AD批量添加群组与用户

AD批量添加群组与用户

一、背景

因管理需要计划将现有的serv-u服务改成ad+iis+ftp+ntfs架构，所以需要在ad中新建对应群组并添加用户。

为提高效率减少重复工作，编写一个批量新增群组及添加用户脚本，以下为测试环境。

二、汇总

• 注意事项：
  1. 用户必须存在，在制作用户文件时必须先行过滤，否则脚本将中途中断
  2. 所有群组的用户存在一个用户文件中，其长短不一存在无值（csv文件中间列）或空值（csv文件最后一列），需求将其过滤
  3. 脚本只添加群组必须属性，附加属性需视需求修改
  4. 制作csv文件所用的一对多查找函数：

=INDEX(A:A,SMALL(IF($B$2:$B$200="Sam",ROW($2:$200),4^8),ROW(A1)))&""

• 完整脚本

Import-Module ActiveDirectory $ngroups=Import-Csv C:\Data\ngs.csv $nusers=Import-Csv C:\Data\nus.csv foreach ($ngroup in $ngroups) { #新建组 New-ADGroup -Name $ngroup.name -SamAccountName $ngroup.name -GroupCategory $ngroup.GroupCategory -GroupScope $ngroup.Groupscope -Path $ngroup.path -Description $ngroup.description -PassThru Get-ADGroup -Identity $ngroup.name | Set-ADGroup -Replace @{info=$ngroup.info} #新增成员 Add-ADGroupMember -Identity $ngroup.name -Members ($nusers.($ngroup.name) | Where-Object {$_ -ne ''} ) -PassThru }

• 群组文件ngs.csv

name,path,groupcategory,groupscope,description,info ftp-ops-w,"OU=FTP,OU=Group,DC=lxy,DC=lin",Security,Global,"ip/ftp/ops/","DRI：xx，TEL：xx" ftp-ops-r,"OU=FTP,OU=Group,DC=lxy,DC=lin",Security,Global,"ip/ftp/ops/","DRI：xx，TEL：xx" ftp-dba-w,"OU=FTP,OU=Group,DC=lxy,DC=lin",Security,Global,"ip/ftp/dba/","DRI：xx，TEL：xx" ftp-dba-r,"OU=FTP,OU=Group,DC=lxy,DC=lin",Security,Global,"ip/ftp/dba/","DRI：xx，TEL：xx"

• 用户文件:nus.csv

ftp-ops-w,ftp-ops-r,ftp-dba-w,ftp-dba-r user01,user02,user03,user04 user05,,user06,user07 user08,,user09,

三、分解

• 导入AD模块

Import-Module ActiveDirectory

• 新建帐号

foreach ( $num in 1..10 ) { $user='USER'+$num New-ADUser $user -Path "OU=Test,DC=iku,DC=lxy" -Enabled:$true -AccountPassword(ConvertTo-SecureString "lxy1989." -AsPlainText -Force) }

• 筛选离职或不存在帐号

$newusers= Import-Csv .\nu.csv $newgroups= Import-Csv .\ng.csv # 新建数组保存离职或不存在帐号 $array_error_user = New-Object -TypeName System.Collections.ArrayList $array_disabled_user = New-Object -TypeName System.Collections.ArrayList foreach ($newgroup in $newgroups) { $newuser=($newusers.($newgroup.name) | Where-Object {$_ -ne ''}) foreach ($user in $newuser) { $user_abled= (Get-ADUser $user).enabled # 查询帐号是否被禁用，默认情况下只有离职的帐号才会被禁用 $returned=$? # 若帐号不存在，则返回false if ($returned -eq $true) { if ($user_abled -eq $false) {$array_disabled_user.Add($user+'@'+($newgroup.name))} # 将被禁用（离职）的帐号添加至数组 } else { $array_error_user.add($user+'@'+($newgroup.name)) } # 将不存在的帐号添加至数组 } } echo "The following user is disabled :"$array_disabled_user echo "The following user does not exist :"$array_error_user

• 从用户文件中删除离职或不存在帐号

vi user.error xx xxx xx :%s/@.*//g vi deluser.sh #!/bin/bash #在sed中引用变量用双引号 for user in $(cat user.error) do sed -i "s/$user//g" nu.csv done

• 导入群组与用户文件
  必须确认群组及用户是存在的，否则会导至脚本异常，后续用户用户添加

$ngroups=Import-Csv C:\Data\ngs.csv $nusers=Import-Csv C:\Data\nus.csv 

• 新建群组
  备注信息info无命令参数，通过设置hash值添加

# version1 foreach ($ngroup in $ngroups) { New-ADGroup -Name $ngroup.name -SamAccountName $ngroup.name -GroupCategory $ngroup.GroupCategory -GroupScope $ngroup.Groupscope -Path $ngroup.path -PassThru Get-ADGroup -Identity $ngroup.name | Set-ADGroup -Replace @{info=$ngroup.info} } # version2 # 增加了群组是否存在的判断 $ngroups = Import-Csv D:\PS\NewGroup\201807\ng.csv -Encoding Unicode foreach ($ngroup in $ngroups) { $drop = Get-ADGroup $ngroup.name $return = $? # 检查组是否存，不存在则新建组 if ($return -eq $false){ New-ADGroup -Name $ngroup.name -SamAccountName $ngroup.name -GroupCategory $ngroup.groupcategory -GroupScope $ngroup.groupscope -Path $ngroup.path -Description $ngroup.description Get-ADGroup $ngroup.name | Set-ADGroup -Replace @{info=$ngroup.info} } }

• 为群组添加用户
  用户文件中并非所有群组都有用户，命令遇见异常会中止所有操作，所有需求过滤空数据；
  在CSV文件中最后一列被识别为空值，无法使用‘’识别，通过在每列后增加一列逗号解决。

foreach ($ngroup in $ngroups) { Add-ADGroupMember -Identity $ngroup.name -Members ($nusers.($ngroup.name) | Where-Object {$_ -ne ''} ) -PassThru } PS C:\Users\Administrator> ($nusers.'ftp-dba-r' | Where-Object {$_ -ne ''}).count 3 ---nu.csv ftp-ops-w,ftp-ops-r,ftp-dba-w,ftp-dba-r user1,user2,user3,user4, user5,,user6,user7, user8,,user9,, --- PS C:\> ($nusers.'ftp-dba-r' | Where-Object {$_ -ne ''}).count 2

• 查看群组用户信息

foreach ($ngroup in $ngroups) { Get-ADGroupMember -Identity $ngroup.name | select @{name='group';expression={$ngroup.name}},@{name='name';expression={$_.name}} } group name ----- ---- ftp-ops-w USER1 ftp-ops-w USER5 ftp-ops-w USER8 ftp-ops-r USER2 ftp-dba-w USER3 ftp-dba-w USER6 ftp-dba-w USER9 ftp-dba-r USER4 ftp-dba-r USER7

• 移除群组所有用户

foreach ($ngroup in $ngroups) { Remove-ADGroupMember -Identity $ngroup.name -Members (Get-ADGroupMember -Identity $ngroup.name) }

四、更新

在使用过程中发现脚本的功能实现方式生硬，书写格式并不规范，不便阅读，所以作了更新。

• 变量命名不易理解，已改用单词
• 脚本编写时没使用缩进

# $ngroups = Import-Csv D:\PS\NewGroup\201807\ng.csv -Encoding Unicode # 新建组 <# foreach ($ngroup in $ngroups) { $test = Get-ADGroup $ngroup.name $return = $? if ($return -eq $false){ New-ADGroup -Name $ngroup.name -SamAccountName $ngroup.name -GroupCategory $ngroup.groupcategory -GroupScope $ngroup.groupscope -Path $ngroup.path -Description $ngroup.description Get-ADGroup $ngroup.name | Set-ADGroup -Replace @{info=$ngroup.info} } } #> # 清空组成员 <# foreach ($ngroup in $ngroups) { Remove-ADGroupMember -Identity $ngroup.name -Members (Get-ADGroupMember -Identity $ngroup.name) } #> # 查询组成员 <# foreach ($ngroup in $ngroups) { Get-ADGroupMember -Identity $ngroup.name | select @{name='group';expression={$ngroup.name}},@{name='name';expression={$_.name}} } #> # $ngroups = Import-Csv D:\PS\NewGroup\201807\ngw.csv # $nusers = Import-Csv D:\PS\NewGroup\201807\nus.csv # 添加成员 <# foreach ($ngroup in $ngroups) { Add-ADGroupMember -Identity $ngroup.name -Members ($nusers.($ngroup.name) | Where-Object {$_ -ne ''} ) -PassThru -Confirm:$false } #> # 统计各群组用户数 #< [int]$sum = 0 $re =foreach ($ngroup in $ngroups){ $user_num = (Get-ADGroupMember ($ngroup.name) | Where-Object {$_ -ne ''}).count $user_num | select @{name='group';ex={$ngroup.name}},@{name='num';ex={$user_num}} $sum += $user_num } echo $re echo $sum #>