Pobiera członków grupy Active Directory.
Składnia
Opis
Polecenie cmdlet Get-ADGroupMember pobiera członków grupy Active Directory. Członkami mogą być użytkownicy, grupy i komputery.
Parametr Identity określa grupę Active Directory, do której chcesz uzyskać dostęp. Możesz zidentyfikować grupę poprzez jej nazwę wyróżniającą, identyfikator GUID, identyfikator bezpieczeństwa lub nazwę konta Security Account Manager (SAM). Możesz także określić grupę, przepuszczając obiekt grupy przez Na przykład możesz użyć polecenia cmdlet Get-ADGroup, aby pobrać obiekt grupy, a następnie przekazać go przez potok do polecenia cmdlet Get-ADGroupMember.
Jeśli określono parametr Recursive, polecenie cmdlet pobiera wszystkich członków w hierarchii grupy, które nie zawierają obiektów podrzędnych, na przykład, jeśli grupa SaraDavisReports zawiera użytkownika KarenToh i grupę JohnSmithReports i JohnSmith Raporty zawierają użytkownika JoshPollock, a następnie polecenie cmdlet zwraca KarenToh i JoshPollock.
W przypadku środowisk usług Active Directory Lightweight Directory Services (AD LDS) należy określić parametr Partition, z wyjątkiem następujących dwóch warunków:
- Polecenie cmdlet jest uruchamiane z dysku dostawcy usługi Active Directory.
- Dla środowiska usług AD LDS zdefiniowano domyślny kontekst nazewnictwa lub partycję. Aby określić domyślny kontekst nazewnictwa dla środowiska usług AD LDS, ustawić właściwość msDS-defaultNamingContext obiektu agenta usługi katalogowej Active Directory (nTDSA) dla wystąpienia usług LDS w usłudze AD.
Przykłady
Przykład 1: Pobierz wszystkich członków group
To polecenie pobiera wszystkich członków grupy Administrators.
Przykład 2: Pobierz wszystkich członków grupy ze wszystkich lokalnych grup domeny
To polecenie pobiera grupę członków wszystkich lokalnych grup domeny w wystąpieniu usług AD LDS.
Przykład 3: Pobierz wszystkich członków grupy Administratorzy
To polecenie powoduje pobranie wszystkich group członkowie grupy Administrators.
Przykład 4: Pobieranie członków grupy, w tym członków grup podrzędnych
To polecenie pobiera wszystkich członków grupy Enterprise Admins, w tym członków dowolne grupy podrzędne.
Parametry
Określa używaną metodę uwierzytelniania. Dopuszczalne wartości tego parametru to:
- Negotiate lub 0
- Basic lub 1
Domyślną metodą uwierzytelniania jest Negotiate.
A Secure Sockets Layer (SSL ) połączenie jest wymagane w przypadku metody uwierzytelniania podstawowego.
| Typ: | ADAuthType |
| Akceptowane wartości: | Negotiate, Basic |
| Position: | Named |
| Wartość domyślna: | Brak |
| Akceptuj dane wejściowe potoku: | False |
| Akceptuj znaki wieloznaczne: | Fałsz |
Określa poświadczenia konta użytkownika, które mają być używane do wykonania tego zadania. poświadczenia domyślne są poświadczeniami aktualnie zalogowanego użytkownika, chyba że polecenie cmdlet jest uruchamiane z modułu Active Directory dla dysku dostawcy środowiska Windows PowerShell. Polecenie cmdlet jest uruchamiane z takiego dysku dostawcy, konto skojarzone z tym dyskiem jest domyślne.
Aby określić ten parametr, można wpisać nazwę użytkownika, na przykład Użytkownik1 lub Domena01 \ Użytkownik01, albo określić PSCredential Jeśli określisz nazwę użytkownika dla tego parametru, polecenie cmdlet poprosi o podanie hasła.
Możesz również utworzyć obiekt PSCredential za pomocą skryptu lub polecenia cmdlet Get-Credential. ustawić parametr Credential na obiekt PSCredential.
Jeśli działające poświadczenia nie mają uprawnień na poziomie katalogu do wykonania zadania, moduł Active Directory dla środowiska Windows PowerShell zwraca błąd kończący.
| Typ: | PSCredential |
| Pozycja: | Nazwany |
| Wartość domyślna: | Brak |
| Akceptuj dane wejściowe potoku: | False |
| Akceptuj symbole wieloznaczne: | False |
Określa obiekt grupy Active Directory, podając jedną z następujących wartości. Identyfikatorem w nawiasach jest wyświetlanie LDAP nazwa atrybutu. Dopuszczalne wartości tego parametru to:
- Nazwa wyróżniająca
- GUID (objectGUID)
- Identyfikator bezpieczeństwa (objectSid )
- Nazwa konta Security Account Manager (sAMAccountName)
Polecenie cmdlet przeszukuje domyślny kontekst nazewnictwa lub partycję, aby znaleźć obiekt. Jeśli zostaną znalezione dwa lub więcej obiektów, polecenie cmdlet zwraca błąd nie kończący się.
