Get-ADUser: Pobieranie informacji o użytkownikach usługi Active Directory za pośrednictwem programu PowerShell

Get-ADUser to jedno z podstawowych poleceń cmdlet programu PowerShell, które można wykorzystać do uzyskania informacji o użytkownikach domeny Active Directory i ich właściwościach. Możesz użyć Get-ADUser, aby wyświetlić wartość dowolnego atrybutu obiektu użytkownika AD, wyświetlić listę użytkowników w domenie z niezbędnymi atrybutami i wyeksportować je do pliku CSV oraz użyć różnych kryteriów i filtrów do wyboru użytkowników domeny.

Polecenie cmdlet Get-ADUser jest dostępne od PowerShell 2.0 i jest częścią specjalnego modułu Active Directory dla Windows PowerShell (wprowadzonego w Windows Server 2008 R2). Polecenia cmdlet RSAT-AD-PowerShell umożliwiają wykonywanie różnych operacji na obiektach AD.

Uwaga. Wcześniej, aby uzyskać informacje o atrybutach kont użytkowników AD, należało użyć różnych narzędzi: konsoli ADUC (w tym zapisanych zapytań AD), skryptów VBS, dsquery itp. Wszystkie te narzędzia można łatwo zastąpić poleceniem cmdlet Get-ADUser.

W tym przykładzie pokażemy, jak uzyskać informacje o ostatniej zmianie hasła użytkownika i dacie wygaśnięcia hasła za pomocą polecenia cmdlet Get-ADUser PowerShell.

Jak znaleźć Właściwości użytkownika i listy AD z Get-ADUser?

Aby użyć modułu RSAT-AD-PowerShell, musisz uruchomić konsolę PowerShell z podwyższonym poziomem uprawnień i zaimportować moduł za pomocą polecenia:

Import-Module activedirectory

Moduł RSAT-AD-PowerShell jest instalowany domyślnie w systemie Windows Server 2012 (i nowsze) po wdrożeniu roli usług domenowych w usłudze Active Directory (AD DS). Aby zainstalować moduł na serwerze należącym do domeny, uruchom polecenie:

Install-WindowsFeature -Name "RSAT-AD-PowerShell" –IncludeAllSubFeature

W wersji dla systemu Windows 10 na komputery stacjonarne, aby użyć polecenia cmdlet Get-ADUser, należy zainstalować odpowiednią wersję RSAT i włączyć funkcję modułu Active Directory dla Windows PowerShell za pośrednictwem Panelu sterowania (Programy – > Włącz lub wyłącz funkcje systemu Windows – > Narzędzia administracji zdalnej serwera – > Administracja rolami Narzędzia – > Narzędzia AD DS i AD LDS – > Narzędzia AD DS).

Moduł RSAT AD można zainstalować w systemie Windows 10 1809 i nowszych za pomocą programu PowerShell:

Add-WindowsCapability –online –Name "Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0"

Istnieje również sposób korzystania z modułu AD-PowerShell bez instalowania RSAT na komputerze. Wystarczy skopiować pliki głównego modułu i zaimportować moduł do sesji PoSh:

Import-Module "C:\PS\AD\Microsoft.ActiveDirectory.Management.dll"
Import-Module "C:\PS\AD\Microsoft.ActiveDirectory.Management.resources.dll"

Pełna lista wszystkich argumenty polecenia cmdlet Get-ADUser można uzyskać w następujący sposób:

help Get-ADUser

Aby użyć polecenia cmdlet Get-ADUser, nie należy trzeba go uruchomić na koncie z administratorem domeny lub delegowanymi uprawnieniami. Każdy autoryzowany użytkownik domeny AD może uruchamiać polecenia programu PowerShell, aby uzyskać wartości większości atrybutów obiektów AD (z wyjątkiem poufnych, zobacz przykład w artykule LAPS). Jeśli chcesz uruchomić polecenie Get-ADUser z innego konta, użyj parametru Credential.

Aby wyświetlić listę wszystkich kont domeny, uruchom to polecenie:

Get-ADUser -filter *

Ważne. Nie zaleca się uruchamiania tego polecenia w domenach z dużą liczbą kont, ponieważ kontroler domeny dostarczający informacje może być przeciążony.

Aby wykonać zapytanie AD na określonym kontrolerze domeny, użyj parametru -Server:

Get-ADUser –Server DC01.woshub.com –Identity tuser

Aby zmienić atrybuty użytkownika, użyj cmdletu Set-ADUser.

Domyślnie cmdlet Get-ADUser zwraca tylko 10 podstawowych atrybutów użytkownika (z więcej niż 120 właściwości konta użytkownika): DistinguishedName, SamAccountName, Name, SID, UserPrincipalName, ObjectClass, status konta (Enabled: True / False zgodnie z atrybutem UserAccountControl AD) itp. W tym przypadku dane wyjściowe polecenia cmdlet nie zawierają informacji o czas ostatniej zmiany hasła użytkownika.

Aby wyświetlić szczegółowe informacje o wszystkich dostępnych atrybutach użytkownika, uruchom to polecenie:

Get-ADUser -identity tuser -properties *

Leave a Reply

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *