Cómo usar PowerShell Get-ADUser

El cmdlet Get-ADUser es una herramienta muy versátil para recuperar usuarios de Active Directory. Si necesita identificar usuarios de AD específicos, puede usar valores como su nombre de cuenta SAM. O puede usar el parámetro Propiedades si necesita información detallada sobre uno o más usuarios.

De manera similar, cuando se trata de una gran cantidad de objetos de usuario, el parámetro Filtro es útil para obtener usuarios de AD en función de filtros específicos como correo electrónico, ciudad, título, etc. Combinado con herramientas como ordenar y exportar, la administración de usuarios Get -ADUser en dominios es muy convenientemente

Solicitudes Get-ADUser de PowerShell

Por supuesto, en los controladores de dominio, el comando Get-ADUser funciona de forma predeterminada. Sin embargo, si intenta ejecutar este comando en otros sistemas que forman parte del dominio AD, es posible que encuentre el error no reconocido Get-ADUser.

Eso es porque los tienes. PUBLICIDAD RSAT componente primero puedes hacer eso con Add-WindowsCapability –online –Name "Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0". Una vez que haya hecho eso, puede usar Get-ADUser en cualquier sistema.

Tampoco está limitado a las cuentas de administrador de dominio; cualquier cuenta de usuario de AD autorizada funcionará. Tenga en cuenta que, si bien las cuentas no administrativas pueden recuperar la mayoría de los atributos de objetos de usuario con este comando, es posible que solo los administradores de dominio puedan acceder a cierta información confidencial.

Parámetros Get-ADUser

Get-ADUser toma principalmente tres parámetros para obtener objetos de usuario: Identificar, Filtrar y LDAPFilter.

identidad Obtiene un objeto de usuario mediante un valor específico, como Nombre distinguido o GUID. Esto es útil cuando está buscando un objeto de usuario y necesita recordar el valor requerido.

filtrar devuelve una lista de objetos de usuario en función de las consultas seleccionadas. En los casos en los que necesite recuperar usuarios de AD cuya contraseña haya caducado, o usuarios que no hayan iniciado sesión en las últimas 2 semanas, etc., un filtro puede ser útil. Puede limitar aún más los resultados a objetos de usuario de servidores específicos, unidades organizativas específicas, etc.

Leer:   Cómo escanear ventanas de disco

filtro LDAP también utiliza cadenas de consulta para filtrar los objetos de usuario. La diferencia es que LDAPFilter usa su propia sintaxis de consulta LDAP (atributo y valor) a diferencia de Filter, que sigue la sintaxis de PowerShell. Esto significa que tiene una ligera curva de aprendizaje, pero encontrará que es una herramienta útil una vez que se acostumbre a ella.

Hay otros parámetros útiles también base de búsqueda y área de búsqueda que cubriremos en nuestros ejemplos. Recomendamos consultar la documentación de Microsoft si desea revisar la lista completa de parámetros, pero los tres anteriores son en los que nos centraremos en este artículo.

identidad

Identity devuelve un solo objeto de usuario de AD con una de las siguientes propiedades:

  • Nombre (DN)
  • GUID de objeto
  • objectSid (SID o ID de seguridad)
  • Samcuentanombre

Suponga que necesita detalles sobre un usuario llamado Ava. Suponiendo que su SamAccountName es ava, puede obtener el objeto de usuario con Get-ADUser -Identity ava.

Obtener el nombre de usuario de la identidad del usuario

Sin embargo, este comando solo devuelve 10 propiedades principales. Si necesita la lista completa de propiedades para un objeto de usuario, use Get-ADUser -Identity ava -Properties * en lugar de esto.

Obtener todas las funciones de Aduser

filtrar

Debido a que las personas generalmente no recuerdan los valores de propiedad necesarios para el parámetro Identidad, el filtro se usa con más frecuencia. El filtro especifica una cadena de consulta que sigue la sintaxis del lenguaje de expresión de PowerShell para recuperar objetos de usuario de AD. Por lo tanto, el operador está entre el operando y el valor.

Un ejemplo sencillo sería Get-AdUser -Filter "Name -like '*a*'", donde nombre es el operando, como el operador, y a es el valor. Este comando devuelve todos los objetos de usuario que contienen la letra a en su nombre.

Leer:   Windows no pudo preparar la computadora para arrancar
Obtener el nombre del filtro de Aduser como

Otro comando útil es Get-ADUser -Filter * que recupera todos los objetos AD.

Obtener filtros de Aduser todos

Aquí está la lista de operadores de filtro:

operador posición
ver mismo
edad Mayor qué o igual a
le Menor o igual
no No debe equipararse con
aprox. Sobre lo mismo
> mas grande que
la Menos que
me gusta Como
no como No como
y Todas las cláusulas deben ser verdaderas.
o Cada una de las cláusulas debe ser verdadera.
No La cláusula debe estar mal.
Cinta Y bit a bit
perforar O bit a bit

Como ya se mencionó, utilice Get-ADUser <user> -Properties * devuelve la lista completa de propiedades. Puede consultar esta lista para conocer las propiedades aceptables que puede usar para filtrar la salida. Pero ahora aquí hay algunos de uso común:

  • Fecha de vencimiento de la cuenta
  • ciudad
  • empresa
  • país
  • código de país
  • Departamento
  • descripción
  • Dirección de correo electrónico
  • ID de empleado
  • número de empleado
  • encendido
  • iniciales
  • LogonCount
  • Apellido
  • la contraseña expiró
  • Samcuentanombre
  • Condición
  • título

Puede usar estos operadores y propiedades para crear diferentes tipos de filtros. Por ejemplo, para obtener solo usuarios con tecnología en su descripción, podría usar Get-ADUser -Filter "Description -like 'Tech'". Para mostrar solo los usuarios activos de AD, utilice Get-ADUser -Filter 'Enabled -eq $true'

De manera similar, puede combinar los comandos para enumerar usuarios activos de AD que tienen tecnología como tal en su descripción:
Get-ADUser -Filter {Description -like 'Tech' -and Enabled -eq $true}

obtener su aduser doble filtro y

Una cuenta que no sea de administrador puede encontrar un error de no finalización si no tiene permiso para ejecutar la tarea. En este caso, puede usar la opción Credencial para ejecutar el comando tal cual con diferentes credenciales:
Get-ADUser -Filter * -Credential ava

Obtener el parámetro de referencia del usuario

Finalmente, dado que Filter generalmente devuelve muchos objetos AD, puede modificar aún más la salida especificando los valores de propiedad exactos que necesita. Utilizar el características parámetros para obtener primero los valores y luego los Seleccionar objeto Opción para mostrar solo las propiedades especificadas.
Get-ADUser -Filter * -Properties Name, Initials | Select-Object Name, Initials

Obtener propiedades del objeto Aduser Select

filtro LDAP

Las cláusulas LDAP siguen el formato (valor del operador ADAttribute). En particular, se utilizan los siguientes operadores:

Leer:   ¿Qué es el proceso de trabajo central de MoUSO? ¿Es seguro eliminarlo?
operador posición
= mismo
>= Mayor qué o igual a
<= Menor o igual
~= Sobre lo mismo
& Booleano ES
| booleano o
! Booleano NO

Veamos algunos ejemplos básicos. El siguiente comando devuelve objetos AD con nombres que terminan en era :
Get-ADUser -LDAPFilter "(name=*era)"

Obtenga el nombre del filtro LDAP de Aduser como

Cómo obtener artículos que no tienen tecnología en su descripción:
Get-ADUser -LDAPFilter '(!(description=Tech))'

no obtener aduser ldapfilter

Para combinar varias cláusulas y obtener objetos con una A en el nombre pero sin tecnología en la descripción:
Get-ADUser -LDAPFilter '(&(!(description=Tech))(cn=A))'

Obtenga aduser combine ldapfilter y

Ejemplos útiles de Get-ADUser

En este punto, debe comprender el uso básico de Get-ADUser. Hemos enumerado aquí más ejemplos de algunos casos de uso comunes que demuestran otros parámetros y escenarios útiles.

  • Use Format-Table o ft para obtener la salida en formato de tabla:
    Get-ADUser -Filter * | Format-Table
    get-aduser-filter-format-table-ft
  • Use SearchBase para recuperar objetos de un contenedor específico:
    Get-ADUser -Filter * -SearchBase "OU=Cali,OU=Locations,DC=mylab,DC=local"
    obtener-aduser-base de búsqueda
  • Utilice SearchScope para mover objetos a un nivel específico de la jerarquía de unidades organizativas:
    Get-ADUser -Filter * -SearchBase "OU=Cali,OU=Locations,DC=mylab,DC=local" -SearchScope 1 | ft
    obtener-aduser-área de búsqueda
  • Utilice el servidor para recuperar objetos de un controlador de dominio específico:
    Get-ADUser –Server mylab.local –Identity ava
    get-aduser-server
  • Para obtener usuarios que no han establecido un número de teléfono,
    Get-ADUser -LDAPFilter '(!phone=*)'
    get-aduser-ldapfilter-non-phone
  • Para ver las direcciones de correo electrónico de todos los usuarios,
    Get-ADUser -Filter * -Properties Name, EmailAddress | select Name, EmailAddress
    Dirección de correo electrónico de Get-Aduser
  • Para exportar la salida a texto,
    Get-ADUser -filter * -properties Name, PasswordLastSet | ft Name, PasswordLastSet > C:pwddata.txt
    obtener-aduser-exportar-a-texto
  • Para exportar la salida a CSV,
    Get-ADUser -filter * -properties Name, PasswordLastSet | select-object Name, PasswordLastSet | Export-csv -path C:pwddata.csv -Append -Encoding UTF8
    get-aduser-export-csv

Gracias por leer absolutoyrelativo.com. ¡Hasta la próxima!

Deja un comentario