
Di seguito è possibile rimuovere i membri del gruppo senza conferma.
Oppure puoi scegliere di rimuovere i membri del gruppo con conferma utilizzando il parametroConfirm.
Elimina un gruppo con Remove-ADGroup
Elimina un gruppo senza conferma e con conferma.
Rinominare un gruppo con Rename-ADObject
È possibile rinominare un gruppo tramite un one-liner utilizzandoRename-ADObject.,
PS51> Rename-ADObject -Identity <identity string or object> -NewName '<new name>'Ottieni il numero di gruppi con Get-ADGroup
Devi trovare il numero totale di gruppi restituiti tramite Get-AdGroup? Utilizzare la proprietàCount.
PS51> (Get-ADGroup -Filter '*').CountTrova gruppi con un manager con Get-ADGroup
Filtra tutti i gruppi a cui è stato assegnato un manager con Get-AdGroup e un filtro LDAP ben congegnato.
PS51> Get-ADGroup -LDAPFilter '(managedby=*)'Non esiste un filtro PowerShell equivalente per questo.,
Trova i gruppi gestiti da un utente specifico con Get-ADGroup
Aumenta le tue abilità di filtro e trova tutti i gruppi gestiti da un utente specifico utilizzando un filtro PowerShell o un filtro LDAP.
Imposta il gestore del gruppo con Set-ADGroup
La scheda Gestito da in ADUC per gruppi consente di designare qualcuno che è responsabile dell’appartenenza al gruppo. Ciò non significa automaticamente che il gestore può modificare l’appartenenza al gruppo del gruppo. Affinché ciò sia possibile, le autorizzazioni di sicurezza devono essere modificate sulla proprietà membro per il gruppo in questione.,
L’atto di spuntare il Gestore può aggiornare la casella di riepilogo appartenenza per un gruppo in Utenti e computer di Active Directory (ADUC) cambia le autorizzazioni per consentire questo.
Uso Set-ADGroup per impostare l’attributo ManagedBy:
PS51> Set-ADGroup -ManagedBy '<distinguished name, GUID, SID or SAM Account name of manager>'l’Aggiornamento dell’elenco di Controllo di Accesso richiede qualche passaggio in più., Il seguente frammento di codice garantisce all’utente Kristin Diaz la possibilità di gestire l’appartenenza al gruppo. bf9679c0-0de6-11d0-a285-00aa003049e2 è il GUID per la proprietà Member del gruppo.
Se Kristin è anche impostato come gestore del gruppo, la casella di spunta verrà spuntata. In caso contrario, Kristin sarà comunque in grado di gestire l’appartenenza al gruppo ma non verrà mostrata in ADUC come manager.,
Trova tutti i gruppi di sicurezza
Elenca tutti i gruppi di sicurezza in Active Directory con PowerShell limitando la query di ricerca ai soli gruppi di sicurezza con questi due esempi. Cos’è quel filtro LDAP, chiedi? Scopri tutto sui filtri LDAP.
Trova gruppi di distribuzione
Usa PowerShell per elencare i gruppi di Active Directory (distribuzione) che escludono i gruppi di sicurezza usando questi due esempi.,
Trova l’appartenenza a un gruppo per un utente con Get-ADPrincipalGroupMembership
PS51> Get-ADPrincipalGroupMembership -Identity <identity string or object>Si noti che questo comando richiede l’accesso a un catalogo globale.
Trova gruppi in un OU, senza includere alcun sotto-OU
Ottieni granulare usando il parametro SearchBase per limitare la ricerca a un singolo OU usando questi due esempi.
Trova gruppi in una OU, inclusi eventuali sub-OU
Hai bisogno di trovare tutti i gruppi in OU figlio? Utilizzare un SearchScope di SubTree.,
Riepilogo
Che conclude la nostra demo basata su esempi di gestione di gruppi di annunci con PowerShell. Prendi alcuni di questi, provali nella tua organizzazione e inizia ad automatizzare!
Lascia un commento