¿Cómo obtener atributos de usuario de Active Directory? – TrucosInformaticos

Powershell

El objeto de cuenta de usuario en Active Directory contiene varias propiedades (atributos), como nombre canónico, nombre, segundo nombre, apellido, dirección de correo electrónico, número de teléfono, cargo, departamento, país, etc.

Un administrador u operador de cuenta Valores de atributo de usuario. Un objeto de usuario en Active Directory puede contener más de 250 atributos, de los cuales solo se requieren seis atributos (deben establecerse al crear una cuenta de usuario en Active Directory).

En este artículo, veremos cómo obtener el valor de los atributos de usuario en AD utilizando la consola ADUC y PowerShell.

Uso de usuarios y equipos de Active Directory (GUI)

Puede utilizar el complemento Usuarios y equipos de Active Directory (ADUC) para ver los valores de los atributos de los usuarios. Este método es conveniente cuando se visualizan los atributos de unos pocos usuarios uno por uno.

  1. En su controlador de dominio o en una computadora con RSAT instalado, ejecute el dsa.msc Comando para lanzar ADUC.
  2. Habilitar el Características avanzadas opción en el Vista menú.
    Intitulado
  3. Ubique o busque al usuario desde una unidad organizativa de AD específica o raíz de dominio. Abra las propiedades de la cuenta de usuario.
  4. Haga clic en el Editor de atributos pestaña. Verá la lista de atributos de usuario en esta pestaña, incluidos los atributos personalizados. Aquí, puede editar y copiar cada valor de atributo de usuario individualmente.
    Intitulado
  5. También puede filtrar los atributos para mostrar solo aquellos con valores. Hacer clic Filtrar → Mostrar solo los atributos que tienen valores.
    Intitulado

A pesar de lo conveniente que es ADUC, solo puede ver los atributos de un usuario a la vez. No hay visor masivo ni funcionalidad de exportación.

Uso del comando DSGET USER

DSGET es una herramienta de línea de comandos que se incluye con Windows Servers (2003+). Su propósito es mostrar objetos de Active Directory. Para mostrar atributos específicos del usuario, el comando a usar es:

dsget user <UserDN> [-attribute1] [-attribute2] ...

Puede encontrar la lista de atributos que este comando puede mostrar desde este enlace.

Por ejemplo, este comando obtiene los valores de los atributos SamAccountName, DisplayName y UserPrincipalName del usuario.

dsget user 'CN=Christopher Wilson,OU=Users,OU=California,OU=USA,DC=theitbros,DC=com' -display -samid -upn

Intitulado

El USUARIO DSGET El comando no admite comodines, por lo que solo puede ver los atributos de un usuario a la vez. Pero su argumento UserDN acepta la entrada de la tubería, lo que significa que puede pasar el nombre distinguido del usuario de la tubería como resultado de otro comando, como USUARIO DE DSQUERY.

Por ejemplo, el siguiente comando busca al usuario cwilson y pasa la salida al usuario dominio.

dsquery user -samid cwilson | dsget user -display -samid -upn -disabled -canchpwd

Intitulado

Para obtener los atributos de todos los usuarios, use este comando en su lugar.

dsquery user | dsget user -display -samid -upn -disabled -canchpwd

Intitulado

Lamentablemente, el comando DSGET USER no tiene una función de exportación a archivo integrada. Pero puede redirigir la salida al archivo utilizando los operadores de redirección estándar, como > y >>.

Consulta nuestro artículo sobre ¿Cómo importar/exportar usuarios de Active Directory con CSVDE?

Uso del cmdlet de PowerShell Get-ADUser

Puede obtener el valor del atributo de usuario de Active Directory mediante PowerShell. Para ello, puede utilizar el Obtener ADUser cmdlet del módulo PowerShell Active Directory.

  1. Primero, importe el módulo ActiveDirectory.
    Import-Module ActiveDirectory

    Para obtener información sobre una cuenta de usuario de Active Directory, ejecute el comando:

    Get-ADUser -Identity <user identity>

    Intitulado

Por defecto, el Obtener ADUser cmdlet solo enumera los atributos principales del usuario de la siguiente manera:

  • Nombre distinguido
  • Activado
  • Nombre de pila
  • Nombre
  • clase de objeto
  • GUID de objeto
  • SamAccountName
  • SamAccountName
  • S.I.D.
  • Apellido
  • UserPrincipalName

Para mostrar los valores de otros atributos de usuario, debe especificar una lista de ellos usando el -Propiedades parámetro.

Por ejemplo, desea mostrar el nombre de la empresa, el departamento, el cargo, el número de teléfono y la fecha del último cambio de contraseña del usuario en Active Directory. Ejecute el siguiente comando de PowerShell:

Get-ADUser cwilson –Properties company, department, title, telephoneNumber, PwdLastSet

Intitulado

Tenga en cuenta que la lista de propiedades, además de los atributos principales, muestra nuevos atributos de usuario. Puede mostrar solo los atributos que desee y también transformar el valor de algunos atributos con Seleccionar objeto:

Get-ADUser cwilson -Properties company, department, title, telephoneNumber, PwdLastSet | 
Select-Object SamAccountName, Name, company, department, title, telephoneNumber,
@{Name="PwdLastSet"; Expression = { [DateTime]::FromFileTime($_.PwdLastSet) } }

Intitulado

En este ejemplo, usamos una transformación personalizada para el atributo PwdLastSet. Se almacena en Active Directory en el formato de hora de Windows NT, y para convertirlo a un formato de hora legible por humanos, usamos el Expresión construir.

Para mostrar todos los atributos de usuario en Active Directory, debe especificar un asterisco (*) en el parámetro Propiedades:

Get-ADUser cwilson -Properties *

https://theitbros.com/wp-content/uploads/2022/03/word-image-11.png

Con Obtener ADUser, puede buscar usuarios con valores de atributos específicos en Active Directory. Por ejemplo, el siguiente comando mostrará una lista de todas las cuentas de usuario habilitadas cuyo nombre es Cristóbal:

Get-ADUser -Filter {( Name -like "*Christopher*") -and (Enabled -eq "true")} -Properties *

Y dado que está trabajando en PowerShell, puede exportar los resultados a un archivo CSV, JSON, XML, HTML y TEXT.

Conclusión

La visualización y exportación de atributos de usuario en Active Directory es habitual en la rutina diaria de un administrador. Saber qué herramientas usar para el propósito correcto, o tal vez una combinación de dos o más, puede mejorar significativamente una tarea aparentemente mundana.

Hay una lista interminable de herramientas para lograr el mismo resultado, pero en esta publicación solo cubrimos las herramientas nativas para obtener atributos de usuario de Active Directory. CUAL es tu favoritO?

4/5 - (146 votos)

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *