giver Microsoft PowerShell-kommandoer til alle roller og funktioner, herunder Active Directory. Der er 900-plus PowerShell cmdlets henhold til Active Directory, som kan bruges til at få adgang til og administrere oplysninger fra domain controllere, global catalog-servere, domæner og Active Directory-skov. Uanset dine krav har du Po .ershell cmdlets til rådighed., Har brug for at læse Active Directory-brugere i et Active Directory-domæne, kan du bruge Get-aduser Po .ershell cmdlet. Tilsvarende, hvis du har brug for at manipulere Active Directory-gruppemedlemskab eller få en liste over Active Directory-createdebsteder oprettet, kan du bruge henholdsvis Get-ADGroupMembers og Get-ADSite. I denne artikel vil vi vise dig, hvordan du ved hjælp af Po .ershell kan samle Active Directory Group-Medlemskab af sikkerhedsgrupper.
før Po .ershell havde du ingen direkte måde at indsamle gruppemedlemskab i en Active Directory-gruppe., Hvis du havde brug for at vide, hvem der var en del af en Active Directory-sikkerhedsgruppe eller kontrollere medlemmer af mere end en sikkerhedsgruppe, måtte du enten kontrollere ved hjælp af GUI-værktøjet manuelt eller designe et VB-script for at kontrollere gruppemedlemskabet. Opgaven med at kontrollere gruppemedlemskab af sikkerhedsgrupper er blevet ændret drastisk med Po .ershell. Nu med blot en enkelt Po .ershell cmdlet er du i stand til at få gruppemedlemskab af en bestemt eller flere sikkerhedsgrupper. Hvad du kan gøre er bare at bruge Get-ADGroupMember Po .ershell cmdlet., Get-ADGroupMember Po .ershell cmdlet kræver, at du angiver et gruppenavn for at kontrollere medlemmerne for. For eksempel viser cmdlet nedenfor gruppemedlemmerne i administratorernes sikkerhedsgruppe i Active Directory-miljøet.,Get-ADGroupMember-Identity ” administratorer “
tilsvarende, hvis du har brug for at kontrollere gruppemedlemskab af en anden sikkerhedsgruppe, lad os sige” Produktionsadministratorer”, bare at udføre nedenstående kommando ville gøre det:
Get-ADGroupMember –Identity”Produktionsadministratorer”
som du kan se i ovenstående kommandoer, tager det ikke mere end et par sekunder at kontrollere Active Directory-gruppemedlemskab af individuelle sikkerhedsgrupper., Hvis du har brug for at kontrollere Active Directory group-medlemskab af admin security groups hver dag, hvad du kan gøre er bare at tilføje ovenstående kommando i en batchfil og derefter udføre den manuelt eller udføre den via en planlagt opgave. Som et eksempel vil tilføjelse af kommandoerne nedenfor i en batchfil give dig resultaterne i CSV-filen. Lad os antage, at du har oprettet en batch-eller CMD-fil med navnet GetMembers.CMD og tilføjede linjerne nedenfor:
som du kan se, vil ovenstående kommandoer, når de udfører, returnere listen over medlemmer i en bestemt gruppe og gemme output i deres tilsvarende filer., Mens kommandoen giver en enkel måde at samle medlemmer fra grupper, denne tilgang kræver mere tid, og i tilfælde af at du nødt til at tilføje flere grupper som en del af ovennævnte fil dit script vil få langvarige og så ville du nødt til at kontrollere alle medlem af gruppen CSV-filer manuelt, til at udføre enhver kontrol, som du gerne vil gøre, som en del af denne øvelse.,
oprettelse af rapporter om Active Directory-gruppemedlemskab
lad os sige, at du gerne vil oprette en rapport om Active Directory-gruppemedlemskabet for udvalgte sikkerhedsgrupper og gemme output i et letlæseligt format og derefter kontrollere output ved hjælp af Microsoft e .cel eller lignende værktøj. Tilføjelse af lidt mere arbejde ved at skrive et Po .ershell-script kan hjælpe dig med at generere en rapport om gruppemedlemskab. Lad os antage, at vi har fire sikkerhedsgrupper, der hedder “BDOAdmin1”, “BDOAdmin2”, “BDOAdmin3”, og “BDOAdmin4”. Lad os antage, at vi har en fil med navnet CheckGroups.,T andt og det er gemt i C:\Temp mappe. At C:\Temp\CheckGroups.T .t gemmer de gruppenavne, som du gerne vil tjekke med Po .ershell-scriptet. Når du har to filer klar og gemt i C:\Temp directory, udfør Po .ershell scriptet nedenfor. Scriptet vil oprette en rapport, der indeholder fremtrædende navn og gruppenavn, som medlemmet tilhører.,
Når ovenstående script er startet fra en PowerShell computer, der har adgang til Active Directory-domæne, en rapport i den CSV-fil vil blive genereret, som vist på skærmbilledet nedenfor:
Indpakning det op
I denne artikel, vi gav et par kommandoer, som du kan bruge til at få medlemmerne af sikkerhedsgrupperne ved hjælp af Få-ADGroupMember PowerShell-cmdlet-og også en PowerShell script, der kan bruges til at samle medlem af bestemte grupper sikkerhed og gem resultatet i en CSV-fil med henblik på rapportering., Hvis du har brug for at generere rapporten hver uge eller så kan du planlægge scriptet på en server, der har adgang til Active Directory domæne.
Featured image: