za pomocą modułu ActiveDirectory PowerShell można odpytywać grupy reklam za pomocą Get-AdGroup, dodawać, aktualizować i usuwać grupy i członków grupy. W tym poście na blogu dowiesz się trochę o cmdletach PowerShell grupy Active Directory z mnóstwem przykładów.
spis treści
Active Directory Group Cmdlets
Po zainstalowaniu modułu ActiveDirectory PowerShell znajdziesz kilka cmdletów dostępnych do zarządzania grupami.,
| Nazwa Cmdleta | opis |
|---|---|
| add-adgroupmember | używany do dodawania członków do grupy reklam. |
| Add-adprincipalgroupmembership | używany do dodawania głównego AD do grup AD. |
| Get-ADGroup | używany do zwracania grupy lub grup z AD. |
| Get-ADGroupMember | używane do zwracania członków grupy reklam., |
| Get-ADPrincipalGroupMembership | używane do pobierania grup, do których należy dyrektor reklamy. |
| New-ADGroup | używany do tworzenia nowej grupy reklam. |
| Remove-ADGroup | używany do usuwania grupy reklam. |
| Remove-ADGroupMember | używany do usuwania członków z grupy reklam. |
| Remove-ADPrincipalGroupMembership | używany do usuwania głównej reklamy z grup reklam. |
| Set-Grupa Ad | używana do ustawiania właściwości grupy AD., |
korzystając z tych cmdletów i małego PowerShell kung-fu, możesz zarządzać każdym aspektem grupy Active Directory za pomocą PowerShell.
Znajdź członków grupy za pomocą Get-ADGroupMember
Get-AdGroupMember cmdlet zwraca wszystkich członków grupy.
PS51> Get-ADGroupMember -Identity <identity string or object>Alternatywnie możesz odwołać się do właściwościmemberOf dla konkretnego użytkownika za pomocąGet-Aduser cmdlet., Aby dowiedzieć się więcej na temat tworzenia filtrów, zapoznaj się z sekcją Learning Active Directory Directory i filtrami LDAP w PowerShell.
poniżej dwa przykłady.
PS51> Get-ADUser -Filter 'memberOf -eq ""'PS51> Get-ADUser -LDAPFilter '(memberOf=)'zwraca kolekcję obiektów ADPrincipal.
eksport członków grupy do pliku CSV
eksportuje imię, nazwisko i adres e-mail każdego użytkownika. Przełącz wyniki zGet-ADGroupMemberdo Get-ADUser ponieważ są to obiekty ADPrincipal, które nie mają wszystkich właściwości, które mają obiekty ADUser.,
zwróć uwagę na użycie
NoTypeInformationparametruExport-CSVaby upewnić się, że plik CSV jest kompatybilny z innymi aplikacjami.
Znajdź grupy bez członków za pomocą Get-ADGroup
użyjGet-AdGroup aby znaleźć grupy za pomocą filtrów. Dwa przykłady poniżej.
PS51> Get-ADGroup -Filter "Members -notlike '*'"PS51> Get-ADGroup -LDAPFilter "(!(member=*))"Utwórz nową grupę zabezpieczeń za pomocą polecenia New-ADGroup
tworzysz nową grupę zabezpieczeń za pomocą poleceniaNew-AdGroup.,
PS51> New-ADGroup -Name '<group name>' -GroupScope <scope of group> -Path '<path of the OU tht will host the new group>'Jeśli nie podano parametruPath, Nowa grupa zostanie utworzona w kontenerze Users. Zakres grupy musi być albo DomainLocal, Global lub Universal.
Utwórz nową grupę dystrybucyjną za pomocą New-ADGroup
użyjNew-AdGroup ponownie, aby utworzyć grupę dystrybucyjną. Tym razem wybierz GroupCategory z Distribution.,
dodawanie członków do grupy za pomocą add-ADGroupMember
Dodawanie użytkowników do grupy Active Directory za pomocą PowerShell można wykonać za pomocąAdd-AdGroupMember cmdlet lubAdd-ADPrincipalGroupMembership cmdlet.
To polecenie określa grupę jako tożsamość.
PS51> Add-ADGroupMember -Identity <identity string or object> -Members <identity string(s) or ADPrincipal(s)>To polecenie określa ad principal jako tożsamość.,
PS51> Add-ADPrincipalGroupMembership -Identity <identity string or object> -MemberOf <identity string(s) or ADGroup(s)>napisz do Właściwości Notes grupy z Set-AdGroup
pole oznaczone Notes w ADUC jest reprezentowane przezInfo właściwość zwrócona zGet-AdGroup.
najpierw znajdź grupę do zmiany, ustaw właściwośćInfo, a następnie użyjSet-AdGroup, aby zatwierdzić zmianę NA AD.
Usuń członków grupy za pomocą Remove-ADGroupMember
podobnie jak wszystkie cmdlety PowerShell, możesz użyć parametruConfirm, który zostanie wyświetlony przed dokonaniem zmiany., To zachowanie dotyczy również cmdletów Remove-AdGroupMember I Remove-ADPrincipalGroupMembership.
poniżej możesz usunąć członków grupy bez potwierdzenia.
lub możesz wybrać usunięcie członków grupy z potwierdzeniem za pomocą parametru Confirm.
Usuń grupę za pomocą Remove-ADGroup
Usuń grupę bez potwierdzenia i z potwierdzeniem.
Zmień nazwę grupy za pomocą Rename-ADObject
możesz zmienić nazwę grupy za pomocą jednego wiersza używającRename-ADObject.,
PS51> Rename-ADObject -Identity <identity string or object> -NewName '<new name>'Get the number of groups with Get-ADGroup
czy musisz znaleźć całkowitą liczbę grup zwróconych przezGet-AdGroup? Użyj właściwości Count.
PS51> (Get-ADGroup -Filter '*').CountZnajdź grupy z menedżerem za pomocą Get-ADGroup
Filtruj Wszystkie grupy, które mają przypisany menedżer za pomocąGet-AdGroup I dobrze spreparowanego filtra LDAP.
PS51> Get-ADGroup -LDAPFilter '(managedby=*)'nie ma dla tego odpowiednika filtra PowerShell.,
Znajdź grupy zarządzane przez konkretnego użytkownika za pomocą Get-ADGroup
Rozwiń swoje umiejętności filtrowania i znajdź wszystkie grupy zarządzane przez konkretnego użytkownika za pomocą filtra PowerShell lub filtra LDAP.
Set the group Manager with Set-ADGroup
Zakładka Managed By w ADUC for groups pozwala wyznaczyć osobę odpowiedzialną za przynależność do grupy. Nie oznacza to automatycznie, że menedżer może zmienić przynależność do grupy. Aby było to możliwe, uprawnienia zabezpieczeń muszą zostać zmienione na właściwości członkowskiej danej grupy.,
akt zaznaczenia menedżera może zaktualizować listę członków dla grupy w Users and Computers (ADUC) Active Directory zmienia uprawnienia, aby na to zezwolić.
użyj Set-ADGroup aby ustawić atrybut managedby:
PS51> Set-ADGroup -ManagedBy '<distinguished name, GUID, SID or SAM Account name of manager>'Aktualizacja listy kontroli dostępu wymaga jeszcze kilku kroków., Poniższy fragment kodu daje użytkownikowi możliwość zarządzania członkostwem w grupie. bf9679c0-0de6-11D0-a285-00aa003049e2 jest identyfikatorem GUID dla właściwości grupy Member.
Jeśli Kristin jest również ustawiony jako menedżer grupy, to pole wyboru zostanie zaznaczone. Jeśli nie, Kristin nadal będzie w stanie zarządzać członkostwem w grupie, ale nie zostanie pokazana w ADUC jako menedżer.,
Znajdź wszystkie grupy zabezpieczeń
wyświetl wszystkie grupy zabezpieczeń w Active Directory za pomocą programu PowerShell, ograniczając wyszukiwanie tylko do grup zabezpieczeń z tymi dwoma przykładami. Co to za Filtr LDAP, pytasz? Dowiedz się wszystkiego o filtrach LDAP.
Znajdź grupy dystrybucji
użyj PowerShell, aby wyświetlić listę grup (dystrybucji) Active Directory, która wyklucza grupy zabezpieczeń, używając tych dwóch przykładów.,
Znajdź członkostwo w grupie dla użytkownika z Get-ADPrincipalGroupMembership
PS51> Get-ADPrincipalGroupMembership -Identity <identity string or object>zauważ, że to polecenie wymaga dostępu do globalnego katalogu.
Znajdź grupy w OU, bez żadnych pod-ou
uzyskaj ziarnistość za pomocą parametruSearchBase, aby ograniczyć wyszukiwanie do pojedynczego OU za pomocą tych dwóch przykładów.
Znajdź grupy w OU, w tym wszelkie pod-ou
czy musisz znaleźć wszystkie grupy w ou potomnym? Użyj SearchScopez SubTree.,
podsumowanie
podsumowujące nasze przykładowe demo zarządzania grupami reklam za pomocą PowerShell. Zdobądź kilka z nich, wypróbuj je w swojej organizacji i rozpocznij automatyzację!
Dodaj komentarz