使用 New-ADGroup Cmdlet 创建 Active Directory 组

介绍

Active Directory 提供两种类型的组，它们都非常有价值：

• 通讯组列表对于共享信息非常方便。
• 安全组对于根据用户的角色和职责准确有效地授予对资源的访问权限是必不可少的。

确保及时创建这些组、填充正确的成员并在不再需要时将其删除，对于用户工作效率和安全性至关重要。

管理员管理 AD 对象（包括 AD 组）的最简单方法是使用 Active Directory 用户和计算机 (ADUC) 或 Active Directory 管理中心 (ADAC)。但是，虽然这些工具非常适合简单的管理任务，但它们也有局限性。特别是，您无法在对象创建期间更新许多属性，并且无法一次创建多个对象。

为了克服这些限制，管理员可以求助于 PowerShell。本文介绍如何使用 PowerShell 创建组，同时指定各种属性，使用现有组作为模板创建组，以及使用 CSV 文件作为输入批量创建组。然后它提供了一个强大的第三方工具来简化组创建和管理。

新的 ADGroup Cmdlet

使用 New-ADGroup cmdlet，您可以创建 AD 组并定义其许多属性。使用 New-ADGroup cmdlet 创建对象的方法有很多种，其中一些方法如下：

• 您只需使用带有所需参数的 New-ADGroup 命令即可。
• 您还可以使用现有组作为创建新组的模板。这样，新组就具有与模板组相同的属性。
• 您可以使用 CSV 文件创建多个对象，并可以使用列作为所创建组的值来设置多个属性。

新 ADGroup：语法

以下是 New-ADGroup cmdlet 的语法：

New-ADGroup [-WhatIf] [-Confirm] [-AuthType <ADAuthType>] [-Credential <PSCredential>] [-Description <String>] [-DisplayName <String>] [-GroupCategory <ADGroupCategory>] [-GroupScope] <ADGroupScope> [-HomePage <String>] [-Instance <ADGroup>] [-ManagedBy <ADPrincipal>] [-Name] <String> [-OtherAttributes <Hashtable>] [-PassThru] [-Path <String>] [-SamAccountName <String>] [-Server <String>]

新 AD 组：参数

New-ADGroup cmdlet 提供以下参数：

描述

在运行命令之前提供有关命令输出的信息

在运行命令之前提供确认提示

指定要使用的身份验证方法，即基本或否定

提供运行命令的替代凭据（默认情况下，使用登录用户的凭据）

填充组的描述

设置组的显示名称

指定组类型：分布或安全（默认为安全）

设置组范围：域本地、全局或通用（需要一个值）

设置群组主页的 URL

指定一个组，该组将用作设置新组属性的模板

指定组所有者

设置组名

设置没有可用参数的属性值

用于请求默认情况下不返回任何内容的 cmdlet 的输出（通常是为了确保 cmdlet 的行为符合预期）

提供应在其中创建组的 OU 的可分辨名称（默认为名为“Users”的内置 OU）

填充组的安全帐户管理器 (SAM) 名称

提供应在其中创建组的目录服务器（域控制器或 AD LDS 实例）

使用 New-ADGroup 创建组

现在让我们逐步了解如何使用其中一些参数来创建 AD 组。

• 创建基本组
• 创建一个带有描述的组
• 创建组并指定其管理员
• 在特定 OU 中创建组
• 创建具有特定组类型和范围的组
• 在特定 DC 或 LDS 实例上创建组
• 创建具有其他属性的组
• 使用现有组作为模板创建组
• 批量创建组

创建基本组

如果您在 PowerShell 中仅键入 New-ADGroup 命令（如下所示），系统将提示您指定组名称和组范围，因为这些参数是必需的。而且：

• 默认情况下，组类型为“安全”。
• 该组将在名为“Users”的内置 OU 中创建。

如下面的屏幕截图所示。

新AD集团

创建一个带有描述的组

以下 cmdlet 创建一个带有描述的组：

New-ADGroup -Name “Marketing” -Description “This is a group for marketing people”

请注意，New-ADGroup cmdlet 不显示任何输出；要查看新组的详细信息，例如我们指定的描述，请使用以下命令：

Get-ADGroup Marketing -Properties * | select name,description

创建组并指定其管理员

您可以使用 -ManagedBy 参数来设置组的所有者。所有者可以是用户或组。指定以下之一作为参数值：

• DN（专有名称
• GUID（全球唯一标识符）
• SID（安全标识符）
• SAM（安全客户经理）名称

以下 cmdlet 使用用户的 SAMAccountname 将其设置为组所有者：

New-ADGroup -Name “Finance” -GroupScope Universal -ManagedBy “AbbeyCrawford”

在特定 OU 中创建组

您可以使用 -Path 参数指定要在其中创建组的 OU 的可分辨名称：

New-ADGroup -Name Human_Resource -GroupScope Universal -Path "OU=NBC,DC=milkyway,DC=local"

通过使用 Get-ADGroup cmdlet，我们可以看到该组是在我们指定的位置创建的：

创建具有特定组类型和范围的组

要创建具有特定组类型和组范围的组，请分别使用 -GroupCategory 和 -GroupScope 参数：

New-ADGroup -Name VPN -GroupCategory “Security” -GroupScope “DomainLocal”

在特定 DC 或 LDS 实例上创建组

如果您需要在特定域控制器或 LDS 实例上创建新组以使该组立即可供使用，则可以使用以下 cmdlet：

New-ADGroup -Server dcexch2013.milkyway.local -Name "Accounts" -GroupScope DomainLocal -GroupCategory Distribution

创建具有其他属性的组

New-ADGroup cmdlet 有一些参数来定义常见的组属性，就像我们在前面的示例中使用的属性一样。要填充任何没有相应参数的属性，您可以使用 -OtherAttributes 参数：

New-ADGroup -DisplayName "Engineering3" -Name "Engineering3" -Path "OU=VPN,DC=milkyway,DC=local" -GroupCategory Distribution -GroupScope Universal -Description "This is another Engineering group" -OtherAttributes @{'company'=”Versacorp”;'department'=”Engineering”}

使用现有组作为模板创建组

有时，您已经拥有一个与您想要创建的组非常相似的组。您可以根据现有组的属性创建新组，而不是手动指定所有属性。只需使用 Get -ADGroup 即可获取现有组的属性并将其通过管道传输到 New-ADGroup 命令，如下所示。请注意，您可以覆盖模板组中不需要的属性。

Get-ADGroup Engineering -Properties Description | New-ADGroup -Name "Engineering2" -SamAccountName "Engineering2" -GroupCategory Distribution -PassThru

批量创建组

PowerShell 还允许您基于 CSV 文件批量创建对象。以下是一个 CSV 文件示例：

以下脚本将该 CSV 文件的内容放入变量 ($Import_Group) 中，然后将记录一一传递到 New-ADGroup：

$Import_Group = Import-Csv -Path c:\groupslist.csv

foreach ($group in $Import_Group) {New-ADGroup -Name $Group.Name -Path “OU=NBC,DC=milkyway,DC=local” -Description $Group.description -GroupCategory $group.groupcategory -GroupScope $Group.groupscope -Otherattributes @{'Mail'=$Group.Mail}}

我们可以使用以下 cmdlet 来查看新创建的组及其填充的属性：

Get-ADGroup -Filter 'Name -like "NBC*"' -SearchBase "OU=NBC,DC=milkyway,DC=local" -Properties * | ft name,mail,groupcategory,groupscope,description

或者，我们可以查看 ADUC 中新创建的组：

使用 Netwrix GroupID 创建组

Netwrix GroupID 是一个用于在目录中创建组的强大工具。它可以与 Active Directory 和 Azure AD 配合使用，以方便组创建和管理。您可以使用以下任何模块来创建组：

• GroupID 管理外壳
• 组ID自动化
• GroupID 自助服务

GroupID 管理外壳

GroupID Management Shell 是一个命令行界面，提供了 PowerShell 的绝佳替代方案。您可以在 Active Directory 和 Azure AD 中创建和管理用户、邮箱、联系人和组。

新组 Cmdlet

与其同名的 PowerShell 一样，GroupID Management Shell 的 New-Group cmdlet 使您能够在目录中创建新组。

句法

New-Group cmdlet 具有以下语法：

New-Group -SamAccountName <string> -Name <string> -OrganizationalUnit <string> -GroupScope <string> -Type <string> -SecurityType <string> [-GroupAlias <string>] [-ManagedBy <string[]>] [-DisplayName <string>] [-MailEnabled <string>] [-Description <string>] [-AdditionalOwners <string[]>] [-NotifyOptOutAdditionalOwners <string[]>] [-Members <string[]>] [-IdentityStoreId <int>] [-SecurityToken <CustomClaimsPrincipal>] [-Credential <pscredential>] [<CommonParameters>]

所需参数

New-Group cmdlet 需要以下参数：

• Sam 帐户名
• 姓名
• 组织单位
• 集团范围
• 类型
• 安全类型

创建基于标准的智能组

Netwrix GroupID 使您能够创建安全组和通讯组列表。此外，您还可以创建智能组，其成员资格使用与其关联的 LDAP 查询动态更新。

除了创建组之外，您还可以：

• 管理组的类型、范围、安全类型和所有权。
• 指定组变为非活动状态的到期日期。
• 在林内的域之间移动组。

以下屏幕截图显示了一个查询，该查询将获取部门设置为“工程”的所有用户并将其添加到该组的成员身份中。当用户的目录信息更改或取消配置时，用户也会自动从组中删除。

通过自助服务门户创建组

Netwrix GroupID 还提供自助服务门户网站，使业务用户能够在目录中创建和管理他们的组。用户可以：

• 搜索目录。
• 创建和更新目录对象。
• 维护和更新他们的目录配置文件。

以下屏幕截图显示了名为“管理员”的用户的仪表板：

在下面，您可以看到门户“组”页面的“我的组”选项卡，其中列出了登录用户拥有的组。切换到“我的成员资格”选项卡将显示登录用户所属的组。其他选项卡与 Netwrix GroupID 强大的组过期功能相关。

自助服务门户的好处

当用户维护和更新自己的群组时，数据更加准确可靠。为了确保安全，管理员可以控制用户可以使用门户查看和更改的内容。例如，管理员可以：

• 使用基于角色的访问权限将组创建委派给特定人员。
• 确定要公开哪些属性以进行组创建和更新。
• 实施工作流程以确保应用更改之前数据正确。
• 指定收件人在用户更改目录中的对象时收到通知电子邮件。
• 启用历史记录跟踪以跟踪所有对象的历史记录。

使用自助服务门户创建组

要使用自助服务门户创建新组，只需逐步执行“创建新组”向导即可：

1. 选择要创建的组类型，静态组或智能组：

   

2. 指定组的核心属性，包括其容器 (OU)、名称和类型：

   

3. 然后搜索用户并将其作为成员添加到组中。

   

4. 接下来，指定该组的主要所有者和任何其他所有者：

   

5. 在向导的最后一页上，查看您的选择摘要，然后单击“完成”以创建组：