Get-ADUser: informatie over Active Directory-gebruikers ophalen via PowerShell

Get-ADUser is een van de standaard PowerShell-cmdlets die kunnen worden gebruikt om informatie over Active Directory-domeingebruikers en hun eigenschappen te verkrijgen. U kunt de Get-ADUser gebruiken om de waarde van elk AD-gebruikersobjectattribuut te bekijken, een lijst met gebruikers in het domein met de benodigde attributen weer te geven en deze naar CSV te exporteren, en verschillende criteria en filters gebruiken om domeingebruikers te selecteren.

De Get-ADUser cmdlet is beschikbaar sinds PowerShell 2.0 en maakt deel uit van de speciale module Active Directory voor Windows PowerShell (geïntroduceerd in Windows Server 2008 R2). Met RSAT-AD-PowerShell-cmdlets kunt u verschillende bewerkingen uitvoeren op AD-objecten.

Opmerking. Om informatie te krijgen over de attributen van AD-gebruikersaccounts, moest u eerder verschillende tools gebruiken: ADUC-console (inclusief opgeslagen AD-queries), vbs-scripts, dsquery, enz. Al deze tools kunnen eenvoudig worden vervangen door de Get-ADUser-cmdlet.

In dit voorbeeld laten we zien hoe u informatie kunt krijgen over de laatste keer dat het wachtwoord van de gebruiker is gewijzigd en de vervaldatum van het wachtwoord met behulp van de Get-ADUser PowerShell-cmdlet.

Hoe te zoeken AD-gebruikers- en lijsteigenschappen met Get-ADUser?

Om de RSAT-AD-PowerShell-module te gebruiken, moet u de verhoogde PowerShell-console uitvoeren en de module importeren met de opdracht:

Import-Module activedirectory

De RSAT-AD-PowerShell-module wordt standaard geïnstalleerd op Windows Server 2012 (en nieuwer) toen u de Active Directory Domain Services-rol (AD DS) implementeerde. Om de module op een domeinlidserver te installeren, voert u de volgende opdracht uit:

Install-WindowsFeature -Name "RSAT-AD-PowerShell" –IncludeAllSubFeature

In de desktopversie van Windows 10 om de Get-ADUser-cmdlet te gebruiken, moet u de juiste versie van RSAT installeren en de Active Directory-module voor Windows PowerShell-functie inschakelen via het Configuratiescherm (Programma’s – > Windows-functies in- of uitschakelen – > Hulpprogramma’s voor beheer van externe servers – > Rolbeheer Tools – > AD DS en AD LDS Tools – > AD DS Tools).

U kunt de RSAT AD-module installeren in Windows 10 1809 en nieuwer vanuit PowerShell:

Add-WindowsCapability –online –Name "Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0"

Er is ook een manier om de AD-PowerShell-module te gebruiken zonder RSAT op uw computer te installeren. Het is voldoende om de hoofdmodulebestanden te kopiëren en de module in de PoSh-sessie te importeren:

Import-Module "C:\PS\AD\Microsoft.ActiveDirectory.Management.dll"
Import-Module "C:\PS\AD\Microsoft.ActiveDirectory.Management.resources.dll"

Een volledige lijst van alle argumenten van de Get-ADUser cmdlet kunnen als volgt worden verkregen:

help Get-ADUser

Om de Get-ADUser cmdlet te gebruiken, hoeft u niet moet het draaien onder een account met een domeinbeheerder of gedelegeerde machtigingen. Elke geautoriseerde AD-domeingebruiker kan PowerShell-opdrachten uitvoeren om de waarden van de meeste AD-objectkenmerken op te halen (behalve vertrouwelijke, zie het voorbeeld in het artikel LAPS). Als u de opdracht Get-ADUser vanuit een ander account moet uitvoeren, gebruikt u de parameter Credential.

Om de lijst met alle domeinaccounts weer te geven, voert u deze opdracht uit:

Get-ADUser -filter *

Belangrijk. Het wordt niet aanbevolen om deze opdracht uit te voeren in de domeinen met een groot aantal accounts, aangezien de domeincontroller die de informatie verstrekt, overbelast kan raken.

Om uit te voeren een AD-query op een specifieke domeincontroller, gebruik dan de -Server-parameter:

Get-ADUser –Server DC01.woshub.com –Identity tuser

Gebruik de cmdlet Set-ADUser om gebruikerskenmerken te wijzigen.

Standaard retourneert de cmdlet Get-ADUser slechts 10 basisgebruikerskenmerken (van de meer dan 120 gebruikersaccounteigenschappen): DistinguishedName, SamAccountName, Name, SID, UserPrincipalName, ObjectClass, accountstatus (Enabled: True / False volgens het UserAccountControl AD-kenmerk), enz. In dit geval bevat de uitvoer van de cmdlet geen informatie over het tijdstip van de laatste wijziging van het gebruikerswachtwoord.

Om gedetailleerde informatie over alle beschikbare gebruikersattributen weer te geven, voert u deze opdracht uit:

Get-ADUser -identity tuser -properties *

Leave a Reply

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *