Saat mengelola akses dan pengaturan pengguna dalam domain Direktori Aktif, administrator mungkin memiliki tugas untuk membuat grup pengguna dinamis AD. Grup dinamis seperti itu harus secara otomatis memasukkan atau mengecualikan pengguna dari grup, tergantung pada pengaturan akun pengguna dalam domain. Misalnya, Anda ingin secara otomatis menambahkan pengguna dari OU tertentu ke grup, atau membuat grup pengguna yang mencakup semua akun departemen tertentu (bidang Departemen), dll. Grup dinamis memungkinkan administrator untuk menyederhanakan proses pemberian izin ke file server, workstation, dll..
Active Directory tidak memiliki fungsi bawaan untuk grup keamanan dinamis. Namun, Anda dapat membuat skrip PowerShell yang secara otomatis memilih pengguna dari Active Directory sesuai dengan kriteria tertentu dan menambahkan pengguna ke grup keamanan AD tertentu (Anda dapat sementara) dan menghapus akun dari grup yang tidak lagi jatuh dalam kondisi pembentukan grup.
Saat mengubah atribut pengguna dalam AD, skrip harus secara otomatis menambah atau mengecualikan pengguna dari grup.
Untuk menggunakan grup pengguna dinamis seperti itu, Anda harus menjaga semua bidang yang digunakan dalam kriteria seleksi serelevan mungkin untuk semua akun (misalnya, saat membuat pengguna baru dengan skrip PowerShell, Anda harus segera menentukan kota, departemen, organisasi, dll.).
- Di Exchange Server terdapat grup distribusi dinamis (Exchange Dynamic Distribution List), yang dibentuk secara otomatis berdasarkan kriteria pengguna, misalnya nilai-nilai di bidang "perusahaan" (perusahaan dalam AD), OU di mana pengguna berada, bidang Kota, server Exchange tempat kotak atau atribut pengguna lain di Direktori Aktif. Tetapi grup distribusi dinamis hanya dapat digunakan untuk membentuk grup distribusi, tetapi tidak untuk grup keamanan;
- Ada grup dinamis bawaan di Azure AD. Di direktori ini, Anda bisa membuat berbagai aturan keanggotaan dinamis untuk grup dan grup keamanan Office 365;
- Sebagian, kemampuan grup dinamis untuk menyediakan akses dapat digantikan oleh fitur Kontrol Akses Dinamis (DAC) di Windows Server 2012 dan yang lebih baru;
Misalkan Anda perlu menambahkan secara otomatis semua pengguna dari beberapa OU yang bidang "Departemen" -nya di AD mengatakan "Departemen penjualan" Saya menulis skrip PowerShell seperti itu (untuk operasinya, modul Active Directory untuk Windows PowerShell diperlukan, cmdlet Get-ADUser digunakan untuk mendapatkan informasi tentang pengguna dan cmdlet manajemen grup AD - Tambah-ADGroupMember, Get-ADGroupMember, dan Hapus-ADGroupMember).
## Nama Domain AD Anda
$ ADDdomain = 'dc = winitpro, dc = ru'
## Nama Grup Dinamis
$ ADGroupname = 'mskSales'
## Daftar OU untuk pencarian pengguna
$ ADOUs = @ (
"OU = Pengguna, OU = Akun, OU = SPB, $ ADDomain",
"OU = Pengguna, OU = Akun, OU = MSK, $ ADDomain"
)
$ users = @ ()
# Cari pengguna dengan OU yang ditentukan
foreach ($ OU dalam $ ADOUs)
$ users + = Get-ADUser -SearchBase $ OU -Filter Department-like Sales Department
foreach ($ pengguna dalam $ pengguna)
Add-ADGroupMember -Identity $ ADGroupname -Member $ user.samaccountname -ErrorAction SilentlyContinue
## Sekarang kita akan memeriksa semua pengguna grup untuk kepatuhan dengan kriteria seleksi dan, jika pengguna tidak memenuhi (pindah ke OU lain, departemen berubah), mengeluarkan dia dari grup
$ members = Dapatkan-ADGroupMember -Identity $ ADGroupname
foreach ($ anggota dalam $ anggota)
if ($ member.distinguishedname -notlike "* OU = Pengguna, OU = Akun, OU = SPB, $ ADDomain *" -dan $ member.distinguishedname -notlike "* OU = Pengguna, OU = Akun, OU = MSK, $ ADDomain * ")
Hapus-ADGroupMember -Identity $ ADGroupname -Member $ member.samaccountname -Confirm: $ false
if ((Get-ADUser -identity $ member -properties Department | Select-Object Department) .departemen -seperti "Sales Department")
Hapus-ADGroupMember -Identity $ ADGroupname -Member $ member.samaccountname -Confirm: $ false
Jalankan skrip dan verifikasi bahwa sebagai hasilnya, semua pengguna dari data OU yang "departemen penjualan" ditentukan dalam bidang Departemen secara otomatis ditambahkan ke grup mskSales. Semua pengguna yang tidak memenuhi kriteria ini dikecualikan dari grup ini..
Skrip ini perlu dijalankan secara manual, tetapi lebih baik untuk menjalankannya secara teratur melalui tugas terpisah dari Penjadwal Tugas, atas nama akun yang memiliki hak AD untuk pengguna dan grup (jangan jalankan skrip dari bawah administrator domain, Anda dapat mendelegasikan semua hak yang diperlukan seperti biasa) akun layanan atau akun gmsa).
Skrip PowerShell ini dapat digunakan sebagai kerangka kerja untuk membuat aturan Anda sendiri untuk membuat grup dinamis dalam AD.