В этой статье мы рассмотрим возможности PowerShell по управлению группами домена Active Directory. Мы рассмотрим, как создать новую группу в AD, добавить в нее пользователей (или удалить), вывести список пользователей группы и несколько других полезных действия с доменными группами, которые чрезвычайно полезны при повседневном администрировании. Для управления группами AD в модуле PowerShell для Active Directory имеются следующие основные командлеты:
Для использования данных командлетов в вашей сессии PowerShell должен быть загружен специальный модуль взаимодействия с AD — Active Directory Module for Windows PowerShell. Данный модуль впервые был представлен в Windows Server 208 R2. В Windows Server 2012 и выше этот модуль включен по умолчанию. На клиентских компьютерах его можно установить и включить в качестве одного из компонентов RSAT. Проверить, загружен ли модуль можно так:
Get-Module -Listavailable
Как вы видите, модуль ActiveDirectory загружен. Если нет – импортируйте его командой:
Import-Module activedirectory
Полный список команд модуля можно получить так:
Get-Command -Module ActiveDirectory
В модуле всего доступно 147 командлетов, из которых с группами могут работать 11.
Get-Command -Module ActiveDirectory -Name "*Group*"
Вот их список:
- Add-ADGroupMember
- Add-ADPrincipalGroupMembership
- Get-ADAccountAuthorizationGroup
- Get-ADGroup
- Get-ADGroupMember
- Get-ADPrincipalGroupMembership
- New-ADGroup
- Remove-ADGroup
- Remove-ADGroupMember
- Remove-ADPrincipalGroupMembership
- Set-ADGroup
New-ADGroup – создаем новую группу AD
Создадим новую группу в указанном контейнере (OU) Active Directory с помощью команды New-ADGroup:
New-ADGroup "TestADGroup" -path 'OU=Groups,OU=Moscow,DC=corp,dc=winitpro,DC=ru' -GroupScope Global -PassThru –Verbose
С помощью атрибута Description можно задать описание группы, а с помощью DisplayName изменить отображаемое имя.
Параметром GroupScope можно задать один из следующих типов групп:
- 0 = DomainLocal
- 1 = Global
- 2 = Universal
Создать группу распространения можно так:
New-ADGroup "TestADGroup-Distr" -path 'OU=Groups,OU=Moscow,DC=corp,dc=winitpro,DC=ru' -GroupCategory Distribution -GroupScope Global -PassThru –Verbose
Add-AdGroupMember – добавить пользователей в группу AD
Добавить пользователей в группу Active Directory можно с помощью командлета Add-AdGroupMember. Добавим в новую группу двух пользователей:
Add-AdGroupMember -Identity TestADGroup -Members user1, user2
Если список пользователей, которых нужно добавить в группу довольно большой, можно сохранить список учетных записей в CSV файл, затем импортировать данный файл и добавить каждого пользователя в группу.
Формат CSV файла такой (список пользователей по одному в строке, имя столбца – users)
Import-CSV .\users.csv -Header users | ForEach-Object {Add-AdGroupMember -Identity ‘TestADGroup’ -members $_.users}
Чтобы получить всех членов одной группы (groupA) и добавить их в другую группу (groupB), воспользуйтесь такой командой:
Get-ADGroupMember “GroupA” | Get-ADUser | ForEach-Object {Add-ADGroupMember -Identity “Group-B” -Members $_}
В том случае, если нужно скопировать в новую группу и членов всех вложенных групп (рекурсивно), нужно воспользоваться такой командой:
Get-ADGroupMember -Identity “GroupA” -Recursive | Get-ADUser | ForEach-Object {Add-ADGroupMember -Identity “GroupB” -Members $_}
Remove-ADGroupMember – удалить пользователей из группы
Для удаления пользователей из группы AD нужно использовать командует Remove-ADGroupMember. Удалим из группы двух пользователей:
Remove-ADGroupMember -Identity TestADGroup -Members user1, user2
Подтвердите удаление пользователей из группы:
Если нужно удалить из группы пользователей по списку из CSV файла, воспользуйтесь такой командой:
Import-CSV .\users.csv -Header users | ForEach-Object {Remove-ADGroupMember -Identity ‘TestADGroup’ -members $_.users}
Get-ADGroup – получить информацию о группе AD
Получить информацию о группе поможет командлет Get-ADGroup:
Get-ADGroup 'TestADGroup'
Даная команда выводит информацию об основных атрибутах группы (DN, тип группы, имя, SID). Чтобы вывести значение всех атрибутов группы домена AD, выполните такую команду:
Get-ADGroup 'TestADGroup' -properties *
Как вы видите, теперь стали отображаться такие атрибуты, как время создания и модификации группы, описание и т.д.
С помощью командлета Get-ADGroup можно найти все интересующие вас группы по определенному шаблону. Например, нужно найти все группы AD, в имени которых содержится фраза admins :
Get-ADGroup -LDAPFilter “(name=*admins*)” | Format-Table
Get-ADGroupMember – вывести список пользователей группы AD
Вывести на экран список пользователей группы:
Get-ADGroupMember 'TestADGroup'
Чтобы оставить в результатах только имена пользователей, выполните:
Get-ADGroupMember 'TestADGroup'| ft name
Если в данную группу включены другие группы домена, чтобы вывести полный список членов, в том числе всех вложенных групп, воспользуйтесь параметром Recursive.
Get-ADGroupMember ‘server-admins' -recursive| ft name
Чтобы выгрузить список учетных записей, состоящих в определённой группе в CSV файл (для дальнейшего использования в Excel), выполните такую команду:
Get-ADGroupMember ‘server-admins' -recursive| ft samaccountname| Out-File c:\ps\admins.csv
Чтобы добавить в текстовый файл данные учетных записей пользователей в AD, воспользуемся командлетом Get-ADUser. Например, помимо учетной записи нужно вывести должность и телефон пользователя группы:
Get-ADGroupMember -Identity ’server-admins’ -recursive| foreach { Get-ADUser $_ -properties title, OfficePhone|Select-Object title, OfficePhone }
Посчитать количество пользователей в группе можно так:
(Get-ADGroupMember -Identity 'domain admins').Count
Оказалось, что в группе «domain admins» у нас состоит 7 учетных записей администраторов.
Чтобы найти список пустых групп в определенном OU, воспользуйтесь такой командой:
Get-ADGroup -Filter * -Properties Members -searchbase “OU=Moscow,DC=corp,dc=winitpro,DC=ru” | where {-not $_.members} | select Name
Добрый день!
Подскажите, как можно выбрать учетные записи, не входящие ни в один OU.
Есть 7 групп в OU, надо отобрать учетки, невходящие ни в одну в эту группу
Спасибо.
Добрый! Не понял задачу. Давайте переформулируем: нужно выбрать из определенной OU пользователей, которые не входят в определенную группу. Так?
Все верно, есть OU «Учетные записи», находящиеся там учетки входят в одну из семи групп «Магазин1», «Магазин2″….. «Магазин7»
И есть необходимость отобрать пользователей, не входящих ни в одну из этих семи групп.
Вот пример скрипта. Скрипт выводит список пользователей из определенной OU, которые не входят в группу Domain Admins.
$group = "Domain Admins"$members = Get-ADGroupMember -Identity $group -Recursive | Select -ExpandProperty Name
$users = Get-ADUser -SearchBase "ou=users,ou=msk,dc=corp,dc=ru" -filter *
ForEach ($user in $users) {
If (-Not ($members -contains $user)) {
Write-Host $user
}}
Так не работает(
Выводит все-равно учетки, которые находятся в определенной Ou, но не входят в группу.
Буду копать дальше, пока добавил в отбор только включенные учетки)
Скорее всего (ИМХО) непонятно по чему конкретно скрипт сравнивает, попробую пройтись по SID’у
Доброго времени суток.
Необходимо выгрузить все почтовые группы рассылки, в которые входят определённые сотрудники с определённой должностью. Подскажите какой командой или скриптом можно выполнить данный запрос?
получается:
1. Выгружаю список сотрудников, которые имеют определённую должность:
Get-ADUser -Filter {Title -like "*Директор*"} | Select-Object Name2. Выгружаю список логинов, которые имеют соответствующую должность:
Get-ADUser -Filter {Title -like "*Директор*"} | Select-Object SamAccountName3. Далее из полученного списка логинов выгрузить список почтовых групп рассылок, в которые они входят, т.е. у каждого логина свой список групп.
могу только по одному логину:
Get-ADPrincipalGroupMembership username | Select-Object NameНо выгружает абсолютно все группы, а мне нужны именно почтовые группы, т.е. те, которые имеют email адрес.
Прошу помощи.
Вот как-то так:
$Users = Get-ADUser -Filter {Title -like "*Директор по региональному развитию*"}foreach ($User in $Users)
{
$Groups = Get-ADPrincipalGroupMembership $User
(Get-ADUser $User).Name
foreach ($Group in $Groups)
{
If ((Get-ADGroup "$Group" -Properties mail).Mail -eq $null)
{
}
else
{
(Get-ADGroup "$Group" -Properties mail).Name
}
}
}
только как вывести в таблицу?
В общем-то все правильно. Немного модифицировал ваш скрипт. У меня получилось так. На выходе получаем табличку с именем учтной записи и имя группы с разделителем «;».
$Users = Get-ADUser -Filter {Title -like "*Директор по региональному развитию*"}foreach ($User in $Users)
{
$Groups = (Get-ADuser -Identity $User -Properties memberof).memberof | Get-ADGroup
foreach ($Group in $Groups)
{
If ((Get-ADGroup "$Group" -Properties mail).Mail -eq $null)
{
}
else
{
Write-Host $User.sAMAccountName ";" (Get-ADGroup "$Group" -Properties mail).Name
}
}
}
А команда
Get-ADGroupMember ‘group_name’ -recursive| ft name
должна раскрывать любые вложенные группы или есть какие то ограничения?
Например у меня в группу «common_users» входит группа «Пользователи домена».
Если использовать
Get-ADGroupMember ‘Пользователи домена’ -recursive| ft name
то выдает большой список доменных пользователей.
Но если использовать
Get-ADGroupMember ‘common_users’ -recursive| ft name
то выводит только пользователей группы common_users, а группы Пользователи домена — нет.
Методом эксперимента установил, что из группы Пользователи домена отображаются те пользователи, для которых Пользователи домена НЕ основная группа.
Маша и Петя оба состоят в группах «Пользователи домена» и «Бухгалтеры»,
при этом для Маши основная группа Пользователи домена, а для Пети основная группа Бухгалтеры, то при выполнении
Get-ADGroupMember ‘common_users’ -recursive| ft name
Петя будет отображен, а Маша нет.
Это как то можно обойти? Чтоб показывались абсолютно все пользователи кто так или иначе входит в common_users.
Пользователи являются членами Domain Users через primaryGroupID.
Не знаю, что делать в вашем случае. Вероятно, не самое хорошее решение использовать группу Domain Users в качестве члена другой группы безопасности AD.
С пользователями домена — это частный случай. В общем получается, что если пользователь состоит только в одной группе (которая является его основной), то он не будет отображен при выполнении команды с рекурсией.