Kada upravlja pristupnim i korisničkim postavkama u domeni Active Directory, administrator može imati zadatak izrade dinamičke korisničke grupe AD. Takva dinamična skupina trebala bi automatski uključivati ili isključiti korisnike iz skupine, ovisno o postavkama korisničkog računa u domeni. Na primjer, želite automatski dodati korisnike iz određenog OU-a u grupu ili stvoriti korisničku grupu koja uključuje sve račune određenog odjela (polje Odjela) itd. Dinamičke grupe omogućuju administratoru da pojednostavi postupak dodjele dozvola datotečnim poslužiteljima, radnim stanicama itd..
Active Directory nema ugrađenu funkcionalnost za dinamičke sigurnosne skupine. No možete stvoriti PowerShell skriptu koja automatski odabire korisnike iz Active Directory-a prema određenom kriteriju i dodaje korisnike u određenu sigurnosnu grupu AD (možete privremeno) i uklanja račune iz skupine koji više ne potpadaju pod uvjetima formiranja grupe..
Kada mijenja korisničke atribute u AD-u, skripta bi trebala automatski dodati ili isključiti korisnika iz grupe.
Da biste koristili takve dinamične korisničke grupe, morate sva polja koja se koriste u kriterijima odabira držati što je moguće relevantnija za sve račune (na primjer, kada stvarate nove korisnike pomoću skripte PowerShell, morate odmah navesti grad, odjel, organizaciju itd.).
- U poslužitelju Exchange Server postoje dinamičke distribucijske skupine (Exchange Dynamic Distribution List), koje se automatski formiraju na temelju korisničkih kriterija, na primjer, vrijednosti u polju "company" (tvrtka u AD), OU u kojem se korisnik nalazi, City Field, Exchange server na kojem okvir ili bilo koji drugi korisnički atribut u Active Directoryu. No, dinamičke se distribucijske skupine mogu koristiti samo za formiranje distribucijskih skupina, ali ne i za sigurnosne skupine;
- U Azure AD postoje ugrađene dinamične grupe. U ovom direktoriju možete stvoriti razna dinamična pravila za članstvo u sigurnosnim skupinama i grupama Office 365;
- Djelomično, sposobnost dinamičnih skupina da pružaju pristup može se zamijeniti značajkom Dinamičkog nadzora pristupa (DAC) u sustavu Windows Server 2012 i novijim;
Pretpostavimo da trebate automatski dodati sve korisnike iz više OU čije polje „Odjel“ u AD-u kaže „Služba prodaje”. Napisao sam takvu skriptu PowerShell-a (za njegovo funkcioniranje potreban je modul Active Directory za Windows PowerShell, cmdlet Get-ADUser koristi se za dobivanje informacija o korisnicima i cmdleta za upravljanje grupom AD - Add-ADGroupMember, Get-ADGroupMember i Remove-ADGroupMember).
## Vaše ime domene AD
$ ADDomain = 'dc = winitpro, dc = ru'
## Dinamični naziv grupe
$ ADGroupname = 'mskSales'
Popis OU za korisničko pretraživanje
$ ADOUs = @ (
"OU = korisnici, OU = računi, OU = SPB, $ ADDomain",
"OU = korisnici, OU = računi, OU = MSK, $ ADDomain"
)
$ korisnika = @ ()
# Pretražite korisnike prema navedenom OU
foreach ($ OU u $ ADOUs)
$ users + = Get-ADUser -SearchBase $ OU -Filter Odjel prodaje-sličan odjel
foreach ($ korisnik u $ korisnicima)
Add-ADGroupMember -Identity $ ADGroupname -Member $ user.samaccountname -ErrorAction SilentlyContinue
## Sada ćemo provjeriti da li su svi korisnici grupe u skladu s kriterijima odabira, a ako korisnik ne ispuni (premješten u drugi OU, odjel je promijenjen), isključit ćemo ga iz grupe
$ members = Get-ADGroupMember -Identity $ ADGroupname
foreach ($ member u $ members)
if ($ member.distinguishedname -notlike "* OU = Korisnici, OU = Računi, OU = SPB, $ ADDomain *" -and $ member.distinguishedname -notlike "* OU = Korisnici, OU = Računi, OU = MSK, $ ADDomain * ")
Ukloni-ADGroupMember -Identitet $ ADGroupname -Member $ member.samaccountname -Potvrdite: $ false
if ((Get-ADUser -identity $ member -properties Department | Select-Object Department) .department -nelike "Odjel prodaje")
Ukloni-ADGroupMember -Identitet $ ADGroupname -Member $ member.samaccountname -Potvrdite: $ false
Pokrenite skriptu i provjerite da su kao rezultat svi korisnici iz OU podataka za koje je u polju Odjel naveden "Odjel prodaje" automatski dodani u mskSales grupu. Svi korisnici koji ne ispunjavaju ove kriterije isključeni su iz ove skupine..
Ovu skriptu treba izvesti ručno, ali je bolje pokrenuti je redovito kroz zasebni zadatak Planera zadataka, u ime računa koji ima prava u AD-u za korisnike i grupe (ne pokreću skriptu iz administratora domene, sva potrebna prava mogu se prenijeti na uobičajena račun usluge ili gmsa računa).
Ova skripta PowerShell može se koristiti kao okvir za stvaranje vlastitih pravila za stvaranje dinamičkih grupa u AD-u.
