ОПИСАНИЕ
Получает одного или нескольких пользователей Active Directory.
СИНТАКСИС
Get-ADUser -Filter <string> [-ResultPageSize <int>] [-ResultSetSize <System.Nullable[System.Int32]>] [-SearchBase <string>] [-SearchScope {Base | OneLevel | Subtree}] [-SearchScope {Base | OneLevel | Subtree}] [-AuthType {Negotiate | Basic}] [-Credential <PSCredential>] [-Partition <string>] [-Properties <string[]>] [-Server <string>] [<CommonParameters>]
Get-ADUser [-Identity] <ADUser> [-AuthType {Negotiate | Basic}] [-Credential <PSCredential>] [-Partition <string>] [-Properties <string[]>] [-Server <string>] [<CommonParameters>]
Get-ADUser -LDAPFilter <string> [-ResultPageSize <int>] [-ResultSetSize <System.Nullable[System.Int32]>] [-SearchBase <string>] [-SearchScope {Base | OneLevel | Subtree}] [-AuthType {Negotiate | Basic}] [-Credential <PSCredential>] [-Partition <string>] [-Properties <string[]>] [-Server <string>] [<CommonParameters>]
ОПИСАНИЕ
Командлет Get-ADUser получает объект пользователя или выполняет поиск для получения нескольких объектов пользователей.
Параметр Identity определяет получаемого пользователя Active Directory. Пользователя можно идентифицировать по различающемуся имени (DN), значению GUID, идентификатору безопасности (SID), имени учетной записи SAM или по имени. Можно также присвоить этому параметру переменную объекта пользователя, например $<localUserObject>, или передать в параметр Identity объект пользователя по конвейеру.
Для поиска и получения нескольких пользователей используйте параметр Filter или LDAPFilter. В параметре Filter для написания строк запросов к Active Directory используется язык выражений PowerShell. Синтаксис языка выражений PowerShell поддерживает широкие возможности преобразования типов для значений, принимаемых параметром Filter. Дополнительные сведения о синтаксисе параметра Filter см. в разделе about_ActiveDirectory_Filter. Если существуют строки запроса LDAP, можно использовать параметр LDAPFilter.
Этот командлет получает набор свойств объекта пользователя, заданный по умолчанию. Чтобы получить дополнительные свойства, используйте параметр Properties. Дополнительные сведения об определении свойств объектов пользователей см. в описании параметра Properties.
ПАРАМЕТРЫ
-AuthType <ADAuthType>
Задает используемый метод проверки подлинности. Возможные значения параметра:
Negotiate или 0
Basic или 1
По умолчанию используется метод проверки подлинности Negotiate.
Для метода проверки подлинности Basic требуется SSL-соединение.
В следующем примере показано, как присвоить этому параметру значение Basic.
1 |
-AuthType Basic |
Возможные значения параметра:
Negotiate
Basic
Необходимость параметров | Не обязательный параметр |
Позиция | именованный параметр |
Значение по умолчанию | Microsoft.ActiveDirectory.Management.AuthType.Negotiate |
Принимать входные данные конвейера | false |
Принимать подстановочные знаки | false |
-Credential <PSCredential>
Задает параметры учетной записи пользователя для выполнения задачи. Учетными данными по умолчанию являются учетные данные текущего пользователя, вошедшего в систему, если только командлет не выполняется с диска поставщика Active Directory PowerShell. Если командлет выполняется с такого диска поставщика, в качестве значения по умолчанию используется учетная запись, связанная с диском.
Чтобы задать этот параметр, можно ввести имя пользователя, например «User1» или «Domain01\User01», либо указать объект PSCredential. Если для этого параметра задать имя пользователя, командлет запросит пароль.
Кроме того, объект PSCredential можно создать с помощью скрипта или командлета Get-Credential. Затем параметру Credential можно присвоить значение объекта PSCredential. В следующем примере показано как создать учетные данные.
1 |
$AdminCredentials = Get-Credential "Domain01\User01" |
Ниже показано, как присвоить параметру Credential эти учетные данные.
1 |
-Credential $AdminCredentials |
Если для используемых учетных данных не установлены полномочия на уровне каталога для выполнения задачи, Active Directory PowerShell вернет прерывающую ошибку.
Необходимость параметров | Не обязательный параметр |
Позиция | именованный параметр |
Значение по умолчанию | |
Принимать входные данные конвейера | false |
Принимать подстановочные знаки | false |
-Filter <string>
Задает строку запроса, получающую объекты Active Directory. Эта строка использует синтаксис языка выражений PowerShell. Синтаксис языка выражений PowerShell поддерживает широкие возможности преобразования типов для значений, принимаемых параметром Filter. В синтаксисе используется порядковое представление, что означает, что оператор помещается между операндом и значением. Дополнительные сведения о параметре Filter см. в разделе about_ActiveDirectory_Filter.
Синтаксис:
В следующем синтаксисе демонстрации использования языка выражений PowerShell для данного параметра используется форма Бэкуса-Наура.
<фильтр>::= «{» <список_компонентов_фильтра> «}»
<список_компонентов_фильтра> ::= <компонент_фильтра> | <компонент_фильтра> <оператор_соединения> <компонент_фильтра> | <оператор_Not><компонент_фильтра>
<компонент_фильтра> ::= <атрибут> <оператор_фильтра> <значение> | «(» <компонент_фильтра> «)»
<оператор_фильтра> ::= «-eq» | «-le» | «-ge» | «-ne» | «-lt» | «-gt»| «-approx» | «-bor» | «-band» | «-recursivematch» | «-like» | «-notlike»
<оператор_соединения> ::= «-and» | «-or»
<оператор_Not> ::= «-not»
<атрибут> ::= <имя_свойства> | <параметр LDAPDisplayName атрибута>
<значение>::= <сравнить это значение с атрибутом <атрибут> с помощью заданного оператора фильтра <оператор_фильтра>>
Список поддерживаемых типов для значения <значение> см. в разделе ActiveDirectory_ObjectModel.
Примеры
В следующих примерах показано, как использовать этот синтаксис в командлетах Active Directory.
Чтобы получить все объекты типа, указанного с помощью командлета, используйте подстановочный знак «звездочка».
Объекты всех пользователей:
1 |
Get-ADUser -Filter * |
-или-
Объекты всех компьютеров:
1 |
Get-ADComputer -Filter * |
Чтобы получить объекты всех пользователей, имеющие атрибут сообщения электронной почты, воспользуйтесь одной из следующих команд:
1 |
Get-ADUser -Filter {EmailAddress -like "*"} |
,
1 |
Get-ADUser -Filter {mail -like "*"} |
-или-
1 |
Get-ADObject -Filter {(mail -like "*") -and (ObjectClass -eq "user")} |
Примечание. Подстановочные знаки PowerShell, отличные от «*», например «?», не поддерживаются синтаксисом параметра Filter.
Чтобы получить объекты всех пользователей с фамилией Корепин и атрибутом электронной почты, воспользуйтесь одной из следующих команд:
1 |
Get-ADUser -filter {(EmailAddress -like "*") -and (Surname-eq "korepin")} |
-или-
1 |
Get-ADUser -filter {(mail -eq "*") -and (sn -eq "Korepin")} |
Чтобы получить объекты всех пользователей, которые не выполняли вход в систему с 1 января 2007 г., воспользуйтесь одной из следующих команд:
1 2 |
$logonDate = New-Object System.DateTime(2007, 1, 1) Get-ADUser-filter { lastLogon -le $logonDate} |
Чтобы получить все группы, для которых категория имеет значение Security, а область — Global, воспользуйтесь одной из следующих команд:
1 |
Get-ADGroup-filter {GroupCategory-eq "Security"-and GroupScope -eq "Global"} |
-или-
1 |
Get-ADGroup -filter {GroupType -band 0x80000000} |
Примечание. Чтобы сформировать запрос с использованием строк запроса LDAP, используйте параметр LDAPFilter.
