В типичных лесах Active Directory группы необходимы для авторизации прав пользователей. Они могут использоваться для распространения информации через почту или предоставлять доступ к файловым ресурсам, службам или даже делегации прав в AD. Группы бывают встроенными, это те группы, которые доступны сразу после установки, к примеру Domain Admins или Account Operators.
Active Directory Users and Computers (ADUC) и Active Directory Administrative Center (ADAC) - это инструменты, которые предоставляют вам графический пользовательский интерфейс для взаимодействия с группами и управления ими. ADAC отличается от ADUC тем, что в нем есть история команд PowerShell, которая дает возможность видеть PowerShell команды выполняемые за графическим интерфейсом. Для управления группами необходимо войти на доменный контроллер, сервер в домене или устройство с установленными средствами удаленного администрирования сервера (RSAT).
Говоря о необходимых правах доступа, нам нужно состоять в группе Domain Admins, Account Operators или иметь делегированную учетную запись, на создание групп в домене или в конкретной OU.
Управление членством в группах
Управлять членством в группе можно несколькими способами:
Управление членством в группе через ADUC
Добавление пользователей в группу
Откройте ADUC (dsa.msc). Перейдите в OU, где находится нужный пользователь. В меню Action выберите Find.... В поле Name введите имя пользователя, которого вы хотите добавить в группу, а затем нажмите Enter.
Щелкните правой кнопкой мыши на нужном пользователе и выберите в меню пункт "Add to a group...".
В окне "Select Group" введите имя нужной группы, или нажмите кнопку "Advanced" для поиска нужной группы. Нажмите кнопку "Check Names", а затем OK, чтобы добавить пользователя в группу.
Удаление пользователя из группы
Перейдите к нужной OU или контейнеру, в котором хранится нужная группа. В меню "Action" выберите "Find...". В поле "Name" введите имя нужной группы и нажмите Enter. Щелкните группу правой кнопкой мыши и выберите "Properties". Переключитесь на вкладку "Members". В окне "Group Properties" выберите пользователя и нажмите "Remove", для удаления.
Нажмите "Да" в окне подтверждения, а затем OK и все готово.
Управление членством в группах с помощью ADAC
Добавление пользователя в группу
Запустите ADAC, в левой панели навигации переключитесь на “Tree view". Перейдите к OU или контейнеру, в котором находится пользователь и в поле Global Search найдите нужного пользователя, для этого введите имя объекта пользователя в область поиска, а затем нажмите Enter. В списке результатов глобального поиска выберите нужного пользователя. Щелкните правой кнопкой мыши по нему и выберите Add to a group....
В окне "Select Groups" введите имя группы, в которую вы хотите добавить учетную запись. Нажмите "Check Names", a затем OK, чтобы завершить добавление пользователя.
Удаление пользователя из группы
Чтобы удалить пользователя перейдите в OU или контейнер, в котором находится группа. В разделе "Global Search" введите название группы, а затем нажмите Enter. В списке результатов глобального поиска выберите нужную группу. Щелкните по ней правой кнопкой мыши и выберите в Properties. Слева выберите пункт Members, как показано на следующем скриншоте экрана:
В разделе Выберите нужного пользователя и нажмите Remove, чтобы удалить пользователя из группы. Будьте внимательны, в этом случае подтверждающего окна показано не будет.
Использование Windows PowerShell
Используйте следующую команду для того чтобы добавить пользователя в группу:
Import-Module ActiveDirectoryAdd-ADGroupMember -Identity "CN=ITGroup,OU=OfficeCorp,DC=office,DC=local" -Members "GSoul"Используйте следующие строки кода PowerShell для удаления пользователя из группы в Active Directory:
Import-Module ActiveDirectoryRemove-ADGroupMember -Identity "CN=ITGroup,OU=OfficeCorp,DC=office,DC=local" -Members "GSoul"Нажмите “y” для подтверждения действия.
