А АSaturday, 29 June 2024

Управление группами безопасности в AD.


Всем привет.

Рассмотрим управление группами безопасности в каталоге Active Directory с помощью ADSI. Рассмотрим как простые операции с группами: создание, поиск групп, чтение свойств, так и сложные - копирование списков безопасности.

Создание группы безопасности.

# Название создаваемой группы

$GroupName="..."

# Путь к контейнеру, в котором будет создана группа

$objOU=[ADSI]"LDAP://OU=...,DC=test,DC=domain,DC=com"

$objGroup = $objOU.Create("group", "CN=" + $GroupName)

$objGroup.Put("sAMAccountName", $GroupName)

$objGroup.SetInfo()

Для создания группы безопасности в каталоге Active Directory необходимо знать путь к контейнеру, в котором будет создана группа и название самой группы. По умолчанию создается Global Security группа (groupType=-2147483646).


Изменение типа группы

$objS=[ADSISearcher]''

$objS.Filter="(&(objectclass=group))"

$objS.SearchRoot=[ADSI]''

$result=$objS.FindAll()

$result |% {

 if (([ADSI]$_.path).isCriticalSystemObject -eq $TRUE) {}

 else

 {

 $tempObj=[ADSI]$_.path

 $tempObj.put("grouptype","-2147483640")

 $tempObj.setinfo()

 Write-Host $tempObj.name

 }

 }

В сценарии выполняется поиск групп безопасности в заданном контейнере, в данном случае во всем каталоге Active Directory. Изменение типа безопасности групп на Universal Security (groupType=-2147483640). В таблице 1 приведены значения, соответствующие типу и области применения группы.


Поиск группы безопасности по имени

$nameGrp = "grp"

$obj=[ADSISearcher]""

$obj.SearchRoot = [ADSI]""

$obj.Filter = "(&(objectclass=group)(name=$nameGrp))"

$objFrom = $obj.FindOne().getdirectoryentry().path

$obj = [ADSI]$objFrom

$obj.member

Поиск группы безопасности осуществляется с помощью провайдера [ADSISearcher]. В качестве точки входа указывается корневая папка текущего домена. Поиск осуществляется по типу объекта и имени.


Определение членства пользователя в группах безопасности

$group='...'

$obj=[adsisearcher]""

$obj.SearchRoot=[ADSI]''

$obj.Filter=("(&(objectclass=group)(name={0}))" -f $group)

$rez=$obj.FindOne()

$el=[ADSI]$rez.path

$tmp=""

$el.member |% {

$k=[ADSI]("LDAP://{0}" -f $_)

$tmp+=$k.name+[char]13

}

$tmp| Out-File -FilePath grp_users.txt -Encoding Unicode

Выполняются поиск группы по имени и чтение списка пользователей (.member) в пределах всего домена. Для удобства данные выводятся в текстовый файл в кодировке Unicode.


Добавление пользователей в группу безопасности

$obj=[ADSISearcher]""

$obj.SearchRoot=[ADSI]""

$obj.Filter="(&(objectclass=person)(mail=*@domain.com)(userAccountControl=512))" #(userAccountControl=512)

$obj.Sort.PropertyName="samaccountname"

$results=$obj.FindAll()

$results.count

ForEach ($result in $results)

{

$username=([ADSI]$result.path).distinguishedName

$objS = [ADSI]"LDAP://CN=test,DC=domain,DC=test,DC=com"

$objs.PutEx(3,"member",@($UserName))

$objs.setinfo()

}

Осуществляется формирование списка пользователей по критерию (имеют почту, включены), который помещается поэлементно в группу безопасности test, расположенную в корне домена test.prosv.com.


Копирование членов группы безопасности между двумя группами

$objFrom = [ADSI]"LDAP://CN=Grp1,DC=domain,DC=test,DC=com"

$objFrom.member

$objTo = [ADSI]"LDAP://CN=Grp2,DC=domain,DC=test,DC=com"

$objFrom.member |% {

$objTo.PutEx(3,"member",@([string]$_))

$objTo.setinfo()

}

Выполняется копирование членов группы grp1 в grp2 с предварительной очисткой списка в группе grp2. Поиск групп осуществляется в каталоге Active Directory по именам в пределах всего каталога.


Копирование списка групп безопасности между двумя пользователями

$objFrom = [ADSI]"LDAP://CN=User1,DC=domain,DC=test,DC=com"

$objFrom.memberof

$objTo = [ADSI]"LDAP://CN=User2,DC=domain,DC=test,DC=com"

$objFrom.memberof |% {

$mObj = [ADSI]"LDAP://$_"

$mObj

[string]($objTo.path)

 $mObj.PutEx(3,"member",@([string]($objTo.path).replace("LDAP://","")))

 $mobj.setinfo()

}

На первом этапе осуществляется формирование списка групп пользователя user1, затем – обращение к учетной записи второго пользователя – user2 – с последующей заменой существующего списка пользователей новым.

Удачи.

No comments:

Post a Comment

А что вы думаете по этому поводу?

Версия на печать

Популярное