Get-ADUser: Az Active Directory felhasználói információk megszerzése a PowerShell segítségével

A Get-ADUser az egyik alapvető PowerShell-parancsmag, amely felhasználható információk beszerzésére az Active Directory tartományi felhasználókról és azok tulajdonságairól. A Get-ADUser segítségével megtekintheti bármely AD felhasználói objektum attribútum értékét, megjelenítheti a tartományban lévő felhasználók listáját a szükséges attribútumokkal és exportálhatja őket CSV formátumba, valamint különféle feltételeket és szűrőket használhat a tartományi felhasználók kiválasztásához.

A Get-ADUser parancsmag a PowerShell 2.0 óta elérhető, és a Windows PowerShell Active Directory speciális moduljának része (bevezetve a Windows Server 2008-ban) R2). Az RSAT-AD-PowerShell parancsmagok lehetővé teszik különféle műveletek végrehajtását az AD objektumokon.

Megjegyzés. Korábban, hogy információt szerezzen az AD felhasználói fiókok attribútumairól, különféle eszközöket kellett használnia: ADUC konzolt (beleértve a mentett AD lekérdezéseket), vbs szkripteket, dsquery stb. Mindezeket az eszközöket könnyen helyettesítheti a Get-ADUser parancsmag.

Ebben a példában bemutatjuk, hogyan szerezhetünk információt a felhasználói jelszó legutóbbi megváltoztatásáról és a jelszó lejárati dátumáról a Get-ADUser PowerShell parancsmag használatával.

Hogyan lehet megtalálni AD felhasználói és listatulajdonságok a Get-ADUser használatával?

Az RSAT-AD-PowerShell modul használatához futtatnia kell a megemelt PowerShell konzolt, és importálnia kell a modult a következő paranccsal: Import-Module activedirectory

Az RSAT-AD-PowerShell modul alapértelmezés szerint telepítve van a Windows Server 2012 rendszerre (és újabb) az Active Directory tartományi szolgáltatások (AD DS) szerepkör telepítésekor. A modul telepítéséhez egy tartományi tagkiszolgálóra futtassa a következő parancsot:

Install-WindowsFeature -Name "RSAT-AD-PowerShell" –IncludeAllSubFeature

Az asztali Windows 10 verzióban a Get-ADUser parancsmag használatához telepítenie kell az RSAT megfelelő verzióját, és a Vezérlőpulton keresztül engedélyeznie kell az Active Directory modult a Windows PowerShell számára (Programok – > A Windows funkcióinak be- vagy kikapcsolása- > Távoli kiszolgálófelügyeleti eszközök – > Szerepadminisztráció Eszközök – > AD DS és AD LDS eszközök – > AD DS eszközök).

Az RSAT AD modult telepítheti a Windows 10 1809 és újabb verziókba a PowerShellből:

Add-WindowsCapability –online –Name "Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0"

Az AD-PowerShell modult úgy is lehet használni, hogy RSAT-t nem telepít a számítógépére. Elég a fő modul fájljait átmásolni és a modult a PoSh munkamenetbe importálni:

Import-Module "C:\PS\AD\Microsoft.ActiveDirectory.Management.dll"
Import-Module "C:\PS\AD\Microsoft.ActiveDirectory.Management.resources.dll"

Az összes fájl teljes listája A Get-ADUser parancsmag argumentumai az alábbiak szerint szerezhetők be:

help Get-ADUser

A Get-ADUser parancsmag használatához nem kell domain rendszergazdával vagy átruházott engedélyekkel rendelkező fiók alatt kell futtatnia. Bármely engedélyezett AD tartományi felhasználó futtathatja a PowerShell parancsokat a legtöbb AD objektumattribútum értékeinek megszerzéséhez (a bizalmasak kivételével, lásd a LAPS cikk példáját). Ha egy másik fiókból kell futtatnia a Get-ADUser parancsot, használja a Credential paramétert.

Az összes tartományi fiók listájának megjelenítéséhez futtassa a következő parancsot:

Get-ADUser -filter *

Fontos. Nem ajánlott ezt a parancsot futtatni nagy számú fiókkal rendelkező tartományokban, mivel az információt szolgáltató tartományvezérlő túlterhelhető.

Futtatáshoz AD lekérdezés egy adott tartományvezérlőn, használja a -Server paramétert:

Get-ADUser –Server DC01.woshub.com –Identity tuser

A felhasználói attribútumok módosításához használja a Set-ADUser parancsmagot.

Alapértelmezés szerint a Get-ADUser parancsmag csak 10 alapvető felhasználói attribútumot ad vissza (többből mint 120 felhasználói fióktulajdonság): DistinguishedName, SamAccountName, Name, SID, UserPrincipalName, ObjectClass, account status (Enabled: True / False a UserAccountControl AD attribútum szerint) stb. Ebben az esetben a parancsmag kimenete nem tartalmaz információkat az utolsó felhasználói jelszó megváltoztatásának ideje.

Az összes elérhető felhasználói attribútum részletes információinak megjelenítéséhez futtassa a következő parancsot:

Get-ADUser -identity tuser -properties *

Leave a Reply

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük