AD PowerShell alapok 4: ADGroup cmdlets
A csoportkezelés az Active Directoryban a PowerShell segítségével javítható. Ezúttal az alapvető ADGroup cmdleteket szeretném elmagyarázni.
ADGroup cmdleteket használjuk: – új csoportok létrehozása – csoportok és attribútumaik megjelenítése – csoportok attribútumainak módosítása
AD PowerShell alapok
Ebben a kis sorozatban a leggyakoribb Active Directory PowerShell cmdleteket szeretném bemutatni. Meg fogsz lepődni, hogy milyen egyszerűek az AD PowerShell alapjai. Kis erőfeszítéssel és minimális forráskóddal hatalmas mennyiségű információt olvashatsz ki és írhatsz adatokat az AD-be. A legfontosabb cmdletek a következők:
New-ADUser Get-ADUser Set-ADUser New-ADGroup, Get-ADGroup, Set-ADGroup
New-ADGroup Cmdlet
A cikk ezen része a New-ADGroup cmdletről szól. Ezzel a cmdlet-tel egyszerűen hozhatunk létre új csoportokat az Active Directoryban.
A “New-ADUser” cmdlet-tel ellentétben a cmdletnek nem csak egy attribútumra van szüksége. Az új csoport neve és GroupScope-ja kötelező. A GroupScope a csoport típusáról ad információt:
- Domain local
- Global
- Universal
És így néz ki:
New-ADGroup -Name all_testusers -GroupScope Global
Ha ezt futtatod a Powershellben, akkor egy új csoportot kapsz all_testusers néven GroupScope Global-val.
De ez lenne az egyetlen információ, amivel a csoport eddig rendelkezik:
- A cmdlet automatikusan létrehoz egy biztonsági csoportot
- Nincsenek kitöltve attribútumok
- Nincs beállítva menedzser
Ez a csoport általában a “standard” felhasználói tárolóban kerül tárolásra. De nem szabad otthagyni a csoportot ezen a helyen.
Group Category és Target OU hozzáadása
A következő lépésben további információkat szeretnénk hozzáadni. Nem kötelező, de mindenképpen meg kell tenned, ha Active Directoryval dolgozol. Például a következő paramétert adhatod hozzá:
New-ADGroup -Name All_testusers -GroupScope Global -GroupCategory Distribution -Path “OU=Testgroups,DC=Company,DC=Com”
Itt megadod az elosztási listát és a csoport OU-ját. Így a csoport szinte minden attribútumát ki lehet tölteni.
New-ADUser: Felhasználók tömeges importálása
Számítva eddig minden rendben. A felhasználói fiókok “kattintással történő létrehozásához” képest a Users and Computers-ben egyszerűbbnek tűnik a csoportok kattintással történő létrehozása. A PowerShell és a New-ADGroup akkor válik érdekessé, ha egyszerre sok csoportot szeretnénk létrehozni. Mindössze egyetlen bemeneti fájlra van szükség.
A legjobb, ha CSV fájlt használ – pontosvesszővel elválasztva. Hozzon létre egy egyszerű Excel táblázatot a Name, GroupScope, Groupcategory stb. oszlopokkal.
A felhasználók tömeges importálásával kapcsolatos részletes információk itt találhatók: New-ADUser: AD-felhasználók tömeges importálása.
Get-ADGroup Cmdlet
A cikk következő része a Get-ADGroup cmdletről szól. Segítségével információt kaphatunk az Active Directoryban meglévő csoportok attribútumairól.
A Get-ADUser cmdlethez hasonlóan a cmdlet sikeres futtatásához csak a csoport azonosítójára van szükségünk. Ez lehet a sAMAccountName. Így néz ki:
Most már rendelkezik minden információval az All_testusers csoportról. Ez így néz ki:
Szűrők telepítése
Ha nem ismeri az sAMAccountnevet, vagy egynél több csoportra szeretne rákeresni, akkor használhat szűrőt.
A szűrőket sokféle feladatra használhatja. Használja őket, ha a parancssorhoz hozzáadja a “-filter” paramétert. Ugyanezzel az eszközzel kereshet bizonyos attribútumokra is.
A csoportos szűrők erősen hasonlítanak a felhasználói szűrőkre. Itt talál további információkat a felhasználók attribútumainak kereséséről. Ez a csoportokra is vonatkozik.
Adatok exportálása
Ha nagyszámú csoportra keresünk, a PowerShell kimenete talán kissé nehezen érthető. De amint exportálod, egyből minden világos lesz. Csak át kell nézni egy könnyen olvasható .csv fájlt az “export-csv” segítségével.
Get-ADGroup -Filter * -Searchbase “OU=Testuser,DC=Company,DC=Com” | export-csv “c:\test\export.csv”
Az exportált adatok így néznek ki a .csv fájlban:
Set-ADGroup cmdlet
A cikk harmadik része a Set-ADGroup cmdletről szól. Ez a cmdlet segít az Active Directory csoportok attribútumainak megváltoztatásában. A legjobban akkor működik, ha a Get-ADGroup csoporttal kombináljuk.
Ha egy leírást szeretnénk beállítani vagy módosítani, akkor az így néz ki:
Set-ADGroup All_testusers -Description “Distribution lists for all test users”
A leírás szerkesztésével egyetlen paranccsal több attribútumot is módosíthatunk. Írja be az összes attribútumot egymás után.
Get-ADGroup és Set-ADGroup kombinálva
A Set-ADGroup nagyon praktikussá válik a Get-ADGroup-al kombinálva. Az összes módosítandó csoportot kiolvashatja. Ez ugyanolyan egyszerűen működik, mint a Get-ADUser cikkben leírtak szerint. A csoportinformációk beolvasása után egy pipával ( | ) a Set-ADGrouphoz kapcsolva módosíthatja az összes csoport attribútumát. Ez pontosan ugyanígy működik egynél több attribútummal is. Csak egy további sort kell hozzáadni.
Get-ADGroup -Filter {Name -like “*Test*”} | Set-ADGroup -Description “groups for tests”
Most már beállította az összes olyan csoport leírását, amelynek nevében szerepel a “Test”.
Group attribútumok módosítása importálással
A attribútumokat egy .csv fájl importálásával is módosíthatja. Ennek fő előnye, hogy ugyanazt az attribútumot több csoport esetében is különböző értékekkel töltheti ki. Ez lehet a menedzser és a leírás. Erről a cmdletről részletesebben a Set-ADUser című cikkben olvashat.
Gyors AD-felhasználók kezelése PowerShell nélkül
Amint létrehozta a csoportokat, a felhasználói fiókokat is könnyen létrehozhatja és kezelheti. Csak próbálja ki a FirstWare IDM-Portált:
- Gyors AD adminisztráció
- AD delegálás
- AD önkiszolgálás és még sok más…
(Van egy ProEdition is, ha saját PowerShell szkriptekkel szeretné folytatni).
Ha szakértelmet és tanácsot keres, kérjük, forduljon hozzánk.
Kapcsoljon hozzánk.