Usando o módulo PowerShell ActiveDirectory, poderá consultar grupos de anúncios com o Get-AdGroup, adicionar, actualizar e remover grupos e membros do grupo. Neste post do blog, você vai aprender um pouco sobre o grupo de diretórios ativos PowerShell cmdlets com uma tonelada de exemplos para referência.
tabela de conteúdos
grupo de pastas activas Cmdlets
Uma vez que instale o módulo de PowerShell ActiveDirectory, irá encontrar alguns cmdlets disponíveis para gerir grupos.,
| Nome do Cmdlet | Descrição |
|---|---|
| Adicionar-ADGroupMember | Usado para adicionar membros a um grupo de ANÚNCIOS. |
| Add-Adprincipalroupmembership | usado para adicionar um director AD aos grupos AD. |
| Get-ADGroup | usado para retornar um grupo ou grupos de AD. |
| Get-ADGroupMember | usado para devolver os membros de um grupo AD., |
| Get-Adcipalgroupmembership | usado para obter os grupos um director AD é um membro. |
| Novo Grupo Ad | usado para criar um novo grupo AD. |
| Remove-ADGroup | usado para remover um grupo AD. |
| Remove-ADGroupMember | usado para remover membros de um grupo AD. |
| Remove-Adpricipalgroupmembership | usado para remover um director de publicidade de grupos de AD. |
| Set-ADGroup | usado para definir as propriedades de um grupo AD., |
Usando esses cmdlets e um pouco PowerShell kung-fu, você pode gerenciar todos os aspectos de grupo do Active Directory com o PowerShell.
Encontre os membros de um grupo com o ‘Get-ADGroupMember’
o Get-AdGroupMember o cmdlet devolve todos os membros de um grupo.
PS51> Get-ADGroupMember -Identity <identity string or object>Alternativamente, você pode referenciar o memberOf propriedade sobre um determinado usuário usando o Get-Aduser cmdlet., Para uma actualização sobre como construir filtros, verifique a aprendizagem do directório activo e dos filtros LDAP em PowerShell.
dois exemplos estão abaixo.
PS51> Get-ADUser -Filter 'memberOf -eq ""'PS51> Get-ADUser -LDAPFilter '(memberOf=)'isto devolve uma colecção de objectos Adprincipais.
exportar os membros de um grupo para um ficheiro CSV
isto exporta o primeiro nome, apelido e endereço de E-mail de cada utilizador. Pipe os resultados de Get-ADGroupMemberpara Get-ADUser porque estes são objetos Adprincipais que não têm todas as propriedades que os objetos ADUser têm.,
Observe que o uso de
NoTypeInformationparâmetroExport-CSVpara garantir que o arquivo CSV é compatível com outras aplicações.
encontrar grupos sem Membros com o Get-ADGroup
usar Get-AdGroup para encontrar grupos usando filtros. Dois exemplos abaixo.
PS51> Get-ADGroup -Filter "Members -notlike '*'"PS51> Get-ADGroup -LDAPFilter "(!(member=*))"Create a new security group with New-ADGroup
You create a new security group using the New-AdGroup command.,
PS51> New-ADGroup -Name '<group name>' -GroupScope <scope of group> -Path '<path of the OU tht will host the new group>' If no parâmetro é fornecido, o novo grupo será criado no recipiente de Usuários. O escopo do grupo deve ser DomainLocal Global ou Universal.
crie um novo grupo de distribuição com Novo Grupo Ad
Use New-AdGroup novamente para criar um grupo de distribuição. Desta vez, escolha um GroupCategory de Distribution.,
Adicionar membros a um grupo de com Add-ADGroupMember
Adicionar usuários a um grupo do Active Directory com o PowerShell pode ser feito usando o Add-AdGroupMember cmdlet ou o Add-ADPrincipalGroupMembership cmdlet.
Este comando indica o grupo como a identidade.
PS51> Add-ADGroupMember -Identity <identity string or object> -Members <identity string(s) or ADPrincipal(s)>Este comando Especifica o principal AD como a identidade.,
PS51> Add-ADPrincipalGroupMembership -Identity <identity string or object> -MemberOf <identity string(s) or ADGroup(s)>Escrever as Notas, propriedade de um grupo com a configuração do grupo de anúncios
o campo com O nome de Notas no ADUC é representado por Info propriedade devolvido a partir de Get-AdGroup.
Primeiro, encontrar o grupo para alterar, definir o Info propriedade e, em seguida, use Set-AdGroup para confirmar a alteração para o AD.
remover os membros do grupo com Remove-ADGroupMember
como todos os cmdlets PowerShell, você pode usar o parâmetro Confirm a ser solicitado antes de ser feita uma alteração., Este comportamento aplica-se ao Remove-AdGroupMember e Remove-ADPrincipalGroupMembership cmdlets também.
abaixo pode remover os membros do grupo sem confirmação.
ou pode optar por remover os membros do grupo com confirmação usando o parâmetro Confirm.
Delete um grupo com Remove-ADGroup
Delete um grupo sem confirmação e com confirmação.
mudar o nome de um grupo com mudar o nome-ADObject
pode mudar o nome de um grupo através de um liner usando Rename-ADObject.,
PS51> Rename-ADObject -Identity <identity string or object> -NewName '<new name>'Get the number of groups with Get-ADGroup
Do you need to find the total numbers of groups returned via Get-AdGroup? Use o Count propriedade.
PS51> (Get-ADGroup -Filter '*').CountFind groups with a manager with Get-ADGroup
Filter all groups that have a manager assigned to them with Get-AdGroup and a well-crafted LDAP filter.
PS51> Get-ADGroup -LDAPFilter '(managedby=*)'não existe um filtro PowerShell equivalente para isto.,
Encontre grupos geridos por um utilizador específico com o Get-ADGroup
aumente as suas competências de filtragem e encontre todos os grupos geridos por um utilizador específico usando um filtro PowerShell ou um filtro LDAP.
Defina o Gestor de grupos com o Set-ADGroup
a página gerida no ADUC para grupos permite-lhe designar alguém que é responsável pela adesão ao grupo. Isso não significa automaticamente que o gerente pode alterar a composição do grupo. Para que isso seja possível, as permissões de segurança devem ser alteradas na propriedade do Membro para o grupo em questão.,
O Acto de assinalar o gestor pode actualizar a lista de membros para um grupo em Utilizadores de Directórios activos e computadores (ADUC) muda as permissões para permitir isto.
Use Set-ADGroup para definir o atributo ManagedBy:
PS51> Set-ADGroup -ManagedBy '<distinguished name, GUID, SID or SAM Account name of manager>'Atualizar a lista de Controle de Acesso leva mais alguns passos., O seguinte excerto de código concede ao usuário Kristin Diaz a capacidade de gerenciar os membros do grupo. bf9679c0-0de6-11d0-a285-00aa003049e2 é o GUID para o Member propriedade do grupo.
Se a Kristin também for definida como o gestor do grupo, então a casa de marcação será assinalada. Caso contrário, Kristin ainda será capaz de gerenciar os membros do grupo, mas não será mostrado na ADUC como o gerente.,
Encontre todos os grupos de segurança
enumere TODOS os grupos de segurança na pasta activa com ‘PowerShell’, limitando a sua pesquisa a apenas grupos de segurança com estes dois exemplos. O que é esse filtro LDAP? Aprenda tudo sobre filtros LDAP.
encontrar grupos de distribuição
usar PowerShell para listar grupos de diretórios ativos (distribuição) que exclui grupos de segurança usando estes dois exemplos.,
Find group membership for a user with Get-ADPrincipalGroupMembership
PS51> Get-ADPrincipalGroupMembership -Identity <identity string or object>Note that this command requires access to a global catalog.
Encontrar grupos em uma ou, não incluindo qualquer sub-unidades organizacionais
granulares usando o SearchBase parâmetro para limitar a sua pesquisa para uma única ou usando esses dois exemplos.
encontrar grupos num OU, incluindo quaisquer sub-uos
é necessário encontrar todos os grupos em uos-filhos? Use a SearchScope ofSubTree.,
resumo
que conclui a nossa demonstração por exemplo de gestão de grupos AD com PowerShell. Pegue alguns destes, experimente-os em sua organização e comece a automatizar!
Deixe uma resposta