folosind modulul PowerShell ActiveDirectory, puteți interoga grupuri de anunțuri cu Get-AdGroup, adăugați, actualizați și eliminați grupuri și membri ai grupului. În această postare pe blog, veți afla puțin despre cmdleturile Active Directory group PowerShell cu o mulțime de exemple de referință.

cuprins

cmdleturi Active Directory Group

odată ce instalați modulul ActiveDirectory PowerShell, veți găsi câteva cmdleturi disponibile pentru a gestiona grupurile.,

Cmdlet Nume Descriere
Add-ADGroupMember Folosit pentru a adăuga membri la un grup de ANUNȚURI.
Add-ADPrincipalGroupMembership folosit pentru a adăuga un anunț principal la grupuri de anunțuri.
Get-ADGroup folosit pentru a returna un grup sau grupuri din anunț.
Get-ADGroupMember folosit pentru a returna membrii unui grup de anunțuri.,
Get-ADPrincipalGroupMembership folosit pentru a obține grupurile un principal anunț este un membru al.
nou-ADGroup folosit pentru a crea un grup de anunțuri nou.
Remove-ADGroup folosit pentru a șterge un grup de anunțuri.
Remove-ADGroupMember folosit pentru a elimina membrii dintr-un grup de reclame.
Remove-ADPrincipalGroupMembership folosit pentru a elimina un anunț principal din grupurile de anunțuri.
Set-ADGroup folosit pentru a seta proprietățile unui grup de anunțuri.,

Folosind aceste cmdleturi și un pic de PowerShell kung-fu, puteți gestiona fiecare aspect al Active Directory grup cu PowerShell.

Găsiți membrii unui grup cu Get-ADGroupMember

Get-AdGroupMember cmdlet returnează toți membrii dintr-un grup.

PS51> Get-ADGroupMember -Identity <identity string or object>

Alternativ, ai putea referință memberOf de proprietate asupra unui anumit utilizator folosind Get-Aduser cmdlet., Pentru o reîmprospătare a modului de construire a filtrelor, consultați învățarea filtrelor Active Directory directory și LDAP în PowerShell.

două exemple sunt mai jos.

PS51> Get-ADUser -Filter 'memberOf -eq ""'PS51> Get-ADUser -LDAPFilter '(memberOf=)'

aceasta returnează o colecție de obiecte Adprincipale.

exportați membrii unui grup într-un fișier CSV

aceasta exportă prenumele, prenumele și adresa de e-mail a fiecărui utilizator. Conducta de rezultatele de laGet-ADGroupMember și Get-ADUser pentru că acestea sunt ADPrincipal obiecte care nu au toate proprietățile care ADUser obiecte au.,

notă utilizarea NoTypeInformation parametru de Export-CSV pentru a se asigura că fișierul CSV este compatibil cu alte aplicații.

Găsi grupuri cu membri cu ADGroup

Utilizare Get-AdGroup de a găsi grupuri folosind filtre. Două exemple de mai jos.

PS51> Get-ADGroup -Filter "Members -notlike '*'"PS51> Get-ADGroup -LDAPFilter "(!(member=*))"

Crearea unui nou grup de securitate cu Nou-ADGroup

creați un nou grup de securitate folosind New-AdGroup comandă.,

PS51> New-ADGroup -Name '<group name>' -GroupScope <scope of group> -Path '<path of the OU tht will host the new group>'

Dacă nu Path parametru este furnizat, noul grup va fi creat în recipientul de Utilizatori. Grupul aplicare trebuie să fie DomainLocal, Global sau Universal.

creați un nou grup de distribuție cu New-ADGroup

utilizați New-AdGroup din nou pentru a crea un grup de distribuție. De data aceasta, alegeți un GroupCategorydin Distribution.,

pentru a Adăuga membri la un grup cu Add-ADGroupMember

Adăugarea de utilizatori la un grup de Active Directory cu PowerShell se poate face folosind Add-AdGroupMember cmdlet-ului sau Add-ADPrincipalGroupMembership cmdlet.

această comandă specifică grupul ca identitate.

PS51> Add-ADGroupMember -Identity <identity string or object> -Members <identity string(s) or ADPrincipal(s)>

această comandă specifică principalul anunț ca identitate.,

PS51> Add-ADPrincipalGroupMembership -Identity <identity string or object> -MemberOf <identity string(s) or ADGroup(s)>

Scrie la Note proprietatea unui grup cu un Set-AdGroup

câmpul Note într-ADUC este reprezentat de Info proprietate a revenit de la Get-AdGroup.

