a Microsoft PowerShell parancsok minden szerepek, funkciók, többek között az Active Directory. Vannak 900-plus PowerShell cmdlets biztosított Active Directory egyedül, amely lehet használni, hogy hozzáférjen és kezelje az információkat a domain vezérlők, globális katalógus szerverek, domainek és Active Directory erdők. Bármi legyen is a követelményeknek, van PowerShell cmdlets elérhető., Ha például el kell olvasnia az Active Directory felhasználókat egy Active Directory tartományban, használhatja a Get-ADUser PowerShell parancsmagot. Hasonlóképpen, ha manipulálni kell az Active Directory csoport tagságát, vagy meg kell szereznie a létrehozott Active Directory webhelyek listáját, használhatja a Get-ADGroupMembers, illetve a Get-ADSite alkalmazást. Ebben a cikkben megmutatjuk, hogyan lehet A PowerShell használatával összegyűjteni a biztonsági csoportok Active Directory csoport tagságát.
a PowerShell előtt nem volt közvetlen módja az Active Directory csoport csoportos tagságának gyűjtésére., Ha tudnia kellett, hogy ki tagja egy Active Directory biztonsági csoportnak, vagy ellenőriznie kellett több biztonsági csoport tagjait, manuálisan ellenőriznie kellett a GUI eszköz használatával, vagy VB szkriptet kellett terveznie a csoport tagságának ellenőrzéséhez. A PowerShell segítségével drasztikusan megváltozott a biztonsági csoportok Csoportos tagságának ellenőrzése. Most csak egy PowerShell cmdlet segítségével megkaphatja egy adott vagy több biztonsági csoport csoport csoporttagságát. Mit tehetünk, csak használja a Get-ADGroupMember PowerShell cmdlet., A Get-ADGroupMember PowerShell cmdlet megköveteli, hogy adjon meg egy csoport nevét, hogy ellenőrizze a tagok számára. Az alábbi parancsmag például felsorolja a rendszergazdák biztonsági csoportjának csoport tagjait az Active Directory környezetben.,
Get-ADGroupMember-Identity ” Administrators “
hasonlóképpen, ha meg kell, hogy ellenőrizze a csoport tagja egy másik biztonsági csoport, mondjuk” Production Admins”, csak végrehajtó alábbi parancs tenné:
Get-ADGroupMember –Identity”Production adminok”
mint látható a fenti parancsokat, ez nem több, mint egy pár másodpercig, hogy ellenőrizze Active Directory csoport tagság az egyes biztonsági csoportok., Ha minden nap ellenőriznie kell az adminisztrátori biztonsági csoportok Active Directory csoport tagságát, akkor csak annyit tehet, hogy hozzáadja a fenti parancsot egy kötegelt fájlba, majd manuálisan végrehajtja, vagy ütemezett feladat segítségével végrehajtja. Például az alábbi parancsok hozzáadása egy kötegelt fájlba megadja az eredményeket a CSV fájlban. Tegyük fel, hogy létrehozott egy getmembers nevű kötegelt vagy CMD fájlt.CMD és hozzáadta az alábbi sorokat:
mint látható, a fenti parancsok, amikor végrehajtják, visszaadják a tagok listáját egy meghatározott csoportban, majd a kimenetet a megfelelő fájlokban tárolják., Míg a parancs egy egyszerű módja annak, hogy összegyűjti tagjai csoportok, ez a megközelítés több időt igényel, és abban az esetben meg kell, hogy adjunk több csoportot részeként a fenti fájlt a script kap hosszadalmas, majd akkor meg kell, hogy ellenőrizze az összes csoport tagja CSV fájlokat kézzel elvégezni minden ellenőrzést, hogy szeretne csinálni részeként ezt a gyakorlatot.,
Active Directory csoport tagsági jelentések létrehozása
tegyük fel, hogy jelentést szeretne készíteni a kiválasztott biztonsági csoportok Active Directory csoport tagságáról, és a kimenetet könnyen olvasható formátumban tárolja, majd ellenőrizze a kimenetet a Microsoft Excel vagy hasonló eszköz segítségével. Egy kicsit több munka hozzáadása a PowerShell szkript írásával segíthet jelentést készíteni a csoport tagságáról. Tegyük fel, hogy négy biztonsági csoportunk van: “BDOAdmin1”, “BDOAdmin2”, “BDOAdmin3” és “BDOAdmin4”. Tegyük fel, hogy van egy CheckGroups nevű fájlunk.,A TXT a C:\Temp mappa. Az C:\Temp\CheckGroups.A TXT tárolja azokat a csoportneveket, amelyeket a PowerShell szkript segítségével ellenőrizni szeretne. Miután két fájl készen áll a C:\Temp könyvtár, hajtsa végre az alábbi PowerShell szkriptet. A szkript létrehoz egy jelentést, amely tartalmazza a taghoz tartozó megkülönböztetett nevet és csoportnevet.,
Ha a fenti szkript lefut, a PowerShell számítógép hozzáfér az Active Directory tartományi jelentést a CSV-fájl jön létre, amint azt a lenti képen:
becsomagolni
ebben A cikkben, mi feltéve, hogy néhány parancsok használja, hogy a tagok a biztonsági csoportok segítségével Kap-ADGroupMember PowerShell parancsmagot is, feltéve, egy PowerShell script, hogy lehet használni, hogy összegyűjtse a tag a megadott biztonsági csoportok tárolni a kimenet egy CSV-fájlt, a jelentéstétel céljából., Ha minden héten létre kell hoznia a jelentést, akkor ütemezheti a szkriptet egy olyan kiszolgálón, amely hozzáfér az Active Directory tartományhoz.
Kiemelt kép: