AD PowerShell Basics 4: ADGroup cmdlets
Group Management in Active Directory pode ser melhorado usando o PowerShell. Desta vez quero explicar o básico do ADGroup cmdlets.
ADGroup Cmdlets são usados para: – criar novos grupos – mostrando grupos e seus atributos – mudando os atributos dos grupos
AD PowerShell Basics
Nesta pequena série eu quero introduzir o Active Directory mais comum PowerShell cmdlets. Ficará surpreendido com a facilidade com que os conceitos básicos do PowerShell AD são fáceis. Com pouco esforço e um mínimo de código fonte, você pode ler uma enorme quantidade de informação e escrever dados no AD. Os cmdlets mais importantes são:
New-ADUser Get-ADUser Set-ADUser New-ADGroup, Get-ADGroup, Set-ADGroup
New-ADGroup Cmdlet
Esta parte do artigo é sobre o cmdlet New-ADGroup. Você pode facilmente criar novos grupos no Active Directory usando este cmdlet.
Em contraste com o cmdlet “New-ADUser” o cmdlet precisa de mais do que apenas um atributo. O nome e o GroupScope do novo grupo são obrigatórios. GroupScope dá-lhe informação sobre o tipo de grupo:
- Domínio local
- Global
- Universal
E é assim que parece:
Novo grupo_de_teste – Nome todos_utilizadores -GroupScope Global
Se você executar isto em Powershell você terá um novo grupo chamado all_testusers com o GroupScope Global.
Mas essa seria a única informação que o grupo tem até agora:
- O cmdlet cria um grupo de segurança automaticamente
- Não há atributos preenchidos
- Não há nenhum conjunto de gerenciador
Suficientemente esse grupo fica armazenado no container “padrão” do usuário. Mas você não deve deixar o grupo naquele lugar.
Adicionando Categoria de Grupo e Alvo OU
No próximo passo você quer adicionar algumas informações adicionais. Não é obrigatório, mas você definitivamente deve fazer isso ao trabalhar com o Active Directory. Você poderia adicionar o seguinte parâmetro por exemplo:
Novo-ADGrupo -Nome Todos_utilizadores_testadores -GroupScope Global -GroupCategory Distribution -Path “OU=Testgroups,DC=Empresa,DC=Com”
Aqui você define uma lista de distribuição e a OU do grupo. Desta forma você pode preencher quase todos os atributos de um grupo.
Novo Usuário: Importação em massa de Usuários
Tão bom até agora. Comparado com a “criação por clique” de contas de usuários em Usuários e Computadores, parece ser mais fácil criar grupos ao clicar. PowerShell e New-ADGroup se tornam interessantes quando você quer criar muitos grupos ao mesmo tempo. Tudo que você precisa é de um único arquivo de entrada.
É melhor usar um arquivo CSV – separado por ponto-e-vírgula. Crie uma planilha Excel simples com as colunas Name, GroupScope, Groupcategory etc.
Informações detalhadas sobre a importação em massa de usuários podem ser encontradas aqui: New-ADUser: Importação em massa de AD User.
Get-ADGroup Cmdlet
A próxima parte deste artigo é sobre o cmdlet Get-ADGroup. Ele o ajuda a obter informações sobre os atributos dos grupos existentes no seu Active Directory.
Just like with the Get-ADUser cmdlet você só precisa da identidade do grupo para executar o cmdlet com sucesso. Isto pode ser sAMAccountName. Parece com isto:
Agora você tem toda a informação sobre o grupo All_testusers. Parece mesmo assim:
Installing Filters
Se você não conhece o sAMAccountname ou não quer procurar por mais de um grupo, você pode usar um filtro.
Você pode usar filtros para um monte de tarefas diferentes. Utilize-os adicionando o parâmetro “-filtro” à linha de comando. Também é possível procurar certos atributos com os mesmos meios.
Filtros de grupo que se assemelham muito aos filtros do usuário. Aqui você encontra mais informação sobre a busca de atributos dos usuários. Isto aplica-se também a grupos.
Exportar dados
Se estiver a procurar um grande número de grupos a saída do PowerShell é talvez um pouco difícil de compreender. Mas assim que você exporta, tudo fica claro de uma só vez. Você só tem que passar por um arquivo .csv de fácil leitura usando “export-csv”.
Get-ADGroup -Filter * -Searchbase “OU=Testuser,DC=Empresa,DC=Com”. | export-csv “c:\test\export.csv”
Os dados exportados têm este aspecto no ficheiro .csv:
Set-ADGroup cmdlet
A terceira parte do artigo é sobre o Set-ADGroup cmdlet. Este cmdlet ajuda você a mudar os atributos dos grupos do Active Directory. Ele funciona melhor se você combiná-lo com Get-ADGroup.
Se você quiser definir ou alterar uma descrição, ele se parece com isto:
Set-ADGroup All_testusers -Descrição “Listas de distribuição para todos os usuários de teste”
Ao editar a descrição, você pode alterar mais de um atributo com um único comando. Digite todos os atributos um após o outro.
Get-ADGroup e Set-ADGroup combinados
Set-ADGroup torna-se muito útil em combinação com Get-ADGroup. Você pode ler todos os grupos que você quer mudar. Isto funciona tão facilmente como descrito no artigo Get-ADUser. Após ler as informações do grupo você pode usar um pipe ( | ) para Set-ADGroup para alterar o atributo de todos os grupos. É exatamente o mesmo com mais de um atributo. Basta adicionar uma linha adicional.
Get-ADGroup -Filter {Nome – como “*Test*”} |Configurar-ADGrupo -Descrição “grupos para testes”
Agora você ajustou a descrição de todos os grupos que têm “Teste” em seus nomes.
Alterar Atributos de Grupo por Importação
Você pode alterar os atributos também importando um arquivo .csv. A principal vantagem é que você é capaz de preencher o mesmo atributo com valores diferentes para mais de um grupo. Isto pode ser gerenciado e descrito. Você pode encontrar informações mais detalhadas sobre esse cmdlet no artigo Set-ADUser.
Quick AD User Management sem PowerShell
As soon as you have created the groups you can create and manage the user accounts easily as well as. Basta experimentar o nosso FirstWare IDM-Portal:
- Quick AD Administration
- AD Delegation
- AD Self service e mais…
(Existe também uma ProEdition no caso de querer continuar com os seus próprios scripts PowerShell).
Se procura competência e conselhos, por favor contacte-nos.