Die Gruppenverwaltung in Active Directory kann durch den Einsatz von PowerShell verbessert werden. Dieses Mal möchte ich die grundlegenden ADGroup Cmdlets erklären.

ADGroup Cmdlets werden verwendet für: – Erstellen neuer Gruppen – Anzeigen von Gruppen und deren Attributen – Ändern von Gruppenattributen

AD PowerShell Grundlagen

In dieser kleinen Serie möchte ich die gängigsten Active Directory PowerShell Cmdlets vorstellen. Sie werden überrascht sein, wie einfach die Grundlagen der AD PowerShell sind. Mit wenig Aufwand und einem Minimum an Quellcode können Sie eine große Menge an Informationen auslesen und Daten in das AD schreiben. Die wichtigsten Cmdlets sind:

New-ADUser Get-ADUser Set-ADUser New-ADGroup, Get-ADGroup, Set-ADGroup

New-ADGroup Cmdlet

In diesem Teil des Artikels geht es um das Cmdlet New-ADGroup. Mit diesem Cmdlet können Sie ganz einfach neue Gruppen im Active Directory erstellen.

Im Gegensatz zum Cmdlet „New-ADUser“ benötigt dieses Cmdlet mehr als nur ein Attribut. Name und GroupScope der neuen Gruppe sind obligatorisch. GroupScope gibt Auskunft über den Gruppentyp:

• Domain local
• Global
• Universal

Und so sieht es aus:

Wenn Sie dies in Powershell ausführen, erhalten Sie eine neue Gruppe namens all_testusers mit dem GroupScope Global.

Das wären aber auch schon die einzigen Informationen, die die Gruppe hat:

• Das Cmdlet erstellt automatisch eine Sicherheitsgruppe
• Es werden keine Attribute ausgefüllt
• Es wird kein Manager gesetzt

Normalerweise wird diese Gruppe im „Standard“-Benutzer-Container gespeichert. Aber Sie sollten die Gruppe nicht an diesem Ort belassen.

Gruppenkategorie und Ziel-OU hinzufügen

Im nächsten Schritt möchten Sie einige weitere Informationen hinzufügen. Das ist nicht zwingend erforderlich, sollte aber bei der Arbeit mit Active Directory unbedingt gemacht werden. Sie könnten zum Beispiel folgenden Parameter hinzufügen:

Hier legen Sie eine Verteilerliste und die OU der Gruppe fest. Auf diese Weise können Sie fast alle Attribute einer Gruppe füllen.

New-ADUser: Bulk Import of Users

So weit so gut. Verglichen mit der „Klick-Erstellung“ von Benutzerkonten in Benutzer und Computer scheint es einfacher zu sein, Gruppen per Klick zu erstellen. PowerShell und New-ADGroup werden dann interessant, wenn man viele Gruppen gleichzeitig erstellen möchte. Alles, was Sie brauchen, ist eine einzige Eingabedatei.

Am besten verwenden Sie eine CSV-Datei – getrennt durch Semikolon. Erstellen Sie eine einfache Excel-Tabelle mit den Spalten Name, GroupScope, Groupcategory etc.

Detaillierte Informationen zum Massenimport von Benutzern finden Sie hier: New-ADUser: Massenimport von AD-Benutzern.

Get-ADGroup Cmdlet

Im nächsten Teil dieses Artikels geht es um das Cmdlet Get-ADGroup. Es hilft Ihnen, Informationen über die Attribute vorhandener Gruppen in Ihrem Active Directory zu erhalten.

Gleich wie beim Cmdlet Get-ADUser benötigen Sie nur die Gruppenidentität, um das Cmdlet erfolgreich auszuführen. Dies könnte sAMAccountName sein. Es sieht so aus:

Nun haben Sie alle Informationen über die Gruppe All_testusers. Es sieht so aus:

Installieren von Filtern

Wenn Sie den sAMAccountnamen nicht kennen oder nach mehr als einer Gruppe suchen wollen, können Sie einen Filter verwenden.

Sie können Filter für viele verschiedene Aufgaben verwenden. Verwenden Sie sie, indem Sie den Parameter „-filter“ in die Befehlszeile einfügen. Mit den gleichen Mitteln können Sie auch nach bestimmten Attributen suchen.

Gruppenfilter ähneln stark den Benutzerfiltern. Hier finden Sie weitere Informationen zur Suche nach Attributen von Benutzern. Dies gilt auch für Gruppen.

Daten exportieren

Wenn man nach einer großen Anzahl von Gruppen sucht, ist die PowerShell-Ausgabe vielleicht etwas schwer zu verstehen. Aber sobald man sie exportiert, ist alles auf einmal klar. Man muss nur mit „export-csv“ eine übersichtliche .csv-Datei erstellen.

Die exportierten Daten sehen in der .csv-Datei wie folgt aus:

Set-ADGroup cmdlet

Im dritten Teil des Artikels geht es um das Set-ADGroup cmdlet. Mit diesem Cmdlet können Sie die Attribute von Active Directory-Gruppen ändern. Es funktioniert am besten, wenn Sie es mit Get-ADGroup kombinieren.

Wenn Sie eine Beschreibung festlegen oder ändern möchten, sieht es so aus:

Durch Bearbeiten der Beschreibung können Sie mehrere Attribute mit einem einzigen Befehl ändern. Geben Sie alle Attribute nacheinander ein.

Get-ADGroup und Set-ADGroup kombiniert

Set-ADGroup wird sehr praktisch in Kombination mit Get-ADGroup. Sie können alle Gruppen auslesen, die Sie ändern möchten. Dies funktioniert genauso einfach wie im Artikel Get-ADUser beschrieben. Nach dem Auslesen der Gruppeninformationen können Sie eine Pipe ( | ) zu Set-ADGroup verwenden, um das Attribut aller Gruppen zu ändern. Mit mehr als einem Attribut ist es genau dasselbe. Fügen Sie einfach eine zusätzliche Zeile hinzu.

Jetzt haben Sie die Beschreibung aller Gruppen, die „Test“ im Namen haben, angepasst.

Gruppenattribute per Import ändern

Sie können die Attribute auch durch den Import einer .csv-Datei ändern. Der Hauptvorteil ist, dass Sie dasselbe Attribut mit unterschiedlichen Werten für mehrere Gruppen ausfüllen können. Dies können Manager und Beschreibung sein. Nähere Informationen zu diesem Cmdlet finden Sie im Artikel Set-ADUser.

Schnelle AD-Benutzerverwaltung ohne PowerShell

Sobald Sie die Gruppen erstellt haben, können Sie auch die Benutzerkonten einfach erstellen und verwalten. Testen Sie einfach unser FirstWare IDM-Portal:

• Schnelle AD-Verwaltung
• AD-Delegation
• AD-Self-Service und mehr…

(Es gibt auch eine ProEdition, falls Sie mit eigenen PowerShell-Skripten weitermachen wollen).
Wenn Sie Kompetenz und Beratung suchen, kontaktieren Sie uns bitte.