В типичных лесах Active Directory группы необходимы для авторизации прав пользователей. Они могут использоваться для распространения информации через почту или предоставлять доступ к файловым ресурсам, службам или даже делегации прав в AD. Группы бывают встроенными, это те группы, которые доступны сразу после установки, к примеру Domain Admins или Account Operators.
Active Directory Users and Computers (ADUC) и Active Directory Administrative Center (ADAC) - это инструменты, которые предоставляют вам графический пользовательский интерфейс для взаимодействия с группами и управления ими. ADAC отличается от ADUC тем, что в нем есть история команд PowerShell, которая дает возможность видеть PowerShell команды выполняемые за графическим интерфейсом.
Для управления группами необходимо войти на доменный контроллер, сервер в домене или устройство с установленными средствами удаленного администрирования сервера (RSAT). Говоря о необходимых правах доступа, нам нужно состоять в группе Domain Admins, Account Operators или иметь делегированную учетную запись, на создание групп в домене или в конкретной OU.
Управление группами с временным членством
Членство в группе может быть временным. Чтобы использовать эту опцию, Active Directory FFL должен быть не ниже Windows Server 2012 R2. А так же должна быть включена функция управления привилегированным доступом. Этого можно добиться с помощью следующих строк PowerShell кода:
Import-Module ActiveDirectory
Enable-ADOptionalFeature "Privileged Access Management Feature" -Scope ForestOrConfigurationSet -Target office.local
Введите "y" для подтверждения этого действия. Обратите внимание, что эта функция необратима и не может быть отключена.
Установка истекающих сроков членства в группах с помощью Windows PowerShell
Обычно для добавления объекта пользователя в группу используются следующие строки PowerShell:
Import-Module ActiveDirectory
Add-ADGroupMember -Identity "CN=ITGroup,OU=OfficeCorp,DC=office,DC=local" -Members "GSoul"
Однако, чтобы добавить в группу пользователя временно, необходимо использовать другой PowerShell код:
Import-Module ActiveDirectory
Add-ADGroupMember -Identity "CN=ITGroup,OU=OfficeCorp,DC=office,DC=local" -Members "GSoul" -MemberTimeToLive (New-TimeSpan -Days 14)
Чтобы просмотреть оставшееся время у пользователя на пребывание в группе, используйте следующие строки кода PowerShell:
Import-Module ActiveDirectory
Get-ADGroup "CN=ITGroup,OU=OfficeCorp,DC=office,DC=local" -Property member -ShowMemberTimeToLive
Обратите внимание на параметр TTL, это и будет оставшееся время. Данный параметр отображается в секундах.
Просмотр членства во вложенных группах
Эта инструкция покажет вам, как отобразить всех членов группы, даже членов вложенных групп.
С помощью ADUC
Для отображения списка пользователей можно зайти во вкладку Members и войти в свойства каждой вложенной группы, чтобы просмотреть всех их членов. Однако, когда вложенных групп много, выполнить такое действие становится очень сложно.
Просмотр всех членов группы, включая вложенные, с помощью PowerShell
Используйте следующие строки кода PowerShell для перечисления всех членов группы:
Import-Module ActiveDirectory
Get-ADGroupMember -Identity "CN=ITGroup,OU=OfficeCorp,DC=office,DC=local" -Recursive | Out-GridView
Поиск пустых групп
Это руководство поможет вам найти группы без членов. Каждый объект в Active Directory занимает ресурсы. Когда группа не используется, вы можете рассмотреть возможность ее удалить, чтобы освободить место для других, более важных объектов.
Поиск пустых групп с помощью PowerShell
Используйте следующие строки PowerShell, чтобы найти все группы без членов в Active Directory:
Import-Module ActiveDirectory
Get-ADGroup -Filter * -Properties members | Where-Object {$_.Members.count -eq 0} | Out-GridView