En los bosques de AD promedio, los grupos gobiernan la autorización de datos confidenciales. Los grupos pueden distribuir contenido o ayudar a dar acceso a archivos, servicios o incluso delegación AD. Después de la instalación, obtendrá varios grupos integrados, como el grupo de administradores de dominio o los operadores de cuentas.
Los Usuarios y equipos de Active Directory (ADUC) y el Centro de administración de Active Directory (ADAC) son programs que proporcionan una interfaz de usuario gráfica para interactuar con grupos y ayudar a administrarlos. ADAC se diferencia de ADUC en que tiene el historial de PowerShell, lo que brinda la capacidad de ver los cmdlets de PowerShell detrás de la GUI.
Para administrar grupos, debe iniciar sesión en un DC, un servidor unido a un dominio o un dispositivo con las herramientas de administración remota del servidor (RSAT) instaladas.
Hablando sobre el nivel de acceso, debe tener una cuenta de administrador de dominio, la cuenta de Operadores de cuenta o tener derechos para crear grupos en ciertas OU a través de delegación.
Gestión de membresías de grupos que expiran
Las membresías grupales se pueden configurar para que caduquen. Para usar la opción de membresía de grupo que expira, el FFL de Active Directory debe ser al menos Windows Server 2012 R2. La función de administración de acceso privilegiado debe estar habilitada. Esto se puede lograr utilizando las siguientes líneas de PowerShell en un sistema con el módulo de Active Directory para Windows PowerShell instalado:
Import-Module ActiveDirectoryEnable-ADOptionalFeature "Privileged Access Management Feature" -Scope ForestOrConfigurationSet -Target office.localEscriba "y" para confirmar esta acción. Tenga en cuenta que esta es una función irreversible y no se puede desactivar.
Establecer membresías grupales que vencen a través de Windows Potencia Shell.
Normalmente, para agregar un objeto de usuario a un grupo, usaría las siguientes líneas de PowerShell:
Import-Module ActiveDirectoryAdd-ADGroupMember -Identity "CN=ITGroup,OU=OfficeCorp,DC=office,DC=local" -Members "GSoul"Sin embargo, para agregar a un grupo a un usuario con una membresía de grupo que está por vencer, debe usar las siguientes líneas de PowerShell en un sistema con el módulo Active Directory para Windows PowerShell instalado:
Import-Module ActiveDirectoryAdd-ADGroupMember -Identity "CN=ITGroup,OU=OfficeCorp,DC=office,DC=local" -Members "GSoul" -MemberTimeToLive (New-TimeSpan -Days 14)Para ver el tiempo de vida de las membresías grupales, use las siguientes líneas de código de PowerShell:
Import-Module ActiveDirectoryGet-ADGroup "CN=ITGroup,OU=OfficeCorp,DC=office,DC=local" -Property member -ShowMemberTimeToLive
Busque la opción TTL, se muestra en segundos.
Ver membresías de grupos anidados
Esta instrucción le mostrará cómo enumerar todos los miembros de un grupo, incluso los miembros de grupos anidados.
Usando ADUC
Como administrador, podrías cliMarque los grupos en la pestaña Miembros e ingrese las propiedades de los grupos anidados para ver sus miembros. Sin embargo, cuando los grupos están muy anidados, resulta muy difícil realizar dicha acción.
Ver todos los miembros del grupo, incluidos los grupos anidados a través de PowerShell.
Use las siguientes líneas de código de PowerShell para enumerar todas las pertenencias a grupos en un grupo:
Import-Module ActiveDirectoryGet-ADGroupMember -Identity "CN=ITGroup,OU=OfficeCorp,DC=office,DC=local" -Recursive | Out-GridViewEncontrar grupos vacíos
Esta guía te ayudará a encontrar grupos sin miembros. Cada objeto en Active Directory consume recursos. Cuando un grupo no se usa, puede considerar eliminarlo para dejar espacio para otros objetos más importantes.
Encontrar grupos vacíos con PowerShell
Use las siguientes líneas de PowerShell para encontrar todos los grupos sin membresías en Active Directory:
Import-Module ActiveDirectoryGet-ADGroup -Filter * -Properties members | Where-Object {$_.Members.count -eq 0} | Out-GridView