Ten parametr może również pobrać ten obiekt przez potok lub można ustawić ten parametr na instancję obiektu.
| Typ: | ADGroup |
| Stanowisko: | 0 |
| Wartość domyślna: | None |
| Akceptuj dane wejściowe potoku: | Prawda |
| Akceptuj znaki wieloznaczne: | Fałsz |
Określa nazwę wyróżniającą partycji Active Directory. Nazwa wyróżniająca musi być jednym z kontekstów nazewnictwa na bieżącym serwerze katalogów. przeszukuje tę partycję, aby znaleźć obiekt zdefiniowany przez parametr Identity.
W wielu przypadkach, jeśli nie określono wartości, dla parametru Partition używana jest wartość domyślna. Zasady określania wartości domyślnej podano poniżej. Należy zauważyć, że reguły wymienione jako pierwsze są oceniane jako pierwsze i po określeniu wartości domyślnej nie są oceniane żadne dalsze reguły.
W środowiskach usług domenowych w usłudze Active Directory (AD DS) wartość domyślna dla Partycji jest ustawiana w następujący przypadki:
- Jeśli parametr Identity jest ustawiony na nazwę wyróżniającą, domyślna wartość Partition jest automatycznie generowana na podstawie tej nazwy wyróżniającej.
- W przypadku uruchamiania poleceń cmdlet z usługi Active Directory dostawcy, domyślna wartość Partycji jest generowana automatycznie na podstawie bieżącej ścieżki na dysku.
- Jeśli żaden z poprzednich przypadków nie ma zastosowania, domyślna wartość Partycji jest ustawiana na domyślną partycję lub kontekst nazewnictwa domena docelowa.
W środowiskach usług LDS w usłudze Active Directory (AD LDS) domyślna wartość partycji jest ustawiana w następujących przypadkach:
- Jeśli Parametr tożsamości jest ustawiony na nazwę wyróżniającą, domyślna wartość Partition jest automatycznie generowana na podstawie tej nazwy wyróżniającej.
- W przypadku uruchamiania poleceń cmdlet z dysku dostawcy usługi Active Directory domyślna wartość Partition jest automatycznie generowana na podstawie ścieżka na dysku.
- Jeśli docelowe wystąpienie usług AD LDS ma wartość domyślną t kontekst nazewnictwa, domyślną wartością Partition jest domyślny kontekst nazewnictwa. Aby określić domyślny kontekst nazewnictwa dla środowiska AD LDS, należy ustawić właściwość msDS-defaultNamingContext obiektu agenta usługi katalogowej Active Directory (nTDSA) dla usług AD LDS instancja.
- Jeśli żaden z poprzednich przypadków nie miał zastosowania, parametr Partition nie przyjmuje wartości domyślnej.
| Typ: | Ciąg |
| Stanowisko: | Nazwany |
| Wartość domyślna: | Brak |
| Akceptuj dane wejściowe potoku: | False |
| Akceptuj znaki wieloznaczne: | Fałsz |
Określa, że cmdlet pobiera wszystkich członków w hierarchii grupy, która nie zawiera obiektów podrzędnych.
Jeśli określona grupa nie ma żadnych członków, nic nie jest zwracane.
| Typ: | SwitchParam eter |
| Pozycja: | Nazwana |
| Wartość domyślna: | Brak |
| Akceptuj dane wejściowe z potoku: | False |
| Akceptuj symbole wieloznaczne: | Fałsz |
Określa wystąpienie AD DS do połączenia, podając jedną z następujących wartości dla odpowiedniej nazwy domeny lub serwera katalogowego. Usługa może być jedną z następujących: Wystąpienie migawki AD LDS, AD DS lub Active Directory.
Określ wystąpienie AD DS w jeden z następujących sposobów:
Wartości nazw domen:
- W pełni kwalifikowana nazwa domeny
- Nazwa NetBIOS
Wartości serwera katalogów:
- W pełni kwalifikowana nazwa serwera katalogów
- Nazwa NetBIOS
- W pełni kwalifikowana nazwa i port serwera katalogów
Wartość domyślna tego parametru jest określana za pomocą jednej z następujących metod w kolejności, w jakiej są wymienione:
- By usin g wartość serwera z obiektów przekazanych przez potok
- przy użyciu informacji o serwerze skojarzonych z dyskiem dostawcy programu AD DS Windows PowerShell, gdy polecenie cmdlet działa na tym dysku
- przy użyciu domeny komputera z Windows PowerShell
| Typ: | Ciąg |
| Stanowisko: | Nazwany |
| Wartość domyślna: | Brak |
| Akceptuj dane wejściowe potoku: | Fałsz |
| Akceptuj symbole wieloznaczne: | Fałsz |
Dane wejściowe
Brak lub Microsoft.ActiveDirectory.Management.ADGroup
Obiekt grupy jest odbierany przez parametr Identity.
Outputs
ADPrincipal
Zwraca jeden lub więcej głównych obiektów, które reprezentują użytkowników, komputery lub grupy, które są członkami określonej grupy.
Uwagi
- To polecenie cmdlet nie działa z migawką usługi Active Directory.
- To polecenie cmdlet nie działa, gdy grupa ma członków znajdujących się w innym lesie, aw lesie nie jest uruchomiona usługa sieciowa Active Directory.
- Dodaj -ADGroupMember
- Add-ADPrincipalGroupMembership
- Get-ADGroup
- Get-ADPrincipalGroupMembership
- Remove-ADGroupMember
- Usuń -ADPrincipalGroupMembership