Nu este un secret pentru nimeni că încă de la prima versiune de PowerShell, Microsoft a încercat să facă din acesta principalul instrument de administrare Windows. Și în multe feluri funcționează! Astăzi, folosind exemple simple, vom arăta capabilitățile PowerShell care pot fi folosite pentru a obține diverse informații despre utilizatorii Active Directory și atributele acestora.

Nota. Anterior, pentru a obține informații despre atributele conturilor de utilizator AD, trebuia să utilizați diverse instrumente: consola ADUC (inclusiv), un utilitar etc. Alegerea instrumentului s-a bazat de obicei pe sarcina la îndemână și pe abilitățile de programare ale administratorului.

PowerShell 2.0 a introdus un modul special pentru lucrul cu Active Directory - (introdus în Windows Server 2008 R2), ale cărui cmdlet-uri vă permit să efectuați diverse manipulări cu obiecte de director AD. Cmdletul este utilizat pentru a obține informații despre utilizatorii domeniului Active Directory și proprietățile acestora Get-ADUser. Puteți utiliza cmdletul Get-ADUser pentru a obține valoarea oricărui atribut al unui cont de utilizator existent în AD. În plus, puteți specifica diverse criterii de selecție și puteți genera liste de utilizatori de domeniu și atributele acestora.

În acest exemplu, vă vom arăta cum să utilizați cmdletul PowerShell Get-ADUser pentru a prelua informații despre când parola unui utilizator a fost modificată ultima dată și când expiră.

Lansați fereastra Powershll cu drepturi de administrator și importați modulul Active Directory cu comanda:

Import-Module activedirectory

Sfaturi. În Windows Server 2012 și versiuni ulterioare, puteți sări peste acest element, deoarece modulul PowerShell Active Directory este activat în mod implicit.

În sistemele de operare client (Windows 10, de exemplu), pentru ca comandantul Get-AdUser să funcționeze, trebuie să instalați versiunea corespunzătoare de RSAT și să activați componenta în panoul de control Modul Active Directory pentru Windows PowerShell(Instrumente de administrare a serverului la distanță -> Instrumente de administrare a rolurilor -> Instrumente AD DS și AD LDS -> Instrumente AD DS).

O listă completă a tuturor argumentelor cmdlet-ului Get-ADUser poate fi obținută după cum urmează:

Ajută Get-ADUser

Pentru a afișa o listă a tuturor conturilor de domeniu, executați comanda:

Get-ADUser -filter *

Formatul listei returnate nu este foarte convenabil de utilizat, sunt afișate doar câteva 10 de bază din peste 120 de atribute și proprietăți ale conturilor de utilizator (DN, SamAccountName, Name, UPN etc.) în plus, vedem că există nu există informații despre ora la care parola a fost schimbată ultima dată.

Pentru a afișa informații complete despre toate atributele disponibile ale utilizatorului tuser, rulați comanda:

Get-ADUser -identity tuser -properties *

Deci, vedem o listă completă a atributelor utilizatorului AD și a valorilor acestora asociate cu contul de utilizator. În continuare, vom trece la formatarea ieșirii cmdlet-ului Get-ADUser, astfel încât să fie afișate câmpurile de care avem nevoie. Suntem interesați de atributele:

• Parola a expirat
• PasswordLastSet
• PasswordNeverExpires

Să rulăm comanda:

Get-ADUser tuser -properties PasswordExpired, PasswordLastSet, PasswordNeverExpires

Acum datele utilizatorului conțin informații despre data modificării parolei și ora la care aceasta va expira. Să prezentăm informațiile într-o formă tabelară mai convenabilă:

Get-ADUser -filter * -properties PasswordExpired, PasswordLastSet, PasswordNeverExpires | ft Nume, PasswordExpired, PasswordLastSet, PasswordNeverExpires

Pentru a afișa datele utilizatorului dintr-o anumită unitate organizatorică, utilizați parametrul SearchBase:

Get-ADUser -SearchBase ‘OU=Moscow,DC=winitpro,DC=loc’ -filter * -properties PasswordExpired, PasswordLastSet, PasswordNeverExpires | ft Nume, PasswordExpired, PasswordLastSet, PasswordNeverExpires

Rezultatul comenzii poate fi exportat într-un fișier text:

Get-ADUser -filter * -properties PasswordExpired, PasswordLastSet, PasswordNeverExpires | ft Nume, PasswordExpired, PasswordLastSet, PasswordNeverExpires > C:\temp\users.txt

Sau în CSV, care va fi exportat în mod convenabil în Excel în viitor (folosind suplimentar sortare-obiect Să sortăm tabelul după coloana PasswordLastSet și să adăugăm, de asemenea, o condiție unde– numele de utilizator trebuie să conțină șirul „Dmitry”:

Get-ADUser -filter * -properties PasswordExpired, PasswordLastSet, PasswordNeverExpires | unde ($_.nume –cum ar fi „*Dmitry*”) | sort-object PasswordLastSet | select-object Name, PasswordExpired, PasswordLastSet, PasswordNeverExpires | Export-csv -path c:\temp\user-password-expires-2015.csv

Astfel, puteți construi un tabel cu orice atribute de utilizator Active Directory necesare.

Pentru a obține o listă de conturi de utilizator AD pe baza unei caracteristici specifice, utilizați parametrul –Filter. Ca argumente pentru acest parametru, puteți specifica valoarea anumitor atribute de utilizator Active Directory, ceea ce va face ca cmdlet-ul Get-ADUser să fie aplicat utilizatorilor care corespund criteriilor de filtru.

Rezultatele utilizatorilor AD al căror nume începe cu Roman:

Get-ADUser -filter (nume -cum ar fi „Roman*”)

Get-ADUser -Filter (SamAccountName -cum ar fi „*”) | Măsură-Obiect

Lista tuturor conturilor active (neblocate) din AD:

Get-ADUser -Filter (Activat -eq „True”) | Selectați-obiect SamAccountName,Name,Nume,GivenName | Format-Tabel

Lista de conturi cu parola expirată:

Get-ADUser -filter (Activat -eq $True) -properties passwordExpired | unde($_.Parola a expirat)

Lista de conturi active cu adrese de e-mail:

Get-ADUser -Filter ((mail -ne "null") -și (Activat -eq "true")) -Properties Nume,Prenume,Poștă | Selectați-Nume obiect, Prenume, Nume, e-mail | Format-Tabel

Sarcină: pentru o listă de conturi care sunt stocate într-un fișier text (un cont pe linie), trebuie să obțineți numărul de telefon al utilizatorului în AD și să încărcați informațiile într-un fișier text csv (poate fi importat cu ușurință în Esxel).

Import-Csv c:\ps\usernsme_list.csv | ForEach ( Get-ADUser -identity $_.user -Properties Name, telephoneNumber | Select Name, telephoneNumber | Export-CSV c:\ps\export_ad_list.csv -Append -Encoding UTF8 )

Următorul exemplu vă permite să descărcați o agendă de adrese de întreprindere ca fișier csv, care poate fi importat ulterior în Outlook sau Mozilla Thunderbird:

Get-ADUser -Filter ((mail -ne "null") -și (Activat -eq "true")) -Properties Nume,Prenume,Poștă | Selectați-Nume obiect, Prenume, Nume, e-mail | Export-Csv -NoTypeInformation -Encoding utf8 -delimiter "," $env:temp\mail_list.csv

Utilizatori care nu și-au schimbat parola în ultimele 90 de zile:

$90_Days = (Get-Date).adddays(-90) Get-ADUser -filter ((passwordlastset -le $90_days))

$user = Get-ADUser winadmin -Properties thumbnailPhoto $user.thumbnailPhoto | Set-Content winadmin.jpg -Encoding byte

Lista grupurilor din care face parte contul de utilizator

Get-AdUser winadmin -Properties memberof | Selectați memberof -expandproperty memberof

Bună ziua, dragi cititori și abonați, continuăm să studiem capacitățile Powershell și Active Directory. După cum vă amintiți, toate conturile ei de utilizator și computer sunt localizate în baza de date NTDS.dit, totul este grozav și centralizat. Atunci când o companie are mai mult de un administrator de sistem, poate apărea o situație în care se acumulează gunoi și acreditări inutile. Cu toții suntem oameni și putem uita unele lucruri, iar în unele momente putem fi distrași, ceea ce va duce și la uitarea de informații importante. Și ajungem la concluzia că utilizatorii inactivi (demisi sau uitați) se acumulează în Directorul Actvie în orice caz, un administrator de sistem bun ar trebui să-i identifice, să-i dezactiveze, apoi să-i ștergă dacă se dorește, ceea ce vom face.

Prin snap-in ADUC

Data trecută v-am dat deja un exemplu de utilizare a snap-in-ului Active Directory Users and Computers, prin care am căutat computere lipsă în rețeaua locală care nu mai apăreau de o lună. Acum vom face același lucru cu conturile de utilizator. Am AD pe Windows Server 2012 R2, deschideți ADUC, pentru a face acest lucru apăsați WIN+R și introduceți dsa.msc.

În formularul de solicitare care se deschide, introduceți:

• Cerere nume > pentru mine aceștia sunt utilizatori pierduți
• Descriere dacă este necesar
• Solicitați rădăcină > aici puteți lăsa întregul domeniu sau îl puteți specifica pe OU dorit

Apoi faceți clic pe butonul de solicitare.

În fila utilizatori vedem elementul „Număr de zile de la ultima conectare”, de exemplu, l-am setat la 60 de zile;

Ca urmare, veți primi lista de conturi de angajați inactivi de care aveți nevoie.

Prin snap-in Powershell

Același lucru se poate face prin Powershell. Îți voi da imediat codul a cărui sarcină este să caute utilizatori inactivi, pentru asta am ales o perioadă de 45 de zile, dezactivând datele utilizatorului și trecând la o OU special desemnată.

$date_with_offset= (Get-Date).AddDays(-45)
$users = Get-ADUser -Properties LastLogonDate -Filter (LastLogonDate -lt $date_with_offset ) | Sortați LastLogonDate
foreach ($user în $users) (set-aduser $user -enabled $false; move-adobject -identity $user -targetpath "ou=Declanșat,ou=Moscova L. utilizatori,ou=Locație,dc=msk,dc= contoso,dc=com")
Get-ADUser -Properties LastLogonDate -Filter (LastLogonDate -lt $date_with_offset ) | Sortează LastLogonDate | Nume FT, LastLogonDate -AutoSize | Out-Fișier c:\Script\users.txt

• În prima linie declarați o variabilă în care setați termenul de căutare
• Creați o variabilă și faceți o selecție bazată pe ultima oră de conectare
• Mutarea utilizatorilor

• Efectuarea unui raport la un dosar

Lucruri mai utile despre lucrul cu utilizatorul. Înainte de a utiliza comenzile de mai jos, trebuie să încărcați modulul Active Directory prin intermediul comenzii

Get-Help Get-ADUser

În comentariile la articolul precedent, ne-am amintit despre contabilitate în Excel în loc de 1C. Ei bine, haideți să verificăm cât de mult cunoașteți Excel. Astăzi vă voi arăta cum să obțineți date din Active Directory și să lucrați cu ele fără macrocomenzi și PowerShell - doar cu mecanisme Office standard. De exemplu, puteți obține cu ușurință analize privind utilizarea sistemelor de operare în organizația dvs. dacă nu aveți deja ceva de genul Microsoft SCOM. Ei bine, sau pur și simplu încălzește-te și ia-ți mintea de la scenarii.

Desigur, puteți obține datele ca în exemplele de mai jos literalmente cu o singură linie în PowerShell. Dar, în primul rând, PowerShell este prea plictisitor și, în al doilea rând, Excel poate actualiza dinamic datele - documentele rezultate pot fi publicate online și uitate de actualizarea lor.

Pentru a lucra cu date, voi folosi mecanismul Power Query. Pentru Office 2010 și 2013 va trebui să instalați un plugin Microsoft Office 2016 are deja încorporat acest modul. Din păcate, ediția standard nu este suficientă pentru noi, vom avea nevoie de Professional.

Mecanismul în sine este conceput pentru a primi și procesa date dintr-o varietate de surse - de la ODBC vechi și fișiere text, la Exchange, Oracle și Facebook. Mai multe detalii despre mecanism și limbajul de scripting încorporat „M” au fost deja scrise pe Habré, dar voi analiza câteva exemple de utilizare a Power Query pentru a obține date din Active Directory.

Încălzire: să vedem când s-au conectat utilizatorii noștri

Solicitarea către baza de date a domeniului în sine este creată în fila „Date ― Solicitare nouă ― Din alte surse ― Din Active Directory”.

Specificați sursa de date.

Va trebui să selectați un nume de domeniu și să furnizați informațiile necesare de conectare. În continuare, vom selecta tipul de obiecte, în acest exemplu - utilizator. În partea dreaptă a ferestrei de previzualizare, interogarea rulează deja, afișând o previzualizare a datelor.

Pregătim o cerere și admirăm previzualizarea.

Ar trebui să pregătiți solicitarea în avans făcând clic pe butonul „editați” și selectând coloanele necesare. În esență, aceste coloane sunt clase Fiecare dintre ele conține un set de atribute specifice unui obiect Active Directory, cu excepția coloanei principale Numele de afișare, care în sine este un atribut. Mă voi concentra pe cursuri utilizator, persoană, topŞi securitatePrincipal. Acum trebuie să selectați atributele necesare din fiecare clasă folosind „extensia” - o pictogramă cu două săgeți la antetul coloanei:

• Clasă utilizator extinde prin alegere lastLogonTimestampŞi userAccountControl;
• V persoană hai sa alegem TelephoneNumber;
• V top ― când este creat;
• si in securitatePrincipal ― SamAccountName.

Extindem cererea.

Acum să setăm filtrul: în special, pentru a nu obține conturi blocate, trebuie ca atributul userAccountControl să aibă o valoare de 512 sau 66048. Filtrul poate fi diferit în mediul tău. Puteți citi mai multe despre atribut în documentația Microsoft.

Aplicarea unui filtru.

Uneori, Excel detectează incorect formatul datelor, în special valoarea atributului lastLogonTimestamp. Dacă o astfel de nenorocire ți se întâmplă brusc, poți seta formatul corect în fila „Convertire”.

Acum, coloana userAccountControl ar trebui ștearsă - nu este deloc necesară pe afișaj. Și faceți clic pe „Descărcați și închideți”.

Rezultatul este o farfurie care are nevoie doar de mici retușuri de finisare. De exemplu, redenumiți coloanele în ceva mai ușor de citit. Și configurați actualizarea automată a datelor.

Actualizarea automată la deschiderea unui tabel sau prin timeout este configurată în fila „Date” din „Proprietăți”.

Configurarea actualizării datelor.

După finalizarea instalării actualizării, puteți oferi în siguranță tabelul departamentului de personal sau serviciului de securitate - spuneți-i cine s-a conectat la sistem și când.

Codul de solicitare în limba „M” se află sub spoiler.

let Source = ActiveDirectory.Domains("domain.ru"), domain.ru = Source()[#"Categorii de obiecte"], user1 = domain.ru(), #"Remote Columns" = Table.RemoveColumns(user1,( „organizationalPerson”, „shadowAccount”, „posixAccount”, „msExchOmaUser”, „msExchBaseClass”, „msExchIMRecipient”, „msExchCertificateInformation”, „msExchMultiMediaUser”, „msExchMailStorage”, „msExchCustomAstinguishedme”, „distinguishedme”, „) #"Expanded element securityPrincipal" = Table.ExpandRecordColumn(#"Coloane eliminate", "securityPrincipal", ("sAMAccountName"), ("sAMAccountName")), #"Expanded element top" = Table.ExpandRecordColumn(#"Expanded element securityPrincipal ", "top", ("whenCreated"), ("whenCreated")), #"Expanded element person" = Table.ExpandRecordColumn(#"Expanded element top", "person", ("telephoneNumber"), ("telephoneNumber") ")), #"Expanded element user" = Table.ExpandRecordColumn(#"Expanded element person", "user", ("lastLogonTimestamp", "userAccountControl"), ("lastLogonTimestamp", "userAccountControl")), #"Rânduri cu filtru aplicat" = Table.SelectRows(#"Element utilizator extins", fiecare ( = 512 sau = 66048)), #"Tip modificat" = Table.TransformColumnTypes(#"Rânduri cu filtru aplicat",(("lastLogonTimestamp", type datetime))), #"Remoted columns1" = Table.RemoveColumns(#"Changed type", ("userAccountControl")) în #"Remoted columns1"

Crearea unei agende de adrese sau ce trebuie făcut atunci când portalul corporativ nu este prietenos cu AD

O altă opțiune pentru utilizarea Excel împreună cu Active Directory este crearea unei agende de adrese pe baza datelor AD. Este clar că agenda va fi actualizată doar dacă domeniul este în regulă.

Să creăm o cerere pentru un obiect utilizator, extindeți clasa utilizator V mail, și clasa persoană V TelephoneNumber. Să ștergem toate coloanele, cu excepția distinsName― structura domeniului repetă structura întreprinderii, deci numele Unități organizaționale corespund denumirilor departamentelor. În mod similar, grupurile de securitate pot fi folosite ca bază pentru numele departamentelor.

Acum de la linie CN=Nume de utilizator, OU=Departament de contabilitate, OU=Divizii, DC=domeniu, DC=ru trebuie să extrageți direct numele departamentului. Cel mai simplu mod de a face acest lucru este să utilizați delimitatorii din fila Transformare.

Extragerea textului.

Eu folosesc ca delimitatori OU=Şi ,OU=. În principiu, o virgulă este suficientă, dar o joc în siguranță.

Introduceți delimitatori.

Acum, folosind filtrul, puteți tăia inutil OU, cum ar fi utilizatorii blocați și încorporat, configurați sortarea și încărcați datele în tabel.

Vedere a tabelului rezumativ.

Raport rapid asupra compoziției posturilor de lucru, fără a introduce agenți sau alt preparat

Acum să încercăm să creăm un tabel util obținând date pe computere. Să facem un raport asupra sistemelor de operare utilizate de companie: pentru aceasta vom crea o solicitare, dar de data aceasta în navigator vom selecta calculator.

Facem o cerere pentru obiectul computer.

Să lăsăm clasele coloanei calculatorŞi topși extinde-le:

• Clasă calculator extinde prin alegere cn, sistem de operare, Operating SystemServicePackŞi OperatingSystemVersion;
• în clasă top hai sa alegem când este creat.

Cerere avansată.

Dacă doriți, puteți face un raport numai pe sistemele de operare server. De exemplu, filtrați după atributul operatingSystem sau operatingSystemVersion. Nu voi face acest lucru, dar voi corecta afișarea timpului de creație - mă interesează doar anul. Pentru a face acest lucru, în fila „Conversie”, selectați coloana de care avem nevoie și selectați „Anul” din meniul „Data”.

Extragem anul din momentul în care computerul a intrat în domeniu.

Acum tot ce rămâne este să ștergeți coloana de nume afișat ca inutilă și să încărcați rezultatul. Datele sunt gata. Acum puteți lucra cu ei ca la o masă obișnuită. Mai întâi, să creăm un tabel pivot în fila „Inserare” - „Tabel pivot”. Să fim de acord cu alegerea sursei de date și să configuram câmpurile acesteia.

Setările câmpului tabelului pivot.

Acum tot ce rămâne este să personalizați designul după gustul dvs. și să admirați rezultatul:

Tabel rezumat pentru calculatoare în AD.

Dacă doriți, puteți adăuga o diagramă rezumat, de asemenea, în fila „Inserare”. În „Categorie” (sau în „Rânduri”, după gust) adăugați sistem de operare, la date ― cn. În fila „Design”, puteți alege tipul de diagramă care vă place;

Diagramă circulară.

Acum este clar că, în ciuda actualizării în curs, numărul total de stații de lucru cu Windows XP și servere cu Windows 2003 este destul de mare. Și există ceva pentru care să lupți.

Codul de solicitare este sub spoiler.

let Source = ActiveDirectory.Domains("domain.ru"), domain.ru = Source()[#"Categorii de obiecte"], computer1 = domain.ru(), #"Remote Columns" = Table.RemoveColumns(computer1,( "user", "organizationalPerson", "persoana")), #"Other removed columns" = Table.SelectColumns(#"Remoted columns", ("displayName", "computer", "top")), #"Expanded item computer" = Table.ExpandRecordColumn(#"Alte coloane la distanță", "computer", ("cn", "operatingSystem", "operatingSystemServicePack", "operatingSystemVersion"), ("cn", "operatingSystem", "operatingSystemServicePack", " operatingSystemVersion")), #"Extended top element" = Table.ExpandRecordColumn(#"Element computer extins", "sus", ("whenCreated"), ("whenCreated")), #"Extracted year" = Table.TransformColumns( #"Expanded element top",(("whenCreated", Data.Year))), #"Remoted columns1" = Table.RemoveColumns(#"Extracted year",("displayName")) in #"Remoted columns1"

Scripturi pentru descărcarea tuturor utilizatorilor din MS Active Directory (ITGC)

Una dintre procedurile standard de audit ITGC pentru catalog Active Directory este de a obține o descărcare a tuturor utilizatorilor de domeniu. Pe baza datelor obținute se formează apoi proceduri de testare, de exemplu, studierea listei de administratori sau identificarea utilizatorilor cu o parolă expirată. Cea mai eficientă modalitate de a crea o astfel de încărcare ar fi utilizarea unei interfețe standard PowerShell , exemple din care vom lua în considerare în acest articol

Mai jos este un script PowerShell ca una dintre cele mai simple și mai rapide moduri de a obține o listă a tuturor utilizatorilor domeniului AD în format CSV, care poate fi deschisă cu ușurință în Excel.

$objSearcher = New-Object System.DirectoryServices.DirectorySearcher $objSearcher.SearchRoot = "LDAP://ou=Utilizatori,ou=Departmets,dc=test,dc=ru" $objSearcher.Filter = "(&(objectCategory=person) (!userAccountControl:1.2.840.113556.1.4.803:=2))" $users = $objSearcher.FindAll() # Număr de conturi $users.Count $users | ForEach-Object ( $user = $_.Properties New-Object PsObject -Property @( Poziție = $user.description Department = $user.department Login = $user.userprincipalname Telefon = $user.telephonenumber Room = $user.physicaldeliveryofficename Complet nume = $user.cn ) ) | Export-Csv -NoClobber -Codificare utf8 -Calea C: list_domain_users.csv

Pentru ca scriptul să funcționeze pe sistemul dvs., trebuie să îl corectați ușor, și anume să introduceți parametrii necesari, adică. ca în acest exemplu aceștia sunt parametrii Utilizatori în departament Departamente în domeniu Test.ru. Și, de asemenea, indicați calea unde este salvat fișierul list_domain_users.csv

După descărcare, dacă îl deschideți imediat list_domain_users.csv , va părea de necitit, totuși, folosind mijloace standard, îl putem aduce cu ușurință în formatul de care avem nevoie. Deschideți în Excel list_domain_users.csv , selectați prima coloană, apoi accesați fila „Date” și faceți clic pe „Text după coloane”. Selectați „delimitat” și faceți clic pe „Următorul”. Gata!

!Este necesar de remarcat că acest script nu va afișa mai mult de 1000 de utilizatori. Este destul de potrivit pentru o companie mică, dar pentru cei care au un număr mare de utilizatori în domeniul lor, ar trebui să recurgă la metodele descrise mai jos.

2. Cmdlet PowerShell avansat pentru obținerea de încărcări ale utilizatorilor Active Directory

Instrumentul Active Directory Module pentru Windows PowerShell (introdus în Windows Server 2008 R2 și versiuni ulterioare) vă permite să creați cmdlet-uri care efectuează diverse manipulări cu obiectele directorului AD. Cmdletul este utilizat pentru a obține informații despre utilizatori și proprietățile acestora Get-ADUser.

Pentru început lansați o fereastră Powershell cu drepturi de administrator și importați modulul Active Directory pentru acțiuni ulterioare:
Import-Module activedirectory

La listează toate conturile de domeniu și, să rulăm comanda:

Get-ADUser -filter *

La afișați informații complete despre toate atributele disponibile utilizator tuser, rulați comanda

Get-ADUser -identity tuser -properties *

De exemplu, ne interesează informații despre data modificării parolei și ora la care expiră . Rezultatul comenzii poate fi exportat într-un fișier text:

Get-ADUser -filter * -properties PasswordExpired, PasswordLastSet, PasswordNeverExpires | ft Nume, PasswordExpired, PasswordLastSet, PasswordNeverExpires > C:tempusers.txt

Sau imediat încărcați în CSV , care în viitor va fi convenabil de exportat în Excel (în plus, folosind sort-object vom sorta tabelul după coloana PasswordLastSet și, de asemenea, vom adăuga o condiție unde - numele de utilizator trebuie să conțină șirul „Dmitry”)

Get-ADUser -filter * -properties PasswordExpired, PasswordLastSet, PasswordNeverExpires | unde ($_.nume –cum ar fi „*Dmitry*”) | sort-object PasswordLastSet | select-object Name, PasswordExpired, PasswordLastSet, PasswordNeverExpires | Export-csv -path c:tempuser-password-expires-2015.csv

Sintaxă

ldifde [-i] [-f nume de fișier] [-s nume_server] [-c linia 1 linia 2] [-v] [-j cale] [-t port_number] [-d DN_base] [-r filtru_LDAP] [-p regiune] [-l Lista_atributelor_LDAP] [-o Lista_atributelor_LDAP] [-g] [-m] [-n] [-k] [-o ] [-b ] [-? ]

Opțiuni

-i Specifică modul de import. Dacă parametrul nu este definit, modul de export este utilizat implicit. -fnume de fișier Specifică numele fișierului de import sau export. -snume_server Specifică computerul pe care trebuie efectuată operația de import sau export. Program implicit ldifde va fi executat pe computerul pe care ldifde instalat. -clinia 1 linia 2 Înlocuiește toate aparițiile liniile 1 conţinut liniile 2. Utilizat de obicei atunci când importați date dintr-un domeniu în altul și trebuie să înlocuiți numele distinctiv al domeniului care efectuează exportul ( linia 1), import nume de domeniu ( linia 2). -v Activează modul de înregistrare detaliată. -jcale Specifică locația fișierului jurnal. Valoarea implicită este calea curentă. -tport_number Specifică numărul portului Lightweight Directory Access Protocol (LDAP). Portul LDAP implicit este 389. Portul de catalog global este 3268. -dDN_base Specifică numele distinctiv al bazei de căutare pentru exportul de date. -rfiltru LDAP Creează un filtru de căutare LDAP pentru exportul de date. De exemplu, următorul filtru exportă toți utilizatorii cu un anumit nume de mijloc: csvde -r (și (objectClass=Utilizator)(sn=Nume)) -pregiune Specifică zona de căutare. Parametrii domeniului de căutare sunt Baza, OneLevelŞi SubArborele. -lLista_atributelor_LDAP Specifică lista de atribute returnate în rezultatele cererii de export. Dacă acest parametru este omis, toate atributele sunt returnate. -oLista_atributelor_LDAP Specifică o listă de atribute de omis din rezultatele cererii de export. Această opțiune este utilizată de obicei atunci când exportați obiecte din Active Directory și apoi le importați într-un alt director compatibil LDAP. Dacă orice atribut nu este acceptat de alt catalog, ele pot fi excluse din setul de rezultate folosind această opțiune. -g Elimină căutările în pagini. -m Omite atribute care nu pot fi scrise, cum ar fi ObjectGUIDŞi objectSID. -n Omite exportul de valori binare. -k Ignoră erorile în timpul operațiunii de import și continuă procesarea. Următoarea este o listă completă a erorilor ignorate:

• obiectul este deja membru al grupului;
• o încălcare a clasei de obiect (însemnând că clasa de obiect specificată nu există) dacă obiectul importat nu are alte atribute;
• obiectul există deja;
• încălcarea restricției;
• atributul sau valoarea există deja;
• nu există un astfel de obiect.

Note

• Cu parametru -c puteți folosi constante #schemaNamingContextŞi #configurationNamingContextîn locul numelor distincte ale partiției directorului de schemă și ale partiției directorului de configurare.
• Când creați un fișier de import pentru o comandă ldifde, utilizați valoarea changeType pentru a determina tipul de modificări conținute în fișierul de import. Valori changeType sunt prezentate în tabelul de mai jos.

Exemple

Pentru a extrage numai numele distinctiv, numele comun, prenumele, prenumele și numărul de telefon al obiectelor returnate, introduceți:
-l nume_distins, CN, Nume, S.N. telefon
Pentru a exclude un identificator unic global (GUID) pentru un obiect, introduceți:
-o când_create, când_schimbat, obiect_GUID