Посмотреть группы домена windows

Обновлено: 03.07.2024

Получение информации

1. Список всех групп

* будут выбраны все группы, в названии которых встречается free.

2. Подробная информация о группе

Get-ADGroup "Domain Users" -Properties *

* где ключ -Properties * покажет информацию о всех атрибутах группы.

Показать только SID и GUID группы:

Get-ADGroup "Domain Admins" | ft ObjectGUID, SID

3. Посмотреть членов группы

Перечень членов групп с базовой информацией о каждом пользователе:

Get-ADGroupMember -Identity Administrators

Вывести на экран только имена пользователей:

Get-ADGroupMember -Identity Administrators | ft name

Get-ADGroupMember -Identity Administrators -Recursive | ft name

* в данном примере используется ключ Recursive — это позволяет вывести на экран не только членов группы Administrators, но и членов групп, которые входят в эту группу.

Вывести членов групп с подробной информацией по каждому из них:

Get-ADGroupMember -Identity "Users" | foreach

4. Количество пользователей в группе

Расчет выполняется методом Count:

(Get-ADGroupMember -Identity Administrators).Count

5. В каких группах состоит пользователь

Задача немного обратная — работаем с пользователем и отображаем список групп, в которые он входит:

Get-ADUser Administrator -Properties Memberof | Select -ExpandProperty memberOf

6. Список пустых групп

Имеются ввиду группы, в которых нет ни одного пользователя:

Get-ADGroup -filter * | where | Select Name

7. Cписок пользователей, которые не входят в конкретную группу

Get-ADuser -Filter * -Properties MemberOf | where < -Not ($_.MemberOf -match "Managers") >| Select Name

* в данном примере мы увидем список пользователей, которые не входят в группу Managers.

Действия с группами AD

1. Добавить пользователя в группу

Add-ADGroupMember "Domain Admins" dmosk

* в данном примере пользователь dmosk будет добавлен в группу Domain Admins.

2. Создать новую группу

New-ADGroup -GroupScope DomainLocal -Path "OU=Группы,DC=dmosk,DC=local" -Name "Отдел строительства космических кораблей"

* где GroupScope DomainLocal задает локальную область действия; Path определяет размещение группы в дереве Active Directory.

3. Удалить пользователя из группы

Remove-ADGroupMember -Confirm:$false -Identity "Domain Users" -Members dmosk

* удаляем пользователя dmosk из группы Domain Users. Ключ -Confirm:$false используется для автоматического подтверждения действия (система не станет запрашивать, точно ли Вы хотите удалить пользователя из группы).


Мануал

Утилиту dsget можно использовать для просмотра различной информации об объектах каталога Active Directory.

В этой статье мы покажем, как использовать команду dsget group для отображения информации о разных группах в домене AD.

Команда dsget group без параметров отображает список всех групп в домене Active Directory (если в домене имеется большое количество групп, команда будет работать довольно долгое время).

Чтобы получить свойства определенной группы AD, выполните следующую команду:

Имя группы должно быть указано в формате DistinguishedName (DN).

По умолчанию отображается DN группы и ее описание.

Полный синтаксис и атрибуты, доступные для команды dsget group:

Например, чтобы узнать SID группы, запустите:

Чтобы проверить тип группы: Безопасность (да) или Распространение (нет), выполните:

Чтобы определить членство в группе, вы можете использовать дополнительные параметры группы dsget: -Members и -Memberof.

Параметр -Members указывает, какие пользователи и группы включены в эту группу, и параметр -Memberof, к которому относится эта группа.

Предположим, вы хотите перечислить текущих членов группы Domain Admins. Выполните команду:

Чтобы отобразить полный список пользователей, включая вложенные группы (рекурсивно), выполните:

Как вы можете видеть, последние две команды при отображении списка пользователей / групп возвращают их в формате DN, что не очень удобно.

Поэтому для получения имен пользователей (или других полей) вам необходимо использовать команду в сочетании с dsget user:

Как вы помните, имя группы для команды dsget group должно быть указано в формате различаемого имени.

Чтобы не указывать DN группы, вы можете использовать команду dsget group вместе с командой dsquery.

Например, чтобы получить список пользователей в группе «Domain Admins» и экспортировать их в текстовый файл, выполните команду:

Как вы можете видеть, теперь вам не нужно указывать DN группы.

Если вы не знаете точное имя группы, вы можете указать только часть имени.

Используется символ подстановки *. Например, вы хотите найти все группы, чьи имена начинаются с NY:

Аналогичным образом вы можете указать, например, все адреса электронной почты пользователей, которые состоят из группы, и сохранить список в файле CSV:

Вы можете просмотреть существующие в вашей организации группы и членов этих групп с помощью портала Azure. Группы используются для управления пользователями (членами), которым нужны одинаковые уровни доступа и разрешения в приложениях и службах с ограниченным доступом.

В этом кратком руководстве вы просмотрите все существующие в организации группы и назначенных членов.

Если у вас еще нет подписки Azure, создайте бесплатную учетную запись Azure, прежде чем начинать работу.

Предварительные требования

Для этого потребуются следующие компоненты.

  • Создайте клиента Azure Active Directory. Дополнительные сведения см. в статье Quickstart: Access Azure Active Directory to create a new tenant (Краткое руководство. Использование Azure Active Directory для создания нового клиента).

Для входа на портал Azure используйте учетную запись глобального администратора вашего каталога.

Создание группы

Создайте новую группу с именем MDM policy - West. Дополнительные сведения о создании группы см. в статье Создание группы и добавление в нее пользователей в Azure Active Directory.

