Get-ADUser: Obtener información de los usuarios de Active Directory a través de PowerShell

Get-ADUser es uno de los cmdlets básicos de PowerShell que se puede usar para obtener información sobre los usuarios del dominio de Active Directory y sus propiedades. Puede usar Get-ADUser para ver el valor de cualquier atributo de objeto de usuario de AD, mostrar una lista de usuarios en el dominio con los atributos necesarios y exportarlos a CSV, y usar varios criterios y filtros para seleccionar usuarios de dominio.

El cmdlet Get-ADUser ha estado disponible desde PowerShell 2.0 y es parte del módulo especial Active Directory para Windows PowerShell (introducido en Windows Server 2008 R2). Los cmdlets RSAT-AD-PowerShell le permiten realizar varias operaciones en objetos AD.

Nota. Anteriormente, para obtener información sobre los atributos de las cuentas de usuario de AD, tenía que usar diferentes herramientas: consola ADUC (incluidas las consultas de AD guardadas), scripts vbs, dsquery, etc. Todas estas herramientas se pueden reemplazar fácilmente con el cmdlet Get-ADUser.

En este ejemplo, mostraremos cómo obtener información sobre la última vez que se cambió la contraseña del usuario y la fecha de vencimiento de la contraseña mediante el uso del cmdlet Get-ADUser de PowerShell.

Cómo buscar ¿Usuario de AD y propiedades de lista con Get-ADUser?

Para usar el módulo RSAT-AD-PowerShell, debe ejecutar la consola de PowerShell elevada e importar el módulo con el comando:

Import-Module activedirectory

El módulo RSAT-AD-PowerShell se instala de forma predeterminada en Windows Server 2012 (y más reciente) cuando implementó el rol de Servicios de dominio de Active Directory (AD DS). Para instalar el módulo en un servidor miembro del dominio, ejecute el comando:

Install-WindowsFeature -Name "RSAT-AD-PowerShell" –IncludeAllSubFeature

En la versión de escritorio de Windows 10 para usar el cmdlet Get-ADUser, debe instalar la versión adecuada de RSAT y habilitar la función Módulo de Active Directory para Windows PowerShell a través del Panel de control (Programas – > Activar o desactivar las funciones de Windows – > Herramientas de administración remota del servidor – > Administración de funciones Herramientas: > Herramientas de AD DS y AD LDS – > Herramientas de AD DS).

Puede instalar el módulo RSAT AD en Windows 10 1809 y versiones posteriores desde PowerShell:

Add-WindowsCapability –online –Name "Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0"

También hay una manera de usar el módulo AD-PowerShell sin instalar RSAT en su computadora. Basta con copiar los archivos del módulo principal e importar el módulo a la sesión PoSh:

Import-Module "C:\PS\AD\Microsoft.ActiveDirectory.Management.dll"
Import-Module "C:\PS\AD\Microsoft.ActiveDirectory.Management.resources.dll"

Una lista completa de todos los Los argumentos del cmdlet Get-ADUser se pueden obtener de la siguiente manera:

help Get-ADUser

Para usar el cmdlet Get-ADUser, no necesita ejecutarlo con una cuenta con un administrador de dominio o permisos delegados. Cualquier usuario de dominio de AD autorizado puede ejecutar comandos de PowerShell para obtener los valores de la mayoría de los atributos de los objetos de AD (excepto los confidenciales, consulte el ejemplo en el artículo LAPS). Si necesita ejecutar el comando Get-ADUser desde una cuenta diferente, use el parámetro Credential.

Para mostrar la lista de todas las cuentas de dominio, ejecute este comando:

Get-ADUser -filter *

Importante. No se recomienda ejecutar este comando en los dominios con una gran cantidad de cuentas, ya que el controlador de dominio que proporciona la información puede estar sobrecargado.

Para ejecutar una consulta de AD en un controlador de dominio específico, use el parámetro -Server:

Get-ADUser –Server DC01.woshub.com –Identity tuser

Para cambiar los atributos de usuario, use el cmdlet Set-ADUser.

De forma predeterminada, el cmdlet Get-ADUser devuelve solo 10 atributos de usuario básicos (entre más de 120 propiedades de cuenta de usuario): DistinguishedName, SamAccountName, Name, SID, UserPrincipalName, ObjectClass, estado de la cuenta (Habilitado: Verdadero / Falso según el atributo AD de UserAccountControl), etc. En este caso, la salida del cmdlet no contiene información sobre la hora del último cambio de contraseña de usuario.

Para mostrar la información detallada sobre todos los atributos de usuario disponibles, ejecute este comando:

Get-ADUser -identity tuser -properties *

Leave a Reply

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *