Ebben a cikkben megvizsgáljuk a PowerShell azon képességét, hogy kezelje az Active Directory tartománycsoportokat. Megvizsgáljuk, hogyan lehet új csoportot létrehozni az AD-ben, hozzáadhatunk felhasználókat ehhez (vagy törölhetjük), felsoroljuk a csoport felhasználóit és számos más hasznos tevékenységet a tartománycsoportokkal, amelyek rendkívül hasznosak a napi adminisztrációban. A következő alapvető parancsmagok érhetők el az AD csoportok kezelésére az Active Directory PowerShell-ben:
Tartalom:
- New-ADGroup - hozzon létre egy új AD-csoportot
- Add-AdGroupMember - felhasználók hozzáadása az AD csoporthoz
- Remove-ADGroupMember - a felhasználók eltávolítása egy csoportból
- Get-ADGroup - információt szerezhet az AD csoportról
- Get-ADGroupMember - sorolja fel az AD csoport felhasználóit
Ezeknek a parancsmagoknak a PowerShell-munkamenetben történő használatához egy speciális AD-interakciós modult kell betölteni - Active Directory modul a Windows PowerShell számára. Ezt a modult először a Windows Server 208 R2-ben vezették be. A Windows Server 2012 és újabb verziókban ez a modul alapértelmezés szerint engedélyezve van. Telepíthető és engedélyezhető az ügyfélszámítógépeken, mint az RSAT egyik összetevője. A modul ellenőrzése az alábbiak szerint ellenőrizhető:
Get-module - elérhető
Mint láthatja, az ActiveDirectory modul betöltődött. Ha nem, akkor importálja a következő paranccsal:
Import-Modul aktív könyvtár
A modulparancsok teljes listája a következőképpen szerezhető be:
Get-Command -modul ActiveDirectory
A modul összesen 147 cmdlet-t tartalmaz, ebből 11 csoportokkal használható.
Get-Command -Module ActiveDirectory -Név "* Csoport *"
Itt van egy lista ezekről:
- Add-ADGroupMember
- Add-ADPrincipalGroupMembership
- Get-ADAccountAuthorizationGroup
- Get-adgroup
- Get-ADGroupMember
- Get-ADPrincipalGroupMembership
- Új-adgroup
- Remove-adgroup
- Remove-ADGroupMember
- Remove-ADPrincipalGroupMembership
- Set-adgroup
New-ADGroup - hozzon létre egy új AD-csoportot
Hozzon létre egy új csoportot a megadott Active Directory tárolóban (OU) a parancs segítségével Új-adgroup:
Új-ADGroup "TestADGroup" -út 'OU = Csoportok, OU = Moszkva, DC = corp, DC = Winitpro, DC = ru' -GroupScope Global -PassThru -Verbose
Attribútum használata leírás megadhatja a csoport leírását, és a gombbal DisplayName a megjelenített név módosítása.
paraméter GroupScope Megadhatja a következő csoportok egyikét:
- 0 = DomainLocal
- 1 = globális
- 2 = univerzális
Az alábbiak szerint hozhat létre terjesztési csoportot:
Új-ADGroup "TestADGroup-Distr" -út 'OU = Csoportok, OU = Moszkva, DC = corp, dc = winitpro, DC = ru' -GroupCategory Distribution -GroupScope Global -PassThru -Verbose
Add-AdGroupMember - felhasználók hozzáadása az AD csoporthoz
Felveheti a felhasználókat az Active Directory csoportba az Add parancsmag segítségével.-AdGroupMember. Adjon hozzá két felhasználót az új csoporthoz:
Add-AdGroupMember -Identity TestADGroup -Members user1, user2
Ha a csoporthoz hozzáadni kívánt felhasználók listája meglehetősen nagy, mentheti a fiókok listáját CSV-fájlba, majd importálhatja ezt a fájlt, és hozzáadhat minden felhasználót a csoporthoz.
A CSV fájl formátuma a következő (felhasználói lista soronként egy, oszlop neve - felhasználók)
Import-CSV. \ Users.csv -Header felhasználók | ForEach-Object Add-AdGroupMember -Identity 'TestADGroup' -members $ _. Users
Az egyik csoport (groupA) összes tagjának beolvasásához és egy másik csoporthoz (groupB) felvételéhez használja ezt a parancsot:
Get-ADGroupMember „GroupA” | Get-ADUser | ForEach-Object Add-ADGroupMember - „B-csoport” identitás -Members $ _
Ha az összes beágyazott csoport tagját (rekurzív módon) egy új csoportba kívánja másolni, akkor a következő parancsot kell használnia:
Get-ADGroupMember - „GroupA” személyiség -Rekurzív | Get-ADUser | ForEach-Object Add-ADGroupMember -Azonosság „GroupB” -Members $ _
Remove-ADGroupMember - a felhasználók eltávolítása egy csoportból
A felhasználók eltávolításához az AD csoportból az Remove-ADGroupMember parancsot kell használnia. Két felhasználót távolítunk el a csoportból:
Remove-ADGroupMember -Identity TestADGroup -Members user1, user2
Erősítse meg a felhasználók eltávolítását a csoportból:
Ha CSV-fájlból szeretne egy listát eltávolítani a felhasználói csoportból, használja ezt a parancsot:
Import-CSV. \ Users.csv -Header felhasználók | ForEach-Object Remove-ADGroupMember -Identity 'TestADGroup' -members $ _. Users
Get-ADGroup - információt szerezhet az AD csoportról
A parancsmag segítséget nyújt abban, hogy információt szerezzen a csoportról. Get-adgroup:
Get-ADGroup 'TestADGroup'
Ez a parancs információkat jelenít meg a csoport alapvető tulajdonságairól (DN, csoport típusa, név, SID). Az AD tartománycsoport összes attribútumának értékének megjelenítéséhez futtassa a következő parancsot:
Get-ADGroup 'TestADGroup' -tulajdonságok *
Mint láthatja, mostantól olyan attribútumok, mint a csoport létrehozásának és módosítási ideje, leírás stb..
A Get-ADGroup parancsmag segítségével egy adott sablon segítségével megtalálhatja az összes érdeklődő csoportot. Például meg kell találnia az összes olyan AD csoportot, amelynek a neve tartalmazza a kifejezést adminok :
Get-ADGroup -LDAPFilter “(név = * adminok *)” Format-Table
Get-ADGroupMember - sorolja fel az AD csoport felhasználóit
Jelenítse meg a csoport felhasználói listáját:
Get-ADGroupMember 'TestADGroup'
Ha csak a felhasználóneveket hagyja az eredményekben, tegye a következőket:
Get-ADGroupMember 'TestADGroup' | láb neve
Ha más tartománycsoportok is szerepelnek ebben a csoportban, akkor a paraméterrel jelenítse meg a tagok teljes listáját, beleértve az összes beágyazott csoportot rekurzív.
Get-ADGroupMember 'server-admins' -recursive | láb neve
Egy adott csoportba tartozó fiókok listájának CSV-fájlba való feltöltéséhez (az Excel további felhasználásához) futtassa a következő parancsot:
Get-ADGroupMember 'server-admins' -recursive | ft samaccountname | Nincs fájl c: \ ps \ admins.csv
Az AD-ban lévő felhasználói fiók adatainak szöveges fájlhoz történő hozzáadásához használja a Get-ADUser parancsmagot. Például, a fiók mellett, meg kell jelenítenie a csoport felhasználó helyét és telefonszámát:
Get-ADGroupMember -Identity 'server-admins' -recursive | foreach Get-ADUser $ _ -tulajdonságok címe, OfficePhone | Select-Object cím, OfficePhone
Az alábbiak szerint kiszámíthatja a csoport felhasználói számát:
(Get-ADGroupMember -Identity 'domain admins')
Kiderült, hogy a "domain adminok" csoportban 7 rendszergazdai fiókunk van.
Egy adott OU-ban lévő üres csoportok listájának megtalálásához használja ezt a parancsot:
Get-ADGroup -Filter * -Tulajdonosok Tagok -keresési adatbázis “OU = Moszkva, DC = corp, dc = winitpro, DC = hu” | ahol -nem $ _. tagok | válassza a Név lehetőséget
