Опубликовано Автор: Андрей rus0nix Иванов

Автоматизация создания групп в Active Directory и контроля за ними

Создание групп с помощью команды Dsadd
dsadd group "DN_группы"
Могут использоваться следующие ключи:
-secgrp {yes|no} – тип группы
-scope {l|g|u} – область действия группы
-samid – указывает атрибут sAMAccountName. Если он не указан, то используется имя группы из DN.
-desc – описание группы
-members DN_члена – добавляет члены в группу
-memberof DN_группы – назначает создаваемую группы членом одной или нескольких существующих групп

Извлечение данных о членстве в группе с помощью команды Dsget
Извлечь полный список членов группы, включая вложенные члены можно так:
dsget group "DN_группы" -members [-expand]
где опция expand извлекает члены вложенных групп

Для извлечения полного списка групп, к которым принадлежит пользователь или компьютер (указав опцию expand) можно так:
dsget user "DN_пользователя" -memberof [-expand]
dsget computer "DN_компьютера" -memberof [-expand]

Изменение членства в группе с помощью команды Dsmod
dsmod group "DN_группы" [options]
В опции входят, например, атрибуты samid и desc, с помощью которых можно модифицировать атрибуты sAMAccountName и description группы. Однако, есть ещё две дополнительные опции:
-addmbr “DN_члена” – добавляет члены в группу;
-rmmbr “DN_члена” – удаляет член из группы

Перемещение и переименование групп с помощью команды Dsmove
dsmove DN_объекта [-newname Новое_имя] [-newparent DN_конечного_подразделения]

Удаление групп с помощью команды Dsrm
dsrm DN_группы [-subtree[-exclude]][-noprompt][-c]
Если не указать параметр noprompt, команда предложит подтверждать удаление каждого объекта. Переключатель запускает команду Dsrm в режиме, когда выводятся сообщения об ошибках, однако при этом команда продолжает обработку дополнительных объектов. Без этого переключателя обработка остановится при первой же ошибке.

Управление членством в группе с помощью Windows PowerShell И VBScript

$MemberADSPath = "LDAP://CN=Иван Иванов,OU=Кадры,DC=contoso,DC=com" //определение атрибута aDSPath члена
$objGroup = [ADSI]"LDAP://CN=Анализ,OU=Группы,DC=contoso,DC=com" //подключение к группе
$objGroup.Add ($MemberADSPath) //использование метода Add или Remove

MemberADSPath = "LDAP://CN=Иван Иванов,OU=Кадры,DC=contoso,DC=com"
Set objGroup = GetObject("LDAP://CN=Анализ,OU=Группы,DC=contoso,DC=com")
objGroup.Add MemberADSPath

Добавить комментарий

Войти с помощью: 
Сайт работает на WordPress