Мне нужно добавить различные группы приложений на компьютеры в OU, которые будут удалены позже. В AD я перехожу в подразделение, щелкаю правой кнопкой мыши на соответствующем компьютере и выбираю свойства, затем перехожу на вкладку «член», а затем добавляю различные группы.
Как я могу автоматизировать эти шаги с помощью PowerShell, чтобы он применил эти группы ко всем компьютерам в этом подразделении?
import-module ActiveDirectory
$allComputers = @()
$ADgroup = "Computer Policy Application Group"
$theOU = [ADSI]"LDAP://OU=AnOU,DC=some,DC=test,DC=com"
foreach ($item in $theOU.psbase.Children) {
if ($item.ObjectCategory -like '*computer*') {
$allComputers += $item.Name
}
}
foreach ($pc in $allComputers) {
Add-ADGroupMember $ADgroup $pc
}
Затем, конечно, вы можете добавить больше групп или настроить массив групп и перебирать его, добавляя по ходу ... Это вызовет много ошибок, если компьютер, кстати, уже является частью группы.
Если вы используете server2008 или новее (или у вас установлены необходимые компоненты), это самое простое решение, которое я нашел.
$groupList=@("group1","group2","group3")
foreach ($Comp in (Get-AdComputer -server $ADServer -searchBase "OU=computers,DC=company,DC=com" -searchscope oneLevel")) {
foreach ($Group in $groupList) { Add-ADGroupMember -Identity $Group -Members $Comp -Server $ADServer }
}
Обязательно заполните переменную $ groupList массивом samaccountnames групп, которые вы хотите добавить, и замените «OU = computers, DC = company, DC = com» на LDAP-путь к OU, содержащему нужные вам компьютеры. для добавления разрешений.
Используя модуль ActiveDirectory, вы можете использовать Add-ADPrincipalGroupMember или Add-ADGroupMember.
Первый «добавляет участника в одну или несколько групп Active Directory», а второй - «добавляет одного или нескольких членов в группу Active Directory».
