Get-ADUser: Abrufen von Informationen zu Active Directory-Benutzern über PowerShell

Get-ADUser ist eines der grundlegenden PowerShell-Cmdlets, mit denen Informationen zu Active Directory-Domänenbenutzern und ihren Eigenschaften abgerufen werden können. Mit Get-ADUser können Sie den Wert eines beliebigen AD-Benutzerobjektattributs anzeigen, eine Liste der Benutzer in der Domäne mit den erforderlichen Attributen anzeigen und in CSV exportieren sowie verschiedene Kriterien und Filter zur Auswahl von Domänenbenutzern verwenden.

Das Cmdlet Get-ADUser ist seit PowerShell 2.0 verfügbar und Teil des Spezialmoduls Active Directory für Windows PowerShell (eingeführt in Windows Server 2008) R2). Mit RSAT-AD-PowerShell-Cmdlets können Sie verschiedene Vorgänge für AD-Objekte ausführen.

Hinweis. Um Informationen über die Attribute von AD-Benutzerkonten zu erhalten, mussten Sie verschiedene Tools verwenden: ADUC-Konsole (einschließlich gespeicherter AD-Abfragen), vbs-Skripte, dsquery usw. Alle diese Tools können problemlos durch das Cmdlet Get-ADUser ersetzt werden.

In diesem Beispiel wird gezeigt, wie Sie mithilfe des Cmdlets Get-ADUser PowerShell Informationen zum letzten Mal erhalten, als das Kennwort des Benutzers geändert wurde, und zum Ablaufdatum des Kennworts.

So finden Sie AD-Benutzer- und Listeneigenschaften mit Get-ADUser?

Um das RSAT-AD-PowerShell-Modul zu verwenden, müssen Sie die PowerShell-Konsole mit erhöhten Rechten ausführen und das Modul mit dem folgenden Befehl importieren:

Import-Module activedirectory

Das RSAT-AD-PowerShell-Modul ist standardmäßig unter Windows Server 2012 installiert (und neuer), wenn Sie die AD DS-Rolle (Active Directory Domain Services) bereitgestellt haben. Führen Sie den folgenden Befehl aus, um das Modul auf einem Domänenmitgliedsserver zu installieren:

Install-WindowsFeature -Name "RSAT-AD-PowerShell" –IncludeAllSubFeature

In der Windows 10-Desktopversion müssen Sie zur Verwendung des Cmdlets Get-ADUser die entsprechende RSAT-Version installieren und die Funktion Active Directory-Modul für Windows PowerShell über die Systemsteuerung (Programme -) aktivieren. > Aktivieren oder deaktivieren Sie Windows-Funktionen. > Remoteserver-Verwaltungstools – > Rollenverwaltung Tools – > AD DS- und AD LDS-Tools – > AD DS-Tools).

Sie können das RSAT AD-Modul unter Windows 10 1809 und neuer in PowerShell installieren:

Add-WindowsCapability –online –Name "Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0"

Es gibt auch eine Möglichkeit, das AD-PowerShell-Modul zu verwenden, ohne dass RSAT auf Ihrem Computer installiert ist. Es reicht aus, die Hauptmoduldateien zu kopieren und das Modul in die PoSh-Sitzung zu importieren:

Import-Module "C:\PS\AD\Microsoft.ActiveDirectory.Management.dll"
Import-Module "C:\PS\AD\Microsoft.ActiveDirectory.Management.resources.dll"

Eine vollständige Liste aller Argumente des Cmdlets Get-ADUser können wie folgt abgerufen werden:

help Get-ADUser

Um das Cmdlet Get-ADUser zu verwenden, müssen Sie dies nicht tun Sie müssen es unter einem Konto bei einem Domänenadministrator oder mit delegierten Berechtigungen ausführen. Jeder autorisierte AD-Domänenbenutzer kann PowerShell-Befehle ausführen, um die Werte der meisten AD-Objektattribute abzurufen (mit Ausnahme vertraulicher Attribute, siehe Beispiel im Artikel LAPS). Wenn Sie den Befehl Get-ADUser von einem anderen Konto aus ausführen müssen, verwenden Sie den Parameter Anmeldeinformationen.

Führen Sie den folgenden Befehl aus, um die Liste aller Domänenkonten anzuzeigen:

Get-ADUser -filter *

Wichtig. Es wird nicht empfohlen, diesen Befehl in Domänen mit einer großen Anzahl von Konten auszuführen, da der Domänencontroller, der die Informationen bereitstellt, überlastet werden kann.

Zum Ausführen Verwenden Sie für eine AD-Abfrage auf einem bestimmten Domänencontroller den Parameter -Server:

Get-ADUser –Server DC01.woshub.com –Identity tuser

Verwenden Sie zum Ändern von Benutzerattributen das Cmdlet Set-ADUser.

Standardmäßig gibt das Cmdlet Get-ADUser nur 10 grundlegende Benutzerattribute zurück (von mehr) mehr als 120 Benutzerkontoeigenschaften): DistinguishedName, SamAccountName, Name, SID, UserPrincipalName, ObjectClass, Kontostatus (Aktiviert: True / False gemäß dem UserAccountControl AD-Attribut) usw. In diesem Fall enthält die Ausgabe des Cmdlets keine Informationen zu Der Zeitpunkt der letzten Änderung des Benutzerkennworts.

Führen Sie den folgenden Befehl aus, um detaillierte Informationen zu allen verfügbaren Benutzerattributen anzuzeigen:

Get-ADUser -identity tuser -properties *

Leave a Reply

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.