2. Home
  3. /
  5. Articles
  6. /
  7. AD PowerShell Basics 4: ADGroup cmdlets

AD PowerShell Basics 4: ADGroup cmdlets

jun 23, 2021
admin

Gruppeadministration i Active Directory kan forbedres ved hjælp af PowerShell. Denne gang vil jeg forklare de grundlæggende ADGroup cmdlets.

ADGroup Cmdlets bruges til: – oprette nye grupper – vise grupper og deres attributter – ændre gruppers attributter

Hr-linebreak1500

AD PowerShell Basics

I denne lille serie vil jeg introducere de mest almindelige Active Directory PowerShell cmdlets. Du vil blive overrasket over, hvor nemt det grundlæggende i AD PowerShell er. Med en lille indsats og et minimum af kildekode kan du læse en enorm mængde information og skrive data ind i AD. De vigtigste cmdlets er:

New-ADUser Get-ADUser Set-ADUser New-ADGroup, Get-ADGroup, Set-ADGroup

Hr-linebreak1500

New-ADGroup Cmdlet

Denne del af artiklen handler om cmdlet’en New-ADGroup. Du kan nemt oprette nye grupper i Active Directory ved hjælp af denne cmdlet.

I modsætning til cmdlet “New-ADUser” har cmdlet’en brug for mere end blot én attribut. Navn og GroupScope for den nye gruppe er obligatoriske. GroupScope giver dig oplysninger om gruppetype:

  • Domænelokal
  • Global
  • Universal

Sådan ser det ud:

New-ADGroup -Name all_testusers -GroupScope Global

Hvis du kører dette i Powershell, får du en ny gruppe ved navn all_testusers med GroupScope Global.

Men det vil være de eneste oplysninger, som gruppen har indtil videre:

  • Cmdletten opretter automatisk en sikkerhedsgruppe
  • Der er ingen attributter udfyldt
  • Der er ingen manager indstillet

Sædvanligvis bliver denne gruppe gemt i “standard” brugerbeholderen. Men du bør ikke lade gruppen ligge det sted.

Optagelse af gruppekategori og mål OU

I det næste trin vil du tilføje yderligere oplysninger. Det er ikke obligatorisk, men du bør absolut gøre det, når du arbejder med Active Directory. Du kan f.eks. tilføje følgende parameter:

New-ADGroup -Name All_testusers -GroupScope Global -GroupCategory Distribution -Path “OU=Testgroups,DC=Company,DC=Com”

Her angiver du en distributionsliste og gruppens OU. På denne måde kan du udfylde næsten alle attributter for en gruppe.

New-ADUser: Bulkimport af brugere

Så langt så godt. Sammenlignet med “klik-skabelse” af brugerkonti i Users and Computers ser det ud til at være nemmere at oprette grupper ved at klikke. PowerShell og New-ADGroup bliver interessant, når man ønsker at oprette mange grupper på samme tid. Du har blot brug for en enkelt inputfil.

Det er bedst at bruge en CSV-fil – adskilt med semikolon. Opret et simpelt Excel-regneark med kolonnerne Navn, GroupScope, Groupcategory osv.

Detaljerede oplysninger om bulkimport af brugere kan du finde her: New-ADUser: Masseimport af AD-brugere.

ad-groups-automate-memberships-blue

Get-ADGroup Cmdlet

Den næste del af denne artikel handler om cmdletten Get-ADGroup. Den hjælper dig med at få oplysninger om attributterne for eksisterende grupper i dit Active Directory.

Som med Get-ADUser-cmdletten skal du blot bruge gruppeidentiteten for at køre cmdletten med succes. Dette kunne være sAMAccountName. Det ser således ud:

Get-ADGroup All_testusers

Nu har du alle oplysninger om gruppen All_testusers. Det ser sådan her ud:

get-adgroup1

Installation af filtre

Hvis du ikke kender sAMAccountname eller ønsker at søge efter mere end én gruppe, kan du bruge et filter.

Du kan bruge filtre til en masse forskellige opgaver. Brug dem ved at tilføje parameteren “-filter” til kommandolinjen. Du kan også søge efter bestemte attributter med de samme midler.

Gruppefiltre minder meget om brugerfiltre. Her finder du flere oplysninger om søgning efter attributter for brugere. Det gælder også for grupper.

Export data

Hvis du søger efter et stort antal grupper, er PowerShell-outputtet måske en smule svært at forstå. Men så snart du eksporterer det, er alting klart med det samme. Du skal blot gennemgå en letlæselig .csv-fil ved at bruge “export-csv”.

Get-ADGroup -Filter * -Searchbase “OU=Testuser,DC=Company,DC=Company,DC=Com” | export-csv “c:\test\export.csv”

De eksporterede data ser således ud i .csv-filen:

powershell-adgroup-export-csv

Set-ADGroup cmdlet

Den tredje del af artiklen handler om Set-ADGroup cmdlet’en. Denne cmdlet hjælper dig med at ændre attributter for Active Directory-grupper. Den fungerer bedst, hvis du kombinerer den med Get-ADGroup.

Hvis du vil indstille eller ændre en beskrivelse, ser det således ud:

Set-ADGroup All_testusers -Description “Distributionslister for alle testbrugere”

Gennem at redigere beskrivelsen kan du ændre mere end én attribut med en enkelt kommando. Indtast alle attributterne én efter én.

Get-ADGroup og Set-ADGroup kombineret

Set-ADGroup bliver meget praktisk i kombination med Get-ADGroup. Du kan læse alle de grupper, du ønsker at ændre. Det fungerer lige så nemt som beskrevet i artiklen Get-ADUser. Når du har læst gruppeoplysningerne, kan du bruge et rør ( | ) til Set-ADGroup for at ændre attributten for alle grupper. Det er nøjagtig det samme med mere end én attribut. Du skal blot tilføje en ekstra linje.

Get-ADGroup -Filter {Name -like “*Test*”} | Set-ADGroup -Description “groups for tests”

Nu har du justeret beskrivelsen af alle grupper, der har “Test” i deres navn.

Ændre gruppeattributter pr. import

Du kan også ændre attributterne ved at importere en .csv-fil. Den største fordel er, at du kan udfylde den samme attribut med forskellige værdier for mere end én gruppe. Det kan være leder og beskrivelse. Du kan finde mere detaljerede oplysninger om denne cmdlet i artiklen Set-ADUser.

Quick AD User Management without PowerShell

Så snart du har oprettet grupperne, kan du også nemt oprette og administrere brugerkontiene. Prøv blot vores FirstWare IDM-Portal:

  • Snell AD administration
  • AD Delegation
  • AD Self service og meget mere…

(Der findes også en ProEdition, hvis du ønsker at gå videre med dine egne PowerShell scripts).
Hvis du søger kompetence og rådgivning, så kontakt os.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.