web-dev-qa-db-ja.com

OUのユーザーを使用してActive Directoryで動的グループを作成する

Active Directoryの特定のOUのユーザーで動的グループを作成したいと思います。 Exchange動的配布リストを使用してこれを完全に行うことができますが、もちろん、Ex DDLはメール専用です。

これを作成する方法はありますか? System Centerを使用してこれを処理するガイドをいくつか見つけましたが、System Centerはオプションではありません。

前もって感謝します、

8

Active Directoryには動的セキュリティグループなどはありません。動的配布グループのみです。

これを実現するために、最も実行可能なオプションは、Powershellスクリプトで、指定されたOUに誰が属しているかを判断し、それに応じてセキュリティグループを更新することです。

Import-Module ActiveDirectory
$groupname = PseudoDynamicGroup
$users = Get-ADUser -Filter * -SearchBase "ou=desiredUsers,dc=domain,dc=tld"
foreach($user in $users)
{
  Add-ADGroupMember -Identity $groupname -Member $user.samaccountname -ErrorAction SilentlyContinue
}
$members = Get-ADGroupMember -Identity $groupname
foreach($member in $members)
{
  if($member.distinguishedname -notlike "*ou=desiredUsers,dc=domain,dc=tld*")
  {
    Remove-ADGroupMember -Identity $groupname -Member $member.samaccountname
  }
}
11

私は自分の質問に答えています。 MathiasのPowerShellのアイデアで、インターネットでこれを見つけました。

https://github.com/davegreen/shadowGroupSync

特徴

  • 1つ以上のOUのユーザーオブジェクトまたはコンピューターオブジェクトを1つのグループに同期します。
  • PowerShell Active Directoryフィルターを使用して、シャドウグループに含まれるオブジェクトをフィルター処理する機能。
  • シャドウグループの種類(セキュリティ/配布)を選択する機能。

作成者のブログ には、ツールの設計と動機に関する追加情報が含まれています。

4

これはAdaxesで実行できます。技術的には、ユーザーが更新または移動されると、グループメンバーシップを動的に更新します。以下は、Department属性に基づいてグループメンバーシップを自動的に維持する方法の例ですが、OUに基づいて同じことを行うように変更するのは非常に簡単です。 http://www.adaxes.com/tutorials_AutomatingDailyTasks_AddUsersToGroupsByDepartment.htm

3

最も簡単な方法は、DynamicGroupを使用することです。 http://www.firstattribute.com/en/active-directory/ad-automation/dynamic-groups/

NovellからActive Directoryへの移行後、さまざまな環境で実行しています。

これは、OUグループ、部門グループなどを自動的に作成するソフトウェアです。フィルターを作成するだけです。

1
Matthias

また、Active Directoryで動的セキュリティグループを作成する方法を探し、Mathiasとして結論を​​出しました。私のソリューションは彼ほどエレガントではありませんでした。スケジュールされたPowerShellスクリプトを使用して、グループからすべてのユーザーを削除し、OU内のユーザーを入力します。さらに、サブOUグループが、それが適合する親OUセキュリティグループに追加されることを確認しました。

import-module ActiveDirectory
Get-ADGroupMember OU_GroupName | % { Remove-ADGroupMember 'OU_GroupName' -Members $_ -Confirm:$false}
Get-ADUser -SearchBase 'OU=OUName,OU=ParentOUName,DC=DomainName,DC=TopDomainName' -Searchscope 1 -Filter * | % { Add-ADGroupMember 'OU_GroupName' -Members $_ }
Add-ADGroupMember -Identity "OU_ParentName" -Members "OU_ChildOneName", "OU_ChildTwoName", "OU_ChildThreeName"

これが大企業でうまく拡張できるかどうかはわかりませんが、スクリプトは300ユーザーの企業で数分しか使用しません。

1
Espen Olsen

他のメンバーが残した声明に。 これをドメインコントローラーから実行しない場合は、$ domainControllerを置き換えることで静的エントリを提供するか、別のを追加し、その後に$ DomainControllerを追加してその情報を渡すことができます。

ユーザーをグループに追加するには

Function AddUserToGroup($Group, $User, $DomainController)
{
 if(!(Get-ADGroupMember -Identity $group | ?{$_.name -eq $User}))
 {
  Add-ADGroupMember -Identity $group -Members $User -Server $DomainController
 }
 else
 {
  return  "The user: $User is already in the $group"
 }
}

ユーザーを削除するには、同じことを行うことができます。

Function RemoveUserFromGroup($Group, $User, $DomainController)
{
 if((Get-ADGroupMember -Identity $group | ?{$_.name -eq $User}))
 {
  Remove-ADGroupMember -Identity $group -Members $User -Server $DomainController
 }
 else
 {
  return "The user: $User is not a member of $group"
 }
}

これを使用するには、これを行うことができます...

$Users = Get-Aduser -Filter *
Foreach($user in $users)
{
  AddUserToGroup "SomeGroup" $user.name "ServerName"  
}

または

無効になっているユーザーOUまたはこれが発生する可能性がある場所、またはサイトやグループなどのOUを切り替える場合に最適です。

$Users = Get-Aduser -Filter * 
Foreach($user in $users)
{
  RemoveUserToGroup "SomeGroup" $user.name "ServerName"  
}
0
user127413