2. Home
  3. /
  5. Articles
  6. /
  7. AD PowerShell Basics 4 : ADGroup cmdlets

AD PowerShell Basics 4 : ADGroup cmdlets

Juin 23, 2021
admin

La gestion des groupes dans Active Directory peut être améliorée en utilisant PowerShell. Cette fois, je veux expliquer les cmdlets ADGroup de base.

Les cmdlets ADGroup sont utilisés pour : – créer de nouveaux groupes – montrer les groupes et leurs attributs – modifier les attributs des groupes

Hr-linebreak1500

Bases d’AD PowerShell

Dans cette petite série, je veux présenter les cmdlets Active Directory PowerShell les plus courants. Vous serez surpris de voir à quel point les bases d’AD PowerShell sont simples. Avec peu d’efforts et un minimum de code source, vous pouvez lire une énorme quantité d’informations et écrire des données dans l’AD. Les cmdlets les plus importants sont :

New-ADUser Get-ADUser Set-ADUser New-ADGroup, Get-ADGroup, Set-ADGroup

Hr-linebreak1500

New-ADGroup Cmdlet

Cette partie de l’article concerne le cmdlet New-ADGroup. Vous pouvez facilement créer de nouveaux groupes dans Active Directory en utilisant ce cmdlet.

Contrairement au cmdlet « New-ADUser », le cmdlet a besoin de plus d’un seul attribut. Le nom et le GroupScope du nouveau groupe sont obligatoires. GroupScope vous donne des informations sur le type de groupe :

  • Domaine local
  • Global
  • Universel

Et voici à quoi cela ressemble :

New-ADGroup -Name all_testusers -GroupScope Global

Si vous exécutez ceci dans Powershell, vous obtiendrez un nouveau groupe nommé all_testusers avec le GroupScope Global.

Mais ce serait la seule information que le groupe a jusqu’à présent :

  • La cmdlet crée un groupe de sécurité automatiquement
  • Il n’y a pas d’attributs remplis
  • Il n’y a pas de gestionnaire défini

En général, ce groupe est stocké dans le conteneur d’utilisateur « standard ». Mais vous ne devriez pas laisser le groupe à cet endroit.

Ajout de la catégorie de groupe et de l’OU cible

À l’étape suivante, vous voulez ajouter quelques informations supplémentaires. Ce n’est pas obligatoire, mais vous devez absolument le faire lorsque vous travaillez avec Active Directory. Vous pourriez ajouter le paramètre suivant par exemple:

New-ADGroup -Name All_testusers -GroupScope Global -GroupCategory Distribution -Path « OU=Testgroups,DC=Company,DC=Com »

Ici vous définissez une liste de distribution et l’OU du groupe. De cette façon, vous pouvez remplir presque tous les attributs d’un groupe.

New-ADUser : Bulk Import of Users

So far so good. Par rapport à la « création par clic » de comptes utilisateurs dans Utilisateurs et Ordinateurs, il semble plus facile de créer des groupes par clic. PowerShell et New-ADGroup deviennent intéressants lorsque vous voulez créer de nombreux groupes en même temps. Tout ce dont vous avez besoin est un seul fichier d’entrée.

Il est préférable d’utiliser un fichier CSV – séparé par un point-virgule. Créez une simple feuille de calcul Excel avec les colonnes Nom, GroupScope, Groupcategory etc.

Des informations détaillées sur l’importation en masse des utilisateurs peuvent être trouvées ici : New-ADUser : Importation en masse d’un utilisateur AD.

ad-groups-automate-memberships-blue

Get-ADGroup Cmdlet

La partie suivante de cet article concerne le cmdlet Get-ADGroup. Elle vous aide à obtenir des informations sur les attributs des groupes existants dans votre Active Directory.

Comme avec la cmdlet Get-ADUser, vous avez juste besoin de l’identité du groupe pour exécuter la cmdlet avec succès. Cela peut être sAMAccountName. Cela ressemble à ceci:

Get-ADGroup All_testusers

Maintenant vous avez toutes les informations sur le groupe All_testusers. Cela ressemble à ceci:

get-adgroup1

Installation de filtres

Si vous ne connaissez pas le sAMAccountname ou si vous voulez rechercher plus d’un groupe, vous pouvez utiliser un filtre.

Vous pouvez utiliser des filtres pour beaucoup de tâches différentes. Utilisez-les en ajoutant le paramètre « -filter » à la ligne de commande. Vous pouvez également rechercher certains attributs avec les mêmes moyens.

Les filtres de groupe ressemblent fortement aux filtres d’utilisateur. Vous trouverez ici plus d’informations sur la recherche d’attributs d’utilisateurs. Cela s’applique également aux groupes.

Exporter les données

Si vous recherchez un grand nombre de groupes, la sortie PowerShell est peut-être un peu difficile à comprendre. Mais dès que vous l’exportez, tout est clair d’un coup. Il vous suffit de parcourir un fichier .csv facile à lire en utilisant « export-csv ».

Get-ADGroup -Filter * -Searchbase « OU=Testuser,DC=Company,DC=Com » | export-csv « c:\test\export.csv »

Les données exportées ressemblent à ceci dans le fichier .csv:

powershell-adgroup-export-csv

Commandlet Set-ADGroup

La troisième partie de l’article concerne le cmdlet Set-ADGroup. Cette cmdlet vous aide à modifier les attributs des groupes Active Directory. Il fonctionne mieux si vous le combinez avec Get-ADGroup.

Si vous voulez définir ou modifier une description, cela ressemble à ceci:

Set-ADGroup All_testusers -Description « Listes de distribution pour tous les utilisateurs de test »

En modifiant la description, vous pouvez modifier plus d’un attribut avec une seule commande. Tapez tous les attributs les uns après les autres.

Get-ADGroup et Set-ADGroup combinés

Set-ADGroup devient très pratique en combinaison avec Get-ADGroup. Vous pouvez lire tous les groupes que vous voulez modifier. Cela fonctionne aussi facilement que décrit dans l’article Get-ADUser. Après avoir lu les informations sur les groupes, vous pouvez utiliser un tube ( | ) pour Set-ADGroup afin de modifier l’attribut de tous les groupes. C’est exactement la même chose avec plus d’un attribut. Ajoutez simplement une ligne supplémentaire.

Get-ADGroup -Filtre {Name -like « *Test* »} | Set-ADGroup -Description « groupes pour les tests »

Maintenant vous avez ajusté la description de tous les groupes qui ont « Test » dans leur nom.

Changer les attributs du groupe par importation

Vous pouvez également changer les attributs en important un fichier .csv. Le principal avantage est que vous êtes en mesure de remplir le même attribut avec des valeurs différentes pour plus d’un groupe. Il peut s’agir du gestionnaire et de la description. Vous trouverez des informations plus détaillées sur cette cmdlet dans l’article Set-ADUser.

Gestion rapide des utilisateurs AD sans PowerShell

Dès que vous avez créé les groupes, vous pouvez également créer et gérer facilement les comptes utilisateurs. Essayez simplement notre FirstWare IDM-Portal:

  • Administration AD rapide
  • AD Délégation
  • AD Self service et plus encore…

(Il existe également une ProEdition au cas où vous voudriez continuer avec vos propres scripts PowerShell).
Si vous recherchez des compétences et des conseils, contactez-nous.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.