Выберите Azure Active Directory, затем Группы и щелкните Новая группа.

Заполните страницу Группа:

Тип группы: выберите Безопасность.

Имя группы: введите MDM policy - West.

Тип членства: выберите Назначенные.

Создание пользователя

Создайте нового пользователя с именем Alain Charon. В качестве члена группы можно добавить только существующих пользователей. Сначала перейдите на вкладку "Имена личных доменов", чтобы получить проверенное доменное имя, в котором нужно создать пользователей. Дополнительные сведения о создании пользователей см. в этой статье.

Выберите Azure Active Directory, затем Пользователи и щелкните Новый пользователь.

Заполните данные на странице Пользователь.

Имя: введите Alain Charon.

Скопируйте автоматически созданный пароль, который подставляется в поле Пароль, а затем щелкните Создать.

Добавление члена группы

Теперь у вас есть группа и пользователь для нее. Добавьте Alain Charon в число членов группы MDM policy - West. Дополнительные сведения о добавлении членов группы, см. в статье Управление участниками групп в клиенте Azure Active Directory.

Выберите Azure Active Directory > Группы.

На странице Группы — Все группы найдите и выберите группу MDM policy - West.

На странице Обзор политики управления мобильными устройствами — Запад выберите Члены из области Управление.

Выберите Добавление членов, а затем найдите и выберите Alain Charon.

Щелкните Выбрать.

Просмотр всех групп

Все группы своей организации можно просмотреть на странице Группы — Все группы портала Azure.

Выберите Azure Active Directory > Группы.

Откроется страница Группы — Все группы со списком активных групп.

Поиск группы

На странице Группы — Все группы найдите группу MDM policy - West.

На странице Группы — Все группы введите строку MDM в поле Поиск.

Под полем Поиск отобразятся найденные результаты, включая группу MDM policy - West.

Выберите группу MDM policy - West.

Просмотрите сведения о группе на странице Обзор MDM policy - West, в том числе проверьте число членов этой группы.

Просмотр членов группы

Итак, вы нашли нужную группу и можете просмотреть назначенных в нее членов.

Выберите Члены в области Управление и просмотрите полный список членов, назначенных этой группе, включая Alain Charon.

Список членов, назначенных в группу MDM policy - West

Очистка ресурсов

Эта группа используется в нескольких руководствах, которые собраны в разделе документации Практические руководства. Но если вы не намерены ее использовать, удалите ее вместе с назначенными членами с помощью следующей процедуры.

На странице Группы — Все группы найдите группу MDM policy - West.

Выберите группу MDM policy - West.

Откроется страница Обзор MDM policy - West.

Выберите команду Удалить.

Это действие удаляет группы и всех связанных с ней членов.

Но удаляется не сам пользователь Ален Charon, а его членство в удаленной группе.

Дальнейшие действия

Перейдите к следующей статье, которая описывает процесс привязки подписки к каталогу Azure AD.

Получение через Get-ADGroup списка групп в Powershell и пользователей

Get-ADGroup - это команда, которая возвращает список групп в Powershell. Для того что бы вывести список пользователей в группе есть другая команда Get-ADGroupMember и мы ее тоже рассмотрим. В этих командлетах есть один обязательный ключ. Для примера так мы выведем весь список групп AD в Powershell:

Навигация по посту

Примеры с Get-ADGroup Filter

Если мы хотим вывести, например, только список групп безопасности, то можно сделать это так:

GroupCategory - это свойство, а eq ищет точное соответствие. Операторы сравнения powershell разбирались тут.

Свойств, которые мы бы хотели вывести или сравнить достаточно много и что бы увидеть их все выполните:

Get-ADGroup Property

Можно делать сравнивание по нескольким значениям. Если я хочу получить группы созданные 20 дней назад, а так же что бы их тип был Distribution (группа распространения), мне следует сделать так:

Get-ADGroup filter примеры

Другие примеры рассматриваются дальше.

Получаем список пользователей группы в Powershell Get-ADGroup

Мы можем найти данные по группе указав только имя. В моем случае я ищу группу, где имя заканчивается на marketing:

  • Properties - расширяет список стандартных свойств. В нашем случае указываем, что нам нужно получить список пользователей группы в Powershell
  • Select - в таком варианте команда выводит список всех свойств, а не только стандартный список

У нас есть и другой способ получить список пользователей группы - это через Get-ADGroupMember. Принцип такой же как и в предыдущих вариантах:

Разница этих двух вариантов в том, что в первом случае мы получаем укороченную информацию о пользователях, а во втором более подробный список.

Список пользователей групп Powershell

Для получение пользователей можно сделать и так, но в этом варианте есть минус, что мы должны писать точное соответствие имени:

В описании на сайте Microsoft пишут, что в нем появляется ошибка только в случае, если командлет возвращает более одной группы (в случае использования масок), но у меня так и не получилось это сделать. Вместо имени мы можем использовать SID и GUID.

Получение в Powershell групп пользователя

Обратная ситуация, когда мы хотим узнать в каких группах наш пользователь. Для этого тоже есть несколько вариантов. Первый - это через команду получения пользователей со свойством MemberOf:

Получение групп пользователя Powershell

Если мы хотим узнать какую либо подробную информацию о группе сделайте так:

Мы можем найти группы пользователя и так:

Но минус этого способа в том, что он будет выполняться дольше. Возможно это будет не заметно с 1000 пользователями, а вот с 50000 может.

Читайте также: