AD PowerShell Basics 4: ADGroup cmdlets
Group Management in Active Directory kan verbeterd worden door gebruik te maken van PowerShell. Deze keer wil ik de basis ADGroup cmdlets uitleggen.
ADGroup Cmdlets worden gebruikt voor: – het aanmaken van nieuwe groepen – het tonen van groepen en hun attributen – het wijzigen van attributen van groepen
AD PowerShell Basics
In deze kleine serie wil ik de meest voorkomende Active Directory PowerShell cmdlets introduceren. Je zult verrast zijn hoe eenvoudig de basis van AD PowerShell is. Met weinig moeite en een minimum aan broncode kun je een enorme hoeveelheid informatie lezen en gegevens in de AD schrijven. De belangrijkste cmdlets zijn:
New-ADUser Get-ADUser Set-ADUser New-ADGroup, Get-ADGroup, Set-ADGroup
New-ADGroup Cmdlet
Dit deel van het artikel gaat over het cmdlet New-ADGroup. Met dit cmdlet kunt u eenvoudig nieuwe groepen aanmaken in Active Directory.
In tegenstelling tot het cmdlet “New-ADUser” heeft dit cmdlet meer dan slechts één attribuut nodig. Name en GroupScope van de nieuwe groep zijn verplicht. GroupScope geeft u informatie over het type groep:
- Domain local
- Global
- Universal
En zo ziet het er uit:
New-ADGroup -Name all_testusers -GroupScope Global
Als u dit in Powershell uitvoert, krijgt u een nieuwe groep met de naam all_testusers en de GroupScope Global.
Maar dat zou dan ook de enige informatie zijn die de groep tot nu toe heeft:
- Het cmdlet maakt automatisch een beveiligingsgroep aan
- Er zijn geen attributen gevuld
- Er is geen manager ingesteld
Normaal gesproken wordt die groep opgeslagen in de “standaard” gebruikerscontainer. Maar u moet de groep niet op die plaats laten staan.
Groepscategorie en Doel OU toevoegen
In de volgende stap wilt u nog wat informatie toevoegen. Het is niet verplicht, maar je moet het zeker doen als je met Active Directory werkt. U kunt bijvoorbeeld de volgende parameter toevoegen:
New-ADGroup -Name All_testusers -GroupScope Global -GroupCategory Distribution -Path “OU=Testgroups,DC=Company,DC=Com”
Hierbij stelt u een distributielijst en de OU van de groep in. Op deze manier kunt u bijna alle attributen van een groep invullen.
New-ADUser: Bulk Import van gebruikers
Zo ver zo goed. Vergeleken met het “klik-creatie” van gebruikersaccounts in Gebruikers en Computers lijkt het eenvoudiger om groepen te maken door te klikken. PowerShell en New-ADGroup worden interessant wanneer je veel groepen tegelijk wilt maken. Het enige wat je nodig hebt is een enkel invoerbestand.
Het beste is om een CSV bestand te gebruiken – gescheiden door een puntkomma. Maak een eenvoudige Excel-spreadsheet met de kolommen Naam, GroepScope, Groepscategorie enz.
Detailleerde informatie over de bulk-import van gebruikers vindt u hier: New-ADUser: Massa-import van AD-gebruikers.
Get-ADGroup Cmdlet
Het volgende deel van dit artikel gaat over het cmdlet Get-ADGroup. Het helpt je om informatie te krijgen over de attributen van bestaande groepen in je Active Directory.
Net als bij het Get-ADUser cmdlet heb je alleen de identiteit van de groep nodig om het cmdlet succesvol uit te voeren. Dit kan sAMAccountName zijn. Het ziet er als volgt uit:
Nu heb je alle informatie over de groep All_testusers. Het ziet er ongeveer zo uit:
Installeren van filters
Als u de sAMA-accountnaam niet weet of naar meer dan één groep wilt zoeken, kunt u een filter gebruiken.
U kunt filters voor een heleboel verschillende taken gebruiken. Gebruik ze door de parameter “-filter” toe te voegen aan de opdrachtregel. Met dezelfde middelen kunt u ook naar bepaalde attributen zoeken.
Groepsfilters lijken sterk op gebruikersfilters. Hier vindt u meer informatie over het zoeken naar attributen van gebruikers. Dit geldt ook voor groepen.
Exporteer gegevens
Als u naar een groot aantal groepen zoekt, is de PowerShell uitvoer misschien wat moeilijk te begrijpen. Maar zodra je het exporteert, is alles in een keer duidelijk. Je hoeft alleen maar een overzichtelijk .csv-bestand door te lopen met “export-csv”.
Get-ADGroup -Filter * -Searchbase “OU=Testuser,DC=Company,DC=Com” | export-csv “c:\test\export.csv”
De geëxporteerde gegevens zien er als volgt uit in het .csv bestand:
Set-ADGroup cmdlet
Het derde deel van het artikel gaat over het Set-ADGroup cmdlet. Dit cmdlet helpt je om attributen van Active Directory groepen te wijzigen. Het werkt het beste als je het combineert met Get-ADGroup.
Als je een beschrijving wilt instellen of wijzigen ziet het er als volgt uit:
Set-ADGroup All_testusers -Description “Distributielijsten voor alle testgebruikers”
Door de beschrijving te bewerken, kun je met een enkel commando meer dan een attribuut wijzigen. Typ alle attributen één voor één in.
Get-ADGroup en Set-ADGroup gecombineerd
Set-ADGroup wordt erg handig in combinatie met Get-ADGroup. U kunt alle groepen uitlezen die u wilt wijzigen. Dit werkt net zo eenvoudig als beschreven in het Get-ADUser artikel. Na het lezen van de groepsinformatie kun je een pipe ( | ) gebruiken naar Set-ADGroup om het attribuut van alle groepen te wijzigen. Het is precies hetzelfde met meer dan één attribuut. Voeg gewoon een extra regel toe.
Get-ADGroup -Filter {Name -like “*Test*”} | Set-ADGroup -Description “groepen voor tests”
Nu hebt u de beschrijving aangepast van alle groepen die “Test” in hun naam hebben.
Groepsattributen wijzigen per import
U kunt de attributen ook wijzigen door een .csv-bestand te importeren. Het grote voordeel is dat u hetzelfde attribuut voor meer dan één groep met verschillende waarden kunt invullen. Dit kan manager en beschrijving zijn. Meer gedetailleerde informatie over dat cmdlet vindt u in het artikel Set-ADUser.
Snel AD gebruikersbeheer zonder PowerShell
Zodra u de groepen hebt aangemaakt, kunt u ook de gebruikersaccounts eenvoudig aanmaken en beheren. Probeer gewoon onze FirstWare IDM-Portal:
- Snel AD beheer
- AD Delegatie
- AD Self service en meer…
(Er is ook een ProEdition voor het geval u verder wilt gaan met uw eigen PowerShell scripts).
Als u deskundigheid en advies zoekt, neem dan contact met ons op.