El cmdlet Get-ADUser es una herramienta muy versátil para recuperar usuarios de Active Directory. Si necesita identificar usuarios de AD específicos, puede usar valores como su nombre de cuenta SAM. O puede usar el parámetro Propiedades si necesita información detallada sobre uno o más usuarios.
De manera similar, cuando se trata de una gran cantidad de objetos de usuario, el parámetro Filtro es útil para obtener usuarios de AD en función de filtros específicos como correo electrónico, ciudad, título, etc. Combinado con herramientas como ordenar y exportar, la administración de usuarios Get -ADUser en dominios es muy convenientemente
Solicitudes Get-ADUser de PowerShell
Por supuesto, en los controladores de dominio, el comando Get-ADUser funciona de forma predeterminada. Sin embargo, si intenta ejecutar este comando en otros sistemas que forman parte del dominio AD, es posible que encuentre el error no reconocido Get-ADUser.
Eso es porque los tienes. PUBLICIDAD RSAT componente primero puedes hacer eso con Add-WindowsCapability –online –Name "Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0"
. Una vez que haya hecho eso, puede usar Get-ADUser en cualquier sistema.
Tampoco está limitado a las cuentas de administrador de dominio; cualquier cuenta de usuario de AD autorizada funcionará. Tenga en cuenta que, si bien las cuentas no administrativas pueden recuperar la mayoría de los atributos de objetos de usuario con este comando, es posible que solo los administradores de dominio puedan acceder a cierta información confidencial.
Parámetros Get-ADUser
Get-ADUser toma principalmente tres parámetros para obtener objetos de usuario: Identificar, Filtrar y LDAPFilter.
identidad Obtiene un objeto de usuario mediante un valor específico, como Nombre distinguido o GUID. Esto es útil cuando está buscando un objeto de usuario y necesita recordar el valor requerido.
filtrar devuelve una lista de objetos de usuario en función de las consultas seleccionadas. En los casos en los que necesite recuperar usuarios de AD cuya contraseña haya caducado, o usuarios que no hayan iniciado sesión en las últimas 2 semanas, etc., un filtro puede ser útil. Puede limitar aún más los resultados a objetos de usuario de servidores específicos, unidades organizativas específicas, etc.
filtro LDAP también utiliza cadenas de consulta para filtrar los objetos de usuario. La diferencia es que LDAPFilter usa su propia sintaxis de consulta LDAP (atributo y valor) a diferencia de Filter, que sigue la sintaxis de PowerShell. Esto significa que tiene una ligera curva de aprendizaje, pero encontrará que es una herramienta útil una vez que se acostumbre a ella.
Hay otros parámetros útiles también base de búsqueda y área de búsqueda que cubriremos en nuestros ejemplos. Recomendamos consultar la documentación de Microsoft si desea revisar la lista completa de parámetros, pero los tres anteriores son en los que nos centraremos en este artículo.
identidad
Identity devuelve un solo objeto de usuario de AD con una de las siguientes propiedades:
- Nombre (DN)
- GUID de objeto
- objectSid (SID o ID de seguridad)
- Samcuentanombre
Suponga que necesita detalles sobre un usuario llamado Ava. Suponiendo que su SamAccountName es ava, puede obtener el objeto de usuario con Get-ADUser -Identity ava
.
Sin embargo, este comando solo devuelve 10 propiedades principales. Si necesita la lista completa de propiedades para un objeto de usuario, use Get-ADUser -Identity ava -Properties *
en lugar de esto.
filtrar
Debido a que las personas generalmente no recuerdan los valores de propiedad necesarios para el parámetro Identidad, el filtro se usa con más frecuencia. El filtro especifica una cadena de consulta que sigue la sintaxis del lenguaje de expresión de PowerShell para recuperar objetos de usuario de AD. Por lo tanto, el operador está entre el operando y el valor.
Un ejemplo sencillo sería Get-AdUser -Filter "Name -like '*a*'"
, donde nombre es el operando, como el operador, y a es el valor. Este comando devuelve todos los objetos de usuario que contienen la letra a en su nombre.
Otro comando útil es Get-ADUser -Filter *
que recupera todos los objetos AD.
Aquí está la lista de operadores de filtro:
operador | posición |
ver | mismo |
edad | Mayor qué o igual a |
le | Menor o igual |
no | No debe equipararse con |
aprox. | Sobre lo mismo |
> | mas grande que |
la | Menos que |
me gusta | Como |
no como | No como |
y | Todas las cláusulas deben ser verdaderas. |
o | Cada una de las cláusulas debe ser verdadera. |
No | La cláusula debe estar mal. |
Cinta | Y bit a bit |
perforar | O bit a bit |
Como ya se mencionó, utilice Get-ADUser <user> -Properties *
devuelve la lista completa de propiedades. Puede consultar esta lista para conocer las propiedades aceptables que puede usar para filtrar la salida. Pero ahora aquí hay algunos de uso común:
- Fecha de vencimiento de la cuenta
- ciudad
- empresa
- país
- código de país
- Departamento
- descripción
- Dirección de correo electrónico
- ID de empleado
- número de empleado
- encendido
- iniciales
- LogonCount
- Apellido
- la contraseña expiró
- Samcuentanombre
- Condición
- título
Puede usar estos operadores y propiedades para crear diferentes tipos de filtros. Por ejemplo, para obtener solo usuarios con tecnología en su descripción, podría usar Get-ADUser -Filter "Description -like 'Tech'"
. Para mostrar solo los usuarios activos de AD, utilice Get-ADUser -Filter 'Enabled -eq $true'
De manera similar, puede combinar los comandos para enumerar usuarios activos de AD que tienen tecnología como tal en su descripción:Get-ADUser -Filter {Description -like 'Tech' -and Enabled -eq $true}
Una cuenta que no sea de administrador puede encontrar un error de no finalización si no tiene permiso para ejecutar la tarea. En este caso, puede usar la opción Credencial para ejecutar el comando tal cual con diferentes credenciales:Get-ADUser -Filter * -Credential ava
Finalmente, dado que Filter generalmente devuelve muchos objetos AD, puede modificar aún más la salida especificando los valores de propiedad exactos que necesita. Utilizar el características parámetros para obtener primero los valores y luego los Seleccionar objeto Opción para mostrar solo las propiedades especificadas.Get-ADUser -Filter * -Properties Name, Initials | Select-Object Name, Initials
filtro LDAP
Las cláusulas LDAP siguen el formato (valor del operador ADAttribute). En particular, se utilizan los siguientes operadores:
operador | posición |
= | mismo |
>= | Mayor qué o igual a |
<= | Menor o igual |
~= | Sobre lo mismo |
& | Booleano ES |
| | booleano o |
! | Booleano NO |
Veamos algunos ejemplos básicos. El siguiente comando devuelve objetos AD con nombres que terminan en era :Get-ADUser -LDAPFilter "(name=*era)"
Cómo obtener artículos que no tienen tecnología en su descripción:Get-ADUser -LDAPFilter '(!(description=Tech))'
Para combinar varias cláusulas y obtener objetos con una A en el nombre pero sin tecnología en la descripción:Get-ADUser -LDAPFilter '(&(!(description=Tech))(cn=A))'
Ejemplos útiles de Get-ADUser
En este punto, debe comprender el uso básico de Get-ADUser. Hemos enumerado aquí más ejemplos de algunos casos de uso comunes que demuestran otros parámetros y escenarios útiles.
- Use Format-Table o ft para obtener la salida en formato de tabla:
Get-ADUser -Filter * | Format-Table
- Use SearchBase para recuperar objetos de un contenedor específico:
Get-ADUser -Filter * -SearchBase "OU=Cali,OU=Locations,DC=mylab,DC=local"
- Utilice SearchScope para mover objetos a un nivel específico de la jerarquía de unidades organizativas:
Get-ADUser -Filter * -SearchBase "OU=Cali,OU=Locations,DC=mylab,DC=local" -SearchScope 1 | ft
- Utilice el servidor para recuperar objetos de un controlador de dominio específico:
Get-ADUser –Server mylab.local –Identity ava
- Para obtener usuarios que no han establecido un número de teléfono,
Get-ADUser -LDAPFilter '(!phone=*)'
- Para ver las direcciones de correo electrónico de todos los usuarios,
Get-ADUser -Filter * -Properties Name, EmailAddress | select Name, EmailAddress
- Para exportar la salida a texto,
Get-ADUser -filter * -properties Name, PasswordLastSet | ft Name, PasswordLastSet > C:pwddata.txt
- Para exportar la salida a CSV,
Get-ADUser -filter * -properties Name, PasswordLastSet | select-object Name, PasswordLastSet | Export-csv -path C:pwddata.csv -Append -Encoding UTF8
Gracias por leer absolutoyrelativo.com. ¡Hasta la próxima!