24.07.2023

Как управлять группами в AD. Часть 1: Создание и удаление групп.

В типичных лесах Active Directory группы необходимы для авторизации прав пользователей. Они могут использоваться для распространения информации через почту или предоставлять доступ к файловым ресурсам, службам или даже делегации прав в AD. Группы бывают встроенными, это те группы, которые доступны сразу после установки, к примеру Domain Admins или Account Operators.

Active Directory Users and Computers (ADUC) и Active Directory Administrative Center (ADAC) - это инструменты, которые предоставляют вам графический пользовательский интерфейс для взаимодействия с группами и управления ими. ADAC отличается от ADUC тем, что в нем есть история команд PowerShell, которая дает возможность видеть PowerShell команды выполняемые за графическим интерфейсом.

Для управления группами необходимо войти на доменный контроллер, сервер в домене или устройство с установленными средствами удаленного администрирования сервера (RSAT). Говоря о необходимых правах доступа, нам нужно состоять в группе Domain Admins, Account Operators или иметь делегированную учетную запись, на создание групп в домене или в конкретной OU.

Область применения групп

Таких существует  три вида:

Решая, какую группу создать, необходимо знать, какие существуют типы и чем они отличаются. Глобальные и универсальные группы могут состоять в локальных группах, а глобальные группы могут состоять в универсальных. Поэтому очень часто можно увидеть, что глобальные группы создаются для отделов, универсальные группы - для групп распространения, а локальные группы домена - для доступа к различным ресурсам.

Типы групп

Существует два типа групп:

Группы распределения не имеют секьюрити идентификатора (SID) и, следовательно, не могут быть использованы для предоставления прав доступа к ресурсам, за исключением Microsoft Exchange Server. А группы безопасности имеют SID и следовательно используются для назначения доступов. Так же возможно преобразовать группу распределения в группу безопасности, и наоборот.

Как создать группу

Существует несколько методов создания группы.

Создание группы в ADUC

Откройте ADUC (dsa.msc). Найдите OU или контейнер, где вы хотите создать группу. Щелкните правой кнопкой мыши на эту OU и выберите New->Group.

В окне "New Object - Group" укажите следующие значения:

  • Имя группы.
  • Область действия группы или примите значение по умолчанию - Глобальная группа.
  • Тип группы или примите значение по умолчанию - группа безопасности.

Нажмите OK, чтобы создать группу.

Создание группы с помощью ADAC

Откройте ADAC (dsac.exe). Щелкните правой кнопкой мыши на имени домена и выберите в меню пункт New->Group.

В окне "Создание группы" укажите следующие значения:

  • Имя группы
  • Область действия группы или примите значение по умолчанию - Глобальная группа.
  • Тип группы или примите значение по умолчанию - группа безопасности.

Нажмите OK, чтобы создать группу.

Создание группы в cmd.exe

Используйте следующий скрипт cmd.exe для создания группы в AD:

dsadd.exe group "CN=IT,OU=OfficeCorp,DC=office,DC=local".

Создание группы через Windows PowerShell

Используйте следующий код PowerShell:
Import-Module ActiveDirectory
New-ADGroup -GroupCategory Security -GroupScope Global -Name "ITGroup" -Path "OU=OfficeCorp,DC=office,DC=local" -SamAccountName "ITGroup"

Как удалить группу в AD

Вот несколько методов, как это сделать.

Удаление пользователя с помощью ADAC

Откройте ADUC (dsa.msc). Найдите OU или контейнер, где находится группа, которую вы собираетесь удалить.

В меню Action выберите Find... В поле Name введите имя группы, которую вы собираетесь удалить, а затем нажмите Find Now. В списке результатов поиска выберите нужную вам группу.

Щелкните правой кнопкой мыши по группе и выберите Delete. Нажмите Yes в окне подтверждения.

Удаление группы с помощью ADAC

Откройте программу ADAC (dsac.exe). Найдите OU или контейнер, где находится группа, которую вы собираетесь удалить. На панели главного меню в разделе Global Search введите имя группы, которую вы собираетесь удалить, и нажмите Enter.

В списке результатов глобального поиска выберите группу, щелкните по ней правой кнопкой мыши и выберите Delete. Нажмите Yes во всплывающем окне подтверждения.

Удаление группы в cmd.exe

Используйте следующую команду в cmd для удаления группы:

dsrm.exe "CN=ITGroup,OU=OfficeCorp,DC=office,DC=local".

Введите "y" для подтверждения и нажмите Enter.

Удаление группы с помощью Windows PowerShell

Используйте следующий код PowerShell:

Import-Module ActiveDirectory
Remove-ADObject -Identity "CN=ITGroup,OU=OfficeCorp,DC=office,DC=local"

Введите "y" для подтверждения и нажмите Enter.

Другие части инструкции: