ActiveDirectory PowerShellモジュールを使用すると、Get-AdGroupを使用してADグループを照会し、グループおよびグループメンバーを追加、更新、および削除することができます。 このブログ記事では、Active DirectoryグループPowerShellコマンドレットについて、参照用の例をたくさん含めて少し学びます。

目次

Active Directoryグループコマンドレット

ActiveDirectory PowerShellモジュールをインストールすると、グループを管理するために使用できるコマンドレットがいくつかあります。,

コマンドレット名 説明
追加-adgroupmember 広告グループにメンバーを追加するために使用されます。
Add-ADPrincipalGroupMembership 広告グループに広告プリンシパルを追加するために使用します。
Get-ADGroup グループまたはADからのグループを返すために使用されます。
Get-ADGroupMember 広告グループのメンバーを返すために使用されます。,
Get-ADPrincipalGroupMembership 広告プリンシパルがメンバーであるグループを取得するために使用されます。
New-ADGroup 新しい広告グループを作成するために使用されます。
Remove-ADGroup 広告グループを削除するために使用されます。
Remove-ADGroupMember 広告グループからメンバーを削除するために使用されます。
Remove-ADPrincipalGroupMembership 広告グループから広告プリンシパルを削除するために使用されます。
Set-ADGroup 広告グループのプロパティを設定するために使用されます。,

これらのコマンドレットと少しPowerShell kung-fuを使用すると、PowerShellでActive Directoryグループのあらゆる側面を管理できます。

Get-ADGroupMemberを使用してグループのメンバーを検索します

Get-AdGroupMemberコマンドレットは、グループ内のすべてのメンバーを返します。

PS51> Get-ADGroupMember -Identity <identity string or object>

または、memberOfコマンドレットを使用して、特定のユーザーのGet-Aduserプロパティを参照できます。, フィルターの構築方法については、PowerShellでのActive DirectoryディレクトリおよびLDAPフィルターの学習を参照してください。

二つの例は以下のとおりです。

PS51> Get-ADUser -Filter 'memberOf -eq ""'PS51> Get-ADUser -LDAPFilter '(memberOf=)'

これは、ADPrincipalオブジェクトのコレクションを返します。

グループのメンバーをCSVファイルにエクスポートします

各ユーザーの姓、姓、メールアドレスをエクスポートします。 パイプからの結果Get-ADGroupMemberGet-ADUserこれらはADUserオブジェクトが持つすべてのプロパティを持たないADPrincipalオブジェクトであるため。,

CSVファイルが他のアプリケーションと互換性があることを確認するために、NoTypeInformationパラメータExport-CSVの使用に注意してください。

Get-ADGroupでメンバーがいないグループを検索

Get-AdGroupフィルターを使用してグループを検索します。 以下の二つの例。

PS51> Get-ADGroup -Filter "Members -notlike '*'"PS51> Get-ADGroup -LDAPFilter "(!(member=*))"

New-ADGroupで新しいセキュリティグループを作成します

New-AdGroupコマンドを使用して新しいセキュリティグループ,

PS51> New-ADGroup -Name '<group name>' -GroupScope <scope of group> -Path '<path of the OU tht will host the new group>'

Pathパラメータが指定されていない場合、新しいグループがUsersコンテナに作成されます。 グループスコープは、DomainLocalGlobalまたはUniversalのいずれかでなければなりません。

New-ADGroupを使用して新しい配布グループを作成します

再びNew-AdGroupを使用して配布グループを作成します。 今回は、GroupCategoryDistributionを選択します。,

Add-ADGroupMemberを使用してグループにメンバーを追加する

PowerShellを使用してActive Directoryグループにユーザーを追加するには、Add-AdGroupMemberコマンドレットまたはAdd-ADPrincipalGroupMembershipコマンドレットを使用します。

このコマンドは、グループをIdとして指定します。

PS51> Add-ADGroupMember -Identity <identity string or object> -Members <identity string(s) or ADPrincipal(s)>

このコマンドは、IdとしてADプリンシパルを指定します。,

PS51> Add-ADPrincipalGroupMembership -Identity <identity string or object> -MemberOf <identity string(s) or ADGroup(s)>

Set-AdGroupを持つグループのNotesプロパティに書き込みます

ADUCのNotesというラベルのフィールドは、InfoGet-AdGroupから返されるプロパティ

まず、変更するグループを見つけ、Infoプロパティを設定してから、Set-AdGroupを使用して変更をADにコミットします。

Remove-ADGroupMemberでグループメンバーを削除

すべてのPowerShellコマンドレットと同様に、Confirmパラメーターを使用して、変更を行う前にプロンプトを, この動作は、Remove-AdGroupMemberコマンドレットおよびRemove-ADPrincipalGroupMembershipコマンドレットにも適用されます。

以下では、確認なしでグループメンバーを削除することができます。

または、Confirmパラメータを使用して確認してグループメンバーを削除することを選択できます。

Remove-ADGroupを使用してグループを削除します

確認なしで、確認なしでグループを削除します。

Rename-ADObjectでグループの名前を変更します

Rename-ADObjectを使用して、ワンライナーでグループの名前を変更できます。,

PS51> Rename-ADObject -Identity <identity string or object> -NewName '<new name>'

Get-ADGroupでグループの数を取得します

Get-AdGroupで返されるグループの総数を見つける必要がありますか? Countプロパティを使用します。

PS51> (Get-ADGroup -Filter '*').Count

Get-ADGroupでマネージャーを持つグループを検索

Get-AdGroupでマネージャーが割り当てられているすべてのグループをフィルター

PS51> Get-ADGroup -LDAPFilter '(managedby=*)'

これに相当するPowerShellフィルタはありません。,

Get-ADGroupを使用して特定のユーザーが管理するグループを検索します

フィルタースキルをアップし、PowerShellフィルターまたはLDAPフィルターを使用して特定のユーザーが管理するすべてのグループを検索します。

Set-ADGroupでグループマネージャを設定します

グループのADUCの[管理]タブを使用すると、グループのメンバーシップを担当するユーザを指定できます。 これは当てはまりません自動的にマネージャーのグループメンバーシップのグループ それを可能にするには、問題のグループのMemberプロパティでセキュリティ権限を変更する必要があります。,

Active Directoryユーザーとコンピューター(ADUC)のグループのManager can update membershipリストボックスをチェックすると、これを許可する権限が変更されます。

Active Directoryユーザーとコンピュータのタブで管理

Set-ADGroupを使用してManagedBy属性を設定します。

PS51> Set-ADGroup -ManagedBy '<distinguished name, GUID, SID or SAM Account name of manager>'

アクセス制御リストを更新するには、さらにいくつかの手順が必要です。, 次のコードスニペットは、ユーザー Kristin Diazにグループのメンバーシップを管理する機能を付与します。 bf9679c0-0de6-11d0-a285-00aa003049e2は、グループのMemberプロパティのGUIDです。

Kristinがグループのマネージャーとしても設定されている場合、チェックボックスがチェックされます。 そうでない場合でも、Kristinはグループのメンバーシップを管理できますが、ADUCにはマネージャーとして表示されません。,

すべてのセキュリティグループを検索

検索クエリをセキュリティグループのみに制限して、PowerShellを使用してActive Directory内のすべてのセキュリティグループ そのLDAPフィルタは何ですか、あなたは尋ねる? 全てをご覧くださいLDAP定する事が出来ます。

配布グループの検索

PowerShellを使用して、次の二つの例を使用してセキュリティグループを除外するActive Directoryグループ(配布)を一覧表示します。,

Get-ADPrincipalGroupMembershipを持つユーザーのグループメンバーシップを検索

PS51> Get-ADPrincipalGroupMembership -Identity <identity string or object>

このコマンドは、グローバルカタログへのアクセスが必要です。

サブOuを含まないOU内のグループを検索

SearchBaseパラメータを使用して、検索を単一のOUに制限します。

サブOuを含むOU内のグループを検索

子Ou内のすべてのグループを検索する必要がありますか? SearchScopeSubTreeを使用します。,

概要

これで、PowerShellを使用したADグループの管理のサンプルドリブンデモは終了しました。 これらのいくつかをつかむ、あなたの組織でそれらを試してみて、自動化を開始!