AD PowerShell Basics 4: ADGroup cmdlets
La gestión de grupos en Active Directory se puede mejorar utilizando PowerShell. En esta ocasión quiero explicar los cmdlets básicos de ADGroup.
Los Cmdlets de ADGroup se utilizan para: – crear nuevos grupos – mostrar los grupos y sus atributos – cambiar los atributos de los grupos
Básicos de AD PowerShell
En esta pequeña serie quiero presentar los cmdlets más comunes de Active Directory PowerShell. Te sorprenderá lo fácil que son los fundamentos de AD PowerShell. Con poco esfuerzo y un mínimo de código fuente puedes leer una gran cantidad de información y escribir datos en el AD. Los cmdlets más importantes son:
New-ADUser Get-ADUser Set-ADUser New-ADGroup, Get-ADGroup, Set-ADGroup
Cmdlet New-ADGroup
Esta parte del artículo trata del cmdlet New-ADGroup. Con este cmdlet se pueden crear fácilmente nuevos grupos en Active Directory.
En contraste con el cmdlet «New-ADUser» el cmdlet necesita más de un atributo. Nombre y GroupScope del nuevo grupo son obligatorios. GroupScope da información sobre el tipo de grupo:
- Dominio local
- Global
- Universal
Y así es como se ve:
New-ADGroup -Name all_testusers -GroupScope Global
Si ejecuta esto en Powershell obtendrá un nuevo grupo llamado all_testusers con el GroupScope Global.
Pero esa sería la única información que tiene el grupo hasta el momento:
- El cmdlet crea un grupo de seguridad de forma automática
- No hay atributos rellenados
- No hay administrador establecido
Normalmente ese grupo se almacena en el contenedor de usuarios «estándar». Pero no deberías dejar el grupo en ese lugar.
Añadir categoría de grupo y OU de destino
En el siguiente paso quieres añadir algo más de información. No es obligatorio, pero definitivamente debes hacerlo cuando trabajas con Active Directory. Puedes añadir el siguiente parámetro, por ejemplo:
New-ADGroup -Name All_testusers -GroupScope Global -GroupCategory Distribution -Path «OU=Testgroups,DC=Company,DC=Com»
Aquí estableces una lista de distribución y la OU del grupo. De esta manera usted puede llenar casi todos los atributos de un grupo.
Nuevo-ADUser: Importación masiva de usuarios
Hasta aquí todo bien. Comparado con la «creación a golpe de clic» de cuentas de usuario en Usuarios y Ordenadores parece más fácil crear grupos a golpe de clic. PowerShell y New-ADGroup se vuelven interesantes cuando quieres crear muchos grupos al mismo tiempo. Todo lo que necesitas es un único archivo de entrada.
Es mejor usar un archivo CSV – separado por punto y coma. Cree una simple hoja de cálculo de Excel con las columnas Nombre, Ámbito del grupo, Categoría del grupo, etc.
Puede encontrar información detallada sobre la importación masiva de usuarios aquí: New-ADUser: Importación masiva de usuarios de AD.
Cmdlet Get-ADGroup
La siguiente parte de este artículo es sobre el cmdlet Get-ADGroup. Le ayuda a obtener información sobre los atributos de los grupos existentes en su Active Directory.
Al igual que con el cmdlet Get-ADUser sólo necesita la identidad del grupo para ejecutar el cmdlet con éxito. Esto podría ser sAMAccountName. Se ve así:
Ahora tienes toda la información sobre el grupo All_testusers. Se ve así:
Instalación de filtros
Si no conoces el sAMAccountname o quieres buscar más de un grupo, puedes usar un filtro.
Puedes usar filtros para un montón de tareas diferentes. Utilízalos añadiendo el parámetro «-filtro» a la línea de comandos. También puede buscar ciertos atributos con los mismos medios.
Los filtros de grupo se parecen mucho a los filtros de usuario. Aquí encontrará más información sobre la búsqueda de atributos de los usuarios. Esto se aplica a los grupos también.
Exportar datos
Si estás buscando un gran número de grupos la salida de PowerShell es quizás un poco difícil de entender. Pero en cuanto lo exportas, todo se aclara de inmediato. Sólo tienes que pasar por un archivo .csv fácil de leer utilizando «export-csv».
Get-ADGroup -Filter * -Searchbase «OU=Testuser,DC=Compañía,DC=Com» | export-csv «c:\test\export.csv»
Los datos exportados tienen este aspecto en el archivo .csv:
Cmdlet Set-ADGroup
La tercera parte del artículo trata del cmdlet Set-ADGroup. Este cmdlet le ayuda a cambiar los atributos de los grupos de Active Directory. Funciona mejor si lo combinas con Get-ADGroup.
Si quieres establecer o cambiar una descripción se ve así:
Set-ADGroup All_testusers -Description «Listas de distribución para todos los usuarios de prueba»
Al editar la descripción, puedes cambiar más de un atributo con un solo comando. Escriba todos los atributos uno tras otro.
Consiga-ADGroup y Set-ADGroup combinados
Set-ADGroup resulta muy práctico en combinación con Get-ADGroup. Puedes leer todos los grupos que quieras cambiar. Esto funciona tan fácil como se describe en el artículo Get-ADUser. Después de leer la información del grupo puedes usar una tubería ( | ) a Set-ADGroup para cambiar el atributo de todos los grupos. Es exactamente lo mismo con más de un atributo. Sólo hay que añadir una línea adicional.
Get-ADGroup -Filter {Name -like «*Test*»} | Set-ADGroup -Description «grupos para pruebas»
Ahora ha ajustado la descripción de todos los grupos que tienen «Prueba» en sus nombres.
Cambiar atributos de grupo por importación
También puede cambiar los atributos importando un archivo .csv. La principal ventaja es que puede rellenar el mismo atributo con diferentes valores para más de un grupo. Esto puede ser el gestor y la descripción. Puede encontrar información más detallada sobre ese cmdlet en el artículo Set-ADUser.
Gestión rápida de usuarios de AD sin PowerShell
Tan pronto como haya creado los grupos puede crear y gestionar las cuentas de usuario fácilmente también. Simplemente pruebe nuestro FirstWare IDM-Portal:
- Administración rápida de AD
- Delegación de AD
- Autoservicio de AD y mucho más…
(También hay una ProEdition por si quiere seguir con sus propios scripts de PowerShell).
Si busca competencia y asesoramiento, póngase en contacto con nosotros.