Get-ADUser: ottenere informazioni sugli utenti di Active Directory tramite PowerShell

Get-ADUser è uno dei cmdlet di base di PowerShell che possono essere utilizzati per ottenere informazioni sugli utenti del dominio Active Directory e sulle loro proprietà. È possibile utilizzare Get-ADUser per visualizzare il valore di qualsiasi attributo dell’oggetto utente AD, visualizzare un elenco di utenti nel dominio con gli attributi necessari ed esportarli in CSV e utilizzare vari criteri e filtri per selezionare gli utenti del dominio.

Il cmdlet Get-ADUser è disponibile da PowerShell 2.0 e fa parte del modulo speciale Active Directory per Windows PowerShell (introdotto in Windows Server 2008 R2). I cmdlet RSAT-AD-PowerShell consentono di eseguire varie operazioni sugli oggetti AD.

Nota. In precedenza, per ottenere informazioni sugli attributi degli account utente AD, era necessario utilizzare diversi strumenti: console ADUC (comprese le query AD salvate), script vbs, dsquery, ecc. Tutti questi strumenti possono essere facilmente sostituiti con il cmdlet Get-ADUser.

In questo esempio mostreremo come ottenere informazioni sull’ultima volta in cui la password dell’utente è stata modificata e la data di scadenza della password utilizzando il cmdlet Get-ADUser PowerShell.

Come trovare Proprietà elenco ed utente AD con Get-ADUser?

Per utilizzare il modulo RSAT-AD-PowerShell, è necessario eseguire la console PowerShell con privilegi elevati e importare il modulo con il comando:

Import-Module activedirectory

Il modulo RSAT-AD-PowerShell è installato per impostazione predefinita su Windows Server 2012 (e più recenti) quando hai distribuito il ruolo Servizi di dominio Active Directory (AD DS). Per installare il modulo su un server membro di dominio, esegui il comando:

Install-WindowsFeature -Name "RSAT-AD-PowerShell" –IncludeAllSubFeature

Nella versione desktop di Windows 10 per utilizzare il cmdlet Get-ADUser è necessario installare la versione appropriata di RSAT e abilitare il modulo Active Directory per la funzionalità Windows PowerShell tramite il Pannello di controllo (Programmi – > Attiva o disattiva le funzionalità di Windows- > Strumenti di amministrazione remota del server – > Amministrazione del ruolo Strumenti – > Strumenti AD DS e AD LDS – > Strumenti AD DS).

Puoi installare il modulo AD RSAT in Windows 10 1809 e versioni successive da PowerShell:

Add-WindowsCapability –online –Name "Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0"

Esiste anche un modo per utilizzare il modulo AD-PowerShell senza che RSAT si installi sul computer. È sufficiente copiare i file del modulo principale e importare il modulo nella sessione PoSh:

Import-Module "C:\PS\AD\Microsoft.ActiveDirectory.Management.dll"
Import-Module "C:\PS\AD\Microsoft.ActiveDirectory.Management.resources.dll"

Un elenco completo di tutti i gli argomenti del cmdlet Get-ADUser possono essere ottenuti come segue:

help Get-ADUser

Per utilizzare il cmdlet Get-ADUser, non è necessario eseguirlo con un account con un amministratore di dominio o autorizzazioni delegate. Qualsiasi utente di dominio AD autorizzato può eseguire comandi di PowerShell per ottenere i valori della maggior parte degli attributi degli oggetti AD (ad eccezione di quelli riservati, vedere l’esempio nell’articolo LAPS). Se è necessario eseguire il comando Get-ADUser da un account diverso, utilizzare il parametro Credential.

Per visualizzare l’elenco di tutti gli account di dominio, eseguire questo comando:

Get-ADUser -filter *

Importante. Non è consigliabile eseguire questo comando nei domini con un numero elevato di account, poiché il controller di dominio che fornisce le informazioni può essere sovraccaricato.

Per eseguire una query AD su un controller di dominio specifico, utilizza il parametro -Server:

Get-ADUser –Server DC01.woshub.com –Identity tuser

Per modificare gli attributi utente, utilizzare il cmdlet Set-ADUser.

Per impostazione predefinita, il cmdlet Get-ADUser restituisce solo 10 attributi utente di base (su più di 120 proprietà dell’account utente): DistinguishedName, SamAccountName, Name, SID, UserPrincipalName, ObjectClass, stato dell’account (Enabled: True / False in base all’attributo AD UserAccountControl), ecc. In questo caso, l’output del cmdlet non contiene informazioni su l’ora dell’ultima modifica della password utente.

Per visualizzare le informazioni dettagliate su tutti gli attributi utente disponibili, eseguire questo comando:

Get-ADUser -identity tuser -properties *

Leave a Reply

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *