• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

AD Powershell Basics 4: ADGroup cmdlets

Feb 16, 2022 (Letztes Update) | Posted by Robin Immecke PowerShell |

 

AD Powershell Basics 4: ADGroup cmdlets

In dieser kleinen Reihe möchte ich die gebräuchlichsten Active Directory Powershell cmdlets vorstellen.

Mit den cmdlets ADgroup werden:
– Neue Gruppen erstellt
– Gruppen und deren Attribute angezeigt
– Attribute von Gruppen geändert.


AD PowerShell Basics

Ich möchte in dieser Serie zeigen, wie mit geringem Aufwand und wenig Quellcode eine große Menge Infos aus dem AD ausgelesen oder Daten ins AD geschrieben werden. Folgende Cmdlets werden vorgestellt:

New-ADUser 
Get-ADUser
Set-ADUser
New-ADGroup, Get-ADGroup, Set-ADGroup


Inhaltsverzeichnis

  • 1 Das Cmdlet New-ADGroup
    • 1.1 Ergänzung von Gruppenkategorie sowie Ziel-OU
    • 1.2 Massen-Import von Benutzern per New-ADUser
  • 2 Das Cmdlet Get-ADGroup
    • 2.1 Filter einbauen
    • 2.2 Daten exportieren
    • 2.3 Anwender führen PowerShell aus
  • 3 Erklärung cmdlet Set-ADGroup
    • 3.1 Kombination Get-ADGroup und Set-ADGroup
    • 3.2 Gruppenattribute per Import ändern
    • 3.3 Schnelle Administration der AD Benutzerverwaltung ohne PowerShell

Das Cmdlet New-ADGroup

In diesem Teil geht es um das cmdlet New-ADGroup.
Mithilfe dieses cmdlets können Sie neue Gruppen im Active Directory anlegen.

Im Gegensatz zum cmdlet „New-ADUser“ wird für die Gruppe mehr als ein Attribut gefordert. Zwingend wird für diesen Befehl der Name der anzulegenden Gruppe, sowie der GroupScope benötigt. Dieser gibt an, ob die Gruppe

  • DomänenLokal
  • Global
  • Universal

ist. Das sieht dann so aus:

New-ADGroup -Name Alle_Testbenutzer -GroupScope Global

Wird diese Zeile in einer Powershell ausgeführt, wird eine Gruppe mit dem Namen Alle_Testbenutzer und dem GroupScope Global angelegt.

Das ist allerdings auch das Einzige, was diese Gruppe an Informationen besitzt:

  • Es wird automatisch eine Sicherheitsgruppe angelegt,
  • Es gibt keine gefüllten Attribute
  • es wird kein Manager festgelegt

Außerdem landet die Gruppe im „Standard“ Users Container. Dort wollen Sie sie im Normalfall aber nicht liegen lassen.  

Ergänzung von Gruppenkategorie sowie Ziel-OU

Es ist sinnvoll, unsere Zeile um ein paar Infos zu ergänzen. Diese sind nicht zwingend nötig, aber für das Arbeiten mit dem Active Directory eigentlich unerlässlich. Fügen Sie zum Beispiel folgende Parameter hinzu:

New-ADGroup -Name Alle_Testbenutzer -GroupScope Global -GroupCategory Distribution -Path „OU=Testgroups,DC=Company,DC=Com“

Mit dieser Zeile haben Sie eine Verteilerliste ausgewählt,  sowie die OU der Gruppe festgelegt.
Fast alle anderen Attribute, die Sie einer Gruppe geben können, werden auf diese Weise befüllt.  

Massen-Import von Benutzern per New-ADUser

So weit so gut. Vergleicht man dies mit der „Klick-Benutzeranlage“ aus Users and Computers, wäre es wohl einfacher eine Gruppe per Hand anzulegen. Wirklich interessant wird die PowerShell und New-ADGroup, wenn mehrere Gruppen angelegt werden sollen. Dafür wird nur eine Inputdatei mit allen Infos benötigt.

Am besten nehmen Sie dazu eine durch Semikolon getrennte CSV Datei.
Erstellen Sie eine Excel-Tabelle mit Spalten für Name, Groupscope, Groupcategory und so weiter.

Wie der Massenimport im Detail funktioniert, ist im Artikel New-ADUser: Abschnitt Massenimport von Benutzern beschrieben.

AD Gruppen - dynamicgroupJPG  

Das Cmdlet Get-ADGroup

Als nächstes geht es um das cmdlets Get-ADGroup. 
Mithilfe dieses cmdlets können Sie sich Attribute von bestehenden Gruppen im Active Directory anzeigen lassen.

Wie auch bei dem cmdlet Get-ADUser benötigen Sie hier nur die Identität der Gruppe, z.B. den Samaccountname, um das cmdlet erfolgreich auszuführen. Das sieht beispielsweise so aus:

Get-ADGroup Alle_Testbenutzer

Nun bekommen Sie alle Infos zur Gruppe Alle_Testbenutzer. Das sieht wie folgt aus:

AD-Group1
 

Filter einbauen

Wenn Sie den sAMAccountname nicht kennen oder nach mehreren Gruppen suchen möchten, gibt es die Möglichkeit, einen Filter einzubauen.

Filter können sehr vielfältig verwendet werden und über den Parameter „-Filter“ gesteuert.
Sie können mit Filtern z.B. nach bestimmten Attributen suchen.

Die Filter für Gruppen ähneln stark denen für Benutzer. Wie Sie nach bestimmten Attributen bei Benutzern suchen, erkläre ich hier. Dies kann auf die Gruppen übertragen werden.  

Daten exportieren

Wenn Sie eine große Menge an Gruppen suchen, ist die Ansicht in der Powershell eher unübersichtlich. Es gibt aber die Möglichkeit diese Daten zu exportieren, z.B. in eine .csv Datei.

