met de ActiveDirectory PowerShell-module kunt u AD-groepen opvragen met Get-AdGroup, groepen en groepsleden toevoegen, bijwerken en verwijderen. In deze blogpost, je gaat een beetje te leren over de Active Directory groep PowerShell cmdlets met een ton van voorbeelden ter referentie.
inhoudsopgave
Active Directory-groep Cmdlets
zodra u de ActiveDirectory PowerShell-module installeert, vindt u een paar cmdlets beschikbaar om groepen te beheren.,
| Cmdlet Name | Description |
|---|---|
| add-adgrouplid | wordt gebruikt om leden aan een AD-groep toe te voegen. |
| Add-Adprincipe groepslidmaatschap | wordt gebruikt om een ad principal aan AD groepen toe te voegen. |
| Get-ADGroup | gebruikt om een groep of groepen uit AD te retourneren. |
| Get-ADGroupMember | wordt gebruikt om de leden van een AD-groep te retourneren., |
| Get-Adprincipalgrouplidmaatschap | wordt gebruikt om de groepen te krijgen waarvan een ad principal lid is. |
| nieuwe-Adgroep | wordt gebruikt om een nieuwe AD-groep aan te maken. |
| verwijderen-ADGroup | wordt gebruikt om een AD-groep te verwijderen. |
| Remove-ADGroupMember | wordt gebruikt om leden uit een AD-groep te verwijderen. |
| Remove-Adprincipe groepslidmaatschap | wordt gebruikt om een ad principal uit AD groepen te verwijderen. |
| Set-ADGroup | wordt gebruikt om de eigenschappen van een AD-groep in te stellen., |
met behulp van deze cmdlets en een beetje PowerShell kung-fu kunt u elk aspect van de Active Directory-groep beheren met PowerShell.
Zoek de leden van een groep met Get-ADGroupMember
de Get-AdGroupMember cmdlet geeft alle leden in een groep terug.
PS51> Get-ADGroupMember -Identity <identity string or object>U kunt ook verwijzen naar de eigenschap memberOf op een bepaalde gebruiker met behulp van de Get-Aduser cmdlet., Voor een opfriscursus over het bouwen van filters, check out Learning Active Directory Directory en LDAP Filters in PowerShell.
twee voorbeelden staan hieronder.
PS51> Get-ADUser -Filter 'memberOf -eq ""'PS51> Get-ADUser -LDAPFilter '(memberOf=)'Dit geeft een verzameling Adprincipale objecten terug.
de leden van een groep exporteren naar een CSV-bestand
Dit exporteert de voornaam, achternaam en e-mailadres van elke gebruiker. Pipe de resultaten vanGet-ADGroupMember naar Get-ADUser omdat dit Adprincipe objecten zijn die niet alle eigenschappen hebben die ADUser objecten hebben.,
let op het gebruik van de
NoTypeInformationparameter vanExport-CSVom ervoor te zorgen dat het CSV-bestand compatibel is met andere toepassingen.
zoek groepen zonder leden met Get-ADGroup
gebruik Get-AdGroup om groepen te zoeken met behulp van filters. Twee voorbeelden hieronder.
PS51> Get-ADGroup -Filter "Members -notlike '*'"PS51> Get-ADGroup -LDAPFilter "(!(member=*))"Maak een nieuwe beveiligingsgroep aan met New-ADGroup
u maakt een nieuwe beveiligingsgroep aan met het commando New-AdGroup.,
PS51> New-ADGroup -Name '<group name>' -GroupScope <scope of group> -Path '<path of the OU tht will host the new group>'als geen Path parameter wordt opgegeven, zal de nieuwe groep worden aangemaakt in de gebruikerscontainer. Het groepsbereik moet ofwel DomainLocal, Global of Universalzijn.
Maak een nieuwe distributiegroep aan met nieuwe-Adgroep
gebruik New-AdGroup opnieuw om een distributiegroep aan te maken. Kies deze keer een GroupCategory van Distribution.,
leden toevoegen aan een groep met Add-Adgrouplid
gebruikers toevoegen aan een Active Directory-groep met PowerShell kan worden gedaan met de Add-AdGroupMember cmdlet of de Add-ADPrincipalGroupMembership cmdlet.
Dit commando specificeert de groep als de identiteit.
PS51> Add-ADGroupMember -Identity <identity string or object> -Members <identity string(s) or ADPrincipal(s)>Dit commando specificeert de AD principal als de identiteit.,
PS51> Add-ADPrincipalGroupMembership -Identity <identity string or object> -MemberOf <identity string(s) or ADGroup(s)>Write to the Notes property of a group with Set-AdGroup
het veld met het label Notes in ADUC wordt weergegeven door de Info property geretourneerd van Get-AdGroup.
zoek eerst de te wijzigen groep, stel de eigenschap Info In en gebruik dan Set-AdGroup om de wijziging in AD vast te leggen.
groepsleden verwijderen met Remove-ADGroupMember
zoals alle PowerShell-cmdlets kunt u de parameter Confirm gebruiken om gevraagd te worden voordat een wijziging wordt gemaakt., Dit gedrag is ook van toepassing op deRemove-AdGroupMember enRemove-ADPrincipalGroupMembership cmdlets.
hieronder kunt u groepsleden verwijderen zonder bevestiging.
of u kunt ervoor kiezen om groepsleden te verwijderen met bevestiging met behulp van de Confirm parameter.
Verwijder een groep met Remove-ADGroup
Verwijder een groep zonder bevestiging en met bevestiging.
hernoem een groep met Rename-ADObject
u kunt een groep hernoemen via een one-liner met Rename-ADObject.,
PS51> Rename-ADObject -Identity <identity string or object> -NewName '<new name>'haal het aantal groepen met Get-ADGroup
moet u het totale aantal groepen vinden dat via Get-AdGroupwordt geretourneerd? Gebruik de eigenschap Count.
PS51> (Get-ADGroup -Filter '*').Countzoek groepen met een manager met Get-ADGroup
Filter alle groepen die een manager hebben toegewezen aan hen met Get-AdGroup en een goed ontworpen LDAP-filter.
PS51> Get-ADGroup -LDAPFilter '(managedby=*)'Er is geen equivalent PowerShell filter voor dit.,
zoek groepen die door een specifieke gebruiker worden beheerd met Get-ADGroup
Verhoog uw filtervaardigheden en zoek alle groepen die door een specifieke gebruiker worden beheerd met behulp van een PowerShell-filter of een LDAP-filter.
stel de groepsbeheerder in met Set-ADGroup
met het tabblad beheerd door in ADUC voor groepen kunt u iemand aanwijzen die verantwoordelijk is voor het lidmaatschap van de groep. Dit betekent niet automatisch dat de manager het groepslidmaatschap van de groep kan wijzigen. Om dat mogelijk te maken, moeten de beveiligingsmachtigingen worden gewijzigd op de eigenschap van het lid voor de groep in kwestie.,
de handeling van het aanvinken van de Manager kan lidmaatschap keuzelijst bijwerken voor een groep in Active Directory gebruikers en Computers (aduc) verandert de machtigingen om dit toe te staan.
Gebruik Set-ADGroup om de ManagedBy kenmerk:
PS51> Set-ADGroup -ManagedBy '<distinguished name, GUID, SID or SAM Account name of manager>'het Bijwerken van de Access Control list duurt nog een paar stappen., Het volgende codefragment geeft de gebruiker Kristin Diaz de mogelijkheid om het lidmaatschap van de groep te beheren. bf9679c0-0de6-11d0-A285-00aa003049e2 is de GUID voor de eigenschap Member van de groep.
als Kristin ook is ingesteld als de manager van de groep dan wordt het aankruisvakje aangevinkt. Zo niet, dan zal Kristin nog steeds het lidmaatschap van de groep kunnen beheren, maar zal niet in ADUC als manager getoond worden.,
Zoek alle beveiligingsgroepen
Toon alle beveiligingsgroepen in Active Directory met PowerShell door uw zoekopdracht te beperken tot alleen beveiligingsgroepen met deze twee voorbeelden. Wat is dat LDAP-filter, vraag je? Meer informatie over LDAP-filters.
distributiegroepen zoeken
gebruik PowerShell om Active Directory-groepen (distributie) weer te geven, wat beveiligingsgroepen uitsluit met behulp van deze twee voorbeelden.,
zoek groepslidmaatschap voor een gebruiker met Get-Adprincipe groepslidmaatschap
PS51> Get-ADPrincipalGroupMembership -Identity <identity string or object>merk op dat dit commando toegang tot een globale catalogus vereist.
zoek groepen in een organisatie-eenheid, met uitzondering van sub-eenheden
krijg een korrel met behulp van de parameter SearchBase om uw zoekopdracht te beperken tot één organisatie-eenheid met behulp van deze twee voorbeelden.
groepen in een organisatie-eenheid zoeken, inclusief sub-ou ’s
moet u alle groepen in dochter-ou’ s zoeken? Gebruik een SearchScope van SubTree.,
samenvatting
hiermee eindigt onze voorbeeldgedreven demo van het beheren van AD groepen met PowerShell. Pak een paar van deze, probeer ze uit in uw organisatie en beginnen met het automatiseren!
Geef een reactie