Необходимость парaметров | Обязательный параметр |
Позиция | именованный параметр |
Значение по умолчанию | |
Принимать входные данные конвейера | false |
Принимать подстановочные знаки | false |
-Identity <ADUser>
Задает объект пользователя Active Directory, указывая одно из следующих значений свойств. Идентификатор в скобках представляет собой отображаемое имя LDAP атрибута.
Различающееся имя
Пример:CN=SaraDavis,CN=Europe,CN=Users,DC=corp,DC=contoso,DC=com
GUID (objectGUID)
Пример: 599c3d2e-f72d-4d20-8a88-030d99495f20
Идентификатор безопасности (objectSid)
Пример: S-1-5-21-3165297888-301567370-576410423-1103
Имя учетной записи SAM (sAMAccountName)
Пример: saradavis
Командлет ищет объект в пределах контекста или раздела именования по умолчанию. Если найдено несколько объектов, командлет вернет непрерывающую ошибку.
Этот параметр также может принимать данный объект по конвейеру, либо можно присваивать этому параметру экземпляр объекта.
В данном примере показано, как присвоить этому параметру различающееся имя.
1 |
-Identity "CN=InnaOzhogina,CN=Europe,CN=Users,DC=corp,DC=contoso,DC=com" |
В данном примере показано, как присвоить этому параметру экземпляр объекта пользователя с именем «userInstance».
1 |
-Identity $userInstance |
Необходимость парaметров | Обязательный параметр |
Позиция | 1 |
Значение по умолчанию | |
Принимать входные данные конвейера | true (ByValue) |
Принимать подстановочные знаки | false |
-LDAPFilter <string>
Задает строку запроса LDAP, которая используется для фильтрации объектов Active Directory. Этот параметр можно использовать для выполнения существующих запросов LDAP. Синтаксис параметра Filter поддерживает те же функции, что и синтаксис LDAP. Дополнительные сведения см. в описании параметра Filter и в разделе about_ActiveDirectory_Filter.
В следующем примере показано, как задать этот параметр так, чтобы искать все объекты, имена которых начинаются на «inna», в подразделении, определяемом параметром SearchBase.
1 |
-LDAPFilter "(name=inna*)"-SearchScope Subtree -SearchBase "DC=NA,DC=fabrikam,DC=com" |
Необходимость парaметров | Обязательный параметр |
Позиция | именованный параметр |
Значение по умолчанию | |
Принимать входные данные конвейера | false |
Принимать подстановочные знаки | false |
-Partition <string>
Задает различающееся имя раздела Active Directory. Различающееся имя должно являться одним из контекстов именования текущего сервера каталогов. Командлет ищет в этом разделе объект, заданный параметром Identity.
В следующих двух примерах показано, как задать значение этого параметра.
1 |
-Partition "CN=Configuration,DC=EUROPE,DC=TEST,DC=CONTOSO,DC=COM" |
1 |
-Partition "CN=Schema,CN=Configuration,DC=EUROPE,DC=TEST,DC=CONTOSO,DC=COM" |
Во многих случаях, если значение параметра Partition не указано, для него будет использоваться Значение по умолчанию,.Правила определения значения по умолчанию представлены ниже.Обратите внимание, что правила, указанные первыми, анализируются также первыми, и после определения значения по умолчанию никакие другие правила не рассматриваются.
В средах доменных служб Active Directory Значение по умолчанию, параметра Partition будет установлено в следующих случаях.- Если в качестве значения параметра Identity установлено различающееся имя, для формирования значения по умолчанию параметра Partition автоматически используется это различающееся имя.
— При запуске командлетов с диска поставщика Active Directory для формирования значения по умолчанию параметра Partition автоматически используется текущий путь на диске.
— Если ни один из представленных выше вариантов не применим, в качестве значения по умолчанию параметра Partition будет использоваться раздел по умолчанию или контекст именования целевого домена.
В средах AD LDS Значение по умолчанию, параметра Partition будет установлено в следующих случаях.
— Если в качестве значения параметра Identity установлено различающееся имя, для формирования значения по умолчанию параметра Partition автоматически используется это различающееся имя.
— При запуске командлетов с диска поставщика Active Directory для формирования значения по умолчанию параметра Partition автоматически используется текущий путь на диске.
— Если для целевого экземпляра AD LDS существует контекст именования по умолчанию, в качестве значения по умолчанию параметра Partition будет использоваться этот контекст именования.Чтобы задать контекст именования по умолчанию для среды AD LDS, задайте значение свойства msDS-defaultNamingContext объекта агента служб каталогов (DSA) Active Directory (nTDSDSA) для экземпляра AD LDS.
— Если ни один из представленных выше вариантов не применим, для параметра Partition не будет использоваться Значение по умолчанию,.
Необходимость параметров | Не обязательный параметр |
Позиция | именованный параметр |
Значение по умолчанию | |
Принимать входные данные конвейера | false |
Принимать подстановочные знаки | false |
-Properties <string[]>
Задает свойства выходного объекта для получения с сервера. Этот параметр служит для извлечения свойств, отсутствующих в наборе по умолчанию.
Задайте свойства этого параметра в виде разделенного запятыми списка имен. Чтобы отобразить все заданные для объекта атрибуты, укажите звездочку (*).
Чтобы задать отдельное расширенное свойство, воспользуйтесь именем этого свойства. Для свойств, которые не являются свойствами по умолчанию или расширенными свойствами, необходимо указать отображаемое имя LDAP атрибута.
Чтобы получить и отобразить свойства объекта, можно воспользоваться связанным с объектом командлетом Get-* и передать результаты его выполнения в командлет Get-Member. В следующих примерах показано, как получить свойства группы на примере объекта группы «Администраторы».
1 |
Get-ADGroup -Identity Administrators | Get-Member |
Чтобы получить и отобразить список всех свойств объекта ADGroup, воспользуйтесь следующей командой:
1 |
Get-ADGroup -Identity Administrators -Properties *| Get-Member |
В следующих примерах показано, как использовать параметр Properties для получения отдельных свойств, а также набора свойств по умолчанию, расширенного или полного набора свойств.
Чтобы для объекта ADUser с именем «InnaOzhogina» получить расширенные свойства «OfficePhone» и «Organization», а также свойства по умолчанию, воспользуйтесь следующей командой:
1 |
GetADUser -Identity InnaOzhogina-Properties OfficePhone,Organization |
Чтобы помимо свойств по умолчанию для данного пользователя получить еще и свойства с отображаемыми именами LDAP «otherTelephone» и «otherMobile», воспользуйтесь следующей командой:
1 |
GetADUser -Identity InnaOzhogina-Properties otherTelephone, otherMobile |Get-Member |
Необходимость параметров | Не обязательный параметр |
Позиция | именованный параметр |
Значение по умолчанию | |
Принимать входные данные конвейера | false |
Принимать подстановочные знаки | false |
-ResultPageSize <int>
Задает количество объектов на одной странице, возвращаемых запросом к доменным службам Active Directory.
По умолчанию количество объектов на одной странице составляет 256.
В следующем примере показано, как задать этот параметр.
1 |
-ResultPageSize 500 |
Необходимость параметров | Не обязательный параметр |
Позиция | именованный параметр |
Значение по умолчанию | 256 |
Принимать входные данные конвейера | false |
Принимать подстановочные знаки | false |
-ResultSetSize <System.Nullable[System.Int32]>
Задает максимальное количество объектов, возвращаемых запросом к доменным службам Active Directory. Если требуется получать все объекты, установите для данного параметра значение $null (неопределенное значение). С помощью сочетания клавиш CTRL+C можно остановить обработку запроса (при этом произойдет возврат объектов). По умолчанию используется значение $null.
