AD PowerShell Basics 4: ADGroup cmdlets
Gestionarea grupurilor în Active Directory poate fi îmbunătățită prin utilizarea PowerShell. De data aceasta vreau să explic cmdlets de bază ADGroup.
Commdlets ADGroup sunt utilizate pentru: – crearea de grupuri noi – afișarea grupurilor și a atributelor acestora – modificarea atributelor grupurilor
Bazele AD PowerShell
În această mică serie vreau să prezint cele mai uzuale cmdlete Active Directory PowerShell. Veți fi surprinși de cât de ușor sunt elementele de bază ale AD PowerShell. Cu puțin efort și un minim de cod sursă puteți citi o cantitate uriașă de informații și scrie date în AD. Cele mai importante cmdlete sunt:
New-ADUser Get-ADUser Set-ADUser New-ADGroup, Get-ADGroup, Set-ADGroup
Comandlet New-ADGroup
Această parte a articolului se referă la cmdleta New-ADGroup. Puteți crea cu ușurință grupuri noi în Active Directory folosind acest cmdlet.
În contrast cu cmdlet „New-ADUser”, cmdlet-ul are nevoie de mai mult de un singur atribut. Name și GroupScope ale noului grup sunt obligatorii. GroupScope vă oferă informații despre tipul de grup:
- Domain local
- Global
- Universal
Și iată cum arată:
New-ADGroup -Name all_testusers -GroupScope Global
Dacă executați acest lucru în Powershell, veți obține un nou grup numit all_testusers cu GroupScope Global.
Dar acestea ar fi singurele informații pe care grupul le are până acum:
- Ccmdlet-ul creează automat un grup de securitate
- Nu există atribute completate
- Nu există niciun manager setat
În mod normal, acest grup este stocat în containerul de utilizatori „standard”. Dar nu ar trebui să lăsați grupul în acel loc.
Adding Group Category and Target OU
În pasul următor doriți să adăugați câteva informații suplimentare. Nu este obligatoriu, dar cu siguranță ar trebui să faceți acest lucru atunci când lucrați cu Active Directory. Ați putea adăuga următorul parametru, de exemplu:
New-ADGroup -Name All_testusers -GroupScope Global -GroupCategory Distribution -Path „OU=Testgroups,DC=Company,DC=Com”
Aici setați o listă de distribuție și OU-ul grupului. În acest fel puteți completa aproape toate atributele unui grup.
New-ADUser: Bulk Import of Users
Până aici totul este bine. În comparație cu „crearea cu un clic” a conturilor de utilizator în Users and Computers, pare să fie mai ușor să creați grupuri cu un clic. PowerShell și New-ADGroup devin interesante atunci când doriți să creați mai multe grupuri în același timp. Tot ce aveți nevoie este un singur fișier de intrare.
Cel mai bine este să utilizați un fișier CSV – separat prin punct și virgulă. Creați o foaie de calcul Excel simplă cu coloanele Name, GroupScope, Groupcategory etc.
Informații detaliate despre importul în masă de utilizatori pot fi găsite aici: New-ADUser: Import masiv de utilizatori AD.
Commandlet Get-ADGroup
Partea următoare a acestui articol se referă la cmdlet Get-ADGroup. Acesta vă ajută să obțineți informații despre atributele grupurilor existente în Active Directory.
La fel ca în cazul cmdletului Get-ADUser, aveți nevoie doar de identitatea grupului pentru a executa cmdlet-ul cu succes. Aceasta ar putea fi sAMAccountName. Acesta arată astfel:
Acum aveți toate informațiile despre grupul All_testusers. Arată exact așa:
Instalarea filtrelor
Dacă nu cunoașteți numele sAMAccountname sau doriți să căutați mai mult de un grup, puteți utiliza un filtru.
Puteți utiliza filtrele pentru o mulțime de sarcini diferite. Utilizați-le adăugând parametrul „-filter” la linia de comandă. De asemenea, puteți căuta anumite atribute cu aceleași mijloace.
Filtrele de grup seamănă foarte mult cu filtrele de utilizator. Aici găsiți mai multe informații despre căutarea atributelor utilizatorilor. Acest lucru este valabil și pentru grupuri.
Export de date
Dacă căutați un număr mare de grupuri, ieșirea PowerShell este poate un pic mai greu de înțeles. Dar de îndată ce o exportați, totul este clar imediat. Trebuie doar să parcurgeți un fișier .csv ușor de citit folosind „export-csv”.
Get-ADGroup -Filter * -Searchbase „OU=Testuser,DC=Company,DC=Com” | export-csv „c:\test\export.csv”
Datele exportate arată astfel în fișierul .csv:
Set-ADGroup cmdlet
A treia parte a articolului se referă la cmdlet-ul Set-ADGroup. Acest cmdlet vă ajută să modificați atributele grupurilor Active Directory. Funcționează cel mai bine dacă îl combinați cu Get-ADGroup.
Dacă doriți să setați sau să modificați o descriere, aceasta arată astfel:
Set-ADGroup All_testusers -Description „Distribution lists for all test users”
Prin editarea descrierii, puteți modifica mai mult de un atribut cu o singură comandă. Introduceți toate atributele unul după altul.
Get-ADGroup și Set-ADGroup combinate
Set-ADGroup devine foarte util în combinație cu Get-ADGroup. Puteți citi toate grupurile pe care doriți să le modificați. Acest lucru funcționează la fel de ușor cum este descris în articolul Get-ADUser. După ce citiți informațiile despre grup, puteți folosi o țeavă ( | ) la Set-ADGroup pentru a modifica atributul tuturor grupurilor. Este exact la fel cu mai mult de un atribut. Trebuie doar să adăugați o linie suplimentară.
Get-ADGroup -Filter {Name -like „*Test*”} | Set-ADGroup -Description „groups for tests”
Acum ați ajustat descrierea tuturor grupurilor care au „Test” în numele lor.
Schimbarea atributelor grupului prin import
Puteți schimba atributele grupului și prin importul unui fișier .csv. Principalul avantaj este că aveți posibilitatea de a completa același atribut cu valori diferite pentru mai mult de un grup. Acesta poate fi manager și descriere. Puteți găsi informații mai detaliate despre acest cmdlet în articolul Set-ADUser.
Gestionare rapidă a utilizatorilor AD fără PowerShell
După ce ați creat grupurile, puteți crea și gestiona cu ușurință și conturile de utilizator. Încercați doar portalul nostru FirstWare IDM-Portal:
- Administrare rapidă AD
- Delegație AD
- AD Self service și multe altele…
(Există și o ediție ProEdition în cazul în care doriți să mergeți mai departe cu propriile scripturi PowerShell).
Dacă aveți nevoie de competență și consultanță, vă rugăm să ne contactați.
.