В типичных лесах Active Directory группы необходимы для авторизации прав пользователей. Они могут использоваться для распространения информации через почту или предоставлять доступ к файловым ресурсам, службам или даже делегации прав в AD. Группы бывают встроенными, это те группы, которые доступны сразу после установки, к примеру Domain Admins или Account Operators.
Active Directory Users and Computers (ADUC) и Active Directory Administrative Center (ADAC) — это инструменты, которые предоставляют вам графический пользовательский интерфейс для взаимодействия с группами и управления ими. ADAC отличается от ADUC тем, что в нем есть история команд PowerShell, которая дает возможность видеть PowerShell команды выполняемые за графическим интерфейсом. Для управления группами необходимо войти на доменный контроллер, сервер в домене или устройство с установленными средствами удаленного администрирования сервера (RSAT).
Говоря о необходимых правах доступа, нам нужно состоять в группе Domain Admins, Account Operators или иметь делегированную учетную запись, на создание групп в домене или в конкретной OU.
Управление членством в группах
Управлять членством в группе можно несколькими способами:
Управление членством в группе через ADUC
Добавление пользователей в группу
Откройте ADUC (dsa.msc). Перейдите в OU, где находится нужный пользователь. В меню Action выберите Find…. В поле Name введите имя пользователя, которого вы хотите добавить в группу, а затем нажмите Enter.
Щелкните правой кнопкой мыши на нужном пользователе и выберите в меню пункт «Add to a group…«.
В окне «Select Group» введите имя нужной группы, или нажмите кнопку «Advanced» для поиска нужной группы. Нажмите кнопку «Check Names», а затем OK, чтобы добавить пользователя в группу.
Удаление пользователя из группы
Перейдите к нужной OU или контейнеру, в котором хранится нужная группа. В меню «Action» выберите «Find…«. В поле «Name» введите имя нужной группы и нажмите Enter. Щелкните группу правой кнопкой мыши и выберите «Properties«. Переключитесь на вкладку «Members«. В окне «Group Properties» выберите пользователя и нажмите «Remove«, для удаления.
Нажмите «Да» в окне подтверждения, а затем OK и все готово.
Управление членством в группах с помощью ADAC
Добавление пользователя в группу
Запустите ADAC, в левой панели навигации переключитесь на “Tree view«. Перейдите к OU или контейнеру, в котором находится пользователь и в поле Global Search найдите нужного пользователя, для этого введите имя объекта пользователя в область поиска, а затем нажмите Enter. В списке результатов глобального поиска выберите нужного пользователя. Щелкните правой кнопкой мыши по нему и выберите Add to a group….
В окне «Select Groups» введите имя группы, в которую вы хотите добавить учетную запись. Нажмите «Check Names», a затем OK, чтобы завершить добавление пользователя.
Удаление пользователя из группы
Чтобы удалить пользователя перейдите в OU или контейнер, в котором находится группа. В разделе «Global Search» введите название группы, а затем нажмите Enter. В списке результатов глобального поиска выберите нужную группу. Щелкните по ней правой кнопкой мыши и выберите в Properties. Слева выберите пункт Members, как показано на следующем скриншоте экрана:
В разделе Выберите нужного пользователя и нажмите Remove, чтобы удалить пользователя из группы. Будьте внимательны, в этом случае подтверждающего окна показано не будет.
Использование Windows PowerShell
Используйте следующую команду для того чтобы добавить пользователя в группу:
Import-Module ActiveDirectory
Kопировать
Add-ADGroupMember -Identity "CN=ITGroup,OU=OfficeCorp,DC=office,DC=local" -Members "GSoul"
Kопировать
Используйте следующие строки кода PowerShell для удаления пользователя из группы в Active Directory:
Import-Module ActiveDirectory
Kопировать
Remove-ADGroupMember -Identity "CN=ITGroup,OU=OfficeCorp,DC=office,DC=local" -Members "GSoul"
Kопировать
Нажмите “y” для подтверждения действия.