Я хотел бы создать динамическую группу с пользователями из определенного подразделения в моем Active Directory. Я могу отлично это сделать, используя динамический список рассылки Exchange, но, конечно, Ex DDL предназначены только для почты.
Есть ли способ создать это? Я нашел несколько руководств, использующих System Center для решения этой проблемы, но System Center не подходит.
Заранее спасибо,
В Active Directory нет такой вещи, как динамическая группа безопасности, есть только группы динамического распространения.
Для этого я думаю, что наиболее жизнеспособным вариантом было бы наличие сценария Powershell, определяющего, кто находится в данном подразделении, и соответствующего обновления группы безопасности, возможно, так:
Import-Module ActiveDirectory
$groupname = PseudoDynamicGroup
$users = Get-ADUser -Filter * -SearchBase "ou=desiredUsers,dc=domain,dc=tld"
foreach($user in $users)
{
Add-ADGroupMember -Identity $groupname -Member $user.samaccountname -ErrorAction SilentlyContinue
}
$members = Get-ADGroupMember -Identity $groupname
foreach($member in $members)
{
if($member.distinguishedname -notlike "*ou=desiredUsers,dc=domain,dc=tld*")
{
Remove-ADGroupMember -Identity $groupname -Member $member.samaccountname
}
}
Я отвечаю на свой вопрос. С идеями Матиаса PowerShell я нашел это в Интернете:
https://github.com/davegreen/shadowGroupSync
В блог автора содержит дополнительную информацию о дизайне и мотивах инструмента.
Это можно сделать с помощью Adaxes. Технически он будет динамически обновлять членство в группе после обновления / перемещения пользователей. Вот пример того, как автоматически поддерживать членство в группе на основе атрибута Department, но его очень легко изменить, чтобы сделать то же самое на основе OU. http://www.adaxes.com/tutorials_AutomatingDailyTasks_AddUsersToGroupsByDepartment.htm
Я также искал способ создания динамических групп безопасности в Active Directory и пришел к выводу как Матиас. Мое решение было не таким элегантным, как его, я использую запланированный сценарий PowerShell, чтобы удалить всех пользователей из групп, а затем заполнить их пользователями из OU. Кроме того, я удостоверился, что группы вложенных подразделений были добавлены в группу безопасности родительских подразделений, где они подходили.
import-module ActiveDirectory
Get-ADGroupMember OU_GroupName | % { Remove-ADGroupMember 'OU_GroupName' -Members $_ -Confirm:$false}
Get-ADUser -SearchBase 'OU=OUName,OU=ParentOUName,DC=DomainName,DC=TopDomainName' -Searchscope 1 -Filter * | % { Add-ADGroupMember 'OU_GroupName' -Members $_ }
Add-ADGroupMember -Identity "OU_ParentName" -Members "OU_ChildOneName", "OU_ChildTwoName", "OU_ChildThreeName"
Не уверен, что это хорошо масштабируется в большой компании, но сценарий использует только несколько минут в нашей компании из 300 пользователей.
Самый простой способ - использовать DynamicGroup. http://www.firstattribute.com/en/active-directory/ad-automation/dynamic-groups/
Мы запускаем его в различных средах после перехода с Novell на Active Directory.
Это программное обеспечение для автоматического создания групп подразделений, групп подразделений и так далее. Просто создайте фильтр и все.
К заявлению, оставленному другим участником. Если вы не запускаете это из контроллера домена, вам нужно будет либо предоставить статическую запись, заменив $ domainController, либо вы можете добавить другую, за которой следует $ DomainController и передать эту информацию.
Чтобы добавить пользователя в группу
Function AddUserToGroup($Group, $User, $DomainController)
{
if(!(Get-ADGroupMember -Identity $group | ?{$_.name -eq $User}))
{
Add-ADGroupMember -Identity $group -Members $User -Server $DomainController
}
else
{
return "The user: $User is already in the $group"
}
}
Чтобы удалить пользователя, вы можете сделать то же самое.
Function RemoveUserFromGroup($Group, $User, $DomainController)
{
if((Get-ADGroupMember -Identity $group | ?{$_.name -eq $User}))
{
Remove-ADGroupMember -Identity $group -Members $User -Server $DomainController
}
else
{
return "The user: $User is not a member of $group"
}
}
Теперь, чтобы использовать это, вы можете сделать это ...
$Users = Get-Aduser -Filter *
Foreach($user in $users)
{
AddUserToGroup "SomeGroup" $user.name "ServerName"
}
или
Было бы лучше иметь OU отключенных пользователей или что-то, где это может произойти, или если вы переключите OU, например сайт или группу
$Users = Get-Aduser -Filter *
Foreach($user in $users)
{
RemoveUserToGroup "SomeGroup" $user.name "ServerName"
}