Administrer grupper og gruppemedlemskaber i PowerShell
Administrationen af Active Directory-grupper er tæt forbundet med administrationen af brugere. Du kan bruge Active Directory-modulet til Windows PowerShell-cmdlet'er til at oprette og slette grupper og til at ændre gruppeegenskaber. Du kan også bruge disse cmdlet'er til at ændre gruppemedlemskabet.
Administration af grupper
Cmdlet'er til ændring af grupper har teksten "gruppe" i deres navne. Cmdlet'er, der ændrer gruppemedlemskabet ved at føje medlemmer til en gruppe, har f.eks. teksten "groupmember" i deres navne. Cmdlet'er, der ændrer de grupper, som en bruger, computer eller et andet Active Directory-objekt er medlem af, har teksten "principalgroupmembership" i deres navne.
I følgende tabel vises nogle almindelige cmdlet'er til administration af grupper.
tabel 1: Cmdlet'er til gruppeadministration
| Cmdlet | Beskrivelse |
|---|---|
| Opretter en ny gruppe | |
| Set-ADGroup- | Ændrer egenskaber for en gruppe |
| Get-ADGroup- | Viser egenskaber for en gruppe |
| Remove-ADGroup- | Sletter en gruppe |
| Add-ADGroupMember- | Føjer medlemmer til en gruppe |
| Get-ADGroupMember | Viser medlemmer af en gruppe |
| Remove-ADGroupMember | Fjerner medlemmer fra en gruppe |
| Add-ADPrincipalGroupMembership | Føjer gruppemedlemskab til et objekt |
| Get-ADPrincipalGroupMembership- | Viser gruppemedlemskab for et objekt |
| Remove-ADPrincipalGroupMembership- | Fjerner gruppemedlemskab fra et objekt |
Oprettelse af nye grupper
Du kan bruge New-ADGroup-cmdlet'en til at oprette grupper. Når du opretter grupper ved hjælp af New-ADGroup--cmdlet'en, skal du bruge parameteren -GroupScope ud over gruppenavnet. Denne parameter er den eneste, der kræves.
I følgende tabel vises almindelige parametre for New-ADGroup-.
tabel 2: Almindelige parametre for New-ADGroup-
| Parameter | Beskrivelse |
|---|---|
| -Navn | Definerer navnet på en gruppe |
| -GroupScope | Definerer omfanget af en gruppe som DomainLocal, Globaleller Universal; Du skal angive denne parameter |
| -DisplayName | Definerer det viste LDAP-visningsnavn (Lightweight Directory Access Protocol) for et objekt |
| -GroupCategory | Definerer, om en gruppe er en sikkerhedsgruppe eller en distributionsgruppe. hvis du ikke angiver nogen af dem, oprettes der en sikkerhedsgruppe |
| -ManagedBy | Definerer en bruger eller gruppe, der kan administrere en gruppe |
| -Sti | Definerer den OU eller objektbeholder, som en gruppe oprettes i |
| -SamAccountName | Definerer et navn, der er bagudkompatibelt med ældre operativsystemer |
Hvis du f.eks. vil oprette en ny gruppe med navnet FileServerAdmins, skal du angive følgende kommando i konsollen og derefter trykke på Enter:
New-ADGroup -Name FileServerAdmins -GroupScope Global
Administration af gruppemedlemskab
Som tidligere nævnt kan du bruge *-ADGroupMember eller de *-ADPrincipalGroupMembership cmdlet'er til at administrere gruppeadministration på to forskellige måder. Forskellen mellem de to er et spørgsmål om at fokusere på et objekt og ændre de grupper, som den tilhører, eller fokusere på gruppen og ændre de medlemmer, der tilhører den. Derudover kan du vælge, hvilket sæt der skal bruges, afhængigt af beslutningen om at pipe en liste over medlemmer til kommandoen eller angive en liste over medlemmer.
*-ADGroupMember-cmdlet'er ændrer medlemskabet af en gruppe. For eksempel:
- Du kan tilføje eller fjerne medlemmer af en gruppe.
- Du kan overføre en liste over grupper til disse cmdlet'er.
- Du kan ikke pipe en liste over medlemmer til disse cmdlet'er.
*-ADPrincipalGroupMembership-cmdlet'er ændrer gruppemedlemskabet for et objekt, f.eks. en bruger. For eksempel:
- Du kan føje en brugerkonto som medlem til en gruppe.
- Du kan ikke angive en liste over grupper til disse cmdlet'er.
- Du kan pipe en liste over medlemmer til disse cmdlet'er.