05.05.2023

Как управлять группами в AD. Часть 3: Управление группами с истекающим сроком действия и просмотр вложенных групп

В типичных лесах Active Directory группы необходимы для авторизации прав пользователей. Они могут использоваться для распространения информации через почту или предоставлять доступ к файловым ресурсам, службам или даже делегации прав в AD. Группы бывают встроенными, это те группы, которые доступны сразу после установки, к примеру Domain Admins или Account Operators.

Active Directory Users and Computers (ADUC) и Active Directory Administrative Center (ADAC) - это инструменты, которые предоставляют вам графический пользовательский интерфейс для взаимодействия с группами и управления ими. ADAC отличается от ADUC тем, что в нем есть история команд PowerShell, которая дает возможность видеть PowerShell команды выполняемые за графическим интерфейсом.

Для управления группами необходимо войти на доменный контроллер, сервер в домене или устройство с установленными средствами удаленного администрирования сервера (RSAT). Говоря о необходимых правах доступа, нам нужно состоять в группе Domain Admins, Account Operators или иметь делегированную учетную запись, на создание групп в домене или в конкретной OU.

Управление группами с временным членством

Членство в группе может быть временным. Чтобы использовать эту опцию, Active Directory FFL должен быть не ниже Windows Server 2012 R2. А так же должна быть включена функция управления привилегированным доступом. Этого можно добиться с помощью следующих строк PowerShell кода:

Import-Module ActiveDirectory
Enable-ADOptionalFeature "Privileged Access Management Feature" -Scope ForestOrConfigurationSet -Target office.local

Введите "y" для подтверждения этого действия. Обратите внимание, что эта функция необратима и не может быть отключена.

Установка истекающих сроков членства в группах с помощью Windows PowerShell

Обычно для добавления объекта пользователя в группу используются следующие строки PowerShell:

Import-Module ActiveDirectory
Add-ADGroupMember -Identity "CN=ITGroup,OU=OfficeCorp,DC=office,DC=local" -Members "GSoul"

Однако, чтобы добавить в группу пользователя временно, необходимо использовать другой PowerShell код:

Import-Module ActiveDirectory
Add-ADGroupMember -Identity "CN=ITGroup,OU=OfficeCorp,DC=office,DC=local" -Members "GSoul" -MemberTimeToLive (New-TimeSpan -Days 14)

Чтобы просмотреть оставшееся время у пользователя на пребывание в группе, используйте следующие строки кода PowerShell:

Import-Module ActiveDirectory
Get-ADGroup "CN=ITGroup,OU=OfficeCorp,DC=office,DC=local" -Property member -ShowMemberTimeToLive

Обратите внимание на параметр TTL, это и будет оставшееся время. Данный параметр отображается в секундах.

Просмотр членства во вложенных группах

Эта инструкция покажет вам, как отобразить всех членов группы, даже членов вложенных групп.
С помощью ADUC
Для отображения списка пользователей можно зайти во вкладку Members и войти в свойства каждой вложенной группы, чтобы просмотреть всех их членов. Однако, когда вложенных групп много, выполнить такое действие становится очень сложно.
Просмотр всех членов группы, включая вложенные, с помощью PowerShell
Используйте следующие строки кода PowerShell для перечисления всех членов группы:

Import-Module ActiveDirectory
Get-ADGroupMember -Identity "CN=ITGroup,OU=OfficeCorp,DC=office,DC=local" -Recursive | Out-GridView

Поиск пустых групп

Это руководство поможет вам найти группы без членов. Каждый объект в Active Directory занимает ресурсы. Когда группа не используется, вы можете рассмотреть возможность ее удалить, чтобы освободить место для других, более важных объектов.

Поиск пустых групп с помощью PowerShell

Используйте следующие строки PowerShell, чтобы найти все группы без членов в Active Directory:

Import-Module ActiveDirectory
Get-ADGroup -Filter * -Properties members | Where-Object {$_.Members.count -eq 0} | Out-GridView

Другие части инструкции: