Get-ADUser: Obtendo informações dos usuários do Active Directory por meio do PowerShell

Get-ADUser é um dos cmdlets básicos do PowerShell que pode ser usado para obter informações sobre os usuários do domínio do Active Directory e suas propriedades. Você pode usar Get-ADUser para visualizar o valor de qualquer atributo de objeto de usuário AD, exibir uma lista de usuários no domínio com os atributos necessários e exportá-los para CSV e usar vários critérios e filtros para selecionar usuários de domínio.

O cmdlet Get-ADUser está disponível desde PowerShell 2.0 e faz parte do módulo especial Active Directory para Windows PowerShell (introduzido no Windows Server 2008 R2). Os cmdlets RSAT-AD-PowerShell permitem que você execute várias operações em objetos AD.

Observação. Antes, para obter informações sobre os atributos das contas de usuário do AD, você tinha que usar diferentes ferramentas: console ADUC (incluindo consultas AD salvas), scripts vbs, dsquery, etc. Todas essas ferramentas podem ser facilmente substituídas pelo cmdlet Get-ADUser.

Neste exemplo, mostraremos como obter informações sobre a última vez em que a senha do usuário foi alterada e a data de validade da senha usando o cmdlet Get-ADUser PowerShell.

Como encontrar Usuário AD e propriedades de lista com Get-ADUser?

Para usar o módulo RSAT-AD-PowerShell, você precisa executar o console PowerShell elevado e importar o módulo com o comando:

Import-Module activedirectory

O módulo RSAT-AD-PowerShell é instalado por padrão no Windows Server 2012 (e mais recentes) quando você implantou a função Serviços de Domínio Active Directory (AD DS). Para instalar o módulo em um servidor membro do domínio, execute o comando:

Install-WindowsFeature -Name "RSAT-AD-PowerShell" –IncludeAllSubFeature

Na versão desktop do Windows 10, a fim de usar o cmdlet Get-ADUser, você precisa instalar a versão apropriada do RSAT e habilitar o módulo Active Directory para o recurso Windows PowerShell por meio do Painel de Controle (Programas – > Ativar ou desativar recursos do Windows- > Ferramentas de administração de servidor remoto – > Administração de funções Ferramentas – > Ferramentas AD DS e AD LDS – > Ferramentas AD DS).

Você pode instalar o módulo RSAT AD no Windows 10 1809 e mais recente do PowerShell:

Add-WindowsCapability –online –Name "Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0"

Também existe uma maneira de usar o módulo AD-PowerShell sem a instalação de RSAT em seu computador. Basta copiar os arquivos do módulo principal e importar o módulo para a sessão PoSh:

Import-Module "C:\PS\AD\Microsoft.ActiveDirectory.Management.dll"
Import-Module "C:\PS\AD\Microsoft.ActiveDirectory.Management.resources.dll"

Uma lista completa de todos os argumentos do cmdlet Get-ADUser podem ser obtidos da seguinte maneira:

help Get-ADUser

Para usar o cmdlet Get-ADUser, você não precisa executá-lo em uma conta com um administrador de domínio ou permissões delegadas. Qualquer usuário de domínio AD autorizado pode executar comandos do PowerShell para obter os valores da maioria dos atributos do objeto AD (exceto para os confidenciais, consulte o exemplo no artigo LAPS). Se você precisar executar o comando Get-ADUser de uma conta diferente, use o parâmetro Credential.

Para exibir a lista de todas as contas de domínio, execute este comando:

Get-ADUser -filter *

Importante. Não é recomendado executar este comando em domínios com um grande número de contas, pois o controlador de domínio que fornece as informações pode estar sobrecarregado.

Para executar uma consulta AD em um controlador de domínio específico, use o parâmetro -Server:

Get-ADUser –Server DC01.woshub.com –Identity tuser

Para alterar os atributos do usuário, use o cmdlet Set-ADUser.

Por padrão, o cmdlet Get-ADUser retorna apenas 10 atributos básicos do usuário (dentre mais de 120 propriedades da conta do usuário): DistinguishedName, SamAccountName, Name, SID, UserPrincipalName, ObjectClass, status da conta (Enabled: True / False de acordo com o atributo UserAccountControl AD), etc. Nesse caso, a saída do cmdlet não contém informações sobre a hora da última alteração de senha do usuário.

Para exibir as informações detalhadas sobre todos os atributos de usuário disponíveis, execute este comando:

Get-ADUser -identity tuser -properties *

Leave a Reply

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *