Microsoft bietet Powershell-Befehle für alle Rollen und Funktionen einschließlich Active Directory. Es gibt mehr als 900 PowerShell-Cmdlets, die allein für Active Directory bereitgestellt werden und mit denen Informationen von Domänencontrollern, globalen Katalogservern, Domänen und Active Directory-Forests abgerufen und verwaltet werden können. Unabhängig von Ihren Anforderungen stehen Ihnen PowerShell-Cmdlets zur Verfügung., Wenn Sie beispielsweise Active Directory-Benutzer in einer Active Directory-Domäne lesen müssen, können Sie das PowerShell-Cmdlet Get-ADUser verwenden. Wenn Sie die Active Directory-Gruppenmitgliedschaft bearbeiten oder eine Liste der erstellten Active Directory-Sites abrufen müssen, können Sie Get-ADGroupMembers bzw. In diesem Artikel zeigen wir Ihnen, wie Sie mit PowerShell die Active Directory-Gruppenmitgliedschaft von Sicherheitsgruppen erfassen können.

Vor PowerShell hatten Sie keine direkte Möglichkeit, die Gruppenmitgliedschaft einer Active Directory-Gruppe zu erfassen., Wenn Sie wissen mussten, wer Teil einer Active Directory-Sicherheitsgruppe war oder Mitglieder von mehr als einer Sicherheitsgruppe überprüfte, mussten Sie entweder manuell mit dem GUI-Tool überprüfen oder ein VB-Skript entwerfen, um die Gruppenmitgliedschaft zu überprüfen. Die Aufgabe, die Gruppenmitgliedschaft von Sicherheitsgruppen zu überprüfen, wurde mit PowerShell drastisch geändert. Mit nur einem einzigen PowerShell-Cmdlet können Sie jetzt die Gruppenmitgliedschaft einer bestimmten oder mehrerer Sicherheitsgruppen abrufen. Sie können einfach das PowerShell-Cmdlet Get-ADGroupMember verwenden., Für das PowerShell-Cmdlet Get-ADGroupMember müssen Sie einen Gruppennamen angeben, nach dem die Mitglieder gesucht werden sollen. Im folgenden Cmdlet werden beispielsweise die Gruppenmitglieder der Sicherheitsgruppe Administratoren in der Active Directory-Umgebung aufgelistet.,

Get-ADGroupMember-Identity „Administrators“

Wenn Sie die Gruppenmitgliedschaft einer anderen Sicherheitsgruppe überprüfen müssen, sagen wir „Production Admins“, würde die Ausführung des folgenden Befehls dies tun:

Get-ADGroupMember –Identity „Production Admins“

Wie Sie in den obigen Befehlen sehen können, dauert es nicht länger als einige Sekunden, um die Active Directory-Gruppenmitgliedschaft einzelner Sicherheitsgruppen zu überprüfen., Wenn Sie die Active Directory-Gruppenmitgliedschaft von Admin-Sicherheitsgruppen jeden Tag überprüfen müssen, können Sie einfach den obigen Befehl in eine Batchdatei einfügen und dann manuell ausführen oder über eine geplante Aufgabe ausführen. Wenn Sie beispielsweise die folgenden Befehle in eine Batchdatei einfügen, erhalten Sie die Ergebnisse in der CSV-Datei. Angenommen, Sie haben eine Batch-oder CMD-Datei mit dem Namen GetMembers erstellt.CMD und fügte die folgenden Zeilen hinzu:

Wie Sie sehen können, geben die obigen Befehle bei ihrer Ausführung die Liste der Mitglieder in einer bestimmten Gruppe zurück und speichern die Ausgabe in den entsprechenden Dateien., Während der Befehl eine einfache Möglichkeit bietet, Mitglieder aus Gruppen zu sammeln, erfordert dieser Ansatz mehr Zeit, und wenn Sie weitere Gruppen als Teil der obigen Datei hinzufügen müssen, wird Ihr Skript langwierig und Sie müssen alle CSV-Dateien des Gruppenmitglieds manuell überprüfen, um eine Überprüfung durchzuführen, die Sie im Rahmen dieser Übung durchführen möchten.,

Erstellen von Berichten zur Active Directory-Gruppenmitgliedschaft

Angenommen, Sie möchten einen Bericht über die Active Directory-Gruppenmitgliedschaft ausgewählter Sicherheitsgruppen erstellen und die Ausgabe in einem leicht lesbaren Format speichern und dann die Ausgabe mit Microsoft Excel oder einem ähnlichen Tool überprüfen. Wenn Sie etwas mehr Arbeit durch Schreiben eines PowerShell-Skripts hinzufügen, können Sie einen Bericht über die Gruppenmitgliedschaft erstellen. Nehmen wir an, wir haben vier Sicherheitsgruppen mit den Namen „BDOAdmin1“, „BDOAdmin2“, „BDOAdmin3″und “ BDOAdmin4″. Nehmen wir an wir haben eine Datei namens CheckGroups.,TXT und es wird in der C:\Temp ordner. Die C:\Temp\CheckGroups.TXT speichert die Gruppennamen, die Sie mit dem PowerShell-Skript überprüfen möchten. Sobald Sie zwei Dateien bereit und in der C:\Temp als Nächstes führen Sie das PowerShell-Skript unten aus. Das Skript erstellt einen Bericht, der den Namen und den Gruppennamen des Mitglieds enthält.,

Sobald das obige Skript von einem PowerShell-Computer ausgeführt wird, der Zugriff auf die Active Directory-Domäne hat, wird ein Bericht in der CSV-Datei generiert, wie im folgenden Screenshot gezeigt:

Zum Abschluss

In diesem Artikel haben wir einige Befehle bereitgestellt, mit denen Sie Mitglieder der Sicherheitsgruppen mithilfe des PowerShell-Cmdlets Get-ADGroupMember abrufen und ein PowerShell-Skript bereitstellen können, mit dem das Mitglied bestimmter Sicherheitsgruppen erfasst und die Ausgabe zu Berichtszwecken in einer CSV-Datei gespeichert werden kann., Wenn Sie den Bericht jede Woche generieren müssen, können Sie das Skript auf einem Server planen, der Zugriff auf die Active Directory-Domäne hat.

Featured image: