Get-ADUser: Získání informací o uživateli služby Active Directory prostřednictvím prostředí PowerShell

Get-ADUser je jednou ze základních rutin prostředí PowerShell, které lze použít k získání informací o uživatelích domény služby Active Directory a jejich vlastnostech. Pomocí nástroje Get-ADUser můžete zobrazit hodnotu libovolného atributu objektu uživatele AD, zobrazit seznam uživatelů v doméně s potřebnými atributy a exportovat je do formátu CSV a pomocí různých kritérií a filtrů vybrat uživatele domény.

Rutina Get-ADUser je k dispozici od prostředí PowerShell 2.0 a je součástí speciálního modulu Active Directory pro Windows PowerShell (představený v systému Windows Server 2008 R2). Rutiny RSAT-AD-PowerShell vám umožňují provádět různé operace s objekty AD.

Poznámka. Dříve, abyste získali informace o atributech uživatelských účtů AD, bylo nutné použít různé nástroje: konzolu ADUC (včetně uložených dotazů AD), skripty VBS, dsquery atd. Všechny tyto nástroje lze snadno nahradit rutinou Get-ADUser.

V tomto příkladu si ukážeme, jak získat informace o poslední době, kdy došlo ke změně hesla uživatele a datu platnosti hesla, pomocí rutiny Get-ADUser PowerShell.

Jak najít Vlastnosti uživatele AD a seznamu pomocí Get-ADUser?

Chcete-li použít modul RSAT-AD-PowerShell, musíte spustit zvýšenou konzolu PowerShell a importovat modul pomocí příkazu:

Import-Module activedirectory

Modul RSAT-AD-PowerShell je ve výchozím nastavení nainstalován na Windows Server 2012 (a novější), když jste nasadili roli služby Active Directory Domain Services (AD DS). Chcete-li nainstalovat modul na server člena domény, spusťte příkaz:

Install-WindowsFeature -Name "RSAT-AD-PowerShell" –IncludeAllSubFeature

Ve verzi Windows 10 pro stolní počítače, abyste mohli používat rutinu Get-ADUser, musíte nainstalovat příslušnou verzi RSAT a povolit funkci Active Directory Module pro Windows PowerShell prostřednictvím ovládacího panelu (Programy – > Zapnutí nebo vypnutí funkcí systému Windows – > Nástroje pro vzdálenou správu serveru – > Správa rolí Nástroje – > Nástroje AD DS a AD LDS – > Nástroje AD DS).

Modul RSAT AD můžete nainstalovat v systému Windows 10 1809 a novějším z prostředí PowerShell:

Add-WindowsCapability –online –Name "Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0"

Existuje také způsob, jak použít modul AD-PowerShell bez instalace RSAT na váš počítač. Stačí zkopírovat soubory hlavního modulu a importovat modul do relace PoSh:

Import-Module "C:\PS\AD\Microsoft.ActiveDirectory.Management.dll"
Import-Module "C:\PS\AD\Microsoft.ActiveDirectory.Management.resources.dll"

Úplný seznam všech argumenty rutiny Get-ADUser lze získat následujícím způsobem:

help Get-ADUser

Chcete-li použít rutinu Get-ADUser, nemusíte je třeba jej spustit pod účtem se správcem domény nebo delegovanými oprávněními. Každý autorizovaný uživatel domény AD může spustit příkazy prostředí PowerShell a získat hodnoty většiny atributů objektů AD (s výjimkou důvěrných, viz příklad v článku POSUNY). Pokud potřebujete spustit příkaz Get-ADUser z jiného účtu, použijte parametr Credential.

Chcete-li zobrazit seznam všech účtů domény, spusťte tento příkaz:

Get-ADUser -filter *

Důležité. Nedoporučujeme tento příkaz spouštět v doménách s velkým počtem účtů, protože může dojít k přetížení řadiče domény poskytujícího informace.

Spuštění dotaz AD na konkrétním řadiči domény, použijte parametr -Server:

Get-ADUser –Server DC01.woshub.com –Identity tuser

Chcete-li změnit atributy uživatele, použijte rutinu Set-ADUser.

Ve výchozím nastavení rutina Get-ADUser vrací pouze 10 základních atributů uživatele (z více než 120 vlastností uživatelského účtu): DistinguishedName, SamAccountName, Name, SID, UserPrincipalName, ObjectClass, stav účtu (Enabled: True / False podle atributu UserAccountControl AD) atd. V tomto případě výstup rutiny neobsahuje informace o čas poslední změny hesla uživatele.

Chcete-li zobrazit podrobné informace o všech dostupných atributech uživatele, spusťte tento příkaz:

Get-ADUser -identity tuser -properties *

Leave a Reply

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *