ОПИСАНИЕ
Получает элементы группы Active Directory.
СИНТАКСИС
Get-ADGroupMember [-Identity] <ADGroup> [-AuthType {Negotiate | Basic}] [-Credential <PSCredential>] [-Partition <string>] [-Recursive <switch>] [-Server <string>] [<CommonParameters>]
ОПИСАНИЕ
Командлет Get-ADGroupMember получает элементы группы Active Directory. Элементами могут быть пользователи, группы и компьютеры.
Параметр Identity определяет группу Active Directory, к которой производится обращение. Группу можно идентифицировать по ее различающемуся имени (DN), значению GUID, идентификатору безопасности (SID) или имени учетной записи SAM. Группу можно также задать, передав объект группы по конвейеру. Например, можно использовать командлет Get-ADGroup, чтобы извлечь объект группы, и затем передать этот объект по конвейеру командлету Get-ADGroupMember.
Если задан параметр Recursive, командлет получает все элементы из иерархии группы, которые не содержат дочерних объектов. Например, если группа InnaOzhoginaReports содержит пользователя SvetlanaOmelchenko и группу VadimKorepinReports, а группа VadimKorepinReports содержит пользователя AlexeyOrekhov, то данный командлет возвратит значения SvetlanaOmelchenko и AlexeyOrekhov.
Для сред AD LDS необходимо задать параметр Partition, за исключением двух следующих случаев.
— Командлет запускается с диска поставщика Active Directory.
— Для среды AD LDS определен контекст или раздел именования по умолчанию. Чтобы задать контекст именования по умолчанию для среды AD LDS, задайте значение свойства msDS-defaultNamingContext объекта агента служб каталогов (DSA) Active Directory (nTDSDSA) для экземпляра AD LDS.
ПАРАМЕТРЫ
-AuthType <ADAuthType>
Задает используемый метод проверки подлинности. Возможные значения параметра:
Negotiate или 0
Basic или 1
По умолчанию используется метод проверки подлинности Negotiate.
Для метода проверки подлинности Basic требуется SSL-соединение.
В следующем примере показано, как присвоить этому параметру значение Basic.
|
1 |
-AuthType Basic |
Возможные значения параметра:
Negotiate
Basic
| Необходимость параметров | Не обязательный параметр |
| Позиция | именованный параметр |
| Значение по умолчанию | Microsoft.ActiveDirectory.Management.AuthType.Negotiate |
| Принимать входные данные конвейера | false |
| Принимать подстановочные знаки | false |
-Credential <PSCredential>
Задает параметры учетной записи пользователя для выполнения задачи. Учетными данными по умолчанию являются учетные данные текущего пользователя, вошедшего в систему, если только командлет не выполняется с диска поставщика Active Directory PowerShell. Если командлет выполняется с такого диска поставщика, в качестве значения по умолчанию используется учетная запись, связанная с диском.
Чтобы задать этот параметр, можно ввести имя пользователя, например «User1» или «Domain01\User01», либо указать объект PSCredential. Если для этого параметра задать имя пользователя, командлет запросит пароль.
Кроме того, объект PSCredential можно создать с помощью скрипта или командлета Get-Credential. Затем параметру Credential можно присвоить значение объекта PSCredential. В следующем примере показано как создать учетные данные.
$AdminCredentials = Get-Credential «Domain01\User01»
Ниже показано, как присвоить параметру Credential эти учетные данные.
|
1 |
-Credential $AdminCredentials |
Если для используемых учетных данных не установлены полномочия на уровне каталога для выполнения задачи, Active Directory PowerShell вернет прерывающую ошибку.
| Необходимость параметров | Не обязательный параметр |
| Позиция | именованный параметр |
| Значение по умолчанию | |
| Принимать входные данные конвейера | false |
| Принимать подстановочные знаки | false |
-Identity <ADGroup>
Задает объект группы Active Directory путем указания одного из следующих значений. Идентификатор в скобках представляет собой отображаемое имя LDAP атрибута.
Различающееся имя
Пример: CN=saradavisreports,OU=europe,CN=users,DC=corp,DC=contoso,DC=com
GUID (objectGUID)
Пример: 599c3d2e-f72d-4d20-8a88-030d99495f20
Идентификатор безопасности (objectSid)
Пример: S-1-5-21-3165297888-301567370-576410423-1103
Имя учетной записи SAM (sAMAccountName)
Пример: saradavisreports
Командлет ищет объект в пределах контекста или раздела именования по умолчанию. Если найдено несколько объектов, командлет вернет непрерывающую ошибку.
Этот параметр также может принимать данный объект по конвейеру, либо можно присваивать этому параметру экземпляр объекта.
В данном примере показано, как присвоить этому параметру различающееся имя.
|
1 |
-Identity "CN=innaozhoginareports,OU=europe,CN=users,DC=corp,DC=contoso,DC=com" |
В данном примере показано, как присвоить этому параметру экземпляр объекта группы с именем «ADGroupInstance».
|
1 |
-Identity $ADGroupInstance |
| Необходимость параметров | Не обязательный параметр |
| Позиция? 1 | |
| Значение по умолчанию | |
| Принимать входные данные конвейера | true (ByValue) |
| Принимать подстановочные знаки | false |
-Partition <string>
Задает различающееся имя раздела Active Directory. Различающееся имя должно являться одним из контекстов именования текущего сервера каталогов. Командлет ищет в этом разделе объект, заданный параметром Identity.
В следующих двух примерах показано, как задать значение этого параметра.
|
1 |
-Partition "CN=Configuration,DC=EUROPE,DC=TEST,DC=CONTOSO,DC=COM" |
|
1 |
-Partition "CN=Schema,CN=Configuration,DC=EUROPE,DC=TEST,DC=CONTOSO,DC=COM" |
Во многих случаях, если значение параметра Partition не указано, для него будет использоваться Значение по умолчанию,. Правила определения значения по умолчанию представлены ниже. Обратите внимание, что правила, указанные первыми, анализируются также первыми, и после определения значения по умолчанию никакие другие правила не рассматриваются.
В средах доменных служб Active Directory Значение по умолчанию, параметра Partition будет установлено в следующих случаях. — Если в качестве значения параметра Identity установлено различающееся имя, для формирования значения по умолчанию параметра Partition автоматически используется это различающееся имя.
— При запуске командлетов с диска поставщика Active Directory для формирования значения по умолчанию параметра Partition автоматически используется текущий путь на диске.
— Если ни один из представленных выше вариантов не применим, в качестве значения по умолчанию параметра Partition будет использоваться раздел по умолчанию или контекст именования целевого домена.
В средах AD LDS Значение по умолчанию, параметра Partition будет установлено в следующих случаях.
— Если в качестве значения параметра Identity установлено различающееся имя, для формирования значения по умолчанию параметра Partition автоматически используется это различающееся имя.
— При запуске командлетов с диска поставщика Active Directory для формирования значения по умолчанию параметра Partition автоматически используется текущий путь на диске.
— Если для целевого экземпляра AD LDS существует контекст именования по умолчанию, в качестве значения по умолчанию параметра Partition будет использоваться этот контекст именования. Чтобы задать контекст именования по умолчанию для среды AD LDS, задайте значение свойства msDS-defaultNamingContext объекта агента служб каталогов (DSA) Active Directory (nTDSDSA) для экземпляра AD LDS.
— Если ни один из представленных выше вариантов не применим, для параметра Partition не будет использоваться Значение по умолчанию,.
| Необходимость параметров | Не обязательный параметр |
| Позиция | именованный параметр |
| Значение по умолчанию | |
| Принимать входные данные конвейера | false |
| Принимать подстановочные знаки | false |
-Recursive <switch>
Задает, что командлет получает все элементы из иерархии группы, которые не содержат дочерних объектов. В следующем примере показана иерархия для группы InnaOzhoginaReports.
+InnaOzhoginaReports [group]
-SvetlanaOmelchenko [user]
-SergeyKlimovLaptop [computer]
+VadimKorepinReports [group]
-AlexeyOrekhov [user]
-AntonKirilov [user]
+VadimKorepinComputers [group]
-AlexeyComputer [computer]
Если задать группу InnaOzhoginaReports и указать параметр Recursive, возвращаются следующие элементы и подэлементы.
SvetlanaOmelchenko
SergeyKlimovLaptop
AlexeyOrekhov
AntonKirilov
AlexeyComputer
Если заданная группа не содержит элементов, ничего не возвращается.
В следующем примере показано, как задать этот параметр.
|
1 |
-Recursive |
| Необходимость параметров | Не обязательный параметр |
| Позиция | именованный параметр |
| Значение по умолчанию | |
| Принимать входные данные конвейера | false |
| Принимать подстановочные знаки | false |
-Server <string>
Задает используемый для подключения экземпляр доменных служб Active Directory, указывая одно из следующих значений соответствующего доменного имени или сервера каталогов. Служба может относиться к следующим категориям: службы Active Directory облегченного доступа к каталогам, доменные службы Active Directory или снимки Active Directory.
Значения доменного имени:
Полное доменное имя
Примеры corp.contoso.com
NetBIOS-имя
Пример: CORP
Значения сервера каталогов:
Полное имя сервера каталогов
Пример: corp-DC12.corp.contoso.com
NetBIOS-имя
Пример: corp-DC12
Полное имя сервера каталогов и порт
Пример: corp-DC12.corp.contoso.com:3268
Значение параметра Server по умолчанию определяется одним из следующих методов в указанном ниже порядке.
— Используя значение Server из объектов, переданных по конвейеру.
— Используя информацию о сервере, связанную с диском поставщика Active Directory PowerShell, если запуск выполнен с этого диска.
— Используя домен компьютера, на котором выполняется Powershell.
В следующем примере показано, как указать в качестве значения параметра полное доменное имя.
|
1 |
-Server "corp.contoso.com" |
| Необходимость параметров | Не обязательный параметр |
| Позиция | именованный параметр |
| Значение по умолчанию | |
| Принимать входные данные конвейера | false |
| Принимать подстановочные знаки | false |
<CommonParameters>
Этот командлет поддерживает общие параметры: Verbose, Debug, ErrorAction, ErrorVariable, WarningAction, WarningVariable, OutBuffer, PipelineVariable и OutVariable. Дополнительные сведения см. в статье about_CommonParameters (http://go.microsoft.com/fwlink/?LinkID=113216).
ВХОДНЫЕ ДАННЫЕ
Нет или Microsoft.ActiveDirectory.Management.ADGroup
Объект группы занесен в параметр Identity
ВЫХОДНЫЕ ДАННЫЕ
Microsoft.ActiveDirectory.Management.ADPrincipal
Возвращает один или несколько главных объектов, представляющих пользователей, компьютеры или группы, являющиеся элементами заданной группы.
ПРИМЕЧАНИЯ
Этот командлет не работает со снимками Active Directory.
ПРИМЕР 1
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 |
get-adgroupmember cmdlet Get-ADGroupMember at command pipeline position 1 Supply values for the following parameters: (Type !? for Help.) Identity: Administrators distinguishedName : CN=Domain Admins,CN=Users,DC=Fabrikam,DC=com name : Domain Admins objectClass : group objectGUID : 5ccc6037-c2c9-42be-8e92-c8f98afd0011 SamAccountName : Domain Admins SID : S-1-5-21-41432690-3719764436-1984117282-512 distinguishedName : CN=Enterprise Admins,CN=Users,DC=Fabrikam,DC=com name : Enterprise Admins objectClass : group objectGUID : 0215b0a5-aea1-40da-b598-720efe930ddf SamAccountName : Enterprise Admins SID : S-1-5-21-41432690-3719764436-1984117282-519 distinguishedName : CN=LabAdmin,CN=Users,DC=Fabrikam,DC=com name : LabAdmin objectClass : user objectGUID : ab7c269d-aec5-4fcc-aebe-6cd1a2e6cd53 SamAccountName : LabAdmin SID : S-1-5-21-41432690-3719764436-1984117282-1000 distinguishedName : CN=Administrator,CN=Users,DC=Fabrikam,DC=com name : Administrator objectClass : user objectGUID : 994f46e6-c62c-483f-a6cf-124197b6a959 SamAccountName : Administrator SID : S-1-5-21-41432690-3719764436-1984117282-500 |
Описание
————
Получение всех участников групп администраторов, используя поведение по умолчанию.
ПРИМЕР 2
|
1 2 3 4 5 6 7 8 |
get-adgroup -server localhost:60000 -filter {GroupScope -eq "DomainLocal"} -SearchBase "DC=AppNC" | get-adgroupmember -partition "DC=AppNC" distinguishedName : CN=SanjayPatel,OU=AccountDeptOU,DC=AppNC name : SanjayPatel objectClass : user objectGUID : d671de28-6e40-42a7-b32c-63d336de296d SamAccountName : SID : S-1-510474493-936115905-2231798853-1260534229-4171027843-767619944 |
Описание
————
Получение членов групп всех локальных групп домена экземпляра AD LDS.
ПРИМЕР 3
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 |
get-adgroupmember -Identity administrators distinguishedName : CN=Domain Admins,CN=Users,DC=Fabrikam,DC=com name : Domain Admins objectClass : group objectGUID : 5ccc6037-c2c9-42be-8e92-c8f98afd0011 SamAccountName : Domain Admins SID : S-1-5-21-41432690-3719764436-1984117282-512 distinguishedName : CN=Enterprise Admins,CN=Users,DC=Fabrikam,DC=com name : Enterprise Admins objectClass : group objectGUID : 0215b0a5-aea1-40da-b598-720efe930ddf SamAccountName : Enterprise Admins SID : S-1-5-21-41432690-3719764436-1984117282-519 distinguishedName : CN=LabAdmin,CN=Users,DC=Fabrikam,DC=com name : LabAdmin objectClass : user objectGUID : ab7c269d-aec5-4fcc-aebe-6cd1a2e6cd53 SamAccountName : LabAdmin SID : S-1-5-21-41432690-3719764436-1984117282-1000 distinguishedName : CN=Administrator,CN=Users,DC=Fabrikam,DC=com name : Administrator objectClass : user objectGUID : 994f46e6-c62c-483f-a6cf-124197b6a959 SamAccountName : Administrator SID : S-1-5-21-41432690-3719764436-1984117282-500 |
Описание
————
Получение всех участников группы администраторов.
ПРИМЕР 4
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
get-adgroupmember "Enterprise Admins" -recursive distinguishedName : CN=Administrator,CN=Users,DC=Fabrikam,DC=com name : Administrator objectClass : user objectGUID : 994f46e6-c62c-483f-a6cf-124197b6a959 SamAccountName : Administrator SID : S-1-5-21-41432690-3719764436-1984117282-500 distinguishedName : CN=Sagiv Hadaya,CN=Users,DC=Fabrikam,DC=com name : Sagiv Hadaya objectClass : user objectGUID : 64706230-f179-4fe4-b8c9-f0d334e66ab1 SamAccountName : SHadaya SID : S-1-5-21-41432690-3719764436-1984117282-1158 |
Описание
————
Получение всех участников группы «Enterprise Admins», включая членов всех дочерних групп.
ССЫЛКИ ПО ТЕМЕ
Online version: http://go.microsoft.com/fwlink/?LinkID=144954
Add-ADGroupMember
Remove-ADGroupMember
Add-ADPrincipalGroupMembership
Get-ADPrincipalGroupMembership
Remove-ADPrincipalGroupMembership
Get-ADGroup
Комментарии: