Када управља приступним и корисничким подешавањима у домену Ацтиве Дирецтори, администратор може имати задатак да креира динамичке корисничке групе АД. Таква динамичка група треба аутоматски да укључи или искључи кориснике из групе, у зависности од подешавања корисничког налога у домену. На пример, желите да аутоматски додате кориснике из одређеног ОУ у групу или створите корисничку групу која укључује све налоге одређеног одељења (поље Одељења) итд. Динамичке групе омогућавају администратору да поједностави поступак додељивања дозвола серверима датотека, радним станицама итд..
Ацтиве Дирецтори нема уграђену функцију за динамичке безбедносне групе. Међутим, можете да креирате скрипту ПоверСхелл која аутоматски бира кориснике из Ацтиве Дирецтори-а према одређеном критеријуму и додаје кориснике у одређену АД безбедносну групу (можете привремено) и уклања рачуне из групе који више не потпадају под условима формирања групе..
Приликом промене корисничких атрибута у АД-у, скрипта треба аутоматски да дода или искључи корисника из групе.
Да бисте користили такве динамичке корисничке групе, морате задржати сва поља која се користе у критеријумима за избор што је више могуће за све налоге (на пример, када креирате нове кориснике помоћу скрипте ПоверСхелл, морате одмах навести град, одељење, организацију итд.).
- У Екцханге Серверу постоје динамичке дистрибутивне групе (Екцханге Динамиц Дистрибутион Лист), које се аутоматски формирају на основу корисничких критеријума, на пример, вредности у пољу „цомпани“ (компанија у АД), ОУ у коме се корисник налази, Цити Фиелд, Екцханге сервер на коме поље или било који други кориснички атрибут у Ацтиве Дирецтори-у. Али динамичке дистрибутивне групе могу се користити само за формирање група дистрибуције, али не и за безбедносне групе;
- У Азуре АД постоје уграђене динамичке групе. У овом директоријуму можете да креирате различита динамичка правила за чланство у безбедносним групама и групама Оффице 365;
- Делом, способност динамичних група да обезбеде приступ може да се замени функцијом динамичке контроле приступа (ДАЦ) у систему Виндовс Сервер 2012 и новијим;
Претпоставимо да морате аутоматски да додате све кориснике из више ОУ чије поље „Одељење“ у АД каже „Сектор продаје" Написао сам такав ПоверСхелл скрипту (за његово функционисање потребан је Ацтиве Дирецтори модул за Виндовс ПоверСхелл, цмдлет Гет-АДУсер користи се за добијање информација о корисницима и цмдлета за управљање групом АД - Адд-АДГроупМембер, Гет-АДГроупМембер и Ремове-АДГроупМембер).
## Ваше име домена АД
$ АДДомаин = 'дц = винитпро, дц = ру'
## Динамично име групе
$ АДГроупнаме = 'мскСалес'
## ОУ листа за корисничку претрагу
$ АДОУс = @ (
"ОУ = корисници, ОУ = рачуни, ОУ = СПБ, $ АДДомаин",
"ОУ = корисници, ОУ = налози, ОУ = МСК, $ АДДомаин"
)
$ корисника = @ ()
# Претражите кориснике по наведеном ОУ
фореацх ($ ОУ у $ АДОУс)
$ усерс + = Гет-АДУсер -СеарцхБасе $ ОУ -Филтер Одељење-слично одељење продаје
фореацх ($ корисник у $ корисницима)
Адд-АДГроупМембер -Идентити $ АДГроупнаме -Мембер $ усер.самаццоунтнаме -ЕррорАцтион СилентлиЦонтинуе
## Сада ћемо проверити све кориснике у групи да ли испуњавају критеријуме за избор и, уколико корисник не испуни (премештен у други ОУ, одељење је промењен), изузећемо га из групе
$ мемберс = Гет-АДГроупМембер -Идентити $ АДГроупнаме
фореацх ($ мембер у $ мемберс)
иф ($ мембер.дистингуисхеднаме -нотлике "* ОУ = Корисници, ОУ = Налози, ОУ = СПБ, $ АДДомаин *" -анд $ мембер.дистингуисхеднаме -нотлике "* ОУ = Корисници, ОУ = Рачуни, ОУ = МСК, $ АДДомаин * ")
Ремове-АДГроупМембер -Идентити $ АДГроупнаме -Мембер $ мембер.самаццоунтнаме -Цонфирм: $ фалсе
иф ((Гет-АДУсер -идентити $ мембер -пропертиес Департмент | Селецт-Објецт Департмент) .департмент -нотлике „Сектор продаје“)
Ремове-АДГроупМембер -Идентити $ АДГроупнаме -Мембер $ мембер.самаццоунтнаме -Цонфирм: $ фалсе
Покрените скрипту и провјерите да ли је резултат тога да се сви корисници из ОУ података за које је "одјел продаје" наведен у пољу Одјел аутоматски додају у мскСалес групу. Сви корисници који не испуњавају ове критеријуме искључени су из ове групе..
Ову скрипту треба покренути ручно, али је боље да је редовно покрећете кроз посебан задатак Планера задатака, у име налога који има права у АД-у за кориснике и групе (не покрећу скрипту из администратора домене, сва потребна права можете делегирати на уобичајена рачун рачуна или гмса рачуна).
Ова скрипта ПоверСхелл може се користити као оквир за креирање сопствених правила за креирање динамичких група у АД-у.
