news
Рефакторинг панели управления облачного провайдера Serverspace

Как управлять группами в AD. Часть 2: Управление членcтвом в группах

DF
Daniil Fedorov
2 августа 2021

В типичных лесах Active Directory группы необходимы для авторизации прав пользователей. Они могут использоваться для распространения информации через почту или предоставлять доступ к файловым ресурсам, службам или даже делегации прав в AD. Группы бывают встроенными, это те группы, которые доступны сразу после установки, к примеру Domain Admins или Account Operators.

Active Directory Users and Computers (ADUC) и Active Directory Administrative Center (ADAC) - это инструменты, которые предоставляют вам графический пользовательский интерфейс для взаимодействия с группами и управления ими. ADAC отличается от ADUC тем, что в нем есть история команд PowerShell, которая дает возможность видеть PowerShell команды выполняемые за графическим интерфейсом. Для управления группами необходимо войти на доменный контроллер, сервер в домене или устройство с установленными средствами удаленного администрирования сервера (RSAT).

Говоря о необходимых правах доступа, нам нужно состоять в группе Domain Admins, Account Operators или иметь делегированную учетную запись, на создание групп в домене или в конкретной OU.

 

Управление членством в группах

Управлять членством в группе можно несколькими способами:

Управление членством в группе через ADUC

Добавление пользователей в группу

Откройте ADUC (dsa.msc). Перейдите в OU, где находится нужный пользователь. В меню Action выберите Find.... В поле Name введите имя пользователя, которого вы хотите добавить в группу, а затем нажмите Enter.

Как управлять группами в AD. Часть 2: Управление членcтвом в группах

Щелкните правой кнопкой мыши на нужном пользователе и выберите в меню пункт "Add to a group...".

Как управлять группами в AD. Часть 2: Управление членcтвом в группах

В окне "Select Group" введите имя нужной группы, или нажмите кнопку "Advanced" для поиска нужной группы. Нажмите кнопку "Check Names", а затем OK, чтобы добавить пользователя в группу.

Как управлять группами в AD. Часть 2: Управление членcтвом в группах

Удаление пользователя из группы

Перейдите к нужной OU или контейнеру, в котором хранится нужная группа. В меню "Action" выберите "Find...". В поле "Name" введите имя нужной группы и нажмите Enter. Щелкните группу правой кнопкой мыши и выберите "Properties". Переключитесь на вкладку "Members". В окне "Group Properties" выберите пользователя и нажмите "Remove", для удаления.

Как управлять группами в AD. Часть 2: Управление членcтвом в группах

Нажмите "Да" в окне подтверждения, а затем OK и все готово.

Управление членством в группах с помощью ADAC

Добавление пользователя в группу

Запустите ADAC, в левой панели навигации переключитесь на “Tree view". Перейдите к OU или контейнеру, в котором находится пользователь и в поле Global Search найдите нужного пользователя, для этого введите имя объекта пользователя в область поиска, а затем нажмите Enter. В списке результатов глобального поиска выберите нужного пользователя. Щелкните правой кнопкой мыши по нему и выберите Add to a group....

Как управлять группами в AD. Часть 2: Управление членcтвом в группах

В окне "Select Groups" введите имя группы, в которую вы хотите добавить учетную запись. Нажмите "Check Names", a затем OK, чтобы завершить добавление пользователя.

Как управлять группами в AD. Часть 2: Управление членcтвом в группах

Удаление пользователя из группы

Чтобы удалить пользователя перейдите в OU или контейнер, в котором находится группа. В разделе "Global Search" введите название группы, а затем нажмите Enter. В списке результатов глобального поиска выберите нужную группу. Щелкните по ней правой кнопкой мыши и выберите в Properties. Слева выберите пункт Members, как показано на следующем скриншоте экрана:

Как управлять группами в AD. Часть 2: Управление членcтвом в группах

В разделе Выберите нужного пользователя и нажмите Remove, чтобы удалить пользователя из группы. Будьте внимательны, в этом случае подтверждающего окна показано не будет.

Использование Windows PowerShell

Используйте следующую команду для того чтобы добавить пользователя в группу:

Import-Module ActiveDirectory
Add-ADGroupMember -Identity "CN=ITGroup,OU=OfficeCorp,DC=office,DC=local" -Members "GSoul"

Используйте следующие строки кода PowerShell для удаления пользователя из группы в Active Directory:

Import-Module ActiveDirectory
Remove-ADGroupMember -Identity "CN=ITGroup,OU=OfficeCorp,DC=office,DC=local" -Members "GSoul"

Нажмите “y” для подтверждения действия.

Другие части инструкции:

Остались вопросы? Задайте их нашему эксперту и получите квалифицированную помощь