Get-ADUser: Få Active Directory-brukerinformasjon via PowerShell

Get-ADUser er en av de grunnleggende PowerShell-cmdletene som kan brukes til å få informasjon om Active Directory-domenebrukere og deres egenskaper. Du kan bruke Get-ADUser til å vise verdien til ethvert AD-brukerobjektattributt, vise en liste over brukere i domenet med de nødvendige attributtene og eksportere dem til CSV, og bruke forskjellige kriterier og filtre for å velge domenebrukere.

cmdleten Get-ADUser har vært tilgjengelig siden PowerShell 2.0 og er en del av spesialmodulen Active Directory for Windows PowerShell (introdusert i Windows Server 2008 R2). RSAT-AD-PowerShell-cmdlets lar deg utføre forskjellige operasjoner på AD-objekter.

Merk. Tidligere for å få informasjon om attributtene til AD-brukerkontoer, måtte du bruke forskjellige verktøy: ADUC-konsoll (inkludert lagrede AD-spørringer), vbs-skript, dsquery, etc. Alle disse verktøyene kan enkelt erstattes med Get-ADUser cmdlet.

I dette eksemplet viser vi hvordan du får informasjon om sist gang brukerens passord ble endret og passordets utløpsdato ved hjelp av Get-ADUser PowerShell cmdlet.

Hvordan finne AD-bruker- og listeegenskaper med Get-ADUser?

For å bruke RSAT-AD-PowerShell-modulen, må du kjøre den forhøyede PowerShell-konsollen og importere modulen med kommandoen:

Import-Module activedirectory

RSAT-AD-PowerShell-modulen er installert som standard på Windows Server 2012 (og nyere) når du distribuerte AD DS-rollen (Active Directory Domain Services). For å installere modulen på en domenemedlemserver, kjør kommandoen:

Install-WindowsFeature -Name "RSAT-AD-PowerShell" –IncludeAllSubFeature

På den stasjonære Windows 10-versjonen for å kunne bruke Get-ADUser-cmdleten, må du installere riktig versjon av RSAT og aktivere Active Directory-modulen for Windows PowerShell-funksjonen via Kontrollpanel (Programmer – > Slå Windows-funksjoner på eller av- > Eksterne serveradministrasjonsverktøy – > Rolleadministrasjon Verktøy – > AD DS og AD LDS-verktøy – > AD DS-verktøy).

Du kan installere RSAT AD-modulen i Windows 10 1809 og nyere fra PowerShell:

Add-WindowsCapability –online –Name "Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0"

Det er også en måte å bruke AD-PowerShell-modulen uten at RSAT installeres på datamaskinen din. Det er nok å kopiere hovedmodulfilene og importere modulen til PoSh-økten:

Import-Module "C:\PS\AD\Microsoft.ActiveDirectory.Management.dll"
Import-Module "C:\PS\AD\Microsoft.ActiveDirectory.Management.resources.dll"

En komplett liste over alle argumenter for Get-ADUser-cmdleten kan fås som følger:

help Get-ADUser

For å bruke Get-ADUser-cmdleten, trenger du ikke må kjøre den under en konto med en domeneadministrator eller delegerte tillatelser. Enhver autorisert AD-domenebruker kan kjøre PowerShell-kommandoer for å få verdiene til de fleste AD-objektattributter (bortsett fra konfidensielle, se eksemplet i artikkelen LAPS). Hvis du trenger å kjøre Get-ADUser-kommandoen fra en annen konto, bruker du legitimasjonsparameteren.

For å vise listen over alle domenekontoer, kjør denne kommandoen:

Get-ADUser -filter *

Viktig. Det anbefales ikke å kjøre denne kommandoen i domenene med et stort antall kontoer, siden domenekontrolleren som gir informasjonen kan overbelastes.

For å utføre et AD-spørsmål på en bestemt domenekontroller, bruk -Server-parameteren:

Get-ADUser –Server DC01.woshub.com –Identity tuser

For å endre brukerattributter, bruk Set-ADUser-cmdleten.

Som standard returnerer Get-ADUser-cmdleten bare 10 grunnleggende brukerattributter (av mer enn 120 brukerkontoegenskaper): DistinguishedName, SamAccountName, Name, SID, UserPrincipalName, ObjectClass, account status (Enabled: True / False according to the UserAccountControl AD attribute), etc. I dette tilfellet inneholder ikke cmdlet-utdata informasjon om tidspunktet for den siste endringen av brukerpassordet.

For å vise detaljert informasjon om alle tilgjengelige brukerattributter, kjør denne kommandoen:

Get-ADUser -identity tuser -properties *

Leave a Reply

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *