V tem članku si bomo ogledali sposobnost PowerShell-a za upravljanje domenskih skupin Active Directory. Ogledali si bomo, kako ustvariti novo skupino v AD-ju, ji dodati uporabnike (ali izbrisati), navesti uporabnike skupine in več drugih uporabnih dejanj z domenskimi skupinami, ki so izredno koristne pri vsakodnevnem upravljanju. Za upravljanje skupin AD v PowerShell za Active Directory so na voljo naslednji osnovni ukazni elementi:
Vsebina:
- New-ADGroup - ustvarite novo skupino AD
- Add-AdGroupMember - dodajte uporabnike v skupino AD
- Remove-ADGroupMember - odstranite uporabnike iz skupine
- Get-ADGroup - pridobite informacije o skupini AD
- Get-ADGroupMember - seznam uporabnikov skupine AD
Za uporabo teh ukaznikov v vaši seji PowerShell mora biti naložen poseben modul za interakcijo AD - Modul aktivnega imenika za Windows PowerShell. Ta modul je bil prvič predstavljen v sistemu Windows Server 208 R2. V operacijskem sistemu Windows Server 2012 in novejših različicah je ta modul privzeto omogočen. V odjemalskih računalnikih ga je mogoče namestiti in omogočiti kot eno od komponent RSAT. Lahko preverite, ali je modul naložen na naslednji način:
Get-module -ista dostopna
Kot lahko vidite, se naloži modul ActiveDirectory. Če ni, ga uvozite z ukazom:
Uvozni modul aktivni imenik
Popoln seznam ukazov modula lahko dobite takole:
Get-Command -Module ActiveDirectory
Modul vsebuje skupno 147 cmdletov, od tega 11 lahko dela s skupinami.
Get-Command -Module ActiveDirectory -Name "* Skupina *"
Tu je seznam njih:
- Add-ADGroupMember
- Add-ADPrincipalGroupMembership
- Get-ADAccountAuthorizationGroup
- Get-skupina oglasov
- Get-ADGroupMember
- Get-ADPrincipalGroupMembership
- Nova skupina oglasov
- Odstrani-ADGroup
- Odstrani-ADGroupMember
- Odstrani-ADPrincipalGroupMembership
- Nastavi skupino oglasov
New-ADGroup - ustvarite novo skupino AD
Z ukazom ustvarite novo skupino v določenem vsebniku Active Directory (OU) Nova skupina oglasov:
Nova-ADGroup "TestADGroup" -path "OU = Skupine, OU = Moskva, DC = corp, dc = winitpro, DC = ru" -GroupScope Global -PassThru -Verbose
Uporaba atributa Opis lahko določite opis skupine in s Prikazno ime spremeni prikazno ime.
Parameter Groupcope Določite lahko eno od naslednjih vrst skupin:
- 0 = DomainLocal
- 1 = Global
- 2 = Univerzalno
Skupino za distribucijo lahko ustvarite na naslednji način:
Nova-ADGroup "TestADGroup-Distr" -path "OU = Skupine, OU = Moskva, DC = corp, dc = winitpro, DC = ru" -GroupKategorija distribucije -GroupScope Global -PassThru -Verbose
Add-AdGroupMember - dodajte uporabnike v skupino AD
Uporabnike lahko dodate v skupino Active Directory z ukaznim ukazom Add.-AdGroupMember. V novo skupino dodajte dva uporabnika:
Add-AdGroupMember -Identity TestADGroup -Člani user1, user2
Če je seznam uporabnikov, ki jih želite dodati v skupino, precej velik, lahko seznam računov shranite v datoteko CSV, nato uvozite to datoteko in dodate vsakega uporabnika v skupino.
Oblika datoteke CSV je naslednja (seznam uporabnikov po vrstici, ime stolpca - uporabniki)
Uvozi CSV. \ Users.csv-Uporabniki uporabnikov | ForEach-Object Add-AdGroupMember -Identity 'TestADGroup' -člani $ _. Uporabniki
Če želite pridobiti vse člane ene skupine (groupA) in jih dodati v drugo skupino (groupB), uporabite ta ukaz:
Get-ADGroupMember "GroupA" | Get-ADUser | ForEach-Object Add-ADGroupMember -Identity "Group-B" -Člani $ _
Če želite člane vseh ugnezdenih skupin kopirati (rekurzivno) v novo skupino, morate uporabiti naslednji ukaz:
Get-ADGroupMember -Identnost "GroupA" -Recursive | Get-ADUser | ForEach-Object Add-ADGroupMember -Identity "GroupB" -Člani $ _
Remove-ADGroupMember - odstranite uporabnike iz skupine
Če želite odstraniti uporabnike iz skupine AD, morate uporabiti ukaz Remove-ADGroupMember. Iz skupine odstranimo dva uporabnika:
Remove-ADGroupMember -Identity TestADGroup -Člani user1, user2
Potrdite odstranitev uporabnikov iz skupine:
Če želite iz uporabniške skupine odstraniti seznam iz datoteke CSV, uporabite ta ukaz:
Uvozi CSV. \ Users.csv-Uporabniki uporabnikov | ForEach-Object Remove-ADGroupMember -Identity 'TestADGroup' -člani $ _. Uporabniki
Get-ADGroup - pridobite informacije o skupini AD
Cmdlet vam bo pomagal pridobiti informacije o skupini. Get-skupina oglasov:
Get-ADGroup 'TestADGroup'
Ta ukaz prikazuje informacije o osnovnih atributih skupine (DN, vrsta skupine, ime, SID). Če želite prikazati vrednost vseh atributov skupine domen AD, zaženite naslednji ukaz:
Get-ADGroup 'TestADGroup' -properties *
Kot lahko vidite, so zdaj atributi, kot so ustvarjanje skupine in čas spreminjanja, opis itd..
Z ukazom Get-ADGroup po določeni predlogi najdete vse skupine, ki vas zanimajo. Na primer, morate najti vse skupine oglasov, katerih ime vsebuje besedno zvezo admini :
Get-ADGroup -LDAPFilter "(ime = * admins *)" | Oblika tabele
Get-ADGroupMember - seznam uporabnikov skupine AD
Prikaži seznam uporabnikov skupine:
Get-ADGroupMember 'TestADGroup'
Če želite v rezultatih pustiti samo uporabniška imena, naredite:
Get-ADGroupMember 'TestADGroup' | ft ime
Če so v to skupino vključene druge skupine domen, za prikaz celotnega seznama članov, vključno z vsemi ugnezdenimi skupinami, uporabite parameter Rekurzivno.
Get-ADGroupMember 'server-admins' -recursive | ft ime
Če želite naložiti seznam računov, ki so v določeni skupini, v datoteko CSV (za nadaljnjo uporabo v Excelu), zaženite naslednji ukaz:
Get-ADGroupMember 'server-admins' -recursive | ft samonastavitev | Odstranjena datoteka c: \ ps \ admins.csv
Če želite dodati besedilo uporabniškega računa v AD v besedilno datoteko, uporabite ukazni ukaz Get-ADUser. Poleg računa morate na primer poleg računa prikazati položaj in telefonsko številko uporabnika skupine:
Get-ADGroupMember -Identity 'server-admins' -recursive | foreach Get-ADUser $ _ -properties title, OfficePhone | Izberi naslov predmeta, OfficePhone
Izračunate lahko število uporabnikov v tej skupini:
(Get-ADGroupMember -Identity 'domenska administracija'). Štetje
Izkazalo se je, da imamo v skupini "domeni skrbniki" 7 skrbniških računov.
Če želite najti seznam praznih skupin v določenem OU, uporabite ta ukaz:
Get-ADGroup -Filter * -Properties Člani -poiška „OU = Moskva, DC = corp, dc = winitpro, DC = en“ | kjer -not $ _. članov | izberite Ime
