2. Home
  3. /
  5. Articles
  6. /
  7. AD PowerShell Basics 4: ADGroup cmdlets

AD PowerShell Basics 4: ADGroup cmdlets

jun 23, 2021
admin

Grupphantering i Active Directory kan förbättras med hjälp av PowerShell. Den här gången vill jag förklara de grundläggande ADGroup cmdlets.

ADGroup Cmdlets används för: – skapa nya grupper – visa grupper och deras attribut – ändra gruppers attribut

Hr-linebreak1500

AD PowerShell Basics

I den här lilla serien vill jag presentera de vanligaste Active Directory PowerShell cmdlets. Du kommer att bli förvånad över hur enkelt grunderna i AD PowerShell är. Med lite ansträngning och ett minimum av källkod kan du läsa en enorm mängd information och skriva data i AD. De viktigaste cmdlets är:

New-ADUser Get-ADUser Set-ADUser New-ADGroup, Get-ADGroup, Set-ADGroup

Hr-linebreak1500

New-ADGroup Cmdlet

Denna del av artikeln handlar om cmdlet New-ADGroup. Du kan enkelt skapa nya grupper i Active Directory med hjälp av denna cmdlet.

I motsats till cmdlet ”New-ADUser” behöver cmdlet mer än bara ett attribut. Namn och GroupScope för den nya gruppen är obligatoriska. GroupScope ger dig information om grupptyp:

  • Domän lokal
  • Global
  • Universal

Och så här ser det ut:

New-ADGroup -Name all_testusers -GroupScope Global

Om du kör detta i Powershell får du en ny grupp som heter all_testusers med GroupScope Global.

Men det skulle vara den enda information som gruppen har hittills:

  • Cmdletten skapar en säkerhetsgrupp automatiskt
  • Det finns inga attribut som fylls i
  • Det finns ingen manager som är inställd

Svårt nog sparas den gruppen i behållaren för ”vanliga” användare. Men du bör inte lämna gruppen på den platsen.

Lägg till gruppkategori och mål OU

I nästa steg vill du lägga till ytterligare information. Det är inte obligatoriskt, men du bör definitivt göra det när du arbetar med Active Directory. Du kan till exempel lägga till följande parameter:

New-ADGroup -Name All_testusers -GroupScope Global -GroupCategory Distribution -Path ”OU=Testgroups,DC=Company,DC=Com”

Här anger du en distributionslista och gruppens OU. På så sätt kan du fylla i nästan alla attribut för en grupp.

New-ADUser: Bulkimport av användare

Så långt så bra. Jämfört med ”klick-skapandet” av användarkonton i Users and Computers verkar det vara lättare att skapa grupper genom att klicka. PowerShell och New-ADGroup blir intressant när man vill skapa många grupper samtidigt. Allt du behöver är en enda inmatningsfil.

Det är bäst att använda en CSV-fil – separerad med semikolon. Skapa ett enkelt Excel-kalkylblad med kolumnerna Name, GroupScope, Groupcategory etc.

Detaljerad information om bulkimport av användare finns här: New-ADUser: Massimport av AD-användare.

ad-groups-automate-memberships-blue

Get-ADGroup Cmdlet

Nästa del av artikeln handlar om cmdlet Get-ADGroup. Den hjälper dig att få information om attributen för befintliga grupper i Active Directory.

Som med Get-ADUser cmdlet behöver du bara gruppidentiteten för att köra cmdlet framgångsrikt. Detta kan vara sAMAccountName. Det ser ut så här:

Get-ADGroup All_testusers

Nu har du all information om gruppen All_testusers. Det ser ut precis så här:

get-adgroup1

Installation av filter

Om du inte känner till sAMAccountname eller om du vill söka efter mer än en grupp kan du använda ett filter.

Du kan använda filter för många olika uppgifter. Använd dem genom att lägga till parametern ”-filter” på kommandoraden. Du kan också söka efter vissa attribut med samma medel.

Gruppfilter påminner starkt om användarfilter. Här hittar du mer information om sökning av attribut för användare. Detta gäller även för grupper.

Exportdata

Om du söker efter ett stort antal grupper är PowerShell-utmatningen kanske lite svår att förstå. Men så fort du exporterar den är allting klart på en gång. Du behöver bara gå igenom en lättläst .csv-fil genom att använda ”export-csv”.

Get-ADGroup -Filter * -Searchbase ”OU=Testuser,DC=Company,DC=Com” | export-csv ”c:\test\export.csv”

De exporterade uppgifterna ser ut så här i .csv-filen:

powershell-adgroup-export-csv

Set-ADGroup cmdlet

Den tredje delen av artikeln handlar om Set-ADGroup cmdlet. Den här cmdlet hjälper dig att ändra attribut för Active Directory-grupper. Den fungerar bäst om du kombinerar den med Get-ADGroup.

Om du vill ställa in eller ändra en beskrivning ser det ut så här:

Set-ADGroup All_testusers -Description ”Distributionslistor för alla testanvändare”

Om du redigerar beskrivningen kan du ändra mer än ett attribut med ett enda kommando. Skriv in alla attribut ett efter ett.

Get-ADGroup och Set-ADGroup kombineras

Set-ADGroup blir mycket praktiskt i kombination med Get-ADGroup. Du kan läsa alla grupper som du vill ändra. Detta fungerar lika enkelt som beskrivet i artikeln Get-ADUser. När du har läst gruppinformationen kan du använda ett rör ( | ) till Set-ADGroup för att ändra attributet för alla grupper. Det är exakt samma sak med mer än ett attribut. Lägg bara till ytterligare en rad.

Get-ADGroup -Filter {Name -like ”*Test*”} | Set-ADGroup -Description ”groups for tests”

Nu har du justerat beskrivningen av alla grupper som har ”Test” i sitt namn.

Ändra gruppattribut per import

Du kan ändra attributen även genom att importera en .csv-fil. Den största fördelen är att du kan fylla i samma attribut med olika värden för mer än en grupp. Detta kan vara chef och beskrivning. Du hittar mer detaljerad information om den cmdlet i artikeln Set-ADUser.

Snabb AD-användarhantering utan PowerShell

Sedan du har skapat grupperna kan du enkelt skapa och hantera användarkontona också. Prova bara vår FirstWare IDM-Portal:

  • Snabb AD-administration
  • AD-delegering
  • AD-självbetjäning och mycket mer…

(Det finns också en ProEdition ifall du vill fortsätta med dina egna PowerShell-skript).
Om du söker kompetens och råd, vänligen kontakta oss.

Lämna ett svar

Din e-postadress kommer inte publiceras.