keres egy gyors módja annak, hogy hozzon létre egy Active Directory (AD) jelentés segítségével PowerShell? A megfelelő helyre jöttél! Ebben a cikkben megtudhatja, hogyan hozhat létre egyéni jelentéseket a felhasználói fiókokról a hirdetési környezetben a Get-ADObject cmdlet használatával.

képzeljük el, hogy egy startup cégnél dolgozunk, és megtudjuk, hogy a vállalat finanszírozást kapott a befektetők számára, hogy új embereket béreljen fel több pozícióra., A menedzser kérést ad arra, hogy jelentést nyújtson neki az egyes irodák fejszámáról, hogy megbizonyosodjon arról, hogy a munkahely elegendő irodaterülettel rendelkezik-e.

általában manuálisan tekintheti meg a hirdetési fiókokat az asztali számítógépre telepített Active Directory Users and Computers (ADUC) alkalmazáskonzol használatával. Az ADUC használata azonban új alkalmazottanként átlagosan egy percet vesz igénybe az egyes hirdetési fiókok információinak áttekintéséhez.,

gyorsan kereshet az Interneten néhány lehetőséget, és felfedezheti, hogy automatizálhatja a hirdetési jelentés adatainak gyűjtését egy Get-ADObjectnevű PowerShell parancsmag segítségével. Ebben a cikkben megtudhatja, hogy mit csinál aGet-AdObject PowerShell cmdlet, és hogyan kell helyesen használni ezt a praktikus AD PowerShell parancsmagot a jelentéskészítés automatizálásához.

Tartalomjegyzék

előfeltételek / követelmények

Ez a cikk lesz a walkthrough segítségével Get-ADObject., Ha azt tervezi, hogy kövesse végig, győződjön meg róla, hogy a következő előfeltételek vannak érvényben:

  • bejelentkezett egy tartományhoz csatlakozott Windows 10 PC-hez olyan felhasználóként, akinek joga van lekérdezni a hirdetési felhasználókat
  • egy Windows Server 2016 vagy újabb Active Directory környezetben. A labor, amellyel ebben a cikkben dolgozik, mylab.helyi.
  • Remote Server Administration Tools (rsat) package

gyors tipp: Ha nincs telepítve az RSAT, és a Windows 10 legújabb verzióján van, gyorsan telepítheti aInstall-WindowsFeature -Name RSAT-AD-PowerShellPowerShell paranccsal.,

Get-ADObject: Ez Opciók, Paraméterek

A fő célja, hogy a Get-ADObject parancsmagot, hogy csatlakoztassa a HIRDETÉS tartományvezérlő vagy Lightweight Directory Service (LDS) szerver vissza információkat a különböző Active Directory objektumok.

A lekérdezés HIRDETÉS tárgyak, a Get-ADObject parancsmagot számos olyan paraméter, amely lehetővé teszi, hogy csatlakoztassa a különböző tartományvezérlők, keresés globális katalógus, hitelesítésére keresztül alternatív hitelesítő adatok, valamint adja meg az LDAP-szűrők korlátozza tárgyak által visszaadott hatálya a keresés bázis.,

vegye figyelembe, hogy alapértelmezés szerint a Get-ADObject cmdlet csak egy 1000 AD objektumkészletet ad vissza. A konfiguráció felülbírálásának legjobb módja aResultSetSize paraméter használata, amely meghatározza a visszatérendő objektumok maximális számát. Ha az összes objektumot szeretné megkapni, állítsa ezt a paramétert $Null (null érték) értékre. Ezután a Ctrl+C segítségével leállíthatja az objektumok lekérdezését és visszatérését.,

további információ a Get-ADObject‘s paraméterek, nézd meg a Get-ADObject súgó dokumentáció.

tanulási projekt vázlata

Ez a cikk megtanítja aGet-ADObject PowerShell parancsmagot egy valós forgatókönyvre alkalmazva. A bevezető bekezdésekben ismertetett forgatókönyv megközelítésével megtudhatja.

A forgatókönyv

ebben a cikkben megtudhatja, hogyan kell használni a Get-ADObject két jelentés létrehozásához, amelyeket elküldhet a menedzsernek., Az első jelentés lebontja az egyes részlegek összes felhasználói fiókját. A főnök külön CSV fájlokat szeretne minden osztály számára. A második feladat lekérdezi az összes letiltott felhasználói fiókot egy adott OU-ban, gyermek OU-ban.,

a végén a cikk, akkor képes lesz arra, hogy létrehoz CSV-fájlok a következőképpen néz ki:

AD a felhasználói fiókok OU
Tiltva a felhasználói fiókok

A HIRDETÉS Környezet

Az Active Directory szervezeti egység (OU) struktúra együtt fogsz dolgozni ebben a cikkben úgy néz ki, mint az alábbi., Láthatjuk, hogy van egy szülői részlegünk, ahol három gyerek van, a könyvelés, a Marketing és az informatika. A gyerekek között van két unokahúga, a felhasználók és a számítógépek.

  • Department (OU)
    – Accounting (OU)
    – Users
    – Computers
    – Marketing (beágyazott OU)
    – Users
    – Computers
    – it (beágyazott OU)
    – Users
    – Computers

parancsikon: ezeket az OU-kat a New-ADOrganizationalUnit PowerShell cmdlet. Egy script, hogy a gyors munka ezt nézd meg a Create-OU-Structure.ps1 script.,

akkor is dolgozik több tucat különböző hirdetési felhasználói fiókok belsejében található az egyes felhasználók Ou az alábbiak szerint. Ezeket a neveket véletlenszerűen választották ki.

  • könyvelés (accountant_user1-5)
  • Marketing (market_user_user1-5)
  • IT (it_user1-5)

parancsikon: ha gyorsan szeretné létrehozni ezeket a felhasználói fiókokat a fent említett ou-kon belül, töltse le és futtassa le a Populate-AD_Accounts.ps1 szkriptet.,

Active Directory jelentések készítése Get-ADObject

elegendő bevezetés és háttérinformáció a Get-ADObject. végül tanuljuk meg, hogyan működik ez a PowerShell cmdlet a Való Világban!

ebben az első példában az a feladata, hogy a kezelőjének egy CSV-fájlt adjon meg a számviteli, Marketing és informatikai részleg összes felhasználói fiókjának jelentésével.,

a Get-ADObject PowerShell cmdlet egyetlen szükséges paramétere Filter. Ez egy paraméter az egyik módja annak, hogy korlátozza a visszaadott objektumok számát. Mivel ez egy szükséges paraméter, akkor is meg kell határoznia, ha az összes objektumot helyettesítő karakter segítségével szeretné visszaadni (*). Ez azt mondja Get-ADObject vissza az összes objektumot.

a legegyszerűbb példa aFilter paraméter használatára, ha az összes objektumot egy egész hirdetési tartományba visszaadja, mint az alábbiakban.,

PS51> Get-ADObject -Filter *

látni fogja a Filter paramétert, amelyet mind az összes objektum visszaküldésére, mind a visszaküldött objektumok körének korlátozására használnak ebben a cikkben.

További információ a Filter paraméter szintaxis, run Get-Help about_ActiveDirectory_Filter A PowerShell konzol.

a keresési hatókör korlátozása a

SearchBase paraméter használatával a használt példa tökéletes felhasználási eset a Get-ADObject‘s SearchBase paraméter., ASearchBase paraméter lehetővé teszi a keresési lekérdezés korlátozását, így aGet-ADObject segítségével visszaküldött objektumokat a hatókör egy adott OU-ra korlátozásával.

a hatókör korlátozásával ez csökkenti a Get-ADObject futtatásához szükséges időt, kivéve a többi ou-t az AD-ben, és csak az adott OU-t célozza meg, amely releváns a szükséges adatok letöltéséhez.

ebben a példában húzza ki az összes hirdetési felhasználót a szülői osztályon, valamint az összes gyermek ou-t, mint az alábbiakban. Ez visszaadja az összes felhasználó az osztály OU és minden gyermek OUs.,

PS51> Get-ADObject -Filter * -SearchBase 'OU=Department,DC=mylab,DC=local'

a

Szűrőparaméter kihasználásával mostantól lekérdezheti az OU osztály összes felhasználói objektumát és az összes gyermek ou-t. De erre Jelenleg nincs szükség. Ehelyett először húzzuk ki az összes számviteli felhasználót. Ennek egyik módja a Filter paraméter tényleges használata, nem pedig csak helyettesítő érték megadása.

Az eredmények korlátozásához használja a FilterDepartment -eq 'Accounting' értékét., Ez korlátozza az eredményeket, hogy csak azokat az objektumokat a Tanszék OU, amelyek egy AD osztály attribútum beállítása számviteli.

az alábbiakban látható, hogy az összes objektumot a $accounting_users változóban tárolja. Ezt később fogják használni.

PS51> $accounting_users = Get-ADObject -SearchBase 'OU=Department,DC=mylab,DC=local' -Filter {Department -eq "Accounting"}

AD objektumokat ad ki egy CSV fájlba

most, hogy $accounting_users tartalmazza az összes vonatkozó objektumot, csak a Name és tulajdonságok minden objektumhoz a Export-Csv Cmdlethez., Ez a parancsmag létrehoz egy új CSV fájlt, amely minden hirdetési objektumot sorként tárol.

most már rendelkeznie kell egy report_accounting_users nevű CSV fájllal.csv az asztalon néz ki, mint az alábbi képernyőképet.

report_accounting_users.csv

A többi felhasználói objektum gyűjtése

most, hogy ismeri a Get-ADObject használatának alapjait a hirdetési felhasználók megtalálásához, terjessze ki ezt a felhasználói objektumok megtalálásához a többi részleg számára. Ugyanazt az általános koncepciót fogja használni, mint korábban.,

először keresse meg az összes hirdetési felhasználót a San Francisco-i irodában.

report_sanfrancisco_office_users.csv

Ezután keresse meg a floridai irodában dolgozó összes felhasználót. Ez a példa egy kicsit más, mert a Select-Object cmdlet kiszámított tulajdonságait használja. Ez lehetővé teszi, hogy átalakítsa az objektum tulajdonság nevét egyszerűen st hogy jön a Get-ADObject egy leíró State.,

report_florida_state_users.csv

végül összegyűjti az összes informatikai felhasználót. Ezúttal a Department AD attribútum használata helyett használja a Filter paramétert, hogy megtalálja az összes olyan objektumot, amelynek neve vele kezdődik.

megjegyzés: az előző példában a objectClass -eq 'user'használata helyett a Get-AdUser cmdlet is használható.,

report_select_users.csv

letiltott Fiókok keresése az LDAP szűrővel

az előző példában a Filterparamétert használta a Get-ADObject által visszaküldött objektumok korlátozására. Ennek másik módja a LDAPFilter paraméter használata. Ez a paraméter ugyanazt a feladatot hajtja végre, de lehetővé teszi egy szűrő megadását egy LDAP lekérdezési Keresési karakterláncon keresztül., ALDAPFilter paraméter fejlettebb opciónak tekinthető az Active Directory kereséséhez.

hozzunk létre egy jelentést, hogy megtaláljuk a szervezet összes letiltott felhasználóját a LDAPFilterés SearchBase paraméterek segítségével egy adott OU célozásához.

a useraccountcontrol:1.2.840.113556.1.4.803:=2 a beállítás az NTDS adatbázis összes letiltott felhasználója számára megadott hirdetési attribútum. Ez egy módja annak, hogy a hirdetés megjelölje azokat a fiókokat, amelyek nem aktívak (a bejelentkezés le van tiltva)., Itt van több minta LDAP lekérdezések, hogy hasznos lehet.

az alábbi parancs futtatja az LDAP szűrő paramétert, amely csak a letiltott felhasználók megjelenítésére szolgál, majd létrehoz egy jelentést a Export-CSV cmdlet használatával, ahogy korábban tette.

report_disabled_users.csv

a végeredmény

akkor most már öt CSV fájlokat az asztalon készen áll a menedzser!,

összefoglaló

ebben a cikkben megtanulta, hogyan kell keresni az Active Directory-t a Get-ADObject PowerShell cmdlet segítségével.

mi a következő lépés?

ahhoz, hogy messzebbre vigye a tanultakat, vegye be ezt a folyamatot a hirdetési jelentések következő szintre történő generálásával, ha az adatokat esetleg egy adatbázisba exportálja. Ha egyszer egy adatbázisban, akkor lehet, hogy a hirdetési jelentés adatok segítségével elérhető akár egy egyedi építésű weboldal vagy egy alkalmazás, mint például a Microsoft SharePoint. Ez csak egy ötlet. Számtalan más van!,

az Active Directory keresése alapvető készségkészlet, amely sok szervezetben szükséges, és amely végül megmenti Önt és a csapat óráit.

további olvasmányok

  • Active Directory Scripts Galore: Come and Get It!
  • Microsoft Documentation