med hjälp av ActiveDirectory PowerShell-modulen kan du fråga annonsgrupper med Get-AdGroup, lägga till, uppdatera och ta bort grupper och gruppmedlemmar. I det här blogginlägget kommer du att lära dig lite om Active Directory group PowerShell cmdlets med massor av exempel för referens.
Innehållsförteckning
Active Directory Group Cmdlets
När du har installerat ActiveDirectory PowerShell-modulen hittar du några cmdlets tillgängliga för att hantera grupper.,
| Cmdlet namn | beskrivning |
|---|---|
| Add-adgroupmember | används för att lägga till medlemmar i en annonsgrupp. |
| Add-ADPrincipalGroupMembership | används för att lägga till en annons principal i annonsgrupper. |
| Get-ADGroup | används för att returnera en grupp eller grupper från annons. |
| Get-ADGroupMember | används för att returnera medlemmarna i en annonsgrupp., |
| Get-ADPrincipalGroupMembership | används för att få grupperna en annons rektor är medlem i. |
| New-ADGroup | används för att skapa en ny annonsgrupp. |
| Remove-ADGroup | används för att radera en annonsgrupp. |
| Remove-ADGroupMember | används för att ta bort medlemmar från en annonsgrupp. |
| Remove-ADPrincipalGroupMembership | används för att ta bort en annons principal från annonsgrupper. |
| Set-ADGroup | används för att ställa in egenskaperna för en annonsgrupp., |
med hjälp av dessa cmdlets och lite PowerShell kung-fu kan du hantera alla aspekter av Active Directory-gruppen med PowerShell.
hitta medlemmarna i en grupp med Get-ADGroupMember
Get-AdGroupMember cmdlet returnerar alla medlemmar i en grupp.
PS51> Get-ADGroupMember -Identity <identity string or object>Alternativt kan du referera till egenskapenmemberOf för en viss användare som använder egenskapenGet-Aduser cmdlet., För en uppdatering om hur man bygger filter, kolla in lärande Active Directory-katalog och LDAP-filter i PowerShell.
två exempel är nedan.
PS51> Get-ADUser -Filter 'memberOf -eq ""'PS51> Get-ADUser -LDAPFilter '(memberOf=)'detta returnerar en samling Adprincipalobjekt.
exportera medlemmarna i en grupp till en CSV-fil
detta exporterar varje användares Förnamn, Efternamn och e-postadress. Pipa resultaten frånGet-ADGroupMember tillGet-ADUser eftersom det här är adprincipal-objekt som inte har alla egenskaper som ADUser-objekt har.,
Observera användningen av parametern
NoTypeInformationförExport-CSVför att säkerställa att CSV-filen är kompatibel med andra program.
hitta grupper utan medlemmar med Get-ADGroup
användGet-AdGroup för att hitta grupper med filter. Två exempel nedan.
PS51> Get-ADGroup -Filter "Members -notlike '*'"PS51> Get-ADGroup -LDAPFilter "(!(member=*))"skapa en ny säkerhetsgrupp med New-ADGroup
du skapar en ny säkerhetsgrupp med kommandot.,
PS51> New-ADGroup -Name '<group name>' -GroupScope <scope of group> -Path '<path of the OU tht will host the new group>'om ingenPath – parameter levereras kommer den nya gruppen att skapas i Användarbehållaren. Gruppomfånget måste vara antingen DomainLocal, Globaleller Universal.
skapa en ny distributionsgrupp med New-ADGroup
användNew-AdGroup igen för att skapa en distributionsgrupp. Den här gången väljer du en GroupCategory för Distribution.,
Lägg till medlemmar i en grupp med Add-ADGroupMember
lägga till användare i en Active Directory-grupp med PowerShell kan göras med hjälp avAdd-AdGroupMember cmdlet ellerAdd-ADPrincipalGroupMembership cmdlet.
det här kommandot anger gruppen som identitet.
