Microsoft biedt PowerShell-opdrachten voor alle rollen en functies, waaronder Active Directory. Er zijn meer dan 900 PowerShell-cmdlets beschikbaar voor alleen Active Directory, die kunnen worden gebruikt voor toegang tot en beheer van informatie van domeincontrollers, globale-catalogusservers, domeinen en Active Directory-forests. Wat uw wensen ook zijn, u heeft PowerShell cmdlets beschikbaar., Als u bijvoorbeeld Active Directory-gebruikers in een Active Directory-domein moet lezen, kunt u de PowerShell-cmdlet Get-ADUser gebruiken. Ook als u het lidmaatschap van de Active Directory-groep moet manipuleren of een lijst met Active Directory-sites moet maken, kunt u respectievelijk Get-Adgroupleden en Get-ADSite gebruiken. In dit artikel laten we u zien hoe u met PowerShell het lidmaatschap van de Active Directory-groep van beveiligingsgroepen kunt verzamelen.
voor PowerShell had u geen directe manier om groepslidmaatschap van een Active Directory-groep te verzamelen., Als u moest weten wie deel uitmaakte van een Active Directory-beveiligingsgroep of leden van meer dan één beveiligingsgroep moest controleren, moest u handmatig de GUI-tool gebruiken of een VB-script ontwerpen om het groepslidmaatschap te controleren. De taak om het groepslidmaatschap van beveiligingsgroepen te controleren is drastisch gewijzigd met PowerShell. Nu met slechts een enkele PowerShell cmdlet bent u in staat om het groepslidmaatschap van een specifieke of meerdere beveiligingsgroepen te krijgen. Wat je kunt doen is gewoon gebruik maken van de Get-ADGroupMember PowerShell cmdlet., De Get-ADGroupMember PowerShell cmdlet vereist dat u een groepsnaam opgeeft om de leden op te controleren. In de onderstaande cmdlet worden bijvoorbeeld de groepsleden van de beveiligingsgroep administrators in de Active Directory-omgeving weergegeven.,
Get-ADGroupMember-Identity”Administrators”
Evenzo, als u het groepslidmaatschap van een andere beveiligingsgroep moet controleren, laten we zeggen “Production Admins”, zou het uitvoeren van het onderstaande commando het doen:
Get-ADGroupMember –Identity “Production Admins”
zoals u kunt zien in de bovenstaande commando ‘ s, duurt het niet langer dan een paar seconden om Active Directory groepslidmaatschap van individuele beveiligingsgroepen te controleren., Als u het lidmaatschap van de Active Directory-groep van de admin beveiligingsgroepen elke dag moet controleren, kunt u de bovenstaande opdracht gewoon toevoegen in een batchbestand en deze vervolgens handmatig uitvoeren of uitvoeren via een geplande taak. Als voorbeeld, het toevoegen van de commando ‘ s hieronder in een batch-bestand zal u de resultaten in het CSV-bestand te geven. Laten we aannemen dat u een batch of CMD bestand met de naam GetMembers.CMD en voegde de onderstaande regels toe:
zoals u kunt zien, zullen de bovenstaande commando ‘ s bij het uitvoeren de lijst van leden in een bepaalde groep retourneren en de uitvoer opslaan in hun overeenkomstige bestanden., Hoewel het commando biedt een eenvoudige manier om leden uit groepen te verzamelen, deze aanpak vereist meer tijd en in het geval dat u nodig hebt om meer groepen toe te voegen als onderdeel van het bovenstaande bestand uw script zal lang krijgen en dan zou je moeten alle groepslid CSV-bestanden handmatig controleren om een controle die u wilt doen als onderdeel van deze oefening uit te voeren.,
rapporten voor het lidmaatschap van Active Directory-groepen aanmaken
stel dat u een rapport wilt maken over het lidmaatschap van de Active Directory-groep van geselecteerde beveiligingsgroepen en de uitvoer wilt opslaan in een gemakkelijk leesbare indeling en vervolgens de uitvoer wilt controleren met behulp van Microsoft Excel of een vergelijkbaar hulpmiddel. Het toevoegen van een beetje meer werk door het schrijven van een PowerShell script kan u helpen een rapport over het lidmaatschap van de groep te genereren. Laten we aannemen dat we vier beveiligingsgroepen hebben genaamd “BDOAdmin1”, “BDOAdmin2”, “BDOAdmin3”, en “BDOAdmin4”. Laten we aannemen dat we een bestand hebben met de naam CheckGroups.,TXT en het is opgeslagen in de C:\Temp map. Het C:\Temp\CheckGroups.TXT slaat de groepsnamen op die je wilt controleren met het PowerShell script. Zodra u twee bestanden klaar en opgeslagen in de C:\Temp directory, voer het PowerShell script hieronder uit. Het script zal een rapport maken met DN-naam en groepsnaam waartoe het lid behoort.,
als het bovenstaande script is uitgevoerd door een PowerShell computer die toegang heeft tot de Active Directory-domein, een verslag in het CSV-bestand wordt gegenereerd, zoals getoond in de schermafdruk hieronder:
Verpakken omhoog
In dit artikel, we voorzien een aantal opdrachten die u kunt gebruiken om de leden van de security groepen met behulp van de Get-ADGroupMember PowerShell-cmdlet en ook een PowerShell script dat kan worden gebruikt voor het verzamelen van het lid van gespecificeerde security groepen en bewaar de uitvoer in een CSV-bestand voor rapportage doeleinden., Als u het rapport elke week of zo moet genereren, kunt u het script plannen op een server die toegang heeft tot het Active Directory-domein.
Aanbevolen afbeelding: