hledáte rychlý způsob, jak vytvořit zprávu Active Directory (AD) pomocí PowerShell? Jste na správném místě! V tomto článku se dozvíte, jak vytvořit vlastní sestavy uživatelských účtů v REKLAMNÍ prostředí pomocí Get-ADObject rutiny.
Představte si, že pracujete na spouštěcí společnosti a dozvědět se, že společnost dostala finanční prostředky od investorů na růst společnosti, o přijímání nových lidí na několik pozic., Váš manažer vám dává žádost, aby jí poskytl zprávu o počtu hlavy pro každou kancelář, aby se ujistil, že pracoviště má dostatek kancelářských prostor.
normálně byste ručně zobrazovali reklamní účty pomocí aplikační konzoly Active Directory Users and Computers (ADUC) nainstalované ve stolním počítači. Používání ADUC však trvá v průměru jednu minutu na nového zaměstnance, aby přezkoumala informace o každém reklamním účtu.,
můžete rychle vyhledávat na Internetu pro některé možnosti a zjistíte, že můžete automatizovat sběr REKLAMNÍ zprávy dat pomocí rutiny prostředí PowerShell s názvem Get-ADObject. V tomto článku se dozvíte, co děláGet-AdObject PowerShell cmdlet a jak správně používat tento šikovný cmdlet AD PowerShell k automatizaci vytváření sestav.
Obsah
Předpoklady/Požadavky
Tento článek bude návod, pomocí Get-ADObject., Pokud máte v plánu sledovat spolu, ujistěte se, že máte následující předpoklady:
- Přihlášeni k doméně systému Windows 10 PC jako uživatel s práva k dotazu AD uživatelů
- V systému Windows Server 2016 nebo vyšší prostředí služby Active Directory. Laboratoř, se kterou budete pracovat v tomto článku, se jmenuje mylab.místní.
- Vzdálený Server Administration Nástroje (RSAT) balíček
Rychlý tip: Pokud nemáte RSAT nainstalován a jste na nejnovější verzi systému Windows 10, můžete rychle nainstalovat pomocí PowerShell příkazu
Install-WindowsFeature -Name RSAT-AD-PowerShell.,
Get-ADObject: Možnosti a Parametry
hlavním účelem Get-ADObject cmdlet je připojit na AD řadič domény nebo Lightweight Directory Service (LDS) server a vrátí informace o různých objektů služby Active Directory.
K dotazu REKLAMNÍ předměty, Get-ADObject cmdlet má řadu parametrů, což vám umožní připojit k různým řadiče domény, hledání globální katalog, ověření prostřednictvím alternativní pověření a také určit, LDAP filtry a omezují objektů vrácených prostor pro hledání základny.,
Všimněte si, že, ve výchozím nastavení
Get-ADObjectrutiny vrátí pouze jednu sadu 1000 AD objekty. Nejlepší způsob, jak tuto konfiguraci přepsat, je použít parametrResultSetSizeurčující maximální počet objektů, které se mají vrátit. Pokud chcete přijímat všechny objekty, nastavte tento parametr na hodnotu $ Null (null value). Pak můžete použít Ctrl + C k zastavení dotazu a návratu objektů.,
pro více informací o parametrechGet-ADObject‚s se podívejte na dokumentaci nápovědy Get-ADObject.
Učební Osnovy Projektu
Tento článek vás naučí, Get-ADObject PowerShell cmdlet aplikovat je na real-svět scénáře. Dozvíte se tím, že se přiblížíte ke scénáři vysvětlenému v úvodních odstavcích.
scénář
v tomto článku se dozvíte, jak používat Get-ADObject pro generování dvou sestav, které chcete odeslat správci., První zpráva rozebere všechny uživatelské účty v každém oddělení. Šéf by chtěl samostatné soubory CSV pro každé oddělení. Druhý úkol bude dotazovat všechny zakázané uživatelské účty v určitém OU a je to dítě OUs.,
na konci článku, budete moci generovat CSV soubory vypadat jako následující:
AD Prostředí
Active Directory organizační jednotky (OU) struktura budete pracovat s v tomto článku vypadá jako níže., Můžete vidět, že máme mateřské oddělení OU se třemi dětskými ou s názvem účetnictví, Marketing a IT. Uvnitř každého z těchto dětí ous jsou dva vnoučata OUs s názvem uživatelé a počítače.
- Oddělení (OU)
– Účetnictví (OU)
Uživatele
– Počítače
– Marketing (Vnořené OU)
Uživatele
– Počítače
– (Vnořené OU)
Uživatele
– Počítače
Zástupce: Můžete si vytvořit tyto organizační jednotky s
New-ADOrganizationalUnitPowerShell rutiny. Chcete-li skript provést rychlou práci, podívejte se na skript Create-ou-Structure.ps1.,
budete také pracovat s desítkami různých uživatelských účtů AD umístěných uvnitř každého z uživatelů ou, jak je uvedeno níže. Tato jména byla vybrána náhodně.
- Účetnictví (accountant_user1-5)
- Marketing (market_user_user1-5)
- (it_user1-5)
klávesová Zkratka: Pokud chcete rychle vytvořit tyto uživatelské účty uvnitř výše uvedené organizační jednotky, ke stažení a spuštění Naplnit-AD_Accounts.ps1 skript.,
Vytváření Active Directory Zprávy pomocí Get-ADObject
Dost úvod a základní informace o Get-ADObject. Pojďme konečně k učení, jak tento PowerShell funguje v reálném světě!
V tomto příkladě máte za úkol poskytovat svým manažerem CSV soubor se zprávou pro všechny uživatelské účty, které existují v Účetnictví, Marketingu a IT oddělení organizační jednotky.,
Pochopení Filtr Parametr
jediný povinný parametr Get-ADObject PowerShell cmdlet je Filter. Tento parametr je jedním ze způsobů, jak omezit počet vrácených objektů. Protože se jedná o požadovaný parametr, musíte jej definovat, i když chcete vrátit všechny objekty pomocí zástupného znaku (*). To říká Get-ADObject vrátit všechny objekty.
nejjednodušším příkladem použití parametru Filter je návrat všech objektů v celé reklamní doméně, jako je níže.,
PS51> Get-ADObject -Filter *uvidíte parametrFilter používaný k návratu všech objektů a omezení rozsahu vrácených objektů v tomto článku.
více informací na
Filterparametr syntaktické, runGet-Help about_ActiveDirectory_Filterv PowerShell konzoli.
Omezuje Rozsah Vyhledávání pomocí SearchBase Parametr
například, že pracujete s je ideální případ použití pro Get-ADObject‚SearchBase parametr., ParametrSearchBase umožňuje omezit vyhledávací dotaz a tím i objekty vrácené pomocí Get-ADObject omezením rozsahu na konkrétní OU.
Tím, že omezí rozsah, tím se snižuje čas potřebný pro Get-ADObject spustit vyloučením jiné organizační jednotky ve službě AD a pouze zaměření na konkrétní OU, který je relevantní pro načítání dat, které potřebujete.
v tomto příkladu vytáhněte všechny uživatele reklamy v nadřazeném oddělení ou a všechny dětské ou jako níže. To vrátí všechny uživatele v oddělení OU a ve všech dětských ou.,
PS51> Get-ADObject -Filter * -SearchBase 'OU=Department,DC=mylab,DC=local'využití parametru filtru
od této chvíle můžete dotazovat všechny uživatelské objekty v oddělení ou a všechny dětské ou. To se ale v tuto chvíli nevyžaduje. Místo toho nejprve vytáhneme všechny uživatele účetnictví. Jedním ze způsobů, jak toho dosáhnout, je skutečně použít parametr Filter, nikoli pouze poskytnout zástupnou hodnotu.
pro omezení výsledků použijteFilter hodnotu Department -eq 'Accounting'., To omezuje výsledky pouze na ty objekty v oddělení ou, které mají atribut AD oddělení nastavený na účetnictví.
níže vidíte, že ukládáte všechny objekty do proměnné $accounting_users. To bude použito později.
PS51> $accounting_users = Get-ADObject -SearchBase 'OU=Department,DC=mylab,DC=local' -Filter {Department -eq "Accounting"}Výstup AD Objektů do CSV Souboru
$accounting_users obsahuje všechny použitelné objekty, můžete potrubí pouze Name Department vlastnosti pro každý objekt Export-Csv rutiny., Tento cmdlet vytvoří nový soubor CSV a uloží každý reklamní objekt jako řádek.
nyní byste měli mít soubor CSV s názvem report_accounting_users.csv na ploše vypadá jako screenshot níže.
Sběr Dalších Uživatelských Objektů
Nyní, když víte, základy toho, jak používat Get-ADObject najít REKLAMY uživatelům, rozšířit se, že najít v uživatelské objekty pro ostatní oddělení. Budete používat stejný obecný koncept jako dříve.,
nejprve najděte všechny uživatele reklamy v kanceláři v San Franciscu.
dále najděte všechny uživatele, kteří pracují v kanceláři na Floridě. Tento příklad je trochu jiný, protože používáte vypočtené vlastnostiSelect-Object cmdlet. To vám umožní změnit vlastnosti objektu jméno z jednoduše st Get-ADObject více popisný State.,
nakonec shromážděte všechny uživatele IT. Tentokrát místo použití atributu ad oddělení použijte parametr Filter k nalezení všech objektů s názvem začínajícím s ním.
Poznámka: Místo používání
objectClass -eq 'user'v předchozím příkladu, můžete také použítGet-AdUserrutiny.,
Hledání zakázané Účty s LDAP Filtr
V předchozím příkladu, můžete použít Filter parametr k omezení objekty vrácené Get-ADObject. Dalším způsobem, jak toho dosáhnout, je použít parametr LDAPFilter. Tento parametr provádí stejnou úlohu, ale umožňuje zadat filtr pomocí vyhledávacího řetězce dotazu LDAP., Parametr LDAPFilter je považován za pokročilejší možnost vyhledávání Active Directory.
Pojďme se nyní vytvořit zprávu najít všechny zdravotně postižených uživatelů ve vaší organizaci pomocí LDAPFilter SearchBase parametry se zaměřit na konkrétní OU.
useraccountcontrol:1.2.840.113556.1.4.803:=2 je nastavení AD atribut pro všechny zdravotně postižených uživatelů ve službě Active Directory databáze NTDS. Je to způsob, jak reklama označit účty, které nejsou aktivní (přihlášení je zakázáno)., Zde je více ukázkových dotazů LDAP, které byste mohli považovat za užitečné.
příkaz níže běží LDAP filtr parametr slouží k zobrazení pouze zdravotně postižené uživatele, a pak vytvoří zprávu pomocí Export-CSV rutiny, jak jste to udělal dříve.
konečný výsledek
nyní byste měli mít na ploše připraveno pět souborů CSV pro svého manažera!,
Shrnutí
V tomto článku jste se dozvěděli, jak hledat Active Directory pomocí Get-ADObject PowerShell rutiny.
Co dál?
Chcete-li vzít to, co jste se naučili dále, vezměte tento proces generování reklamních zpráv na další úroveň exportem dat do databáze. Jakmile jste v databázi, mohli byste mít přístup k údajům o hlášení reklam pomocí vlastního webu nebo aplikace, jako je Microsoft SharePoint. To je jen jeden nápad. Existuje nespočet dalších!,
Schopnost vyhledávat Active Directory je základní sada dovedností potřebná v mnoha organizacích a ta, která nakonec ušetří vás a vaše týmové hodiny času.
další čtení
- skripty Active Directory habaděj: Přijďte a získejte to!
- dokumentace společnosti Microsoft