AD PowerShell Basics 2: Get-ADUser

Mit dem PowerShell Cmdlet Get-ADUser können Sie sich Benutzer im Active Directory anzeigen lassen.

Mit Get-ADUser können Sie:
– Filter einbauen
– bestimmte Attribute anzeigen
– Ergebnisse in eine CSV-Datei exportieren

AD PowerShell Basics

Ich möchte Euch in dieser Serie zeigen, wie mit geringem Aufwand und wenig Quellcode eine große Menge Infos aus dem AD ausgelesen oder Daten ins AD geschrieben werden. Folgende Cmdlets werden vorgestellt:

New-ADUser 
Get-ADUser
Set-ADUser
New-ADGroup, Get-ADGroup, Set-ADGroup

Das Cmdlet Get-ADUser

Im zweiten Teil der AD PowerShell Basiscs geht es um das cmdlets. Mithilfe dieses cmdlets können Sie sich Attribute von bestehenden Benutzern im Active Directory anzeigen lassen.

Wie auch bei dem cmdlet New-ADUser benötigen Sie hier nur die Identität des Benutzers, z.B. den sAMAccountname, um das cmdlet erfolgreich auszuführen. Das sieht beispielsweise so aus:

Nun bekommt man alle Infos zu Benutzer Thomas.Mueller. Das sieht dann in etwa so aus:

Filter einbauen

Wenn Sie den sAMAccountname nicht kennen oder nach mehreren Accounts suchen möchten, gibt es die Möglichkeit, einen Filter einzubauen.

Filter können sehr vielfältig verwendet werden und über den Parameter „-Filter“ gesteuert.
Sie können mit Filtern z.B. nach bestimmten Attributen suchen.  

Suche nach dem Nachnamen mit Get-ADUser

Mit dieser gefilterten Suche bekommen Sie alle Benutzer angezeigt, die den Nachnamen „Mueller“ haben.

Suche nach dem Vornamen

Mit GivenName werden alle Benutzer angezeigt, die den Vornamen „Thomas“ haben.

Suche mit Wildcard (*)

Sie können sich aber auch alle Benutzer einer OU anzeigen lassen. Dazu setzen Sie einen Wildcard-Filter mithilfe von * und geben die OU an, in der gesucht werden soll.

Im Hintergrund

Anwender führen PowerShell aus

Wenn Skripte zur Vereinfachung erstellt wurden, müssen sie noch im richtigen Moment ausgeführt werden. Dies können Anwender übernehmen, da die Skript oft benutzer- oder gruppenspezifische Tasks beinhalten. Das IDM-Portal bietet diese Funktionen und loggt diese zur Nachvollziehbarkeit mit.

PS-Skripte durch Anwender starten

Zusätzliche Attribute anzeigen

Wie auf den Screenshots zu sehen ist, werden nicht alle Attribute eines Benutzes angezeigt.
Möchten Sie, dass z.B. das Attribute Officephone (Telefonnummer) angezeigt wird, so müssen Sie dies explizit angeben.

Ergänzen Sie Get-ADUser mit dem Parameter „-Properties„:

Sie können sich auf diese Weise jedes beliebige Attribut, welches beim Benutzer gesetzt ist, anzeigen lassen.

Es ist natürlich auch möglich, sich mehrere zusätzliche Attribute anzeigen zu lassen. Dazu verknüpfen Sie einfach die -Properties Anfragen mit einem Komma.

Massendaten exportieren mit Get-ADUSer

Wenn Sie eine große Menge an Usern suchen, ist die Ansicht in der Powershell eher unübersichtlich. Es gibt aber die Möglichkeit diese Daten zu exportieren, z.B. in eine .csv Datei.

Leiten Sie dazu die Ausgabe der Suchanfrage in eine .csv Datei um.
Dies erfolgt mittels „export-csv„

Das exportierte Ergebnis sieht in der CSV-Datei wie folgt aus:

In Excel ist das Ganze natürlich etwas übersichtlicher und kann leicht sortiert und gefiltert werden.

Dies ist eine Vereinfachung, wenn Sie sich auf einen Schlag Daten von sehr vielen Benutzer anzeigen lassen möchten. Sie können auf diesem Weg auch regelmäßig eine größere Anzahl von Benutzern suchen und die Daten nach bestimmten Kritierien durchsuchen oder Filtern möchte.

Alternative zu Get-ADUser

Mit dem IDM-Portal bekommen nicht nur Admin, sondern alle Mitarbeiter des Unternehmens Zugriff auf das Active Directory – falls gewünscht. Get-ADUser Anfragen sind nicht notwendig. PowerShell wird aber zur Automatisierung mit dem IDM-Portal eingesetzt.

Mit der Smart Search ist es möglich, einen Benutzer allein mit einem Teil seiner Telefonnummer oder den ersten Buchstaben seines Vornamens zu finden.

Daten-Export via Get-AD User ist ebenfalls nicht notwendig. Das IDM-Portal stellt alle Daten mit 1-Klick in einer Excel-Tabelle zur Verfügung.