В следующем примере показано, как задать этот параметр так, чтобы получать все возвращаемые объекты.
1 |
-ResultSetSize $null |
Необходимость параметров | Не обязательный параметр |
Позиция | именованный параметр |
Значение по умолчанию | |
Принимать входные данные конвейера | false |
Принимать подстановочные знаки | false |
-SearchBase <string>
Задает путь Active Directory, в котором выполняется поиск.
Если командлет выполняется с диска поставщика Active Directory, в качестве значения этого параметра по умолчанию используется текущий путь диска.
Если командлет выполняется вне диска поставщика Active Directory в отношении целевого объекта AD DS, по умолчанию для этого параметра используется значение контекста именования по умолчанию целевого домена.
Если командлет выполняется вне диска поставщика Active Directory в отношении целевого объекта AD LDS, по умолчанию для этого параметра используется значение контекста именования по умолчанию целевого экземпляра LDS, если он задан в свойстве msDS-defaultNamingContext объекта агента служб каталогов (DSA) Active Directory (nTDSDSA) для экземпляра AD LDS.Если для целевого экземпляра AD LDS не указан контекст именования по умолчанию, для этого параметра не устанавливается Значение по умолчанию,.
В следующем примере показано, как настроить этот параметр для поиска в подразделении.
1 |
-SearchBase "ou=mfg,dc=noam,dc=corp,dc=contoso,dc=com" |
Если в качестве значения параметра SearchBase указана пустая строка и имеется подключение к порту GC, выполняется поиск по всем разделам. Если в качестве значения параметра SearchBase указана пустая строка и отсутствует подключение к порту GC, будет возвращена ошибка.
В следующем примере показано, как присвоить этому параметру пустую строку.-SearchBase «»
Необходимость параметров | Не обязательный параметр |
Позиция | именованный параметр |
Значение по умолчанию | |
Принимать входные данные конвейера | false |
Принимать подстановочные знаки | false |
-SearchScope <ADSearchScope>
Задает область поиска по Active Directory. Возможные значения параметра:
Base или 0
OneLevel или 1
Subtree или 2
Основной запрос (типа «Base») выполняет поиск только по текущему пути или в текущем объекте. Одноуровневый запрос (типа «OneLevel») выполняет поиск в непосредственных дочерних элементах этого пути или объекта. Запрос по поддереву (типа «Subtree») выполняет поиск по текущему пути или в текущем объекте и во всех дочерних элементах этого пути или объекта.
В следующем примере показано, как настроить этот параметр для поиска по поддереву.
1 |
-SearchScope Subtree |
Возможные значения параметра:
Base
OneLevel
Subtree
Необходимость параметров | Не обязательный параметр |
Позиция | именованный параметр |
Значение по умолчанию | Subtree |
Принимать входные данные конвейера | false |
Принимать подстановочные знаки | false |
-Server <string>
Задает используемый для подключения экземпляр доменных служб Active Directory, указывая одно из следующих значений соответствующего доменного имени или сервера каталогов. Служба может относиться к следующим категориям:службы Active Directory облегченного доступа к каталогам, доменные службы Active Directory или снимки Active Directory.
Значения доменного имени:
Полное доменное имя
Примеры corp.contoso.com
NetBIOS-имя
Пример: CORP
Значения сервера каталогов:
Полное имя сервера каталогов
Пример: corp-DC12.corp.contoso.com
NetBIOS-имя
Пример: corp-DC12
Полное имя сервера каталогов и порт
Пример: corp-DC12.corp.contoso.com:3268
Значение параметра Server по умолчанию определяется одним из следующих методов в указанном ниже порядке.
— Используя значение Server из объектов, переданных по конвейеру.
— Используя информацию о сервере, связанную с диском поставщика Active Directory PowerShell, если запуск выполнен с этого диска.
— Используя домен компьютера, на котором выполняется Powershell.
В следующем примере показано, как указать в качестве значения параметра полное доменное имя.
1 |
-Server "corp.contoso.com" |
Необходимость параметров | Не обязательный параметр |
Позиция | именованный параметр |
Значение по умолчанию | |
Принимать входные данные конвейера | false |
Принимать подстановочные знаки | false |
<CommonParameters>
Этот командлет поддерживает общие параметры: Verbose, Debug, ErrorAction, ErrorVariable, WarningAction, WarningVariable, OutBuffer, PipelineVariable и OutVariable. Дополнительные сведения см. в статье about_CommonParameters (http://go.microsoft.com/fwlink/?LinkID=113216).
ВХОДНЫЕ ДАННЫЕ
Нет или Microsoft.ActiveDirectory.Management.ADUser
Объект пользователя занесен в параметр Identity.
ВЫХОДНЫЕ ДАННЫЕ
Microsoft.ActiveDirectory.Management.ADUser
Возвращает один или несколько объектов пользователей.
Этот командлет возвращает значения свойств ADUser, входящих в набор по умолчанию. Чтобы получить дополнительные свойства ADUser, используйте параметр Properties.
Чтобы получить список свойств объекта ADUser, входящих в набор по умолчанию, воспользуйтесь следующей командой:
1 |
Get-ADUser <пользователь>| Get-Member |
Чтобы получить список наиболее часто используемых свойств объекта ADUser, воспользуйтесь следующей командой:
1 |
Get-ADUser <пользователь> -Properties Extended | Get-Member |
Чтобы получить список всех свойств объекта ADUser, воспользуйтесь следующей командой:
1 |
Get-ADUser <пользователь> -Properties * | Get-Member |
ПРИМЕЧАНИЯ
Этот командлет не работает со снимками Active Directory.
ПРИМЕР 1
1 |
Get-ADUser -Filter * -SearchBase "OU=Finance,OU=UserAccounts,DC=FABRIKAM,DC=COM" |
Получает всех пользователей, принадлежащих к контейнеру ‘OU=Finance,OU=UserAccounts,DC=FABRIKAM,DC=COM’.
ПРИМЕР 2
1 |
Get-ADUser -Filter 'Name -like "*SvcAccount"' | FT Name,SamAccountName -A |
Name,SamAccountName
SQL01 SvcAccount,SQL01
SQL02 SvcAccount,SQL02
IIS01 SvcAccount,IIS01
Описание
————
Получает всех пользователей, имена которых оканчиваются на «SvcAccount».
ПРИМЕР 3
1 |
Get-ADUser GlenJohn -Properties * |
Surname : John
Name: Glen John
UserPrincipalName :
GivenName : Glen
Enabled : False
SamAccountName: GlenJohn
ObjectClass: user
SID : S-1-5-21-2889043008-4136710315-2444824263-3544
ObjectGUID: e1418d64-096c-4cb0-b903-ebb66562d99d
DistinguishedName : CN=Glen John,OU=NorthAmerica,OU=Sales,OU=UserAccounts,DC=FABRIKAM,DC=COM
Описание
————
Получает все свойства пользователя с именем учетной записи SAM «GlenJohn».
ПРИМЕР 4
1 |
Get-ADUser -Filter {Name -eq "GlenJohn"} -SearchBase "DC=AppNC" -Properties mail -Server lds.Fabrikam.com:50000 |
Получает пользователя с именем «GlenJohn» из экземпляра AD LDS.
ССЫЛКИ ПО ТЕМЕ
Online version: http://go.microsoft.com/fwlink/?LinkID=144946
New-ADUser
Set-ADUser
Remove-ADUser
Комментарии: