căutați o modalitate rapidă de a crea un raport Active Directory (AD) folosind PowerShell? Ai venit la locul potrivit! În acest articol, veți învăța cum să creați rapoarte personalizate ale conturilor de utilizator în mediul dvs. publicitar folosind cmdlet-ul Get-ADObject.Imaginați-vă că lucrați la o companie de pornire și aflați că compania a primit finanțare de la investitori pentru a crește compania angajând oameni noi pentru mai multe poziții., Managerul dvs. vă oferă o solicitare pentru a-i oferi un raport privind numărul de capete pentru fiecare birou pentru a vă asigura că locul de muncă are suficient spațiu de birou.în mod normal, puteți vizualiza manual conturile de anunțuri utilizând consola de aplicații Active Directory Users and Computers (ADUC) instalată pe computerul dvs. Cu toate acestea, utilizarea ADUC durează în medie un minut pentru fiecare angajat nou pentru a revizui informațiile pentru fiecare cont de publicitate.,

căutați rapid pe Internet câteva opțiuni și descoperiți că puteți automatiza colectarea datelor raportului publicitar folosind un cmdlet PowerShell numit Get-ADObject. În acest articol, veți afla ce faceGet-AdObject cmdlet PowerShell și cum să utilizați corect acest cmdlet PowerShell pentru a automatiza crearea de rapoarte.

Cuprins

Premise/Cerințele

Acest articol va fi o prezentare folosind Get-ADObject., Dacă intenționați să urmați de-a lungul, asigurați-vă că aveți următoarele condiții preliminare în loc:

  • logat pe un domeniu s-au alăturat Windows 10 PC ca un utilizator cu drepturi de a interoga utilizatorii de anunțuri
  • într-un Windows Server 2016 sau mai mare mediu Active Directory. Laboratorul cu care vei lucra în acest articol se numește mylab.local.
  • Remote Server Administration Tools (RSAT) pachet

Quick sfat: Dacă nu aveți RSAT instalat și sunteți pe cea mai recentă versiune de Windows 10, puteți instala rapid folosind comanda PowerShell Install-WindowsFeature -Name RSAT-AD-PowerShell.,

Ia-ADObject: e Opțiuni și Parametri

scopul principal al Get-ADObject cmdlet-ul este de a conecta la un ANUNȚ controler de domeniu sau Lightweight Directory Service (LDS) server și de a reveni informații despre diverse obiecte Active Directory.

Pentru interogare AD obiecte, Get-ADObject cmdlet-ul are o serie de parametri, permițându-vă să conectați la diferite controlere de domeniu, căuta un catalog global, autentifica prin intermediul alternative de acreditare și, de asemenea, specifica LDAP filtre și limita obiecte returnate de aplicare pentru o baza de căutare.,

Rețineți că, în mod implicit, Get-ADObject cmdlet-ul va reveni doar un singur set de 1000 AD obiecte. Cea mai bună modalitate de a înlocui această configurație este să utilizați parametrul ResultSetSize specificând numărul maxim de obiecte de returnat. Dacă doriți să primiți toate obiectele, setați acest parametru la $Null (valoare nulă). Apoi puteți utiliza Ctrl + C pentru a opri interogarea și returnarea obiectelor.,

Pentru mai multe informații despre Get-ADObject‘parametrii s, a verifica afară de Get-ADObject documentația de ajutor.acest articol vă va învăța Get-ADObject cmdlet PowerShell aplicându-l într-un scenariu din lumea reală. Veți învăța abordând scenariul explicat în paragrafele introductive.

Scenariul

În acest articol, veți învăța cum să utilizați Get-ADObject pentru a genera două rapoarte pentru a trimite la manager., Primul raport va descompune toate conturile de utilizator din fiecare departament. Șeful ar dori fișiere CSV separate pentru fiecare departament. A doua sarcină va interoga toate conturile de utilizator dezactivate într-un anumit OU și este copil ou.,

De la finalul articolului, vei fi capabil de a genera fișiere CSV care arata astfel:

AD conturi de utilizator prin OU
Dezactivat conturile de utilizator

Mediul PUBLICITAR

Active Directory unități organizaționale (OU) structura va fi de lucru cu acest articol, arata ca mai jos., Puteți vedea că avem un departament părinte OU cu trei copii ou numit Contabilitate, Marketing și IT. În interiorul fiecăruia dintre acești copii sunt doi nepoți numiți utilizatori și computere.

