2. Home
  3. /
  5. Articles
  6. /
  7. AD PowerShell Basics 4: ADGroup cmdlets

AD PowerShell Basics 4: ADGroup cmdlets

kesä 23, 2021
admin

Ryhmien hallintaa Active Directoryssa voidaan parantaa PowerShellin avulla. Tällä kertaa haluan selittää ADGroupin perussmdletit.

ADGroup Cmdletteja käytetään: – uusien ryhmien luomiseen – ryhmien ja niiden ominaisuuksien näyttämiseen – ryhmien ominaisuuksien muuttamiseen

Hr-linebreak1500

AD PowerShellin perusteet

Tässä pienessä sarjassa haluan esitellä yleisimpiä Active Directory PowerShell cmdletteja. Tulet yllättymään, kuinka helppoa AD PowerShellin perusteet ovat. Pienellä vaivalla ja minimaalisella lähdekoodilla voit lukea valtavan määrän tietoa ja kirjoittaa tietoja AD:hen. Tärkeimmät cmdletit ovat:

New-ADUser Get-ADUser Set-ADUser New-ADGroup, Get-ADGroup, Set-ADGroup

Hr-linebreak1500

New-ADGroup Cmdlet

Tämä osa artikkelista käsittelee cmdletiä New-ADGroup. Voit helposti luoda uusia ryhmiä Active Directoryyn tämän cmdletin avulla.

Ei cmdlet ”New-ADUser”, vaan cmdlet ”New-ADUser” tarvitsee useamman kuin yhden attribuutin. Uuden ryhmän nimi ja GroupScope ovat pakollisia. GroupScope antaa tietoa ryhmän tyypistä:

  • Domain local
  • Global
  • Universal

Ja tältä se näyttää:

New-ADGroup -Name all_testusers -GroupScope Global

Jos suoritat tämän Powershellissä, saat uuden ryhmän nimeltä all_testusers, jonka GroupScope on Global.

Mutta tuo olisi toistaiseksi ainoa tieto ryhmästä:

  • Cmdlet luo tietoturvaryhmän automaattisesti
  • Ei täytetä attribuutteja
  • Ei aseteta manageria

Vakiintuneesti tuo ryhmä tallentuu ”tavalliseen” user containeriin. Ryhmää ei kuitenkaan kannata jättää tuohon paikkaan.

Ryhmäluokan ja kohde-OU:n lisääminen

Seuraavassa vaiheessa halutaan lisätä joitakin lisätietoja. Se ei ole pakollista, mutta se kannattaa ehdottomasti tehdä, kun työskentelet Active Directoryn kanssa. Voit lisätä esimerkiksi seuraavan parametrin:

New-ADGroup -Name All_testusers -GroupScope Global -GroupCategory Distribution -Path ”OU=Testgroups,DC=Company,DC=Com”

Tässä asetetaan jakeluluettelo ja ryhmän OU. Näin voit täyttää lähes kaikki ryhmän attribuutit.

New-ADUser: Käyttäjien joukkotuonti

Se on toistaiseksi hyvä. Verrattuna käyttäjätilien ”klikkausluomiseen” Käyttäjät ja tietokoneet -ohjelmassa ryhmien luominen klikkaamalla tuntuu olevan helpompaa. PowerShell ja New-ADGroup tulevat mielenkiintoisiksi, kun halutaan luoda monta ryhmää samaan aikaan. Tarvitset vain yhden syöttötiedoston.

Paras on käyttää CSV-tiedostoa – erotettuna puolipisteellä. Luo yksinkertainen Excel-taulukko, jossa on sarakkeet Nimi, GroupScope, Groupcategory jne.

Tietoa käyttäjien massatuonnista löydät täältä: New-ADUser: AD-käyttäjän massatuonti.

ad-groups-automate-memberships-blue

Get-ADGroup Cmdlet

Tämän artikkelin seuraava osa käsittelee cmdlet Get-ADGroupia. Sen avulla saat tietoa Active Directoryn olemassa olevien ryhmien ominaisuuksista.

Aivan kuten Get-ADUser-senttimerkin kohdalla, tarvitset vain ryhmän identiteetin, jotta voit suorittaa senttimerkin onnistuneesti. Tämä voi olla sAMAccountName. Se näyttää tältä:

Get-ADGroup All_testusers

Nyt sinulla on kaikki tiedot ryhmästä All_testusers. Se näyttää juuri tältä:

get-adgroup1

Suodattimien asentaminen

Jos et tiedä sAMAccount-nimeä tai haluat etsiä useampaa kuin yhtä ryhmää, voit käyttää suodatinta.

Suodattimia voi käyttää moniin eri tehtäviin. Käytä niitä lisäämällä komentoriville parametri ”-filter”. Voit myös hakea tiettyjä attribuutteja samoilla keinoilla.

Ryhmäsuodattimet muistuttavat vahvasti käyttäjäsuodattimia. Täältä löydät lisätietoja käyttäjien attribuuttien etsimisestä. Tämä pätee myös ryhmiin.

Tietojen vienti

Jos haet suurta määrää ryhmiä, PowerShellin tulosteet ovat ehkä hieman vaikeaselkoisia. Mutta kun viet sen, kaikki on kerralla selvää. Sinun täytyy vain käydä läpi helppolukuinen .csv-tiedosto käyttämällä ”export-csv”.

Get-ADGroup -Filter * -Searchbase ”OU=Testuser,DC=Company,DC=Com” | export-csv ”c:\test\export.csv”

Viety data näyttää .csv-tiedostossa tältä:

powershell-adgroup-export-csv

Set-ADGroup cmdlet

Artikkeleen kolmannessa osassa käsitellään set-ADGroup-cmdletiä. Tämän cmdletin avulla voit muuttaa Active Directory -ryhmien attribuutteja. Se toimii parhaiten, jos yhdistät sen Get-ADGroupin kanssa.

Jos haluat asettaa tai muuttaa kuvausta, se näyttää tältä:

Set-ADGroup All_testusers -Description ”Distribution lists for all test users”

Muokkaamalla kuvausta voit muuttaa useampaa kuin yhtä ominaisuutta yhdellä komennolla. Kirjoita kaikki attribuutit yksi kerrallaan.

Get-ADGroup ja Set-ADGroup yhdistettynä

Set-ADGroup tulee erittäin käteväksi yhdessä Get-ADGroupin kanssa. Voit lukea kaikki ryhmät, joita haluat muuttaa. Tämä toimii yhtä helposti kuin Get-ADUser-artikkelissa on kuvattu. Kun olet lukenut ryhmätiedot, voit käyttää putkea ( | ) Set-ADGroupiin muuttaaksesi kaikkien ryhmien attribuutin. Toiminta on täsmälleen sama useamman kuin yhden attribuutin kanssa. Lisää vain lisärivi.

Get-ADGroup -Filter {Name -like ”*Test*”} | Set-ADGroup -Description ”ryhmät testejä varten”

Nyt olet säätänyt kaikkien sellaisten ryhmien kuvauksen, joiden nimessä on ”Test”.

Ryhmien attribuuttien muuttaminen tuontia kohden

Aattribuutteja voi muuttaa myös tuomalla .csv-tiedoston. Tärkein etu on, että voit täyttää saman attribuutin eri arvoilla useammalle kuin yhdelle ryhmälle. Tämä voi olla esimies ja kuvaus. Tarkemmat tiedot kyseisestä cmdletistä löydät artikkelista Set-ADUser.

Nopea AD-käyttäjien hallinta ilman PowerShelliä

Heti kun olet luonut ryhmät, voit luoda ja hallita helposti myös käyttäjätilejä. Kokeile vain FirstWare IDM-portaaliamme:

  • Nopea AD:n hallinta
  • AD:n delegointi
  • AD:n itsepalvelu ja paljon muuta…

(Tarjolla on myös ProEdition siltä varalta, että haluat jatkaa omilla PowerShell-skripteilläsi).
Mikäli kaipaat asiantuntemusta ja neuvontaa ota yhteyttä.[

Vastaa

Sähköpostiosoitettasi ei julkaista.