2. Home
  3. /
  5. Articles
  6. /
  7. Základy prostředí AD PowerShell 4: rutiny ADGroup

Základy prostředí AD PowerShell 4: rutiny ADGroup

Čvn 23, 2021
admin

Správu skupin v Active Directory lze zlepšit pomocí prostředí PowerShell. Tentokrát chci vysvětlit základní rutiny ADGroup.

Krutiny ADGroup slouží k: – vytváření nových skupin – zobrazení skupin a jejich atributů – změnu atributů skupin

Hr-linebreak1500

Základy prostředí AD PowerShell

V tomto malém seriálu chci představit nejběžnější rutiny prostředí Active Directory PowerShell. Budete překvapeni, jak jednoduché jsou základy prostředí AD PowerShell. S malým úsilím a minimem zdrojového kódu můžete načíst obrovské množství informací a zapsat data do služby AD. Nejdůležitější rutiny jsou:

New-ADUser Get-ADUser Set-ADUser New-ADGroup, Get-ADGroup, Set-ADGroup

Hr-linebreak1500

New-ADGroup Cmdlet

Tato část článku je o rutině New-ADGroup. Pomocí této rutiny můžete snadno vytvářet nové skupiny v Active Directory.

Na rozdíl od rutiny „New-ADUser“ potřebuje tato rutina více než jen jeden atribut. Název a GroupScope nové skupiny jsou povinné. GroupScope poskytuje informace o typu skupiny:

  • Domain local
  • Global
  • Universal

A takto to vypadá:

New-ADGroup -Name all_testusers -GroupScope Global

Pokud toto spustíte v prostředí Powershell, získáte novou skupinu s názvem all_testusers a GroupScope Global.

Ale to by byly zatím jediné informace, které skupina má:

  • Komenda automaticky vytvoří skupinu zabezpečení
  • Nejsou vyplněny žádné atributy
  • Není nastaven žádný správce

Obvykle se tato skupina uloží do kontejneru „standardní“ uživatel. Na tomto místě byste ale skupinu neměli nechávat.

Přidání kategorie skupiny a cílové OU

V dalším kroku chcete přidat další informace. Není to povinné, ale při práci se službou Active Directory byste to rozhodně měli udělat. Můžete například přidat následující parametr:

New-ADGroup -Name All_testusers -GroupScope Global -GroupCategory Distribution -Path „OU=Testgroups,DC=Company,DC=Com“

Tady nastavíte distribuční seznam a OU skupiny. Tímto způsobem můžete vyplnit téměř všechny atributy skupiny.

New-ADUser: Hromadný import uživatelů

Tak to zatím jde. Ve srovnání s „klikacím“ vytvářením uživatelských účtů v aplikaci Uživatelé a počítače se zdá být vytváření skupin klikáním jednodušší. PowerShell a New-ADGroup začnou být zajímavé, když chcete vytvořit mnoho skupin najednou. Potřebujete pouze jeden vstupní soubor.

Nejlépe je použít soubor CSV – oddělený středníkem. Vytvořte si jednoduchou tabulku v Excelu se sloupci Name, GroupScope, Groupcategory atd.

Podrobné informace o hromadném importu uživatelů najdete zde: New-ADUser: Hromadný import uživatele AD.

ad-groups-automate-memberships-blue

Kmdlet Get-ADGroup

Další část tohoto článku je věnována rutině Get-ADGroup. Pomůže vám získat informace o atributech existujících skupin ve službě Active Directory.

Stejně jako u rutiny Get-ADUser potřebujete k jejímu úspěšnému spuštění pouze identitu skupiny. Tou může být sAMAccountName. Vypadá to takto:

Get-ADGroup All_testusers

Teď máte všechny informace o skupině All_testusers. Vypadá to přesně takto:

get-adgroup1

Instalace filtrů

Pokud neznáte název sAMAccount nebo chcete vyhledat více než jednu skupinu, můžete použít filtr.

Filtry můžete použít pro mnoho různých úloh. Použijte je přidáním parametru „-filter“ do příkazového řádku. Stejnými prostředky můžete také vyhledávat určité atributy.

Filtry pro skupiny se silně podobají filtrům pro uživatele. Zde najdete další informace o vyhledávání atributů uživatelů. To platí i pro skupiny.

Export dat

Pokud hledáte velký počet skupin, je výstup PowerShellu možná trochu nepřehledný. Jakmile jej však vyexportujete, je vše hned jasné. Stačí projít přehledný soubor .csv pomocí příkazu „export-csv“.

Get-ADGroup -Filter * -Searchbase „OU=Testuser,DC=Company,DC=Com“. | export-csv „c:\test\export.csv“

Exportovaná data vypadají v souboru .csv takto:

powershell-adgroup-export-csv

Ccmdlet Set-ADGroup

Třetí část článku se věnuje cmdletu Set-ADGroup. Tato rutina pomáhá měnit atributy skupin služby Active Directory. Nejlépe funguje, pokud jej zkombinujete s příkazem Get-ADGroup.

Pokud chcete nastavit nebo změnit popis, vypadá to takto:

Set-ADGroup All_testusers -Description „Distribuční seznamy pro všechny testovací uživatele“

Úpravou popisu můžete jedním příkazem změnit více než jeden atribut. Zadejte postupně všechny atributy.

Kombinace funkcí Get-ADGroup a Set-ADGroup

Set-ADGroup se stává velmi užitečnou v kombinaci s Get-ADGroup. Můžete načíst všechny skupiny, které chcete změnit. Funguje to stejně jednoduše, jak je popsáno v článku Get-ADUser. Po načtení informací o skupinách můžete pomocí roury ( | ) v Set-ADGroup změnit atribut všech skupin. S více než jedním atributem je to úplně stejné. Stačí přidat další řádek.

Get-ADGroup -Filter {Name -like „*Test*“}. | Set-ADGroup -Description „skupiny pro testy“

Nyní jste upravili popis všech skupin, které mají v názvu „Test“.

Změna atributů skupin na import

Atributy můžete změnit také importem souboru .csv. Hlavní výhodou je, že můžete vyplnit stejný atribut různými hodnotami pro více než jednu skupinu. Může se jednat o správce a popis. Podrobnější informace o této rutině najdete v článku Set-ADUser.

Rychlá správa uživatelů AD bez prostředí PowerShell

Jakmile vytvoříte skupiny, můžete snadno vytvářet a spravovat také uživatelské účty. Stačí vyzkoušet náš FirstWare IDM-Portal:

  • Rychlá správa AD
  • AD Delegování
  • AD Samoobsluha a další…

(K dispozici je také ProEdition pro případ, že byste chtěli pokračovat s vlastními skripty PowerShell).
Pokud hledáte kompetence a radu, kontaktujte nás.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.