2. Home
  3. /
  5. Articles
  6. /
  7. AD PowerShell Podstawy 4: ADGroup cmdlets

AD PowerShell Podstawy 4: ADGroup cmdlets

cze 23, 2021
admin

Zarządzanie grupami w Active Directory może być ulepszone poprzez użycie PowerShell. Tym razem chcę wyjaśnić podstawowe cmdlety ADGroup.

ADGroup Cmdlets są używane do: – tworzenia nowych grup – pokazywania grup i ich atrybutów – zmiany atrybutów grup

Hr-linebreak1500

AD PowerShell Basics

W tej małej serii chcę przedstawić najczęściej spotykane cmdlety Active Directory PowerShell. Będziecie zaskoczeni jak proste są podstawy AD PowerShell. Przy niewielkim wysiłku i minimalnej ilości kodu źródłowego można odczytać ogromną ilość informacji i zapisać dane do AD. Do najważniejszych cmdletów należą:

New-ADUser Get-ADUser Set-ADUser New-ADGroup, Get-ADGroup, Set-ADGroup

Hr-linebreak1500

New-ADGroup Cmdlet

Ta część artykułu dotyczy cmdleta New-ADGroup. Możesz łatwo tworzyć nowe grupy w Active Directory za pomocą tego cmdleta.

W przeciwieństwie do cmdleta „New-ADUser” ten cmdlet wymaga więcej niż tylko jednego atrybutu. Name i GroupScope nowej grupy są obowiązkowe. GroupScope daje informacje o typie grupy:

  • Domain local
  • Global
  • Universal

A tak to wygląda:

New-ADGroup -Name all_testusers -GroupScope Global

Jeśli uruchomisz to w Powershell, otrzymasz nową grupę o nazwie all_testusers z GroupScope Global.

Ale to byłaby jedyna informacja, którą grupa posiada do tej pory:

  • Ccmdlet tworzy grupę bezpieczeństwa automatycznie
  • Nie ma wypełnionych atrybutów
  • Nie ma ustawionego menedżera

Zwykle ta grupa jest przechowywana w „standardowym” kontenerze użytkownika. Ale nie powinieneś zostawiać grupy w tym miejscu.

Dodanie kategorii grupy i docelowego OU

W następnym kroku chcesz dodać kilka dodatkowych informacji. Nie jest to obowiązkowe, ale zdecydowanie powinieneś to zrobić podczas pracy z Active Directory. Możesz na przykład dodać następujący parametr:

New-ADGroup -Name All_testusers -GroupScope Global -GroupCategory Distribution -Path „OU=Testgroups,DC=Company,DC=Com”

Tutaj ustawiasz listę dystrybucyjną i OU grupy. W ten sposób można wypełnić prawie wszystkie atrybuty grupy.

New-ADUser: Masowy import użytkowników

Jak na razie jest dobrze. W porównaniu z „klikalnym” tworzeniem kont użytkowników w Users and Computers wydaje się, że łatwiejsze jest tworzenie grup przez kliknięcie. PowerShell i New-ADGroup stają się interesujące, gdy chcesz utworzyć wiele grup w tym samym czasie. Wszystko czego potrzebujesz to jeden plik wejściowy.

Najlepiej użyć pliku CSV – oddzielonego średnikiem. Utwórz prosty arkusz kalkulacyjny Excel z kolumnami Name, GroupScope, Groupcategory itd.

Szczegółowe informacje na temat masowego importu użytkowników można znaleźć tutaj: New-ADUser: Mass import of AD User.

ad-groups-automate-memberships-blue

Get-ADGroup Cmdlet

Kolejna część artykułu dotyczy cmdleta Get-ADGroup. Pomaga on uzyskać informacje o atrybutach istniejących grup w Active Directory.

Tak samo jak w przypadku cmdleta Get-ADUser potrzebujesz tylko tożsamości grupy, aby pomyślnie uruchomić cmdlet. Może to być sAMAccountName. Wygląda to tak:

Get-ADGroup All_testusers

Teraz masz wszystkie informacje o grupie All_testusers. Wygląda to tak:

get-adgroup1

Instalowanie filtrów

Jeśli nie znasz nazwy sAMAccountname lub chcesz wyszukać więcej niż jedną grupę, możesz użyć filtra.

Możesz użyć filtrów do wielu różnych zadań. Użyj ich poprzez dodanie parametru „-filter” do linii poleceń. Możesz również wyszukiwać pewne atrybuty za pomocą tych samych środków.

Filtry grupowe mocno przypominają filtry użytkownika. Tutaj znajdziesz więcej informacji na temat wyszukiwania atrybutów użytkowników. Dotyczy to również grup.

Eksport danych

Jeśli szukasz dużej liczby grup, wyjście PowerShell może być trochę trudne do zrozumienia. Ale jak tylko je wyeksportujesz, wszystko staje się jasne od razu. Wystarczy przejść przez łatwy do odczytania plik .csv za pomocą „export-csv”.

Get-ADGroup -Filter * -Searchbase „OU=Testuser,DC=Company,DC=Com” | export-csv „c:test-export.csv”

Wyeksportowane dane wyglądają tak w pliku .csv:

powershell-adgroup-export-csv

Set-ADGroup cmdlet

Trzecia część artykułu dotyczy cmdletu Set-ADGroup. Ten cmdlet pomaga w zmianie atrybutów grup Active Directory. Najlepiej działa, jeśli połączysz go z Get-ADGroup.

Jeśli chcesz ustawić lub zmienić opis, wygląda on następująco:

Set-ADGroup All_testusers -Description „Listy dystrybucyjne dla wszystkich użytkowników testowych”

Edytując opis, możesz zmienić więcej niż jeden atrybut za pomocą jednego polecenia. Wpisz wszystkie atrybuty jeden po drugim.

Get-ADGroup i Set-ADGroup połączone

Set-ADGroup staje się bardzo poręczne w połączeniu z Get-ADGroup. Możesz odczytać wszystkie grupy, które chcesz zmienić. Działa to tak samo łatwo, jak opisano w artykule Get-ADUser. Po odczytaniu informacji o grupie możesz użyć pipe ( | ) do Set-ADGroup aby zmienić atrybut wszystkich grup. Jest to dokładnie to samo z więcej niż jednym atrybutem. Wystarczy dodać dodatkową linię.

Get-ADGroup -Filter {Name -like „*Test*”} | Set-ADGroup -Description „groups for tests”

Teraz dostosowałeś opis wszystkich grup, które mają „Test” w nazwie.

Zmiana atrybutów grupy przez import

Możesz zmienić atrybuty również przez import pliku .csv. Główną zaletą jest to, że możesz wypełnić ten sam atrybut różnymi wartościami dla więcej niż jednej grupy. Może to być menedżer i opis. Więcej szczegółowych informacji na temat tego cmdleta można znaleźć w artykule Set-ADUser.

Szybkie zarządzanie użytkownikami AD bez PowerShell

Jak tylko utworzysz grupy, możesz również łatwo tworzyć i zarządzać kontami użytkowników. Wystarczy wypróbować nasz FirstWare IDM-Portal:

  • Szybka administracja AD
  • AD Delegowanie
  • AD Samoobsługa i więcej…

(Istnieje również wersja ProEdition na wypadek, gdybyś chciał kontynuować pracę z własnymi skryptami PowerShell).
Jeśli szukasz kompetencji i porady, skontaktuj się z nami.

.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.