Всем привет.
Рассмотрим управление группами безопасности в каталоге Active Directory с помощью ADSI. Рассмотрим как простые операции с группами: создание, поиск групп, чтение свойств, так и сложные - копирование списков безопасности.
Создание группы безопасности.
# Название создаваемой группы
$GroupName="..."
# Путь к контейнеру, в котором будет создана группа
$objOU=[ADSI]"LDAP://OU=...,DC=test,DC=domain,DC=com"
$objGroup = $objOU.Create("group", "CN=" + $GroupName)
$objGroup.Put("sAMAccountName", $GroupName)
$objGroup.SetInfo()
Для создания группы безопасности в каталоге Active Directory необходимо знать путь к контейнеру, в котором будет создана группа и название самой группы. По умолчанию создается Global Security группа (groupType=-2147483646).
Изменение типа группы
$objS=[ADSISearcher]''
$objS.Filter="(&(objectclass=group))"
$objS.SearchRoot=[ADSI]''
$result=$objS.FindAll()
$result |% {
if (([ADSI]$_.path).isCriticalSystemObject -eq $TRUE) {}
else
{
$tempObj=[ADSI]$_.path
$tempObj.put("grouptype","-2147483640")
$tempObj.setinfo()
Write-Host $tempObj.name
}
}
В сценарии выполняется поиск групп безопасности в заданном контейнере, в данном случае во всем каталоге Active Directory. Изменение типа безопасности групп на Universal Security (groupType=-2147483640). В таблице 1 приведены значения, соответствующие типу и области применения группы.
Поиск группы безопасности по имени
$nameGrp = "grp"
$obj=[ADSISearcher]""
$obj.SearchRoot = [ADSI]""
$obj.Filter = "(&(objectclass=group)(name=$nameGrp))"
$objFrom = $obj.FindOne().getdirectoryentry().path
$obj = [ADSI]$objFrom
$obj.member
Поиск группы безопасности осуществляется с помощью провайдера [ADSISearcher]. В качестве точки входа указывается корневая папка текущего домена. Поиск осуществляется по типу объекта и имени.
Определение членства пользователя в группах безопасности
$group='...'
$obj=[adsisearcher]""
$obj.SearchRoot=[ADSI]''
$obj.Filter=("(&(objectclass=group)(name={0}))" -f $group)
$rez=$obj.FindOne()
$el=[ADSI]$rez.path
$tmp=""
$el.member |% {
$k=[ADSI]("LDAP://{0}" -f $_)
$tmp+=$k.name+[char]13
}
$tmp| Out-File -FilePath grp_users.txt -Encoding Unicode
Выполняются поиск группы по имени и чтение списка пользователей (.member) в пределах всего домена. Для удобства данные выводятся в текстовый файл в кодировке Unicode.
Добавление пользователей в группу безопасности
$obj=[ADSISearcher]""
$obj.SearchRoot=[ADSI]""
$obj.Filter="(&(objectclass=person)(mail=*@domain.com)(userAccountControl=512))" #(userAccountControl=512)
$obj.Sort.PropertyName="samaccountname"
$results=$obj.FindAll()
$results.count
ForEach ($result in $results)
{
$username=([ADSI]$result.path).distinguishedName
$objS = [ADSI]"LDAP://CN=test,DC=domain,DC=test,DC=com"
$objs.PutEx(3,"member",@($UserName))
$objs.setinfo()
}
Осуществляется формирование списка пользователей по критерию (имеют почту, включены), который помещается поэлементно в группу безопасности test, расположенную в корне домена test.prosv.com.
Копирование членов группы безопасности между двумя группами
$objFrom = [ADSI]"LDAP://CN=Grp1,DC=domain,DC=test,DC=com"
$objFrom.member
$objTo = [ADSI]"LDAP://CN=Grp2,DC=domain,DC=test,DC=com"
$objFrom.member |% {
$objTo.PutEx(3,"member",@([string]$_))
$objTo.setinfo()
}
Выполняется копирование членов группы grp1 в grp2 с предварительной очисткой списка в группе grp2. Поиск групп осуществляется в каталоге Active Directory по именам в пределах всего каталога.
Копирование списка групп безопасности между двумя пользователями
$objFrom = [ADSI]"LDAP://CN=User1,DC=domain,DC=test,DC=com"
$objFrom.memberof
$objTo = [ADSI]"LDAP://CN=User2,DC=domain,DC=test,DC=com"
$objFrom.memberof |% {
$mObj = [ADSI]"LDAP://$_"
$mObj
[string]($objTo.path)
$mObj.PutEx(3,"member",@([string]($objTo.path).replace("LDAP://","")))
$mobj.setinfo()
}
На первом этапе осуществляется формирование списка групп пользователя user1, затем – обращение к учетной записи второго пользователя – user2 – с последующей заменой существующего списка пользователей новым.
Удачи.
No comments:
Post a Comment
А что вы думаете по этому поводу?