Добавить группу в группу powershell: Powershell. Как создать локальных пользователей и добавить их в группы.

Содержание

Powershell. Как создать локальных пользователей и добавить их в группы.

Довольно часто возникает необходимость создавать локальных пользователей на компьютерах и добавлять их в различные группы(в основном, конечно, в группу «Пользователи удаленного рабочего стола»).

Хорошо, если это один-два пользователя, тогда несложно это сделать и руками. Но если пользователей пара десятков, процесс превращается в нудный и малоэффективный.

В этом случае нам на помощь приходит Powershell, который значительно упрощает жизнь сисадмину.

Как создать локальных пользователей и добавить их в группы.

Для добавления локальных пользователей пользователей на компьютер и добавление их в группу нам понадобится список пользователей в формате .csv(с указанием необходимых данных о пользователях) и небольшой скрипт Powershell. В данном случае скрипт создает пользователя, задает имя, полное имя и описание пользователя, а также добавляет его в нужные группы. При необходимости можно изменить(дополнить) файл и скрипт под свои задачи.

Файл csv можно создать в Excel с последующим сохранением в формате csv

либо создать текстовый файл в обычном блокноте и сохранить его с расширением .csv

Вот так выглядит файл в блокноте:

Если вы добавляете пользователей на виртуальной машине, нужно скопировать файл с учетными данными пользователей и сам скрипт в виртуальную машину. Как скопировать файл в виртуальную машину VMware можно узнать здесь.

Ну а вот и сам скрипт Powershell, с помощью которого вы сможете создать пользователей и добавить их в группы быстро и просто(не забудьте запустить Powershell с правами Администратора).

Write-host -ForegroundColor DarkYellow «# Скрипт для создания локальных учетных записей пользователей
#и добавления их в группы.#
# Файл с пользователями должен содержать поля:
# username — имя(логин) пользователя #
# fullname — полное имя пользователя #
# description — описание пользователя #
# groups — группа(ы), в которые нужно добавить пользователя(через запятую, без кавычек) #»
$Path_to_csv = Read-Host «Введите путь до файла-списка пользователей»
$users = Import-Csv $Path_to_csv -Encoding Default -Delimiter «;»
foreach ($user in $users)
{
$username = $user.username
$password = $user.password | ConvertTo-SecureString -AsPlainText -Force
$groups = @($user.groups)
$grs = $user.groups.split(«,»)
$description =$user.description
$fullname = $user.fullname New-LocalUser -Name $username -Password $password -FullName «$fullname» -Description «$description»
foreach($group in @($grs))
{
Add-LocalGroupMember -Group $group -Member $username
}
}

Write-host -ForegroundColor DarkYellow «# Скрипт для создания локальных учетных записей пользователей

#и добавления их в группы.#

# Файл с пользователями должен содержать поля:

# username — имя(логин) пользователя #

# fullname — полное имя пользователя #

# description — описание пользователя #

# groups — группа(ы), в которые нужно добавить пользователя(через запятую, без кавычек) #»

$Path_to_csv = Read-Host «Введите путь до файла-списка пользователей»

$users = Import-Csv $Path_to_csv -Encoding Default -Delimiter «;»

foreach ($user in $users)

{

$username = $user.username

$password = $user.password | ConvertTo-SecureString -AsPlainText -Force

$groups = @($user.groups)

$grs = $user.groups.split(«,»)

$description =$user.description

$fullname = $user.fullname New-LocalUser -Name $username -Password $password -FullName «$fullname» -Description «$description»

foreach($group in @($grs))

{

Add-LocalGroupMember -Group $group -Member $username

}

Ну, а если вы дочитали до конца, вот вам бонус — скрипт для создания локальных пользователей с графическим интерфейсом: Скачать

Возможно, вас заинтересует статья User must change password. Снимаем и ставим галку при помощи Powershell.

Надеюсь, кому-то эта информация окажется полезной.

При создании скрипта использованы материалы с https://social.technet.microsoft.com/wiki/contents/articles/4546.working-with-passwords-secure-strings-and-credentials-in-windows-powershell.aspx

и https://social.technet.microsoft.com/Forums/ru-RU/b9fb9bca-ae42-436a-80c7-20d2b2bdb7cc/1044108610731072107410831077108510801077?forum=scrlangru

Еще много полезного в рубриках Скачать и VMware, а также загляните на главную страницу.

Поделиться ссылкой:

Похожее

Add-ADGroupMember — добавляем пользователя в группу AD

В состав модуля Active Directory Module для Windows PowerShell входит командлет Add-ADGroupMember, который можно использовать для добавления пользователей в группы безопасности и распространения Active Directory.

Для использования командлетов из модуля ActiveDirectory нужно сначала загрузить данный модуль в вашу сессию PowerShell (на контроллерах домена с Windows Server 2012 и выше, этот модуль загружается автоматически):

Import-Module ActiveDirectory

Чтобы добавить пользователя dvstrelkov в доменную группу ‘Domain admins’, выполните следующую команду в консоли PowerShell с правами администратора:

Add-ADGroupMember "Domain admins" dvstrelkov

Теперь выведем всех, кто теперь входит в данную группу:

Get-ADGroupMember "Domain admins"

Вы можете добавить в группу сразу нескольких пользователей, их учетные записи нужно перечислить через запятую:

Add-ADGroupMember "Managers" AAIvanov,VVPetrov

Это самые простые примеры использования командлета Add-ADGroupMember для добавления пользователей в группы AD. Рассмотрим несколько более сложных примеров.

К примеру, вам нужно получить список пользователей одной группы (HQManagers) и добавить эти учетные записи в другую группу AD (GlobalManagers). Для получения списка пользователей группы HQManagers мы воспользуемся командлетом Get-ADGroupMember. Итоговая команда может выглядеть так:

Get-ADGroupMember “HQManagers” | Get-ADUser | ForEach-Object {Add-ADGroupMember -Identity “GlobalManagers” -Members $_}

Вы можете добавить в группу всех пользователи из определенной OU:

Get-ADUser -Filter * -SearchBase ‘OU=Users,OU=Msk,OU=RUS,DC=vmblog,DC=ru’|ForEach-Object -process {Add-ADGroupMember -identity "HQManagers" -Members $_.SamAccountName}

После выполнения команды вы можете открыть консоль ADUC и убедиться, что все пользователи были добавлены в указанную группу.

Вы можете выбрать пользователей на основе значения какого-то атрибута AD и добавить их в нужную группу. Например, для добавления всех пользователей в группу RusUsers, у которых в поле AD co указано Russia, выполните команду:

Get-ADUser -filter {(co -eq "RusUsers")} | ForEach-Object -process {Add-ADGroupMember -identity "RusUsers" -Members $_.SamAccountName}

Вы можете создать текстовый CSV файл со списком пользователей, которых нужно добавить в определенную группу AD.

Также можно создать текстовый CSV файл со списком учетных записей (samAccountNames) и с помощью простого PowerShell скрипта добавить всех пользователей из файла в группу AD.
Создадим такой CSV-файла со списком учеток пользователей (можно получить, просто скопировав столюец с именами пользователей из Excel):

$List = Import-CSV .\users.csv $ErrorActionPreference='Continue' $error.Clear() ForEach ($User in $List) {Add-ADGroupMember -Identity ‘RusUsers’ -Member $User.username} if ($error.Count -gt 0) { echo "Errors count: " $error.Count } $success=$($i-$error.Count) if ($success -gt -1) { echo $success "Все пользователи успешно добавлены в группу" }

Аналогичным образом вы можете добавить пользователей в группу распространения (группу рассылки) Exchange:

Import-CSV .\Users.csv | ForEach-Object -process {Add-DistributionGroupMember -Identity "AllRusUsersMailing" -Member $_.username }

Управление локальными пользователями и группами с помощью PowerShell

Относительно недавно Microsoft добавила в Windows стандартный PowerShell модуль для управления локальными пользователями и группами под названием Microsoft.PowerShell.LocalAccounts. Ранее этот командлет нужно было качать и импортировать в PowerShell отдельно. В Windows Server 2016 и Windows 10 модуль LocalAccounts теперь доступен по умолчанию, т.к. он входит в состав PowerShell 5.1. В более ранние версии Windows для использования модуля управления локальными аккаунтами нужно установить Windows Management Framework 5.1.

Модуль LocalAccounts

Всего в модуль входит 15 командлетов. Полный список командлетов в модуле LocalAccounts можно вывести так:

Get-Command -Module Microsoft.PowerShell.LocalAccounts

Add-LocalGroupMember – добавить пользователя в локальную группу
Disable-LocalUser – отключить локальную учетную запись
Enable-LocalUser – включить учетную запись (разблокировать)
Get-LocalGroup – получить информацию о локальной группе
Get-LocalGroupMember – получить список пользователей в локальной группе
Get-LocalUser – получить информацию о локальном пользователе
New-LocalGroup – создать новую локальную группы
New-LocalUser – создать пользователя
Remove-LocalGroup – удалить группу
Remove-LocalGroupMember – удалить члена из группы
Remove-LocalUser – удалить локального пользователя
Rename-LocalGroup – переименовать группу
Rename-LocalUser – переименовать пользователя
Set-LocalGroup – изменить группу
Set-LocalUser – изменить пользователя

Далее рассмотрим несколько типовых задач по управлению локальными пользователями и группами на компьютере с Windows 10 при помощи PowerShell командлетов из состава модуля LocalAccounts.

Управление локальными пользователями Windows с помощью PowerShell

Выведем список имеющихся на компьютере локальных пользователей Windows:

Get-LocalUser

Как вы видите, на компьютере имеется 7 локальных учетных записей, 3 из которых отключены (Enabled=False).

Чтобы вывести все свойства конкретной локальной учетной записи (аналог комадлета для получения иформации о пользователях из AD — Get-ADUser), выполните:

Get-LocalUser -Name ‘root’ | Select-Object *
AccountExpires : Description : Enabled : True FullName : PasswordChangeableDate : 4/23/2018 11:23:48 PM PasswordExpires : UserMayChangePassword : True PasswordRequired : False PasswordLastSet : 4/22/2018 11:23:48 PM LastLogon : 7/15/2018 9:04:32 PM Name : root SID : S-1-5-21-3650440056-3766451173-3310994491-1001 PrincipalSource : Local ObjectClass : User

Чтобы получить конкретный атрибут пользователя, например, время последней смены пароля, выполните:

Get-LocalUser -Name ‘root’ | Select-Object PasswordLastSet

Создадим нового локального пользователя с помощью командлета New-LocalUser. Данный командлет позволяет создать следующие типы учетных записей:

Локальные учетных записи Windows
Учетные записи Microsoft
Учетные записи Azure AD

При создании учётной записи пользователя с помощью New-LocalUser нельзя указывать ее пароль в качестве аргумента Password в открытом виде. Предварительно пароль нужно сконвертировать в безопасную строку, запросив пароль интерактивно:

$UserPassword = Read-Host –AsSecureString

Или указав пароль непосредственно в консоли PoSh:

$UserPassword = ConvertTo-SecureString "Pa$$word!!" -AsPlainText -Force

New-LocalUser "SIvanov" -Password $UserPassword -FullName "Sergey Ivanov" -Description "Local Account dlya udalennogo vhoda"

Для создания пользователя в домене AD нужно использовать командлет New-ADUser.

Чтобы изменить пароль пользователя, воспользуйтесь командой Set-LocalUser (предполагаем, что вы уже преобразовали новый пароль в SecureString):

Set-LocalUser -Name sivanov -Password $UserPassword –Verbose

Чтобы установить флаг «Срок действия пароля пользователя не истекает» («Password never expired»), выполните:

Set-LocalUser -Name sivanov –PasswordNeverExpires $True

Как видите, вам не нужно преобразовывать значение UserAccountControl, как при управлении свойствами учётной записи в AD.

Как вы помните, вы можете авторизоваться в Windows 10 под учетными записями Microsoft. Если нужно создать нового пользователя, связанного с аккаунтом Microsoft, выполните следующую команду (обратите внимание, что пароль аккаунта указывать не нужно, т.к. он хранится в Microsoft).

New-LocalUser -Name "MicrosoftAccount\[email protected]" -Description "Это учетка в Microsoft"

Для создания локальной учётной записи, которая связана с вашим аккаунтом в Azure AD (например, вы пользуетесь Office 365), выполните команду:

New-LocalUser -Name "AzureAD\[email protected]" -Description "Это учетка в Azure AD"

Чтобы удалить этого локального пользователя, выполните:

Remove-LocalUser -Name sivanov -Verbose

Управление локальными группам Windows с помощью PowerShell

Теперь выведем список локальных групп на компьютере:

Get-LocalGroup

Создадим новую группу:

New-LocalGroup -Name 'RemoteSupport' -Description 'Remote Support Group'

Теперь добавим в новую группу несколько локальных учетных записей и группу локальных администраторов:

Add-LocalGroupMember -Group 'RemoteSupport' -Member ('SIvanov','root', 'Администраторы') –Verbose

Если ваш компьютер входит в домен, то вы можете добавить в локальную группы и доменные аккаунты или группы. Для этого их нужно указывать в формате DomainName\user2 или DomainName\’domain admins’.

Также вы можете добавить пользователя в группы с помощью следующего конвейера (добавим пользователя в локальные администраторы):

Get-Localuser -Name 'sivanov' | Add-LocalGroupMember -Group 'Administrators'

Выведем список пользователей в локальной группе:

Get-LocalGroupMember -Group 'RemoteSupport'

Как вы видите, мы используем только локальные учетные записи (PrincipalSource – Local). Однако здесь могут быть доменные аккаунты (domain), учетные записи Microsoft (MicrosoftAccount) и аккаунты из Azure (AzureAD).

Чтобы вывести список групп, в которых состоит конкретный пользователь, придется перебрать все локальные группы на компьютере:

foreach ($LocalGroup in Get-LocalGroup) { if (Get-LocalGroupMember $LocalGroup -Member 'sivanov' –ErrorAction SilentlyContinue) { $LocalGroup.Name } }

Чтобы убрать пользователя из группы, выполните:

Remove-LocalGroupMember -Group 'RemoteSupport' –Member 'sivanov'

Для управления локальными пользователями на удаленном компьютере нужно сначала подключится к нему через WinRM командлетами Invoke-Command или Enter-PSSession.

Например, нам нужно собрать список учетных записей в локальной группе на удаленных компьютерах:

$s = new-pssession -computer pc01,pc02,pc03
invoke-command -scriptblock {Get-LocalGroupMember -Group 'RemoteSupport'} -session $s -hidecomputername | select * -exclude RunspaceID | out-gridview -title "LocalAdmins"

Некоторые особенности PowerShell при работе с учетными записями пользователей / Хабр

Я считал, что неплохо разбираюсь в powershell, но мне никогда не приходилось работать с учетными данными пользователей. Однако сейчас я в поиске работы и на одном из собеседований мне поставили тестовое задание написать скрипт, который должен был:

Проверить наличие и статус (включена/отключена) учетной записи пользователя.

Проверить включена ли учетная запись в группу «Администраторы»

Если учетная запись отсутствует, то создать учетную запись и добавить ее в группу администраторы, проставить флаги «Запретить смену пароля пользователем» и «Срок действия пароля не ограничен»

Если учетная запись существует, но отключена либо не входит в группу «Администраторы», то включить учетную запись и добавить ее в группу «Администраторы», проставить флаги «Запретить смену пароля пользователем» и «Срок действия пароля не ограничен»

Скрипт не должен зависеть от языка операционной системы.

Я подумал, что ничего сложного и первым делом решил проверить есть пользователь Admin на моем компьютере. Недолго думая, я вбил команду:

Get-User admin

И тут же получил ошибку

Get-User : Имя "Get-User" не распознано как имя командлета, функции, файла сценария или выполняемой программы.

Немного опешив, от того, что такая полезная команда и не распознала я погуглил и обнаружил, что команда Get-User работает только в консоли Powershell для Exchange. Для работы с локальными пользователями необходимо использовать Get-Localuser, а для доменных Get-Aduser. Осознав свою ошибку, я вбил:

Get-Localuser admin

И получил ответ

Name  Enabled Description
----  ------- -----------
Admin True    Встроенная учетная запись администратора компьютера/домена

Ну теперь проверить есть пользователь или нет, не составит большого труда, однако и тут меня ждал очередной подвох. Через условный оператор if else сделать это оказалось не так-то просто.

Дело в том, что если пользователь есть в системе, то на выход мы получаем не значение true, а целый набор данных, с именем, описанием пользователя, включена эта учетная запись или нет. А если пользователя нет, то powershell выдает ошибку. Побродив по просторам интернета, я обнаружил, что для этих целей лучше использовать оператор try сatch.

$user = 'admin'
try {
    Get-LocalUser $user -ErrorAction Stop | Out-Null
    write-host пользователь $user есть -foregroundcolor Green
    }
Catch {
    write-host пользователя $user нет -foregroundcolor Red
    }

Я добавил переменную $user, чтобы было проще менять имена пользователя во всем скрипте. ErrorAction Stop необходим, чтобы скрипт не прервался на этом шаге из-за ошибки. Знак | разделяет шаги конвейера, а Out-Null скроет вывод текста ошибки. Так же я добавил вывод текста с подсветкой, для удобства проверки скрипта.

Далее я захотел проверить, включена или отключена учетная запись. Как я уже говорил, команда Get-LocalUser выдает целый набор данных и для проверки, мне нужно было выделить только один параметр Enabled со значением true или false. Для этого я воспользовался следующей командой:

(Get-LocalUser $user).enabled

Убедившись, что он работает, я сделал следующую проверку и добавил команду включения пользователя.

$user = 'admin'
        if ((Get-LocalUser $user).enabled -eq "True") {
        write-host учетная запись включена -foregroundcolor Green
        }
        else {
        write-host учетная запись отключена -foregroundcolor Red
        Enable-LocalUser $user
        write-host учетная запись включена -foregroundcolor Green
        }

Для включения пользователя, естественно необходимо запускать консоль под правами администратора.

Во втором пункте задания, необходимо было определить входит ли пользователь в группу администраторов. Для проверки наличия пользователя в той или иной группе есть команда Get-LocalGroupMember. Однако имя группы администраторов, меняется от языка операционной системы. Поэтому мне пришлось воспользоваться стандартным SID S-1-5-32-544. Проверку я также сделал через try сatch.

$user = 'admin'
        try {
        Get-LocalGroupMember -SID S-1-5-32-544 -Member $user -ErrorAction Stop | Out-Null
        write-host пользователь $user состоит в группе администраторы -foregroundcolor Green
        }
        Catch {
        write-host пользователь $user не состоит в группе администраторы  -foregroundcolor Red
        Add-LocalGroupMember -SID S-1-5-32-544 -Member $user
        write-host пользователь $user состоит в группе администраторы -foregroundcolor Green
        }

В случае, если пользователь не состоит в группе, администраторов он будет в нее добавлен.
На следующем этапе, у меня стояла задача определить отключена настройка смены пароля у пользователя или нет. Тут я наткнулся на очередные подводные камни. Дело в том, что если у пользователя, срок действия пароля не ограничен, то параметр PasswordExpires не выдает никаких значений. А если эта галочка отключена, то у разных пользователей будет стоять разная дата смены пароля. Выход из этого положения я всё-таки придумал:

if ((Get-LocalUser $user).PasswordExpires -eq $null) {
        write-host срок действия паролья не ограничен -foregroundcolor Green
        }
        else {
        write-host срок действия пароля ограничен -foregroundcolor Red
        set-LocalUser $user -PasswordNeverExpires:$true
        write-host срок действия пароля не ограничен -foregroundcolor Green
        }

Дальше мне было необходимо создавать пользователя. Я никак не ожидал, что и здесь меня может ждать подвох. При создании пользователя командой

new-LocalUser -User $user  -password P@ssW0rD!

Возвращается ошибка:

Не удается привязать параметр "Password". Не удается преобразовать значение "P@ssW0rD!" типа "System.String" в тип "System.Security.SecureString".

Дело в том, что параметр -password должен использовать SecureString, вместо обычной текстовой строки. Для этого я сделал переменную $password и сконвертировал её в securestring.

$password = convertto-securestring "P@ssW0rD!" -asplaintext -force

А сам скрипт по созданию пользователя и добавления его в группу администраторов

new-LocalUser -User $user  -password $password -PasswordNeverExpires:$true -AccountNeverExpires:$true
    Add-LocalGroupMember -SID S-1-5-32-544 -Member $user

Готовый скрипт учитывающий все условия у меня получился таким образом:

$user = 'admin'
$password = convertto-securestring "P@ssW0rD!" -asplaintext -force
try {
    Get-LocalUser $user -ErrorAction Stop | Out-Null
    cls
    write-host пользователь $user есть -foregroundcolor Green    
        if ((Get-LocalUser $user).enabled -eq "True") {
        write-host учетная запись включена -foregroundcolor Green
        }
        else {
        write-host учетная запись отключена -foregroundcolor Red
        Enable-LocalUser $user
        write-host учетная запись включена -foregroundcolor Green
        }
        if ((Get-LocalUser $user).PasswordExpires -eq $null) {
        write-host срок действия паролья не ограничен -foregroundcolor Green
        }
        else {
        write-host срок действия пароля ограничен -foregroundcolor Red
        set-LocalUser $user -PasswordNeverExpires:$true
        write-host срок действия паролья не ограничен -foregroundcolor Green
        }
        try {
        Get-LocalGroupMember -SID S-1-5-32-544 -Member $user -ErrorAction Stop | Out-Null
        write-host пользователь $user состоит в группе администраторы -foregroundcolor Green
        }
        Catch {
        write-host пользователь $user не состоит в группе администраторы  -foregroundcolor Red
        Add-LocalGroupMember -SID S-1-5-32-544 -Member $user
        write-host пользователь $user состоит в группе администраторы -foregroundcolor Green
        }
    }    
Catch {
    cls
    write-host пользователя $user нет -foregroundcolor Red
    new-LocalUser -User $user  -password $password -PasswordNeverExpires:$true -AccountNeverExpires:$true
    Add-LocalGroupMember -SID S-1-5-32-544 -Member $user
    write-host пользователь $user создан и добавлен в группу администраторов -foregroundcolor Green
    }

Post Scriptum

Однако хранение пароля администратора в скрипте — это не лучшая практика с точки зрения безопасности. Для этого можно использовать хэш пароля, а не сам пароль.

$user = 'admin1'
$hash = "01000000d08c9ddf0115d1118c7a00c04fc297eb0100000048baf1b47a72d845b4eeda8659da9fd70000000002000000000010660000000100002000000004d2a3bf03aac92c2e172dc002d1fe8759da4655850462aface5c25f52921e05000000000e8000000002000020000000bfa652b6f7cc6845e3cee1831b54ab93dc272d0b2203024c3de8bc4789a2698a10000000923fb50dcf01125913534d0c1ba6d827400000002757df7d8a8b39c8e84b81323acff1d72419580a0022cf610926e5f081a2e895320088d482eb407f8157aad82f091abee7427b357e871d12238a8f74131238e7"
$hash
$password = ConvertTo-SecureString -String $hash
$password
 new-LocalUser -User $user  -password $password -PasswordNeverExpires:$true -AccountNeverExpires:$true
Add-LocalGroupMember -SID S-1-5-32-544 -Member $user

Для того, чтобы получить хэш пароля можно воспользоваться следующим скриптом

$Secure = Read-Host -AsSecureString
$Secure
$hash = ConvertFrom-SecureString -SecureString $Secure
$hash

Который запросит ввод пароля с клавиатуры.

И маленький бонус для вывода всех отключенных записей

Get-LocalUser | Where-Object {$_.enabled -eq $false}

Надеюсь, потраченное мною время поможет кому-то в работе. Да и для себя будет полезно не забыть этот бесценный опыт.

New-ADUser: Создаем пользователей в AD с помощью PowerShell

Самый простой способ создать нового пользователя в домене Active Directory – воспользоваться графической mmc оснасткой ADUC (Active Directory Users and Computers). Но в том случае, если в домене нужно завести сразу несколько учетных записей, их создание в ручном режиме может стать довольно утомительной для администратора процедурой. В этой статье мы рассмотрим пример автоматизации создания учетных записей пользователей в AD с помощью командлета PowerShell New-ADUser.

Используем командлет New-ADUser для создания новой учетной записи AD
Массовое создание новых пользователей в AD из CSV скриптом PowerShell

Используем командлет New-ADUser для создания новой учетной записи AD

Командлет New-ADUser входит в состав модуля Active Directory для PowerShell. Для использования этого модуля, нужно установить на компьютере соответствующую ОС версию RSAT и включить компонент Active Directory Module for Windows PowerShell.

Для импорта модуля в сессию PowerShell выполните команду:

Import-Module activedirectory

Полный синтаксис командлета New-ADUser можно получить с помощью команды

Get-Command New-ADUser –Syntax

В минимальной версии для создания новой учетной записи пользователя в AD достаточно указать только его имя.
New-ADUser testuser1

Как вы видите, новая учетная запись пользователя создалась в контейнере Users и является отключенной. Для использования данной учетной записи, ее нужно включить (командлет Enable-ADAccount), задать пароль (командлет Set-ADAccountPassword) и/или другие атрибуты (по необходимости).

Чтобы создать полноценную работоспособную учетную запись в определенном контейнере (OU) домена с паролем и сразу активировать ее, воспользуйтесь такой командой.

New-ADUser -Name "Test User2" -GivenName "Test" -Surname "User2" -SamAccountName "testuser2" -UserPrincipalName "[email protected]" -Path "OU=Users,OU=Accounts,OU=SPB,DC=winitpro,DC=loc" -AccountPassword(Read-Host -AsSecureString "Input Password") -Enabled $true

Команда предложит сразу указать пароль нового пользователя (в защищенном виде)

Примечание. Пароль пользователя должен соответствовать доменным политикам безопасности паролей по длине, сложности и т.д., в противном случае командлет вернет ошибку: New-ADUser : The password does not meet the length, complexity, or history requirement of the domain. Вы можете использовать готовый скрипт PowerShell для генерации уникального пароля для каждого пользователя .

Информацию о созданном пользователе домена можно получить с помощью командлета Get-ADUser:

Get-ADUser testuser2

Массовое создание новых пользователей в AD из CSV скриптом PowerShell

В том случае, если в Active Directory нужно создать сразу большое количество пользователей, удобнее сохранить список пользователей в формате CSV (Excel) файла, а затем запустить специальный PowerShell скрипт. В данном файле нужно заполнить все значимые для вас атрибуты пользователей.

К примеру, мой Excel файл с пользователями состоит из 9 колонок и имеет следующий формат шапки:

FirstName;LastName;Initials;SamAccountName;Phone;Department;JobTitle;Password;OU

Заполните данные пользователей и сохраните Exсel файл с в формате CSV c запятыми, в качестве разделителей. Кодировка файла должна быть обязательно UTF-8 (важно!). Кроме того, т.к. в значениях столбца OU есть запятые, нужно экранировать их, взяв в двойные кавычки.

Теперь можно импортировать данный CSV файл (new_ad_users2.csv) и создать в домене новых пользователей. Код готового PowerShell скрипта представлен ниже:

Примечание.

Имя пользователя в домене мы будем заводить на английской языке, поэтому для транслитерации имен и фамилий пользователей с кириллицы в латиницу мы добавим в скрипт отдельную функцию Translit.
Если в качестве разделителя CSV файла используется “;”, в командлет Import-Csv нужно добавить аргумент -delimiter «;»

Import-Module activedirectory Import-Csv "C:\ps\new_ad_users2.csv" | ForEach-Object { $upn = $_.SamAccountName + “@contoso.loc” $uname = $_.LastName + " " + $_.FirstName + " " + $_.Initials #переводим в транслит фамилию, имя и отчество $transLastName=Translit($_.LastName) $transFirstName=Translit($_.FirstName) $transInitials=Translit($_.Initials) $transuname = $transLastName + " " + $transFirstName + " " + $transInitials New-ADUser -Name $transuname ` -DisplayName $uname ` -GivenName $_.FirstName ` -Surname $_.LastName ` -Initials $_.Initials ` -OfficePhone $_.Phone ` -Department $_.Department ` -Title $_.JobTitle ` -UserPrincipalName $upn ` -SamAccountName $_.samAccountName ` -Path $_.OU ` -AccountPassword (ConvertTo-SecureString $_.Password -AsPlainText -force) -Enabled $true }

#сама функция транслитерации function global:Translit { param([string]$inString) $Translit = @{ [char]'а' = "a" [char]'А' = "A" [char]'б' = "b" [char]'Б' = "B" [char]'в' = "v" [char]'В' = "V" [char]'г' = "g" [char]'Г' = "G" [char]'д' = "d" [char]'Д' = "D" [char]'е' = "e" [char]'Е' = "E" [char]'ё' = "yo" [char]'Ё' = "Yo" [char]'ж' = "zh" [char]'Ж' = "Zh" [char]'з' = "z" [char]'З' = "Z" [char]'и' = "i" [char]'И' = "I" [char]'й' = "j" [char]'Й' = "J" [char]'к' = "k" [char]'К' = "K" [char]'л' = "l" [char]'Л' = "L" [char]'м' = "m" [char]'М' = "M" [char]'н' = "n" [char]'Н' = "N" [char]'о' = "o" [char]'О' = "O" [char]'п' = "p" [char]'П' = "P" [char]'р' = "r" [char]'Р' = "R" [char]'с' = "s" [char]'С' = "S" [char]'т' = "t" [char]'Т' = "T" [char]'у' = "u" [char]'У' = "U" [char]'ф' = "f" [char]'Ф' = "F" [char]'х' = "h" [char]'Х' = "H" [char]'ц' = "c" [char]'Ц' = "C" [char]'ч' = "ch" [char]'Ч' = "Ch" [char]'ш' = "sh" [char]'Ш' = "Sh" [char]'щ' = "sch" [char]'Щ' = "Sch" [char]'ъ' = "" [char]'Ъ' = "" [char]'ы' = "y" [char]'Ы' = "Y" [char]'ь' = "" [char]'Ь' = "" [char]'э' = "e" [char]'Э' = "E" [char]'ю' = "yu" [char]'Ю' = "Yu" [char]'я' = "ya" [char]'Я' = "Ya" } $outCHR="" foreach ($CHR in $inCHR = $inString.ToCharArray()) { if ($Translit[$CHR] -cne $Null ) {$outCHR += $Translit[$CHR]} else {$outCHR += $CHR} } Write-Output $outCHR }

После выполнения скрипта, откройте консоль ADUC, разверните указанный контейнер и убедитесь, что в AD появились новые учетки пользователей (отследить создание учетных записей в AD можно так: Получение списка учетных записей AD, созданных за последние 24 часа.)

Создаваемые учетные записи можно сразу добавить в определенную группу AD с помощью командлета Add-AdGroupMember, для этого нужно немного модифицировать скрипт, добавив в цикле строку:

Add-AdGroupMember -Identity AllowPublicInet -Members $_.samAccountName

Или сразу установить фотографию пользователя в AD, чтобы она отображалась в Outlook и Lync:

Set-ADUser $_.samAccountName -Replace @{thumbnailPhoto=([byte[]](Get-Content "C:\ps\user1_photo.jpg" -Encoding byte))}

Копирование членов группы AD в группу другого домена

Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов по системному администрированию Pyatilistnik.org. В прошлый раз я вам показал решение ситуации, когда у нас был диск защищенный от записи и как снять защиту с с такой usb флешки. В сегодняшней статье я хочу вам показать готовые сценарии, которые решают задачу по копированию членов группы Active Directory из одного домена в группу безопасности другого домена, так сказать копирование списка в рамках леса. Думаю, что это частая практическая задача.

Постановка задачи

У меня есть лес Active Directory root.pyatilistnik.org. В рамках леса есть два домена root и child. Появилась задача из группы Root-Terminal-Users в домене Root скопировать всех ее участников в группу Child-Terminal-Users из домена Child. Я хочу вам показать ряд методов позволяющих это осуществить за пару минут. Вообще удобно иметь под рукой такие готовые решения.

Методы копирования участников одной группы AD в другую

Самым основным и современным методом является использование PowerShell, думаю тут ни у кого не будет возражений
Использование утилит командной строки dsget group и dsmod group

Копирование участников группы Active Directory в рамках леса

Сначала я рассмотрю копирование из одного домена в дугой в рамках леса, а ниже потом приведу примеры решений если у вас один лес и один домен.

Для начала я хочу отдать дань памяти утилитам dsget group и dsmod group. Перед тем как производить копирование нам необходимо узнать distinguishedName у каждой группы, как это делается смотрите по ссылке слева, лично я люблю использовать ADSIEdit или ADUC.

Вот distinguishedName для Root-Terminal-Users

CN=Root-Terminal-Users,OU=Группы,OU=Оргструктура,DC=root,DC=pyatilistnik,DC=org

Вот distinguishedName для Child-Terminal-Users

CN=Child-Terminal-Users,OU=Группы,OU=Оргструктура,DC=child,DC=root,DC=pyatilistnik,DC=org

Вот как выглядят сейчас данные группы безопасности.

Далее открываем cmd в режиме администратора (Как открыть командную строку в данном режиме, я уже писал). Пишем команду, подставив естественно свои данные, первой идет группа откуда будет копироваться список пользователей у меня это Root-Terminal-Users, вторым идет группа назначения, у меня это Child-Terminal-Users

dsget group «CN=Root-Terminal-Users,OU=Группы,OU=Оргструктура,DC=root,DC=pyatilistnik,DC=org» -members | dsmod group «CN=Child-Terminal-Users,OU=Группы,OU=Оргструктура, DC=child,DC=root,DC=pyatilistnik,DC=org» -addmbr

У вас может выскочить ошибка:

Глобальная группа не может иметь встроенных или междоменных членов

Связано это с тем, что группа назначения Child-Terminal-Users имеет область действия (Глобальная), ее нужно изменить на локальную или универсальную.

Пробуем еще раз выполнить и все успешно отрабатывает.

По результату видим, что в группе Child-Terminal-Users появились нужные пользователи.

Второй вариант сделать полную копию участников группы, это воспользоваться PowerShell. Чтобы у вас была возможность между разными доменами леса копировать списки пользователей, выполните:

Import-Module ActiveDirectory

$group_source = Get-ADGroup «Root-Terminal-Users» -Server «dc01.root.pyatilistnik.org»
$group_destination = Get-ADGroup «Child-Terminal-Users» -Server «dc03.child.root.pyatilistnik.org»

foreach ($user in (Get-ADGroupMember $group_source))
{
Add-ADGroupMember $group_destination -Members $user}

Не забываем в скрипте указать свои данные.

Копирование участников группы Active Directory в рамках одного домена

Ну и теперь список попсовых вариантов для одного домена. В качестве теста группой источника будет Root-Terminal-Users, а группой назначения IT-Terminal-Users. Запустите PowerShell и введите:

Add-ADGroupMember -Identity ‘IT-Terminal-Users’ -Members (Get-ADGroupMember -Identity ‘Root-Terminal-Users’ -Recursive)

Обратите внимание, что сначала идет группа откуда идет копирование списка членов группы, а потом уже группа куда идет копирование. Все успешно отработало.

Еще один вариант в PowerShell введите:

Get-ADGroupMember Root-Terminal-Users | % {Add-ADGroupMember IT-Terminal-Users $_}

Тут первой указывается источник (Root-Terminal-Users), потом куда копируем (IT-Terminal-Users).

Вот еще вариант:

Get-ADGroupMember «Root-Terminal-Users» | Get-ADUser | Foreach-Object {Add-ADGroupMember -Identity «IT-Terminal-Users» -Members $_}

И еще конструкция:

$gsource = «Root-Terminal-Users»
$gtarget = «IT-Terminal-Users»
Get-ADGroupMember -Identity $gsource |
foreach {
Add-ADGroupMember -Identity $gtarget -Members $($_.DistinguishedName)
}

Если кто-то любит LDAP, то вы так же можете его указать, и произвести копирование членов группы в другую группу с его помощью. Конструкция примет вид:

$Source_Group = «CN=Root-Terminal-Users,OU=Группы,OU=Оргструктура,DC=root,DC=pyatilistnik,DC=org»
$Destination_Group = «CN=IT-Terminal-Users,OU=Группы,OU=Оргструктура,DC=root,DC=pyatilistnik,DC=org»

$Target = Get-ADGroupMember -Identity $Source_Group
foreach ($Person in $Target) {
Add-ADGroupMember -Identity $Destination_Group -Members $Person.distinguishedname
}

Этот простой сценарий позволяет копировать пользователей, принадлежащих к исходной группе, в целевую группу.

$Sourse = [ADSI]»LDAP://CN=Root-Terminal-Users,OU=Группы,OU=Оргструктура,DC=root,DC=pyatilistnik,DC=org»
$Distination = [ADSI]»LDAP://CN=IT-Terminal-Users,OU=Группы,OU=Оргструктура,DC=root,DC=pyatilistnik,DC=org»

ForEach ($GroupDN In $Sourse.member)
{
$Object = [ADSI]»LDAP://$GroupDN»
# Check if object is already a member of this group.
If ($Object.IsMember($Distination.ADsPath) -eq $False)
{
$Object.Add($Distination.ADsPath)
«Object added to group $GroupDN»
}
Else
{
«Object already member of group $GroupDN»
}
}

Совсем сложный метод копирования участников группы в другую группу

Данный метод подразумевает, что вы делаете выгрузку пользователей по SamAccountName

Get-ADGroupMember -Identity Root-Terminal-Users -Recursive | select SamAccountName

Далее открываете свойства группы назначения и добавляете список.

На этом у меня все. Я попытался вам собрать все возможные варианты по копированию списка пользователей из одной группы Active Directory в другую. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.

Скопировать группы Active Directory другому пользователю через PowerShell

При заведении нового пользователя в домене AD иногда нужно включить его в большое количество групп. Добавлять пользователя в группы через консоль ADUC довольно утомительно, поэтому иногда проще скопировать членство в группах одного пользователя и применить его к другому с помощью скрипта PowerShell. Это также удобно, когда из определенного отдела увольняется сотрудник и нужно назначить новому человеку те же самые группы доступа.

Допустим, вам нужно скопировать группы пользователя r.radojic и добавить в эти же группы нового пользователя a.novak.

С помощью командлета Get-ADUser получим список групп пользователя-источника:

$getusergroups = Get-ADUser -Identity r.radojic -Properties memberof | Select-Object -ExpandProperty memberof

Чтобы добавить нового пользователя в те же группы, достаточно отправить полученный список групп через пайп командлету Add-ADGroupMember:

$getusergroups | Add-ADGroupMember -Members a.novak -verbose

Теперь проверьте, что новый пользователь был успешно добавлен в те же группы, что и исходный.

Get-ADUser -Identity a.novak -Properties memberof | Select-Object -ExpandProperty memberof

Можно использовать универсальный командлет Get-ADPrincipalGroupMembership, который позволит скопировать членство в группах любого объекта AD: будь то пользователь, или компьютер.

$userSource= “r.radojic" $userTarget=”a.novak” $sourceGroups = Get-ADPrincipalGroupMembership -Identity $userSource Add-ADPrincipalGroupMembership -Identity $userTarget -MemberOf $sourceGroups

Можно использовать PowerShell скрипт, который автоматически пишет текстовый лог файл с информацией о добавлении пользователя в группы:

$logfile="c:\ps\CopyAdGroup.log" $userSource= “r.radojic" $userTarget=”a.novak” $Time = Get-Date Add-content $logfile -value $Time -Encoding UTF8 Add-content $logfile -value "_______________" Add-content $logfile -value "Копирование групп AD с пользователя $userSource на $userTarget" -Encoding UTF8 $sourceGroups = (Get-ADPrincipalGroupMembership -Identity $userSource).SamAccountName foreach ($group in $sourceGroups) { Add-content $logfile -value "Добавление пользователя $userTarget в группу $group" -Encoding UTF8 try { $log=Add-ADPrincipalGroupMembership -Identity $userTarget -MemberOf $group Add-content $logfile -value $log -Encoding UTF8 } catch { Add-content $logfile $($Error[0].Exception.Message) -Encoding UTF8 Continue } } Add-content $logfile -value "_______________"

Еще одна достаточно частая задача – скопировать всех пользователей из одной доменной группы в другую. Можно использовать такую команду:

Get-ADGroupMember "SPB-GPO-Admins" | ForEach-Object { Add-ADGroupMember "SPB-Server-Admins" -Members $_ }

Иногда можно использовать другие техники для автоматического добавления пользователя в группы AD в зависимости от его должности или других свойств, указанных в AD. В статье по ссылке рассмотрен пример создания динамических групп Active Directory.

Как добавлять и удалять группы AD и объекты в группах с помощью PowerShell

Microsoft Active Directory служит централизованной точкой для администрирования, авторизации и аутентификации. В AD доступ к сетевым ресурсам предоставляется участникам безопасности, таким как учетные записи пользователей и компьютеров, и эти разрешения могут изменяться со временем. Для упрощения управления доступом и повышения безопасности средние и крупные компании часто используют группы безопасности Active Directory, которые могут содержать учетные записи пользователей, учетные записи компьютеров и другие группы.Они также часто используют группы рассылки для управления списками рассылки электронной почты. И группы безопасности, и группы рассылки имеют уникальные идентификаторы безопасности (SID) и глобальные уникальные идентификаторы (GUID).

Оснастка ADUC MMC отлично подходит для управления обоими типами групп, но PowerShell — гораздо более эффективный способ массового управления ими.

В этой статье мы объясним, как управлять группами AD с помощью сценариев Windows PowerShell. В частности, мы рассмотрим следующие задачи:

Если вы еще не знакомы с группами AD и управлением группами, перед тем, как продолжить, прочтите руководство Active Directory Group Management Best Practice.

Также имейте в виду, что для использования этих сценариев PowerShell необходимо импортировать модуль для взаимодействия с AD — модуль Active Directory для Microsoft Windows PowerShell. Этот модуль был представлен в Windows Server 2008 R2 и включен по умолчанию в Windows Server 2012 и более поздних версиях. Вы можете получить полный список командлетов модуля AD, выполнив следующую команду:

 Get-Command -Module ActiveDirectory

Полный список содержит 147 командлетов; однако только эти одиннадцать связаны с группами Active Directory:

Add-ADGroupMember
Add-ADPrincipalGroupMembership
Get-ADAccountAuthorizationGroup
Get-ADGroup
Get-ADGrouphipMember
Get-ADPGroupMember
Get-ADPMember
Get-ADPMember
Remove-ADGroup
Remove-ADGroupMember
Remove-ADPrincipalGroupMembership
Set-ADGroup

Создание группы Active Directory с помощью PowerShell

Чтобы создать группу AD, используйте командлет New-ADGroup .Вы можете получить его синтаксис, выполнив следующую команду:

 Get-Command New-ADGroup –Syntax

Самый простой способ создать группу — запустить этот короткий сценарий:

 New-ADGroup «Имя группы»

Система попросит вас указать параметр «GroupScope», а затем создаст новую группу. Однако эта группа будет иметь значения по умолчанию, например:

Она будет создана в контейнере LDAP по умолчанию под названием «Пользователи».
Будет иметь тип группы «Безопасность».
Поля участников, участников, описания, электронной почты и заметок будут пустыми.

Предположим, мы хотим создать группу безопасности под названием «Качество» на нашем AD DC. Давайте использовать следующие параметры: он должен быть в производственном подразделении ( -Path ), он должен быть группой безопасности ( -GroupCategory ) и должен быть глобальным ( -GroupScope ).

 New-ADGroup "Качество" -Path "OU = Production, DC = enterprise, dc = com" -GroupCategory Security -GroupScope Global -PassThru –Verbose

Если вы хотите создать универсальную группу рассылки, просто измените –GroupCategory параметр в «Распространение» и параметр –GroupScope в «Универсальный.Вы также можете изменить путь LDAP, изменив параметр –Path .

Удаление группы Active Directory с помощью PowerShell

Чтобы удалить группу AD, используйте командлет Remove-ADGroup . Самый простой сценарий для этого будет выглядеть так:

 Remove-ADGroup -Identity Quality

Вам будет предложено подтвердить удаление группы.

Добавление пользователей и компьютеров в группу с помощью PowerShell

Вы можете добавлять пользователей в группу AD с помощью командлета Add-AdGroupMember .Например, если вам нужно добавить двух пользователей, Б. Джексона и Э. Фрэнклина, в группу «Качество», сценарий будет выглядеть следующим образом:

 Add-AdGroupMember -Identity Quality -Members B.Jackson, E .Franklin

После того, как вы добавили пользователей в группу безопасности, вы можете запустить приведенный ниже сценарий, чтобы убедиться, что они указаны в качестве участников:

 Get-ADGroupMember -Identity Quality

Если вам нужно добавить пользователей в другую группу. Группа безопасности или рассылки, например «Администраторы домена», укажите «Администраторы домена» в качестве значения параметра –Identity .Если вам нужно, чтобы одна группа была членом другой, укажите имя группы в качестве значения для параметра –Members . Тот же принцип применяется к учетным записям компьютеров, но вам нужно добавить знак доллара ($) в конце имени учетной записи компьютера. Например, чтобы добавить компьютер «WKS043» в группу, укажите «WKS043 $» в качестве значения для параметра –Member :

 Add-AdGroupMember -Identity Quality -Members WKS043 $

Добавление пользователя в несколько групп

Чтобы добавить пользователя сразу в несколько групп, запустите следующий сценарий.

 «Менеджеры», «Качество» | Добавить-ADGroupMember -Members `
(Read-Host -Prompt «Enter User Name»)

Вам будет предложено ввести имя пользователя.

Добавление пользователей в группу из файла CSV

Если вы хотите добавить большое количество пользователей в группу, вы можете указать их в файле CSV, а затем импортировать этот файл. Обратите внимание, что список имен пользователей в файле CSV должен содержать SamAccountNames в столбце «пользователи», как показано ниже:

Чтобы добавить пользователей в группу из файла CSV, запустите следующий сценарий PowerShell:

 Импорт-CSV C: \ scripts \ users.csv -Header пользователи | ForEach-Object {Add-AdGroupMember -Identity "Quality" -members $ _. Users}

Копирование пользователей из одной группы в другую

Если вы хотите скопировать всех участников из одной группы в другую, запустите следующий сценарий :

 Get-ADGroupMember «Качество» | Get-ADUser | ForEach-Object {Add-ADGroupMember -Identity «QualityControl» -Members $ _}

Удаление пользователей или компьютеров из группы

Чтобы удалить пользователя из группы, используйте командлет Remove-ADGroupMember :

 Remove-ADGroupMember -Качество идентичности -Члены J.Robinson

Чтобы удалить учетную запись компьютера из группы, укажите имя компьютера со знаком доллара ($) в конце значения параметра -Members .

Удаление нескольких учетных записей пользователей из группы

Простым способом удаления нескольких пользователей из группы AD является создание файла CSV со списком имен пользователей, а затем удаление этих пользователей из объекта группы с помощью этого сценария:

 Import- CSV C: \ scripts \ users.csv -Header users | ForEach-Object {Remove-ADGroupMember -Identity "Quality" -members $ _.users}

Удаление пользователя из всех групп

Чтобы удалить пользователя из всех групп, запустите этот сценарий:

 Get-ADUser -Identity E.Franklin -Properties MemberOf | ForEach-Object {
$ _. MemberOf | Remove-ADGroupMember -Members $ _. DistinguishedName -Confirm: $ false
}

Обратите внимание, что пользователь потеряет все членство в группе, кроме «Пользователи домена», которые при необходимости можно удалить вручную.

Отчетность по группам Active Directory

Теперь, когда мы знаем, как выполнять многие общие задачи управления Active Directory, связанные с группами, с помощью PowerShell, давайте посмотрим, как составить отчет о том, какие группы существуют в AD:

Чтобы перечислить все группы в AD, используйте сценарий ниже:

 Get-ADGroup -filter * -properties GroupCategory | ft name, groupcategory

Конечно, вы также захотите просмотреть членов группы AD и изменения членства в группе AD.Вот ссылки на инструкции по выполнению этих более сложных задач:

Заключение

Теперь, когда вы узнали, как управлять группами и членством в группах в Active Directory с помощью сценариев PowerShell, попробуйте выполнить некоторые задачи управления группами самостоятельно. Однако будьте осторожны и не забудьте включить функцию корзины Active Directory, чтобы вы могли легко откатить свои изменения, если что-то пойдет не так. Помните, что оснастка ADUC MMC отлично подходит для управления группами и членством в группах, но PowerShell намного лучше подходит для массового управления группами.

Как добавлять, удалять и изменять локальных пользователей и группы с помощью PowerShell

Чтобы помочь администраторам упростить управление локальными пользователями и группами с помощью PowerShell, Microsoft предоставляет коллекцию командлетов Microsoft.PowerShell.LocalAccounts . Раньше вам приходилось загружать и импортировать его в PowerShell явно, а также устанавливать Windows Management Framework 5.1; в операционных системах Windows Server 2016 и Windows 10 коллекция командлетов включена как стандартный модуль.

В модуле LocalAccounts 15 командлетов.Вы можете просмотреть полный список, выполнив следующую команду:

 Get-Command -Module Microsoft.PowerShell.LocalAccounts

Add-LocalGroupMember — Добавить пользователя в локальную группу
Disable-LocalUser — Отключить локальную учетную запись пользователя
Enable-LocalUser — Включить локальную учетную запись пользователя
Get-LocalGroup — Просмотреть настройки локальной группы
Get-LocalGroupMember — Просмотреть список всех членов локальной группы
Get -LocalUser — Просмотр предпочтений локальной учетной записи пользователя
New-LocalGroup — Создание новой локальной группы
New-LocalUser — Создание новой локальной учетной записи пользователя
Remove-LocalGroup — Удаление локальной группы
Remove-LocalGroupMember — удаление члена из локальной группы
Remove-LocalUser — удаление учетной записи локального пользователя
Rename-LocalGroup — переименовать локальную группу
Rename-LocalUser — переименовать локальную учетную запись пользователя
Set-LocalGroup — изменить настройки локальной группы
Set-LocalUser — изменить параметры учетной записи локального пользователя

Управление учетными записями локальных пользователей с помощью PowerShell

Давайте посмотрим, как вы можете использовать эти команды для выполнения общих задач, связанных с управлением локальными пользователями на компьютере с Windows 10.

Вывод списка пользователей и их свойств с помощью PowerShell

Сначала давайте получим список всех учетных записей локальных пользователей на машине. Мы будем использовать командлет Get-LocalUser :

 Get-LocalUser

Как вы можете видеть, у нас есть две локальные учетные записи пользователей, и одна из них отключена (та, у которой в поле « Включено »столбец).

Если вы хотите вывести все свойства и их значения для локальной учетной записи пользователя, вам необходимо использовать командлет Get-LocalUser со следующими параметрами:

 Get-LocalUser -Name ‘guest’ | Select-Object *

Чтобы получить значение определенного атрибута учетной записи локального пользователя, введите его имя после параметра Select-Object .В этом примере мы хотим узнать значение атрибута PasswordLastSet для учетной записи с именем пользователя «administrator»:

 Get-LocalUser -Name «administrator» | Select-Object PasswordLastSet

Создание локального пользователя с помощью PowerShell

Давайте создадим нового пользователя с помощью командлета New-LocalUser . Этот командлет может создавать следующие типы учетных записей пользователей:

Локальные учетные записи пользователей Windows
Учетные записи Microsoft
Учетные записи Azure Active Directory

При создании локальной учетной записи пользователя никогда не вводите пароль в виде обычного текста; всегда конвертируйте его в защищенную строку с помощью параметра ? AsSecureString или ? ConvertTo-SecureString .Вот команда для создания новой учетной записи локального пользователя:

 $ UserPassword = Read-Host –AsSecureString
New-LocalUser "Netwrix" -Password $ UserPassword -FullName "Netwrix" -Описание "CompleteVisibility"

В среде Windows 10 пользователи могут авторизоваться под своими учетными записями Microsoft, поэтому мы можем создать новую локальную учетную запись пользователя, которая привязывается к Microsoft учетные данные. Для этого используйте следующий сценарий (обратите внимание, что вам не нужно вводить пароль, поскольку он хранится в облаке Microsoft):

 New-LocalUser -Name "MicrosoftAccount \ SomeAccount @ outlook.com "-Description" Microsoft Account "

Чтобы создать локальную учетную запись, которая привязывается к вашему Azure AD, используйте следующую команду:

 New-LocalUser -Name" AzureAD \ [email protected] "-Description" Azure AD Учетная запись

Изменение пароля или свойств пароля локального пользователя с помощью PowerShell

Чтобы изменить пароль учетной записи локального пользователя, нам нужно использовать командлет Set-LocalUser . Давайте изменим пароль локального администратора:

 $ UserPassword = Read-Host –AsSecureString
Set-LocalUser -Name Administrator -Password $ UserPassword –Verbose

Чтобы установить пароль с неограниченным сроком действия для локального пользователя с помощью PowerShell, нам нужно запустить следующий сценарий:

 Set-LocalUser -Name Netwrix –PasswordNeverExpires $ False

Удаление учетной записи локального пользователя с помощью PowerShell

Для удаления учетной записи локального пользователя необходимо использовать командлет Remove-LocalUser :

 Remove-LocalUser -Name Netwrix -Verbose

Управление локальными группами с помощью PowerShell

Теперь обратим внимание с локальных пользователей на локальные группы.

Просмотр локальных групп с помощью PowerShell

Во-первых, давайте получим список всех групп на нашем сервере Windows:

 Get-LocalGroup

Добавление локальной группы с помощью PowerShell

Теперь давайте создадим новую группу:

 New -LocalGroup -Name 'Netwrix Users' -Description 'Netwrix Users Group'

Добавление пользователей в локальную группу с помощью PowerShell

Чтобы добавить пользователя (или группу) в локальную группу, нам нужно использовать Add-LocalGroupMember командлет.Например, предположим, что мы хотим добавить пользователей в локальную группу администраторов, но не хотим добавлять их по одному. Давайте добавим группу локальных администраторов, а именно группу «Пользователи Netwrix»:

 Add-LocalGroupMember -Group «Администраторы» -Член («Netwrix», «Пользователи Netwrix») –Verbose

Если ваш компьютер или сервер является частью домена, вы также можете добавить учетную запись домена и группы в локальные группы, чтобы предоставить этим пользователям специальные локальные права на сервере. Добавьте их, используя формат «Имя домена \ Пользователь» (для пользователя) или «Имя домена \ Группа домена» (для группы).

Просмотр членства в определенной группе с помощью PowerShell

Теперь давайте перечислим всех членов конкретной локальной группы:

 Get-LocalGroupMember -Group 'Netwrix Users'

Как видите, команда показывает все локальная учетная запись и группы, входящие в группу «Пользователи Netwrix». Хотя здесь перечислены только локальные учетные записи и группы, эта команда также покажет всех пользователей и группы домена, а также все учетные записи Microsoft и Azure AD.

Просмотр всех групп, членом которых является пользователь с помощью PowerShell.

Чтобы вывести список всех групп, членом которых является конкретный пользователь, мы запустим следующий скрипт:

 foreach ($ LocalGroup в Get-LocalGroup)
{
if (Get-LocalGroupMember $ LocalGroup -Member 'Guest' –ErrorAction SilentlyContinue)
{
$ LocalGroup.Name
}
}

Удаление локальной группы с помощью PowerShell

Чтобы удалить локальную учетную запись пользователя из группы, необходимо использовать командлет Remove-LocalGroupMember :

 Remove-LocalGroupMember -Group 'Netwrix Users' –Member 'guest '

Удаленное управление локальными пользователями и группами с помощью PowerShell

Если вы хотите управлять локальными учетными записями и группами удаленно, вам необходимо подключиться к удаленным рабочим станциям через WinRM с помощью командлетов Invoke-Command и Enter-PSSession .Например, если мы хотим вывести членство в локальной группе администраторов удаленно на нескольких компьютерах, нам необходимо запустить следующий сценарий:

 $ search = new-pssession -computer pcname1, pcname2, pcname3
invoke-command -scriptblock {Get-LocalGroupMember -Group 'Administrators'} -session $ search -hidecomputername | выберите * -exclude RunspaceID | out-gridview -title "LocalAdmins"

Как видите, управлять локальными группами и пользователями с помощью PowerShell довольно просто, но для обеспечения безопасности, соответствия требованиям и непрерывности бизнеса необходимо проводить аудит всех этих изменений.Чтобы узнать о настройке собственного аудита, см. Краткое руководство по аудиту Windows Server.

Создание групп рассылки и управление ими

30.06.2020
15 минут на чтение

В этой статье

Используйте центр администрирования Exchange (EAC) или Exchange Online PowerShell для создания, изменения или удаления групп рассылки в вашей организации Exchange Online.

Существует два типа групп, которые можно использовать для рассылки сообщений:

Универсальные группы рассылки с включенной поддержкой почты (также называемые группами рассылки) могут использоваться только для рассылки сообщений.
Универсальные группы безопасности с включенной поддержкой почты (также называемые группами безопасности) могут использоваться для рассылки сообщений, а также для предоставления разрешений на доступ к ресурсам. Дополнительные сведения см. В разделе Управление группами безопасности с включенной поддержкой почты.

Важно отметить различия в терминологии между Active Directory и Exchange Online. В Active Directory под группой рассылки понимается любая группа, не имеющая контекста безопасности, независимо от того, поддерживает ли она почту или нет.Напротив, в Exchange Online все группы с включенной поддержкой почты называются группами рассылки, независимо от того, имеют ли они контекст безопасности или нет.

Что вам нужно знать перед тем, как начать?

Расчетное время для завершения: от 2 до 5 минут.
Чтобы открыть центр администрирования Exchange, см. Раздел Центр администрирования Exchange в Exchange Online.
Чтобы подключиться к Exchange Online PowerShell, см. Подключение к Exchange Online PowerShell.
Для выполнения этой процедуры или процедур вам должны быть назначены разрешения.Чтобы узнать, какие разрешения вам нужны, см. Запись «Получатели» в разделе Разрешения функций в Exchange Online.
Если в вашей организации настроена политика именования групп, она применяется только к группам, созданным пользователями. Когда вы или другие администраторы используете EAC для создания групп рассылки, политика именования групп игнорируется и не применяется к имени группы. Однако если вы используете Exchange Online PowerShell для создания или переименования группы рассылки, политика применяется, если вы не используете параметр IgnoreNamingPolicy для переопределения политики именования групп.Для получения дополнительной информации см .:

Использование центра администрирования Exchange для управления группами рассылки

Используйте EAC для создания групп рассылки

Теперь вы можете создать группу Microsoft 365 вместо группы рассылки, если у вас есть план Microsoft 365 или Office 365 для бизнеса или план Exchange Online. Группы Microsoft 365 имеют функции группы рассылки и многое другое. С помощью групп Microsoft 365 вы можете отправлять сообщения электронной почты группе, совместно использовать общий календарь и иметь библиотеку для хранения файлов и папок группы и работы с ними.Щелкните Новый > Группа Microsoft 365 , чтобы приступить к работе и просмотреть дополнительные сведения о группах Microsoft 365.

Если у вас есть группы рассылки, которые вы хотите перенести в группы Microsoft 365, см. Раздел Обновление списков рассылки до групп Microsoft 365 в Outlook.

Если вы все же хотите создать группу рассылки, выполните следующие действия:

В центре администрирования Exchange перейдите к Получатели > Группы .
Щелкните Новый , а затем выберите Группа рассылки .
На открывшейся странице Новая группа рассылки настройте следующие параметры. Требуются настройки, помеченные как ^*.
- ^* Отображаемое имя : это имя отображается в адресной книге вашей организации, в строке «Кому:» при отправке электронной почты в эту группу и в списке «Группы » в EAC. Отображаемое имя является обязательным, должно быть уникальным и удобным для пользователей, чтобы люди узнали, что это такое.
- ^* Псевдоним : используйте это поле для ввода имени псевдонима для группы. Псевдоним не может превышать 64 символа и должен быть уникальным. Когда пользователь вводит псевдоним в строке «Кому» сообщения электронной почты, он преобразуется в отображаемое имя группы.
- ^* Адрес электронной почты : адрес электронной почты состоит из псевдонима в левой части символа @ (@) и домена в правой части. По умолчанию значение Псевдоним используется для значения псевдонима, но вы можете его изменить.Для значения домена щелкните раскрывающийся список и выберите обслуживаемый домен в своей организации.
- Примечания : это описание отображается в адресной книге и на панели «Подробности» в EAC.
- ^* Владельцы : владелец группы может добавлять участников в группу, утверждать или отклонять запросы на присоединение к группе или выход из нее, а также одобрять или отклонять сообщения, отправленные в группу. По умолчанию человек, который создает группу, является владельцем. У всех групп должен быть хотя бы один владелец.
  Чтобы добавить владельцев, нажмите Добавить . В появившемся диалоговом окне найдите и выберите получателя или группу, а затем нажмите добавить -> . Повторите этот шаг столько раз, сколько необходимо. Когда вы закончите, нажмите ОК .
  Чтобы удалить владельца, выберите его и нажмите Удалить .
- Члены : добавьте и удалите участников группы и укажите, требуется ли одобрение для людей, чтобы присоединиться к группе или покинуть ее.
  Используйте Добавить владельцев группы в качестве участников , чтобы добавлять или удалять владельцев в качестве участников (этот параметр выбран по умолчанию).
  Чтобы добавить участников, щелкните Добавить . В появившемся диалоговом окне найдите и выберите получателя или группу, а затем нажмите добавить -> . Повторите этот шаг столько раз, сколько необходимо. Когда вы закончите, нажмите ОК .
  Чтобы удалить участника, выберите его и нажмите Удалить .
- Выберите, требуется ли одобрение владельца для присоединения к группе. : Укажите, требуется ли одобрение для присоединения людей к группе.Выберите один из следующих параметров:
  - Открыть : любой желающий может присоединиться к этой группе без одобрения владельцев группы. Это значение по умолчанию.
  - Закрыто : Участников могут добавлять только владельцы группы. Все запросы на присоединение будут отклоняться автоматически
  - Утверждение владельца : Все запросы утверждаются или отклоняются вручную владельцами группы. Если вы выберете этот вариант, владельцы группы получат сообщение электронной почты с просьбой подтвердить присоединение к группе.
- Выберите, открыта ли группа для выхода. : Укажите, требуется ли одобрение для выхода людей из группы. Выберите один из следующих параметров:
  - Открыть : любой может покинуть эту группу без одобрения владельцев группы. Это значение по умолчанию.
  - Закрыто : Участники могут быть удалены только владельцами группы. Все запросы на выезд будут отклонены автоматически.

Дополнительные сведения об использовании Exchange Online PowerShell для создания групп рассылки см. В разделе New-DistributionGroup.

Когда вы закончите, нажмите Сохранить , чтобы создать группу рассылки.

Примечание

По умолчанию новые группы рассылки принимают сообщения только от прошедших проверку подлинности (внутренних) отправителей, а сообщения от внешних отправителей отклоняются. Чтобы настроить группу рассылки на прием сообщений от всех отправителей, необходимо изменить параметры ограничения доставки сообщений для группы.Вы можете создавать или поддерживать только универсальные группы рассылки. Чтобы преобразовать локальную доменную или глобальную группу в универсальную группу, вы можете использовать командлет Set-Group с помощью Exchange Online PowerShell. У вас могут быть группы с включенной поддержкой почты, которые были перенесены из предыдущих версий Exchange и не являются универсальными группами. Для управления этими группами можно использовать EAC или Exchange Online PowerShell.

Используйте EAC для изменения групп рассылки

В центре администрирования Exchange перейдите к Получатели > Группы .
В списке групп выберите группу рассылки, которую вы хотите изменить, а затем щелкните Изменить .
На открывшейся странице свойств группы рассылки щелкните одну из следующих вкладок, чтобы просмотреть или изменить свойства.
Когда вы закончите, нажмите Сохранить .

Общие

Используйте эту вкладку для просмотра или изменения основной информации о группе.

Отображаемое имя : это имя отображается в адресной книге, в строке «Кому» при отправке электронной почты в эту группу и в списке групп .Отображаемое имя является обязательным и должно быть удобным для пользователей, чтобы люди узнали, что это такое. Он также должен быть уникальным в вашем домене.
Если вы реализовали политику именования групп, отображаемое имя должно соответствовать формату именования, определенному политикой.
Псевдоним : это часть адреса электронной почты, которая отображается слева от символа (@). Если вы измените псевдоним, основной SMTP-адрес для группы также изменится и будет содержать новый псевдоним.Кроме того, адрес электронной почты с предыдущим псевдонимом будет сохранен в качестве прокси-адреса для группы.
Адрес электронной почты : адрес электронной почты состоит из псевдонима слева от символа at (@) и домена справа. По умолчанию значение Псевдоним используется для значения псевдонима, но вы можете его изменить. Для значения домена щелкните раскрывающийся список и выберите обслуживаемый домен в своей организации.
Примечания : это описание отображается в адресной книге и на панели «Подробности» в EAC.
Скрыть эту группу из списков адресов : установите этот флажок, если вы не хотите, чтобы пользователи видели эту группу в адресной книге. Чтобы отправить электронное письмо этой группе, отправитель должен ввести псевдоним группы или адрес электронной почты в строках Кому: или Копия :.

Собственность

Используйте эту вкладку для назначения владельцев группы. Владелец группы может добавлять участников в группу, утверждать или отклонять запросы на присоединение к группе или выход из нее, а также утверждать или отклонять сообщения, отправленные в группу.По умолчанию человек, который создает группу, является владельцем. У всех групп должен быть хотя бы один владелец.

Чтобы добавить владельцев, нажмите Добавить . В появившемся диалоговом окне найдите и выберите получателя, а затем нажмите добавить -> . Повторите этот шаг столько раз, сколько необходимо. Когда вы закончите, нажмите ОК .

Чтобы удалить владельца, выберите его и нажмите Удалить .

Членство

Используйте эту вкладку для добавления или удаления членов группы.Владельцы группы не обязательно должны быть членами группы.

Чтобы добавить участников, щелкните Добавить . В появившемся диалоговом окне найдите и выберите получателя или группу, а затем нажмите добавить -> . Повторите этот шаг столько раз, сколько необходимо. Когда вы закончите, нажмите ОК .

Чтобы удалить участника, выберите его и нажмите Удалить .

Подтверждение членства

Используйте эту вкладку, чтобы указать, требуется ли утверждение пользователям для присоединения к группе или выхода из нее.

Выберите, требуется ли одобрение владельца для присоединения к группе : Выберите один из следующих параметров:
- Открыть : любой желающий может присоединиться к этой группе без одобрения владельцев группы. Это значение по умолчанию.
- Закрыто : Участников могут добавлять только владельцы группы. Все запросы на присоединение будут отклоняться автоматически
- Утверждение владельца : Все запросы утверждаются или отклоняются вручную владельцами группы.Если вы выберете этот вариант, владельцы группы получат сообщение электронной почты с просьбой подтвердить присоединение к группе.
Выберите, открыта ли группа для выхода. : Укажите, требуется ли одобрение для выхода людей из группы. Выберите один из следующих параметров:
- Открыть : любой может покинуть эту группу без одобрения владельцев группы. Это значение по умолчанию.
- Закрыто : Участники могут быть удалены только владельцами группы.Все запросы на выезд будут отклонены автоматически.

Управление доставкой

Используйте эту вкладку для управления тем, кто может отправлять электронную почту этой группе.

Только отправители внутри моей организации : только внутренние (прошедшие проверку подлинности) отправители могут отправлять сообщения в эту группу. Сообщения от внешних отправителей отклоняются. Это значение по умолчанию.
Отправители внутри и за пределами моей организации : разрешить кому угодно отправлять сообщения группе.
Вы можете настроить группу для приема сообщений только от определенных отправителей.
Чтобы добавить отправителей, нажмите Добавить . В появившемся диалоговом окне найдите и выберите отправителя или группу, а затем нажмите добавить -> . Повторите этот шаг столько раз, сколько необходимо. Когда вы закончите, нажмите ОК .
Чтобы удалить отправителя из списка, выберите отправителя и нажмите Удалить .
Важно
Почтовые контакты всегда считаются внешними пользователями.Таким образом, если вы настроите группу для приема сообщений только от внутренних отправителей и добавите почтовые контакты в список разрешенных отправителей, сообщения от этих почтовых контактов все равно будут отклоняться.

Утверждение сообщения

Используйте эту вкладку для настройки параметров модерирования группы. Модераторы одобряют или отклоняют сообщения, отправленные группе, до того, как они достигнут участников группы.

Сообщения, отправленные в эту группу, должны быть одобрены модератором. : Когда вы включаете модерацию для группы, сообщения, отправляемые в группу, требуют утверждения указанным модератором или владельцем группы, прежде чем сообщение будет доставлено членам группы. .По умолчанию этот параметр отключен.
Модераторы группы : Чтобы добавить модераторов, нажмите Добавить . В появившемся диалоговом окне найдите и выберите получателя, а затем нажмите добавить -> . Повторите этот шаг столько раз, сколько необходимо. Когда вы закончите, нажмите ОК .
Чтобы удалить модератора, выберите модератора и нажмите Удалить .
Если вы включили модерацию для группы, но не указали модераторов, владельцы группы несут ответственность за утверждение сообщений, отправляемых группе.
Отправители, которым не требуется утверждение сообщения : сообщения, отправляемые в группу указанными отправителями, не требуют утверждения модератором.
Чтобы добавить отправителей, нажмите Добавить . В появившемся диалоговом окне найдите и выберите отправителя или группу, а затем нажмите добавить -> . Повторите этот шаг столько раз, сколько необходимо. Когда вы закончите, нажмите ОК .
Чтобы удалить отправителей, выберите отправителей и нажмите Удалить .
Выбрать уведомления модерации : настроить параметры уведомления отправителя для утверждения сообщения:
- Уведомлять всех отправителей, если их сообщения не утверждены. : Внутренние и внешние отправители уведомляются, когда их сообщения не утверждены. Это значение по умолчанию.
- Уведомлять отправителей в вашей организации, если их сообщения не утверждены. : Внутренние отправители уведомляются, если их сообщения не утверждены.Внешние отправители не уведомляются.
- Не уведомлять никого, если сообщение не утверждено. : Уведомления не отправляются.

Варианты электронной почты

Используйте вкладку Адреса электронной почты , чтобы просмотреть или изменить адреса электронной почты, связанные с группой. Сюда входит основной SMTP-адрес группы и все связанные прокси-адреса. Основной SMTP-адрес (также известный как адрес для ответа) отображается в списке адресов жирным шрифтом, а значение SMTP заглавными буквами отображается в столбце Тип .

Добавить : Щелкните Добавить . На открывшейся странице Новый адрес электронной почты настройте следующие параметры:
- Тип адреса электронной почты : Убедитесь, что выбран SMTP .
- Адрес электронной почты : введите адрес электронной почты, который нужно добавить.
- Сделайте это адресом для ответа
Когда вы закончите, нажмите ОК .
Изменить : выберите адрес электронной почты, который вы хотите изменить, и нажмите Изменить .На открывшейся странице адреса электронной почты настройте следующие параметры:
- Адрес электронной почты : измените существующий адрес электронной почты.
- Сделать адресом для ответа : этот параметр отображается только в том случае, если выбранный адрес электронной почты еще не является адресом для ответа.
Когда вы закончите, нажмите ОК .
Удалить : выберите адрес электронной почты, который вы хотите удалить, и нажмите Удалить .Вы не можете удалить ответный адрес.

MailTip

Используйте вкладку MailTip , чтобы добавить предупреждение о потенциальных проблемах до того, как пользователь отправит сообщение этому получателю. Текст отображается в информационной панели, когда получатель добавляется в строки «Кому», «Копия» или «Скрытая копия» нового сообщения электронной почты.

Подсказки могут включать HTML-теги, но скрипты не разрешены. Длина настраиваемой подсказки не может превышать 175 отображаемых символов. HTML-теги не учитываются в лимите.

Групповая делегация

Используйте этот раздел, чтобы назначить разрешения пользователю (называемому делегатом), чтобы он мог отправлять сообщения в качестве группы или отправлять сообщения от имени группы. Вы можете назначить следующие разрешения:

Отправить как : позволяет делегату отправлять сообщения, как если бы они пришли непосредственно из группы. Нет никаких указаний на то, что сообщение было отправлено делегатом. После назначения этого разрешения делегат может добавить группу в строку «От:», чтобы указать, что сообщение было отправлено группой.
Отправить от имени : позволяет делегату отправлять сообщения из группы. Адрес От этих сообщений ясно показывает, что сообщение было отправлено делегатом (« от имени »). Однако ответы на эти сообщения отправляются группе, а не делегату. После назначения этого разрешения у делегата есть возможность добавить группу в строку From :.

Чтобы добавить отправителей, нажмите Добавить .В появившемся диалоговом окне найдите и выберите отправителя или группу, а затем нажмите добавить -> . Повторите этот шаг столько раз, сколько необходимо. Когда вы закончите, нажмите ОК .

Чтобы удалить отправителя из списка, выберите отправителя и нажмите Удалить .

Используйте EAC для удаления групп рассылки

В центре администрирования Exchange перейдите к Получатели > Группы .
В списке групп выберите группу рассылки, которую вы хотите удалить, а затем нажмите Удалить .

Использование PowerShell для управления группами рассылки

Используйте Exchange Online PowerShell для создания групп рассылки

В этом примере создается группа рассылки с псевдонимом itadmin и именем ИТ-администраторы . Группа рассылки создается в подразделении по умолчанию, и любой может присоединиться к этой группе без одобрения владельцев группы.

.