[ActiveDirectory] グループ管理(2) Get-ADGroup コマンドレット

今回はGet-ADGroupコマンドレットを使用して、 Active Directoryグループを取得する方法について説明します。

Get-ADGroup

1つまたは複数のActive Directoryグループを取得するコマンドレットです。

書式は3つあり、Filterパラメーターを使用する方法、Identityパラメーターを使用する方法、LDAPFilterパラメーターを使用する方法があります。その他にもにも様々なパラメーターを持っていますが、まずは大きく3つに分類されていることを押さえておきましょう。

samAccountNameを指定してグループを取得する

samAccountNameを指定してグループを取得するには

Get-ADGroup samAccountName

とします。

たとえば、samAccountNameがAdministartorsのグループを取得する場合は下記のようにします。

Get-ADGroup Administrators

識別名を指定してグループを取得する

識別名を指定してグループを取得する場合はIdentityパラメーターを使用します。

例えば、crop.contoso.comのビルトインAdministratorsグループを取得する場合は下記のようにします。

Get-ADGroup -Identity "CN=Administrators,CN=Builtin,DC=corp,DC=contoso,DC=com"

GUIDを指定してグループを取得する

GUIDを指定してグループを取得する場合はIdentityパラメーターを使用します。

例えばGUID(objectGUID)がad52136a-0e5c-48b2-b372-20250e268cd1のグループを取得する場合は下記のようにします。

Get-ADGroup -Identity "ad52136a-0e5c-48b2-b372-20250e268cd1"

セキュリティ識別子を指定してグループを取得する

セキュリティ識別子を指定してグループを取得するにはIdentityパラメーターを指定します。

セキュリティ識別子がS-1-5-32-544のグループを取得するには下記のようにします。

Get-ADGroup -Identity "S-1-5-32-544"

LDAPクエリを指定してグループを取得する

LDAPクエリを指定してグループを取得するにはLDAPFilterパラメーターを使用します。

下記はcorp.contoso.comの中から名前がadmで始まるすべてのグループを検索します。
パラメーターSearchScorpは検索の範囲を示しており、SubtreeはSearchBaseパラメーターで指定したパスのすべての子を検索対象とします。

Get-ADGroup -LDAPFilter "(name=adm*)" -SearchScope Subtree -SearchBase "DC=corp,DC=contoso,DC=com"

任意のカテゴリーに属するのグループを取得する

任意のカテゴリーに属するグループを取得するにFilterパラメーターを使用して、クエリ文字列で検索を行います。

例えばカテゴリーがセキュリティのグループを取得する場合は「GroupCategoryが”Security”と等しいか」というフィルタを作成すればよいことになります。

このとき、グループのスコープ(GroupScope)を指定すると取得範囲を限定することができます。

下記はグループスコープが”Domain Local”のセキュリティグループを取得する例です。

Get-ADGroup -Filter 'GroupCategory -eq "Security" -and GroupScope -eq "DomainLocal"'

サーバーから返される出力オブジェクトのプロパティを指定する

Propertyパラメーターを使用することで、サーバーから返される出力オブジェクトのプロパティを指定することが出来ます。

すべての出力オブジェクトを取得する場合は”*”を指定し、任意の出力オブジェクトを指定する場合はプロパティ名をカンマで区切って指定します。

例えばsamAccoutNameがAdministratorsの説明(Description)と変更日時(whenChanged)が返されるようにするには下記のようにします。

Get-ADGroup Administrators -Properties Description, whenChanged

CSVに出力する

Get-ADGroupコマンドレットの実行結果をExport-Csvコマンドレットに渡すことで、結果をCSVに出力することができます。

例えば、既定のドメイン内のすべてのグループを取得してCSVファイルに出力するには下記のようにします。

Get-ADGroup -Filter * | Export-CSV -Path C:\Work\ADGroups.csv

このほかにも様々な使用方法があります。

興味のある方はヘルプを参照ください。

コメント

タイトルとURLをコピーしました