  • Departamentul (OU)
    – Contabilitate (OU)
    – Utilizatori
    Calculatoare
    – Marketing (Imbricate OU)
    – Utilizatori
    Calculatoare
    – (Imbricate OU)
    – Utilizatori
    Calculatoare

Shortcut: Puteți construi aceste OUs cu New-ADOrganizationalUnit PowerShell cmdlet. Pentru un script pentru a face munca rapidă a acestui verifica script-ul Create-OU-Structure. ps1.,

veți lucra, de asemenea, cu zeci de conturi de utilizator de anunțuri diferite situate în interiorul fiecărui utilizator, după cum se arată mai jos. Aceste nume au fost alese la întâmplare.

  • Contabilitate (accountant_user1-5)
  • Marketing (market_user_user1-5)
  • A (it_user1-5)

Scurtătură: Dacă doriți să creați rapid aceste conturi de utilizator în interiorul menționate mai sus OUs, descărcați și rulați Popula-AD_Accounts.ps1 script.,

Crearea de Active Directory Rapoarte folosind Get-ADObject

Destul de introducere și informații de fond pe Get-ADObject. Să trecem, în sfârșit, pentru a învăța cum acest cmdlet PowerShell funcționează în lumea reală!

în acest prim exemplu, aveți sarcina de a furniza managerului dvs. un fișier CSV cu un raport pentru toate conturile de utilizator care există în ou-urile Departamentului de Contabilitate, Marketing și IT.,

Înțelegerea Filtru Parametrul

singurul parametru necesar a Get-ADObject PowerShell cmdlet-ului este Filter. Acesta este un parametru este o modalitate de a limita numărul de obiecte returnate. Deoarece este un parametru necesar, trebuie să îl definiți chiar dacă doriți să returnați toate obiectele folosind un caracter wildcard (*). Aceasta indică Get-ADObject pentru a returna toate obiectele.

cel mai simplu exemplu de utilizare a parametrului Filter este de a returna toate obiectele dintr-un întreg domeniu de anunțuri ca mai jos.,

PS51> Get-ADObject -Filter *

Veți vedea Filter parametru folosit pentru ambele returna toate obiectele și de a limita domeniul de aplicare a revenit obiecte pe parcursul acestui articol.

Pentru mai multe informații cu privire la Filter parametru este sintaxa, run Get-Help about_ActiveDirectory_Filter in consola PowerShell.

Limitarea Domeniu de Căutare folosind SearchBase Parametrul

exemplu lucrezi cu o utilizare perfectă caz pentru Get-ADObject‘s SearchBase parametru., SearchBase parametru vă permite să limitați interogare de căutare și, astfel, obiecte returnate prin Get-ADObject prin limitarea domeniului de aplicare la un anumit OU.

prin limitarea domeniului de aplicare, acest lucru reduce timpul necesar pentru caGet-ADObject să ruleze excluzând alte ou în AD și vizând numai OU-ul specific care este relevant pentru recuperarea datelor de care aveți nevoie.

în acest exemplu, scoateți toți utilizatorii de anunțuri din departamentul părinte OU și toți copiii ca mai jos. Acest lucru va returna toți utilizatorii din departamentul OU și în toate ou-urile pentru copii.,

PS51> Get-ADObject -Filter * -SearchBase 'OU=Department,DC=mylab,DC=local'

Pârghie Filtru Parametrul

Ca de acum, esti capabil de a interoga toate obiectele utilizator în Departamentul de OU și toate copil OUs. Dar asta nu este necesar în acest moment. În schimb, să scoatem mai întâi toți utilizatorii Contabili. O modalitate de a face acest lucru este de a utiliza de fapt Filter parametru, mai degrabă decât furnizarea doar o valoare wildcard.pentru a limita rezultatele, utilizați valoarea FilteraDepartment -eq 'Accounting'., Acest lucru limitează rezultatele numai la acele obiecte din departamentul OU care au un atribut al Departamentului de anunțuri setat la contabilitate.

puteți vedea mai jos că stocați toate obiectele în variabila $accounting_users. Acest lucru va fi folosit mai târziu.

PS51> $accounting_users = Get-ADObject -SearchBase 'OU=Department,DC=mylab,DC=local' -Filter {Department -eq "Accounting"}

Afișarea de ANUNȚURI Obiecte într-un Fișier CSV

Acum $accounting_users conține toate obiectele aplicabile, puteți conducta de numai Name și Department properties pentru fiecare obiect la Export-Csv cmdlet., Acest cmdlet creează un nou fișier CSV și stochează fiecare obiect publicitar ca un rând.

ar trebui să aveți acum un fișier CSV numit report_accounting_users.csv pe desktop arătând ca imaginea de mai jos.

report_accounting_users.csv

Colectarea Alte Obiecte Utilizator

Acum, că știți elementele de bază ale cum să utilizați Get-ADObject pentru a găsi ANUNȚURI utilizatori, extinde pentru a găsi obiecte utilizator pentru alte departamente. Veți folosi același concept general ca înainte.,mai întâi, găsiți toți utilizatorii de anunțuri în biroul din San Francisco.

report_sanfrancisco_office_users.csv

Apoi, găsi toți utilizatorii care lucrează în Florida birou. Acest exemplu este un pic diferit, deoarece utilizați Select-Object proprietățile calculate ale cmdlet. Acest lucru vă permite de a transforma obiectul de proprietate pur și simplu numele de st care vine de la Get-ADObject pentru o mai descriptiv State.,

report_florida_state_users.csv

În cele din urmă, colectați toți utilizatorii IT. De data aceasta, în loc să utilizați atributul Ad Department, utilizați parametrul Filter pentru a găsi toate obiectele cu un nume care începe cu acesta.

Notă: în Loc de a folosi objectClass -eq 'user' în exemplul anterior, ai putea avea, de asemenea, folosit Get-AdUser cmdlet.,

report_select_users.csv

Găsirea Dezactivat Conturile cu LDAP Filtru

În exemplul anterior, ai folosit Filter parametru pentru a limita obiecte returnate de către Get-ADObject. Un alt mod de a face acest lucru este să utilizați parametrul LDAPFilter. Acest parametru îndeplinește aceeași sarcină, dar vă permite să specificați un filtru printr-un șir de căutare de interogare LDAP., Parametrul LDAPFilter este considerat o opțiune mai avansată pentru a căuta Active Directory.

Să creați un raport pentru a găsi toate persoanele cu dizabilități din organizația dvs. folosind LDAPFilter și SearchBase parametri pentru a viza un anumit OU.

useraccountcontrol:1.2.840.113556.1.4.803:=2 setare este un atribut AD specificate pentru toți utilizatorii cu handicap în Active Directory NTDS baza de date. Este o modalitate prin care anunțul să semnalizeze conturile care nu sunt active (conectarea este dezactivată)., Aici sunt mai multe interogări LDAP eșantion pe care le-ar putea găsi utile.

comanda De mai jos conduce LDAP filtru parametru utilizat pentru a afișa numai utilizatorii cu handicap și apoi creează un raport folosind Export-CSV cmdlet ca ai facut anterior.

report_disabled_users.csv

Rezultatul Final

ar trebui să Aveți acum cinci fișiere CSV de pe desktop gata pentru manager!,

rezumat

în acest articol, ați învățat cum să căutați Active Directory folosind Get-ADObject cmdlet PowerShell.

ce urmează?

pentru a duce mai departe ceea ce ați învățat, duceți acest proces de generare a rapoartelor publicitare la nivelul următor, exportând datele într-o bază de date, probabil. Odată ajuns într-o bază de date, puteți accesa datele raportului publicitar folosind fie un site web personalizat, fie o aplicație precum Microsoft SharePoint. Aceasta este doar o idee. Există nenumărate altele!,abilitatea de a căuta Active Directory este un set fundamental de competențe necesar în multe organizații și unul care, în cele din urmă, vă va salva pe dvs. și pe echipa dvs. de ore.

Lectură suplimentară

  • Scripturi Active Directory din belșug: Vino și Ia-l!
  • documentație Microsoft