Mai întâi, găsiți grupul de modificat, setați proprietatea Info și apoi utilizați Set-AdGroup pentru a comite modificarea în AD.

eliminarea membrilor grupului cu Elimina-ADGroupMember

la fel Ca toate PowerShell cmdlet-uri, puteți utiliza Confirm parametru pentru a fi anunțat înainte de a se face o schimbare., Acest comportament se aplică la Remove-AdGroupMemberși Remove-ADPrincipalGroupMembership cmdlets prea.

mai jos puteți elimina membrii grupului fără confirmare.

sau puteți alege să eliminați membrii grupului cu confirmare folosind parametrul Confirm.

ștergeți un grup cu Remove-ADGroup

ștergeți un grup fără confirmare și cu confirmare.

a Redenumi un grup cu Redenumiți-ADObject

puteți redenumi un grup printr-o singură linie, folosind Rename-ADObject.,

PS51> Rename-ADObject -Identity <identity string or object> -NewName '<new name>'

Obține numărul de grupuri cu ADGroup

ai nevoie pentru a găsi numărul total de grupuri returnate prin Get-AdGroup? Utilizați Count proprietate.

PS51> (Get-ADGroup -Filter '*').Count

Găsi grupuri cu un manager cu ADGroup

Filtru de toate grupurile care au un manager care le sunt atribuite cu Get-AdGroup și un bine-artizanale LDAP filtru.

PS51> Get-ADGroup -LDAPFilter '(managedby=*)'

nu există un filtru PowerShell echivalent pentru acest lucru.,

găsiți grupuri gestionate de un anumit utilizator cu Get-ADGroup

Îmbunătățiți-vă abilitățile de filtrare și găsiți toate grupurile gestionate de un anumit utilizator folosind fie un filtru PowerShell, fie un filtru LDAP.

setați managerul de grup cu Set-ADGroup

fila gestionată de grup din ADUC pentru grupuri vă permite să desemnați pe cineva care este responsabil pentru calitatea de membru al grupului. Acest lucru nu înseamnă automat că managerul poate modifica calitatea de membru al grupului. Pentru ca acest lucru să fie posibil, permisiunile de securitate trebuie modificate pe proprietatea membrului pentru grupul în cauză.,

actul de bifare managerul poate actualiza lista de membru caseta pentru un grup în Active Directory Users and Computers (ADUC) modifică permisiunile pentru a permite acest lucru.

Gestionate De tab în Active Directory Users and Computers

Utilizare Set-ADGroup pentru a seta ManagedBy atribut:

PS51> Set-ADGroup -ManagedBy '<distinguished name, GUID, SID or SAM Account name of manager>'

Actualizare lista de Control al Accesului ia câțiva pași., Următorul fragment de cod acordă Utilizatorului Kristin Diaz posibilitatea de a gestiona calitatea de membru al grupului. bf9679c0-0de6-11d0-a285-00aa003049e2 este GUID-ul pentru Member proprietate de grup.

dacă Kristin este, de asemenea, setat ca manager al grupului, atunci caseta de validare va fi bifată. Dacă nu, Kristin va putea în continuare să gestioneze calitatea de membru al grupului, dar nu va fi prezentată în ADUC ca manager.,

găsiți toate grupurile de securitate

listați toate grupurile de securitate din Active Directory cu PowerShell limitând interogarea de căutare doar la grupurile de securitate cu aceste două exemple. Ce este filtrul LDAP, întrebi? Aflați totul despre filtrele LDAP.

găsiți grupuri de distribuție

utilizați PowerShell pentru a lista grupuri Active Directory (distribuție) care exclude grupurile de securitate folosind aceste două exemple.,

Găsi membru al grupului pentru un utilizator cu ADPrincipalGroupMembership

PS51> Get-ADPrincipalGroupMembership -Identity <identity string or object>

Rețineți că această comandă necesită acces la un catalog global.

Găsi grupuri într-un OU, nu inclusiv orice sub-OUs

Obține granular folosind SearchBase parametru pentru a limita căutarea la un singur OU folosind aceste două exemple.

găsiți grupuri într-un OU, inclusiv orice sub-uu

aveți nevoie să găsiți toate grupurile în uu copil? Utilizați un SearchScopede SubTree.,

rezumat

care încheie demo-ul nostru bazat pe Exemple de gestionare a grupurilor de reclame cu PowerShell. Luați câteva dintre acestea, încercați-le în organizația dvs. și începeți automatizarea!