Obiekt konta użytkownika w usłudze Active Directory zawiera kilka właściwości (atrybutów), takich jak nazwa kanoniczna, imię, drugie imię, nazwisko, adres e-mail, numer telefonu, stanowisko, dział, kraj itp. Wartości atrybutów użytkownika mogą być ustawiony przez administratora lub operatora konta. Obiekt użytkownika w usłudze Active Directory może zawierać ponad 250 atrybutów, z których wymaganych jest tylko sześć (należy je ustawić podczas tworzenia konta użytkownika w usłudze Active Directory). W tym artykule przyjrzymy się, jak uzyskać wartość atrybutów użytkownika w AD za pomocą konsoli ADUC i przy użyciu PowerShell.

Atrybuty konta użytkownika GUI

Uruchom konsolę Active Directory Users and Computers i włącz opcję Zaawansowane funkcje (Advanced Features) w menu Widok.

Rozwiń jednostkę organizacyjną z użytkownikami i otwórz właściwości konta użytkownika.

Przejdź do zakładki Edytor atrybutów (Attribute Editor).

Zobaczysz listę wartości atrybutów użytkownika (w tym niestandardowych atrybutów AD). Tutaj możesz skopiować lub edytować wartość dowolnego atrybutu.

Za pomocą przycisku Filtr (Filter) możesz ustawić, czy mają być wyświetlane wszystkie atrybuty, czy tylko te wypełnione.

Atrybuty konta użytkownika PowerShell

Uruchom PowerShell’a, aby wykonać poniższe polecenia:

Aby uzyskać informacje o koncie użytkownika usługi Active Directory, uruchom polecenie:

Domyślnie polecenie cmdlet Get-ADUser wyświetla tylko podstawowe atrybuty użytkownika:

• DistinguishedName.
• GivenName.
• Name.
• Surname.
• UserPrinc.
• ObjectClass.
• ObjectGUID.
• SamAccountName.
• SID.
• UserPrincipalName.
• Enabled.

Aby wyświetlić wartości innych atrybutów użytkownika, należy określić ich listę za pomocą parametru -Attributes. Na przykład chcesz wyświetlić nazwę firmy użytkownika, dział, stanowisko, numer telefonu i datę ostatniej zmiany hasła w usłudze Active Directory. Uruchom następujące polecenie PowerShell:

Należy pamiętać, że oprócz głównych atrybutów na liście właściwości wyświetlane są nowe atrybuty użytkownika. Możesz pokazać tylko żądane atrybuty, a także przekształcić wartość niektórych atrybutów za pomocą Select-Object:

W tym przykładzie używamy niestandardowej transformacji dla atrybutu PwdLastSet. Jest on przechowywany w usłudze Active Directory jako format czasu systemu Windows NT, a do jego konwersji na format czasu czytelny dla człowieka używamy konstrukcji Expression.

Aby wyświetlić wszystkie atrybuty użytkownika w usłudze Active Directory, należy określić gwiazdkę (*) w parametrze Właściwości (Properties):

Dzięki Get-ADUser możesz wyszukiwać użytkowników z określonymi wartościami atrybutów w Active Directory. Na przykład następujące polecenie wyświetli listę wszystkich włączonych kont użytkowników o imieniu John:

Podsumowanie

Atrybuty konta użytkownika Active Directory dają możliwość wyciśnięcia wielu informacji, które opisują bardzo dokładnie każdego użytkownika, który jest dostępny w bazie Active Directory.

---

Dziękuję Ci, za poświęcony czas na przeczytanie tego artykułu. Jeśli był on dla Ciebie przydatny, to gorąco zachęcam Cię do zapisania się na mój newsletter, jeżeli jeszcze Cię tam nie ma. Proszę Cię także o “polubienie” mojego bloga na Facebooku oraz kanału na YouTube – pomoże mi to dotrzeć do nowych odbiorców. Raz w tygodniu (niedziela punkt 17.00) otrzymasz powiadomienia o nowych artykułach / projektach zanim staną się publiczne. Możesz również pozostawić całkowicie anonimowy pomysł na wpis/nagranie.

Link do formularza tutaj: https://beitadmin.pl/pomysly

Pozostaw również komentarz lub napisz do mnie wiadomość odpisuję na każdą, jeżeli Masz jakieś pytania:).