Leiten Sie dazu die Ausgabe der Suchanfrage in eine .csv Datei um.
Dies erfolgt mittels „export-csv„

Get-ADGroup –Filter  * -Searchbase „OU=Testuser,DC=Company,DC=Com“ | export-csv „c:\test\export.csv“

Das exportierte Ergebnis sieht in der CSV-Datei wie folgt aus:

AD-Group2  

Im Hintergrund

Anwender führen PowerShell aus

Wenn Skripte zur Vereinfachung erstellt wurden, müssen sie noch im richtigen Moment ausgeführt werden. Dies können Anwender übernehmen, da die Skript oft benutzer- oder gruppenspezifische Tasks beinhalten. Das IDM-Portal bietet diese Funktionen und loggt diese zur Nachvollziehbarkeit mit.

Erklärung cmdlet Set-ADGroup

Als drittes möchte ich das cmdlet Set-ADGroup vorstellen.
Mithilfe dieses cmdlets kann man die Attribute von Gruppen im Active Directory ändern.
Dieses cmdlet funktioniert sehr gut in Kombination mit dem cmdlet Get-ADGroup.

Wenn Sie z.B. die Beschreibung setzen oder ändern wollen, sieht das so aus:

Set-ADGroup Alle_Testbenutzer –Description „Verteilerliste für alle Testbenutzer“

Sie können natürlich auch mehrere Attribute auf einmal ändern. Dazu geben Sie die Attribute einfach nacheinander an.  

Kombination Get-ADGroup und Set-ADGroup

Wirklich brauchbar wird Set-ADGroup in Kombination mit Get-ADGroup. Denn Sie können mit Get-ADGroup alle Gruppen, die Sie ändern möchten, auslesen. Dies funktioniert analog wie bei Get-ADUser beschrieben. Danach können Sie mit einer Pipe über Set-ADGroup das oder die Attribute an allen Gruppen ändern. Und das alles in nur einer Zeile.

Get-ADGroup –Filter {Name -like „*Test*“} | Set-ADGroup  -Description “Gruppen für Tests“

Und schon haben Sie bei allen Gruppen, die Test in ihrem Namen haben die Beschreibung angepasst.  

Gruppenattribute per Import ändern

Sie können auch die Attribute ändern, indem Sie eine .csv Datei einlesen. Diese hat den Vorteil, dass Sie auch für verschiedene Gruppen das gleiche Attribut mit verschiedenen Werten füllen können, z.B. die Beschreibung oder den Manager.

Näheres zum Import finden Sie im Artikel Set-ADUser cmdlet an dieser Stelle.  

Schnelle Administration der AD Benutzerverwaltung ohne PowerShell

Wenn Sie Ihre Gruppen angelegt haben, können Sie Benutzerkonten auch ohne PowerShell sehr schnell erstellen undverwalten.
Nutzen Sie dafür unser FirstWare IDM-Portal:

  • schnelle AD Administration
  • Delegation
  • Verwaltung von Gruppenmitgliedschaften
  • Self Service uvm.

Unterstützung benötigt?

Gerne stellen wir Ihnen unsere Leistungen und Lösungen in einem persönlichen Gespräch vor und würden uns über Ihre Kontaktaufnahme sehr freuen!

Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 15.10.2015
Tags: GetADGroupNewADGroupPowerShellSetADGroup
0

You also might be interested in

Interaktive PowerShell Skripte

Interaktive PowerShell Skripte

Mai 6, 2014

Sie können wiederkehrende Aufgaben mit interaktiven PowerShell-Skripten automatisieren. Eine Einführung[...]

Rekursives Auslesen mit PowerShell

Rekursives Auslesen von Gruppenmitgliedern im AD

Aug 16, 2017

Bei jedem Projekt gibt es irgendwann einmal den Fall, dass[...]

PowerShell Skripte zeitgesteuert ausführen mit Task Scheduler

PowerShell Skripte zeitgesteuert ausführen mit Task Scheduler

Jun 20, 2018

Häufig gibt es die Anforderung, PowerShell Skripte periodisch auszuführen. Es[...]

2 Comments

Leave your reply.

Leave a Reply

<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>
Cancel Reply

FirstWare IDM-Portal im Test: IT-Administrator 08-2022

 

ADFAQ-FirstAttribute

Wer schreibt ?

Team der FirstAttribute AG

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • 8 Tipps für mehr Sicherheit in Active Directory und Backups von AD
  • Azure AD Custom Security Attributes ermöglichen flexible Berechtigungsstrukturen
  • Dateiberechtigungen in MS Teams und SharePoint Online verwalten – So funktioniert es
  • AD-Gruppen in Microsoft Teams verwenden – Dynamische Gruppen in der Praxis
  • Verbindung zwischen Microsoft 365 und SharePoint Online zu Azure AD

Unsere IAM-Lösungen

Ihre IAM-Lösung: FirstWare IDM-Portal

 

my-IAM für Cloud Identity Management in Microsoft Teams

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Azure AD Berechtigung Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange-Ordner Exchange-Postfach Exchange Migration Federation FirstWare Get-Mailbox Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP m365 Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • activedirectoryfaq.com sharepoint login - infoslist bei Windows 365 und Azure AD verstehen in Theorie und Praxis
  • Domäne Letzte Anmeldung - ObenGesichert.com bei LastLogon vs. LastLogonTimestamp
  • Teams Code Zur Anmeldung - ObenGesichert.com bei Authentifizierung für MS Teams in hybriden Netzwerken
Login
Impressum
Datenschutzerklärung

© 2023 · Active-Directory-FAQ by firstattribute.com

Prev Next