Get-ADUser: obtention d’informations sur les utilisateurs Active Directory via PowerShell

Get-ADUser est l’une des applets de commande PowerShell de base qui peuvent être utilisées pour obtenir des informations sur les utilisateurs du domaine Active Directory et leurs propriétés. Vous pouvez utiliser Get-ADUser pour afficher la valeur de n’importe quel attribut d’objet utilisateur AD, afficher une liste d’utilisateurs dans le domaine avec les attributs nécessaires et les exporter au format CSV, et utiliser divers critères et filtres pour sélectionner les utilisateurs du domaine.

La cmdlet Get-ADUser est disponible depuis PowerShell 2.0 et fait partie du module spécial Active Directory pour Windows PowerShell (introduit dans Windows Server 2008 R2). Les applets de commande RSAT-AD-PowerShell vous permettent d’effectuer diverses opérations sur des objets AD.

Remarque. Auparavant, pour obtenir des informations sur les attributs des comptes d’utilisateurs AD, vous deviez utiliser différents outils: console ADUC (y compris les requêtes AD enregistrées), scripts vbs, dsquery, etc. Tous ces outils peuvent être facilement remplacés par l’applet de commande Get-ADUser.

Dans cet exemple, nous montrerons comment obtenir des informations sur la dernière fois que le mot de passe de l’utilisateur a été modifié et la date d’expiration du mot de passe à l’aide de l’applet de commande Get-ADUser PowerShell.

Comment trouver Propriétés des utilisateurs et des listes AD avec Get-ADUser?

Pour utiliser le module RSAT-AD-PowerShell, vous devez exécuter la console PowerShell élevée et importer le module avec la commande:

Import-Module activedirectory

Le module RSAT-AD-PowerShell est installé par défaut sur Windows Server 2012 (et plus récent) lorsque vous avez déployé le rôle Services de domaine Active Directory (AD DS). Pour installer le module sur un serveur membre du domaine, exécutez la commande:

Install-WindowsFeature -Name "RSAT-AD-PowerShell" –IncludeAllSubFeature

Dans la version de bureau Windows 10, pour utiliser l’applet de commande Get-ADUser, vous devez installer la version appropriée de RSAT et activer la fonctionnalité Module Active Directory pour Windows PowerShell via le Panneau de configuration (Programmes – > Activer ou désactiver les fonctionnalités Windows – > Outils d’administration de serveur distant – > Administration des rôles Outils – > Outils AD DS et AD LDS – > Outils AD DS).

Vous pouvez installer le module RSAT AD dans Windows 10 1809 et plus récent à partir de PowerShell:

Add-WindowsCapability –online –Name "Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0"

Il existe également un moyen d’utiliser le module AD-PowerShell sans l’installation de RSAT sur votre ordinateur. Il suffit de copier les fichiers du module principal et d’importer le module dans la session PoSh:

Import-Module "C:\PS\AD\Microsoft.ActiveDirectory.Management.dll"
Import-Module "C:\PS\AD\Microsoft.ActiveDirectory.Management.resources.dll"

Une liste complète de tous les les arguments de la cmdlet Get-ADUser peuvent être obtenus comme suit:

help Get-ADUser

Pour utiliser la cmdlet Get-ADUser, vous ne besoin de l’exécuter sous un compte avec un administrateur de domaine ou des autorisations déléguées. Tout utilisateur de domaine AD autorisé peut exécuter des commandes PowerShell pour obtenir les valeurs de la plupart des attributs d’objet AD (à l’exception des attributs confidentiels, voir l’exemple dans l’article LAPS). Si vous devez exécuter la commande Get-ADUser à partir d’un autre compte, utilisez le paramètre Credential.

Pour afficher la liste de tous les comptes de domaine, exécutez cette commande:

Get-ADUser -filter *

Important. Il n’est pas recommandé d’exécuter cette commande dans les domaines avec un grand nombre de comptes, car le contrôleur de domaine fournissant les informations peut être surchargé.

Pour exécuter une requête AD sur un contrôleur de domaine spécifique, utilisez le paramètre -Server:

Get-ADUser –Server DC01.woshub.com –Identity tuser

Pour modifier les attributs utilisateur, utilisez la cmdlet Set-ADUser.

Par défaut, la cmdlet Get-ADUser renvoie seulement 10 attributs utilisateur de base (sur plus plus de 120 propriétés de compte utilisateur): DistinguishedName, SamAccountName, Name, SID, UserPrincipalName, ObjectClass, état du compte (Enabled: True / False selon l’attribut UserAccountControl AD), etc. Dans ce cas, la sortie de l’applet de commande ne contient pas d’informations sur l’heure du dernier changement de mot de passe utilisateur.

Pour afficher les informations détaillées sur tous les attributs utilisateur disponibles, exécutez cette commande:

Get-ADUser -identity tuser -properties *

Leave a Reply

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *