Ruft die Mitglieder einer Active Directory-Gruppe ab.
Syntax
Beschreibung
Das Cmdlet Get-ADGroupMember ruft die Mitglieder einer Active Directory-Gruppe ab. Mitglieder können Benutzer, Gruppen und Computer sein.
Der Parameter Identity gibt die Active Directory-Gruppe an, auf die zugegriffen werden soll. Sie können eine Gruppe anhand ihres definierten Namens, ihrer GUID, ihrer Sicherheitskennung oder ihres SAM-Kontonamens (Security Account Manager) identifizieren. Sie können die Gruppe auch angeben, indem Sie ein Gruppenobjekt übergeben Beispiel: Mit dem Cmdlet Get-ADGroup können Sie ein Gruppenobjekt abrufen und das Objekt dann über die Pipeline an das Cmdlet Get-ADGroupMember übergeben.
Wenn der Parameter Recursive angegeben ist, das Cmdlet Ruft alle Mitglieder in der Hierarchie der Gruppe ab, die keine untergeordneten Objekte enthalten. Wenn beispielsweise die Gruppe SaraDavisReports den Benutzer KarenToh und die Gruppe JohnSmithReports sowie JohnSmith enthält Berichte enthalten den Benutzer JoshPollock. Anschließend gibt das Cmdlet KarenToh und JoshPollock zurück.
In AD LDS-Umgebungen (Active Directory Lightweight Directory Services) muss der Partitionsparameter angegeben werden, außer unter den folgenden beiden Bedingungen:
- Das Cmdlet wird von einem Active Directory-Anbieterlaufwerk ausgeführt.
- Für die AD LDS-Umgebung ist ein Standardbenennungskontext oder eine Standardpartition definiert. Um einen Standardbenennungskontext für eine AD LDS-Umgebung anzugeben, Legen Sie die Eigenschaft msDS-defaultNamingContext des Active Directory-Verzeichnisdienstagentenobjekts (nTDSDSA) für die AD LDS-Instanz fest.
Beispiele
Beispiel 1: Alle Mitglieder eines abrufen group
Mit diesem Befehl werden alle Mitglieder der Administratorgruppe abgerufen.
Beispiel 2: Alle Gruppenmitglieder aller lokalen Domänengruppen abrufen
Mit diesem Befehl wird die Gruppe abgerufen Mitglieder aller lokalen Domänengruppen in der AD LDS-Instanz.
Beispiel 3: Alle Mitglieder der Administratorgruppe abrufen
Dieser Befehl ruft alle ab Gruppenmitglieder der Gruppe Administratoren.
Beispiel 4: Mitglieder einer Gruppe einschließlich der Mitglieder untergeordneter Gruppen abrufen
Mit diesem Befehl werden alle Mitglieder der Gruppe Unternehmensadministratoren einschließlich der Mitglieder von abgerufen Alle untergeordneten Gruppen.
Parameter
Gibt die zu verwendende Authentifizierungsmethode an. Die zulässigen Werte für diesen Parameter sind:
- Negotiate oder 0
- Basic oder 1
Die Standardauthentifizierungsmethode ist Negotiate.
SSL (Secure Sockets Layer) ) Für die Standardauthentifizierungsmethode ist eine Verbindung erforderlich.
Typ: | ADAuthType |
Akzeptierte Werte: | Verhandeln, Basis |
Position: | Benannt |
Standardwert: | Keine |
Pipeline-Eingabe akzeptieren: | False |
Platzhalterzeichen akzeptieren: | False |
Gibt die Anmeldeinformationen des Benutzerkontos an, die zum Ausführen dieser Aufgabe verwendet werden sollen. Die Standardanmeldeinformationen sind die Anmeldeinformationen des aktuell angemeldeten Benutzers, sofern das Cmdlet nicht von einem Active Directory-Modul für Windows PowerShell-Anbieterlaufwerk ausgeführt wird Das Cmdlet wird von einem solchen Anbieterlaufwerk ausgeführt. Das dem Laufwerk zugeordnete Konto ist die Standardeinstellung.
Um diesen Parameter anzugeben, können Sie einen Benutzernamen eingeben, z. B. Benutzer1 oder Domäne01 \ Benutzer01, oder Sie können einen angeben PSCredential-Objekt. Wenn Sie einen Benutzernamen für diesen Parameter angeben, fordert das Cmdlet zur Eingabe eines Kennworts auf.
Sie können ein PSCredential-Objekt auch mithilfe eines Skripts oder mithilfe des Cmdlets Get-Credential erstellen Setzen Sie den Parameter Credential auf das PSCredential-Objekt.
Wenn die aktiven Anmeldeinformationen keine Berechtigung auf Verzeichnisebene zum Ausführen der Aufgabe haben, gibt das Active Directory-Modul für Windows PowerShell einen Beendigungsfehler zurück.
Typ: | PSCredential |
Position: | Benannt |
Standardwert: | Keine |
Pipeline-Eingabe akzeptieren: | False |
Platzhalterzeichen akzeptieren: | False |
Gibt ein Active Directory-Gruppenobjekt an, indem einer der folgenden Werte angegeben wird. Der Bezeichner in Klammern ist die LDAP-Anzeige Name für das Attribut. Die zulässigen Werte für diesen Parameter sind:
- Ein definierter Name
- Eine GUID (objectGUID)
- Eine Sicherheitskennung (objectSid) )
- Ein Security Account Manager-Kontoname (sAMAccountName)
Das Cmdlet durchsucht den Standardnamenskontext oder die Standardpartition, um das Objekt zu finden. Wenn zwei oder mehr Objekte gefunden werden, Das Cmdlet gibt einen nicht terminierenden Fehler zurück.
Dieser Parameter kann dieses Objekt auch über die Pipeline abrufen oder Sie können diesen Parameter auf eine Objektinstanz setzen.
Typ: | ADGroup |
Position: | 0 |
Standardwert: | Keine |
Pipeline-Eingabe akzeptieren: | True |
Platzhalterzeichen akzeptieren: | False |
Gibt den definierten Namen einer Active Directory-Partition an. Der definierte Name muss einer der Namenskontexte auf dem aktuellen Verzeichnisserver sein. Das Cmdlet Durchsucht diese Partition, um das durch den Identitätsparameter definierte Objekt zu finden.
In vielen Fällen wird ein Standardwert für den Partitionsparameter verwendet, wenn kein Wert angegeben ist. Die Regeln zum Bestimmen des Standardwerts sind unten angegeben. Beachten Sie, dass zuerst aufgeführte Regeln zuerst ausgewertet werden und sobald ein Standardwert ermittelt werden kann, keine weiteren Regeln ausgewertet werden.
In AD DS-Umgebungen (Active Directory Domain Services) wird in der ein Standardwert für Partition festgelegt folgenden Fälle:
- Wenn der Identitätsparameter auf einen definierten Namen festgelegt ist, wird der Standardwert der Partition automatisch aus diesem definierten Namen generiert.
- Wenn Cmdlets aus einem Active Directory ausgeführt werden Provider-Laufwerk, der Standardwert der Partition wird automatisch aus dem aktuellen Pfad im Laufwerk generiert.
- Wenn keiner der vorherigen Fälle zutrifft, wird der Standardwert der Partition auf die Standardpartition oder den Namenskontext der Partition festgelegt Zieldomäne.
In AD LDS-Umgebungen (Active Directory Lightweight Directory Services) wird in den folgenden Fällen ein Standardwert für Partition festgelegt:
- Wenn die Der Identitätsparameter wird auf einen definierten Namen festgelegt. Der Standardwert der Partition wird automatisch aus diesem definierten Namen generiert.
- Wenn Cmdlets von einem Active Directory-Anbieterlaufwerk ausgeführt werden, wird der Standardwert der Partition automatisch aus dem aktuellen generiert Pfad im Laufwerk.
- Wenn die AD LDS-Zielinstanz einen Standardwert hat Im Namenskontext wird der Standardwert von Partition auf den Standardnamenskontext festgelegt. Um einen Standardnamenskontext für eine AD LDS-Umgebung anzugeben, legen Sie die Eigenschaft msDS-defaultNamingContext des Active Directory-Verzeichnisdienstagentenobjekts (nTDSDSA) für AD LDS fest Instanz.
- Wenn keiner der vorherigen Fälle zutrifft, nimmt der Partitionsparameter keinen Standardwert an.
Typ: | Zeichenfolge |
Position: | Benannt |
Standardwert: | Keine |
Pipeline-Eingabe akzeptieren: | Falsch |
Platzhalterzeichen akzeptieren: | False |
Gibt an, dass das Cmdlet alle Mitglieder in der Hierarchie einer Gruppe abruft, die keine untergeordneten Objekte enthalten.
Wenn die angegebene Gruppe keine Mitglieder hat, wird nichts zurückgegeben.
Typ: | SwitchParam eter |
Position: | Benannt |
Standardwert: | Keine |
Pipeline-Eingabe akzeptieren: | Falsch |
Platzhalterzeichen akzeptieren: | False |
Gibt die AD DS-Instanz an, zu der eine Verbindung hergestellt werden soll. Geben Sie einen der folgenden Werte für einen entsprechenden Domänennamen oder Verzeichnisserver an. Der Dienst kann einer der folgenden sein: AD LDS-, AD DS- oder Active Directory-Snapshot-Instanz.
Geben Sie die AD DS-Instanz in an Eine der folgenden Möglichkeiten:
Domänennamenwerte:
- Vollqualifizierter Domänenname
- NetBIOS-Name
Verzeichnisserverwerte:
- Vollqualifizierter Verzeichnisservername
- NetBIOS-Name
- Vollqualifizierter Verzeichnisservername und Port
Der Standardwert für diesen Parameter wird durch eine der folgenden Methoden in der Reihenfolge bestimmt, in der sie aufgelistet sind:
- Von usin g Der Serverwert von Objekten, die über die Pipeline übergeben werden.
- Mithilfe der Serverinformationen, die dem AD DS Windows PowerShell-Anbieterlaufwerk zugeordnet sind, wenn das Cmdlet auf diesem Laufwerk ausgeführt wird.
- Verwenden Sie die Domäne des Computers, auf dem Windows PowerShell ausgeführt wird
Typ: | Zeichenfolge |
Position: | Benannt |
Standardwert: | Keine |
Pipeline-Eingabe akzeptieren: | False |
Platzhalterzeichen akzeptieren: | False |
Eingaben
Keine oder Microsoft.ActiveDirectory.Management.ADGroup
Ein Gruppenobjekt wird von empfangen den Identitätsparameter.
Ausgaben
ADPrincipal
Gibt ein oder mehrere Hauptobjekte zurück, die Benutzer, Computer oder Gruppen darstellen, die Mitglieder der angegebenen Gruppe sind.
Hinweise
- Dieses Cmdlet funktioniert nicht mit einem Active Directory-Snapshot.
- Dieses Cmdlet funktioniert nicht, wenn sich in einer Gruppe Mitglieder in einer anderen Gesamtstruktur befinden und in der Gesamtstruktur kein Active Directory-Webdienst ausgeführt wird.
- Hinzufügen -ADGroupMember
- Add-ADPrincipalGroupMembership
- Get-ADGroup
- Get-ADPrincipalGroupMembership
- Remove-ADGroupMember
- Entfernen -ADPrincipalGroupMembership