" title="IT技术博客 - 云计算大数据-技术分享


0

查询AD组的成员信息并导出

编辑:./ 栏目:Windows系统 /发布于:2021年-6月-28日

1、如果一个AD组确认用户没有超过5000人,在安装了AD管理工具的客户端(或者直接在AD域控制器)上,使用Powershell来查询,
Get-ADGroupMember  "组名称" | Export-Csv D:\Groups_member_list.csv -Encoding UTF8

以上之所以强调是小于5000人的组,原因是:
The number of objects that Get-ADGroupMember can return is restricted by a limit in the ADWS (Active Directory Web Services):
MaxGroupOrMemberEntries:5000
Specifies the maximum number of group members (recursive or non-recursive), group memberships, and authorization groups that can be retrieved by the Active Directory module Get-ADGroupMember, Get-ADPrincipalGroupMembership, and Get-ADAccountAuthorizationGroup cmdlets. Set this parameter to a higher value if you anticipate these cmdlets to return more than 5000 results in your environment.
当然这个可以修改,但是不建议这么做。

2、安装一个LDAP的查询工具,连接到DC,使用对应的LDAP语法进行查询和导出
2.1、MmemberOf(在AD中)被存储为distinguishedNames的列表。所以需要先超出要查询的组在AD中的具体位置信息,如下面这样的格式:
MemberOf=CN=GroupName,OU=OuName,DC=subdomain,DC=com,DC=cn
2.2、使用LDAP查询语句
(& (objectCategory=user) (MemberOf=CN=GroupName,OU=OuName,DC=subdomain,DC=com,DC=cn))

3、在安装了AD管理工具的客户端(或者直接在AD域控制器)上,使用略微复杂(效率也比较低)的Powershell语句查询并导出到CSV

Get-ADGroup GroupName -Properties Member | Select-Object -Expand Member | Get-ADUser -Properties * | select Name,SamAccountName,Displayname,mail | Export-Csv D:\GroupName.csv -Encoding UTF8




扩展:
导出没有启用的用户:
Get-ADUser -Filter {Enabled -eq "True"} -Properties * | select Name,SamAccountName,Displayname,UserPrincipalName,Surname,GivenName



导出禁用的AD用户,并且以日期为准进行排序

Get-ADUser -Filter {Enabled -eq "false"} -Properties * | select DisplayName,UserPrincipalName,LastLogonDate | sort LastLogonDate -Descending | Export-Csv d:\DisableUser.csv -Encoding utf8


本文由“IT技术博客 - 云计算大数据-技术分享 > .”整理编辑。


未注明为原创的文章以及每篇文章的评论内容都不代表本站观点,本站不对此内容的真实性及言论负责。如您发表评论意见,视为同意本站记录言论您的来源IP地址信息及发表时间。

如果喜欢这篇文章,欢迎订阅IT技术博客 - 云计算大数据-技术分享以获得最新内容。

已经有 0 条群众意见