PS51> Add-ADGroupMember -Identity <identity string or object> -Members <identity string(s) or ADPrincipal(s)>det här kommandot anger ad principal som identitet.,
PS51> Add-ADPrincipalGroupMembership -Identity <identity string or object> -MemberOf <identity string(s) or ADGroup(s)>skriv till egenskapen Notes för en grupp med Set-AdGroup
fältet noter i ADUC representeras av egenskapenInfo som returneras frånGet-AdGroup.
hitta först gruppen som ska ändras, ange egenskapenInfo och använd sedanSet-AdGroup för att begå ändringen till annonsen.
ta bort gruppmedlemmar med Remove-ADGroupMember
liksom alla PowerShell cmdlets kan du använda parameternConfirm för att bli tillfrågad innan en ändring görs., Detta beteende gäller förRemove-AdGroupMember ochRemove-ADPrincipalGroupMembership cmdlets också.
nedan kan du ta bort gruppmedlemmar utan bekräftelse.
eller så kan du välja att ta bort gruppmedlemmar med bekräftelse med parametern Confirm.
ta bort en grupp med Remove-ADGroup
Ta bort en grupp utan bekräftelse och med bekräftelse.
Byt namn på en grupp med Rename-ADObject
Du kan byta namn på en grupp via en one-liner medRename-ADObject.,
PS51> Rename-ADObject -Identity <identity string or object> -NewName '<new name>'få antalet grupper med Get-ADGroup
behöver du hitta det totala antalet grupper som returneras viaGet-AdGroup? Använd egenskapenCount.
PS51> (Get-ADGroup -Filter '*').Counthitta grupper med en chef med Get-ADGroup
filtrera alla grupper som har en chef tilldelad dem medGet-AdGroup och ett väl utformat LDAP-filter.
PS51> Get-ADGroup -LDAPFilter '(managedby=*)'det finns inget motsvarande PowerShell-filter för detta.,
hitta grupper som hanteras av en specifik användare med Get-ADGroup
upp dina filterfärdigheter och hitta alla grupper som hanteras av en specifik användare med antingen ett PowerShell-filter eller LDAP-filter.
Ställ in grupphanteraren med Set-ADGroup
fliken hanterad av i ADUC för grupper gör att du kan utse någon som är ansvarig för gruppens medlemskap. Detta betyder inte automatiskt att chefen kan ändra gruppmedlemskapet i gruppen. För att detta ska vara möjligt måste säkerhetsbehörigheterna ändras på medlemmarnas egendom för gruppen i fråga.,
åtgärden att markera förvaltaren kan uppdatera listrutan medlemskap för en grupp i Active Directory-användare och datorer (ADUC) ändrar behörigheterna för att tillåta detta.
användSet-ADGroup för att ställa in det Hanteradegenom attributet:
PS51> Set-ADGroup -ManagedBy '<distinguished name, GUID, SID or SAM Account name of manager>' uppdatering av åtkomstkontrolllistan tar några fler steg., Följande kodavsnitt ger användaren Kristin Diaz möjlighet att hantera medlemskapet i gruppen. bf9679c0-0de6-11d0-a285-00aa003049e2 GUID efter Member egendom i gruppen.
om Kristin också är inställd som chef för gruppen kommer kryssrutan att kryssas. Om inte, kommer Kristin fortfarande att kunna hantera medlemskapet i gruppen men kommer inte att visas i ADUC som chef.,
hitta alla säkerhetsgrupper
lista alla säkerhetsgrupper i Active Directory med PowerShell genom att begränsa din sökfråga till endast säkerhetsgrupper med dessa två exempel. Vad är det för LDAP-filter? Läs allt om LDAP-filter.
hitta distributionsgrupper
använd PowerShell för att lista Active Directory-grupper (distribution) som utesluter säkerhetsgrupper med hjälp av dessa två exempel.,
hitta gruppmedlemskap för en användare med Get-ADPrincipalGroupMembership
PS51> Get-ADPrincipalGroupMembership -Identity <identity string or object>Observera att det här kommandot kräver tillgång till en global katalog.
hitta grupper i en OU, inte inklusive någon Sub-OUs
bli granulär med parameternSearchBase för att begränsa sökningen till en enda OU med hjälp av dessa två exempel.
hitta grupper i ett uu, inklusive eventuella underåtgärder
behöver du hitta alla grupper i underåtgärder? Använd SearchScope för SubTree.,
sammanfattning
som avslutar vår exempeldrivna demo för att hantera annonsgrupper med PowerShell. Ta några av dessa, prova dem i din organisation och börja automatisera!
Lämna ett svar