2. Home
  3. /
  5. Articles
  6. /
  7. AD PowerShell Basics 4: ADGroup cmdlets

AD PowerShell Basics 4: ADGroup cmdlets

Giu 23, 2021
admin

La gestione dei gruppi in Active Directory può essere migliorata usando PowerShell. Questa volta voglio spiegare le cmdlets ADGroup di base.

ADGroup Cmdlets sono usate per: – creare nuovi gruppi – mostrare i gruppi e i loro attributi – cambiare gli attributi dei gruppi

Hr-linebreak1500

AD PowerShell Basics

In questa piccola serie voglio introdurre le più comuni cmdlets di Active Directory PowerShell. Sarete sorpresi di quanto siano facili le basi di AD PowerShell. Con poco sforzo e un minimo di codice sorgente è possibile leggere un’enorme quantità di informazioni e scrivere dati in AD. Le cmdlets più importanti sono:

New-ADUser Get-ADUser Set-ADUser New-ADGroup, Get-ADGroup, Set-ADGroup

Hr-linebreak1500

New-ADGroup Cmdlet

Questa parte dell’articolo riguarda la cmdlet New-ADGroup. Puoi creare facilmente nuovi gruppi in Active Directory usando questo cmdlet.

Al contrario del cmdlet “New-ADUser” il cmdlet ha bisogno di più di un attributo. Nome e GroupScope del nuovo gruppo sono obbligatori. GroupScope fornisce informazioni sul tipo di gruppo:

  • Domain local
  • Global
  • Universal

E questo è come appare:

New-ADGroup -Name all_testusers -GroupScope Global

Se esegui questo in Powershell otterrai un nuovo gruppo chiamato all_testusers con GroupScope Global.

Ma questa sarebbe l’unica informazione che il gruppo ha finora:

  • Il cmdlet crea automaticamente un gruppo di sicurezza
  • Non ci sono attributi riempiti
  • Non c’è nessun manager impostato

Di solito quel gruppo viene memorizzato nel contenitore utenti “standard”. Ma non dovresti lasciare il gruppo in quel posto.

Aggiungimento della categoria del gruppo e della OU di destinazione

Nel prossimo passo vuoi aggiungere altre informazioni. Non è obbligatorio, ma dovresti assolutamente farlo quando lavori con Active Directory. Potresti aggiungere il seguente parametro per esempio:

New-ADGroup -Name All_testusers -GroupScope Global -GroupCategory Distribution -Path “OU=Testgroups,DC=Company,DC=Com”

Qui si imposta una lista di distribuzione e la OU del gruppo. In questo modo puoi riempire quasi tutti gli attributi di un gruppo.

New-ADUser: Importazione in massa di utenti

Fin qui tutto bene. Rispetto alla “creazione a clic” di account utente in Utenti e computer, sembra essere più facile creare gruppi con un clic. PowerShell e New-ADGroup diventano interessanti quando si vogliono creare molti gruppi allo stesso tempo. Tutto ciò di cui hai bisogno è un singolo file di input.

È meglio usare un file CSV – separato da punto e virgola. Crea un semplice foglio Excel con le colonne Name, GroupScope, Groupcategory ecc.

Informazioni dettagliate sull’importazione di massa degli utenti possono essere trovate qui: New-ADUser: Importazione di massa di utenti AD.

ad-groups-automate-memberships-blue

Commando Get-ADGroup

La prossima parte di questo articolo riguarda il comando Get-ADGroup. Ti aiuta a ottenere informazioni sugli attributi dei gruppi esistenti in Active Directory.

Proprio come con il cmdlet Get-ADUser hai solo bisogno dell’identità del gruppo per eseguire il cmdlet con successo. Questo potrebbe essere sAMAccountName. Si presenta così:

Get-ADGroup All_testusers

Ora hai tutte le informazioni sul gruppo All_testusers. Sembra proprio come questo:

get-adgroup1

Installazione di filtri

Se non conosci il nome sAMAccount o vuoi cercare più di un gruppo, puoi usare un filtro.

Puoi usare i filtri per molti compiti diversi. Usali aggiungendo il parametro “-filter” alla linea di comando. Puoi anche cercare determinati attributi con gli stessi mezzi.

I filtri di gruppo assomigliano molto ai filtri utente. Qui trovate maggiori informazioni sulla ricerca degli attributi degli utenti. Questo vale anche per i gruppi.

Esporta dati

Se stai cercando un gran numero di gruppi l’output di PowerShell è forse un po’ difficile da capire. Ma non appena lo si esporta, tutto diventa subito chiaro. Devi solo passare attraverso un file .csv di facile lettura usando “export-csv”.

Get-ADGroup -Filter * -Searchbase “OU=Testuser,DC=Company,DC=Com” | export-csv “c:\test\export.csv”

I dati esportati si presentano così nel file .csv:

powershell-adgroup-export-csv

Set-ADGroup cmdlet

La terza parte dell’articolo riguarda il cmdlet Set-ADGroup. Questo cmdlet ti aiuta a cambiare gli attributi dei gruppi di Active Directory. Funziona meglio se la combini con Get-ADGroup.

Se vuoi impostare o cambiare una descrizione, appare così:

Set-ADGroup All_testusers -Description “Distribution lists for all test users”

Modificando la descrizione, puoi cambiare più di un attributo con un solo comando. Digita tutti gli attributi uno dopo l’altro.

Get-ADGroup e Set-ADGroup combinati

Set-ADGroup diventa molto utile in combinazione con Get-ADGroup. Puoi leggere tutti i gruppi che vuoi cambiare. Questo funziona facilmente come descritto nell’articolo Get-ADUser. Dopo aver letto le informazioni sul gruppo puoi usare una pipe ( | ) a Set-ADGroup per cambiare l’attributo di tutti i gruppi. È esattamente la stessa cosa con più di un attributo. Basta aggiungere una linea aggiuntiva.

Get-ADGroup -Filtro {Name -like “*Test*”} | Set-ADGroup -Description “groups for tests”

Ora hai modificato la descrizione di tutti i gruppi che hanno “Test” nel loro nome.

Modificare gli attributi del gruppo per importazione

Puoi cambiare gli attributi anche importando un file .csv. Il vantaggio principale è che si è in grado di compilare lo stesso attributo con valori diversi per più di un gruppo. Questo può essere manager e descrizione. Puoi trovare informazioni più dettagliate su questo cmdlet nell’articolo Set-ADUser.

Gestione rapida degli utenti AD senza PowerShell

Appena hai creato i gruppi puoi creare e gestire facilmente anche gli account utente. Basta provare il nostro FirstWare IDM-Portal:

  • Amministrazione rapida AD
  • Delega AD
  • AD Self service e altro ancora…

(C’è anche una ProEdition nel caso tu voglia continuare con i tuoi script PowerShell).
Se cerchi competenza e consigli, contattaci.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.