Microsoft fornisce comandi PowerShell per tutti i ruoli e le funzionalità, tra cui Active Directory. Esistono oltre 900 cmdlet PowerShell forniti solo per Active Directory, che possono essere utilizzati per accedere e gestire le informazioni da controller di dominio, server di catalogo globali, domini e foreste di Active Directory. Qualunque siano le vostre esigenze, avete cmdlet PowerShell disponibili., Ad esempio, se è necessario leggere gli utenti di Active Directory in un dominio Active Directory, è possibile utilizzare il cmdlet Get-ADUser PowerShell. Allo stesso modo, se è necessario manipolare l’appartenenza al gruppo di Active Directory o ottenere un elenco di siti di Active Directory creati, è possibile utilizzare Get-ADGroupMembers e Get-ADSite, rispettivamente. In questo articolo, ci accingiamo a mostrarvi come utilizzando PowerShell, è possibile raccogliere l’appartenenza al gruppo Active Directory di gruppi di sicurezza.
Prima di PowerShell, non si disponeva di un modo diretto per raccogliere l’appartenenza a un gruppo di Active Directory., Se era necessario sapere chi faceva parte di un gruppo di sicurezza Active Directory o controllare i membri di più di un gruppo di sicurezza, si doveva controllare utilizzando lo strumento GUI manualmente o progettare uno script VB per controllare l’appartenenza al gruppo. Il compito di verificare l’appartenenza al gruppo di gruppi di sicurezza è stato cambiato drasticamente con PowerShell. Ora con un solo cmdlet PowerShell si è in grado di ottenere l’appartenenza al gruppo di uno specifico o più gruppi di sicurezza. Quello che puoi fare è usare il cmdlet Get-ADGroupMember PowerShell., Il cmdlet Get-ADGroupMember PowerShell richiede di fornire un nome di gruppo per verificare i membri. Ad esempio, il cmdlet seguente elenca i membri del gruppo del gruppo di sicurezza administrators nell’ambiente Active Directory.,
Get-ADGroupMember –Identity “Administrators”
Allo stesso modo, se hai bisogno di controllare l’appartenenza a un gruppo di un altro gruppo di sicurezza, diciamo “Production Admins”, semplicemente eseguendo il comando sottostante lo farebbe:
Get-ADGroupMember –Identity “Production Admins”
Come puoi vedere nei comandi precedenti, non ci vogliono più di pochi secondi per controllare l’appartenenza a gruppi di Active Directory di singoli gruppi di sicurezza., Se è necessario controllare l’appartenenza al gruppo Active Directory dei gruppi di sicurezza di amministrazione ogni giorno, ciò che si può fare è semplicemente aggiungere il comando sopra in un file batch e quindi eseguirlo manualmente o eseguirlo tramite un’attività pianificata. Ad esempio, l’aggiunta dei comandi di seguito in un file batch ti darà i risultati nel file CSV. Supponiamo che tu abbia creato un file batch o CMD denominato GetMembers.CMD e ha aggiunto le righe seguenti:
Come puoi vedere, i comandi precedenti quando vengono eseguiti restituiranno l’elenco dei membri in un gruppo specificato e memorizzeranno l’output nei loro file corrispondenti., Mentre il comando fornisce un modo semplice per raccogliere i membri dai gruppi, questo approccio richiede più tempo e nel caso in cui sia necessario aggiungere più gruppi come parte del file precedente, lo script diventerà lungo e quindi dovrai controllare manualmente tutti i file CSV dei membri del gruppo per eseguire qualsiasi controllo che desideri fare come parte di questo esercizio.,
Creazione di report di appartenenza al gruppo Active Directory
Supponiamo di voler creare un report sull’appartenenza al gruppo Active Directory di gruppi di sicurezza selezionati e memorizzare l’output in un formato di facile lettura e quindi controllare l’output utilizzando Microsoft Excel o strumento simile. Aggiungere un po ‘ più di lavoro scrivendo uno script PowerShell può aiutarti a generare un rapporto sull’appartenenza al gruppo. Supponiamo di avere quattro gruppi di sicurezza denominati ” BDOAdmin1”, “BDOAdmin2”, “BDOAdmin3”e “BDOAdmin4”. Supponiamo di avere un file chiamato CheckGroups.,TXT ed è memorizzato nel C:\Temp cartella. Il C:\Temp\CheckGroups.TXT memorizza i nomi dei gruppi che si desidera controllare dallo script PowerShell. Una volta che hai due file pronti e memorizzati nel C:\Temp directory, eseguire lo script PowerShell qui sotto. Lo script creerà un report che include il nome distinto e il nome del gruppo a cui appartiene il membro.,
una Volta che lo script viene eseguito da un PowerShell computer che ha accesso al dominio Active Directory, un report in formato CSV verrà generato il file, come mostrato nello screenshot qui sotto:
conclusioni
In questo articolo, abbiamo fornito un paio di comandi che è possibile utilizzare per ottenere i membri dei gruppi di protezione tramite Get-ADGroupMember cmdlet di PowerShell e anche fornito uno script PowerShell che può essere utilizzato per raccogliere il membro di determinati gruppi di protezione e di memorizzare l’output in un file CSV per scopi di reporting., Se è necessario generare il report ogni settimana o giù di lì è possibile pianificare lo script su un server che ha accesso al dominio Active Directory.
immagine in Evidenza: