AD: Active Directory Daten auslesen

 

Mit Windows PowerShell Active Directory Objekte auslesen.

AD-Objekte: Users / Gruppen und Computer

User auslesen

alle nicht deaktiverten DomÀnen-User auslesen und nur den Namen anzeigen:

get-aduser -ldapfilter "(&(&(objectCategory=user)(userAccountControl=512)))" | where-object -property enabled -eq true | fl name

userAccountControl=512 heißt "NORMAL_ACCOUNT", siehe:  https://support.microsoft.com/en-us/help/305144/how-to-use-useraccountcontrol-to-manipulate-user-account-properties

Gruppen auslesen

Get-ADGroup -Filter "GroupScope -eq 'Global' -and GroupCategory -eq 'Security'"

verschachtelte AD-Gruppen-Mitgliedschaften (nested)

gallery.technet.microsoft.com

Get-ADNestedGroupMembers "GroupName"

Computer auslesen

Get-ADComputer -filter 'name -like "*"' -Properties * | select name,OperatingSystem,IPv4Address

Suche mit einem Filter:

Get-ADComputer -filter 'name -like "*SEARCHSTRING*"' -Properties * | select name,OperatingSystem,IPv4Address

Username zu SID

(New-Object System.Security.Principal.NTAccount($(read-host -prompt "Username"))).Translate([System.Security.Principal.SecurityIdentifier]).value

OU Berechtigungen auslesen / Delegation

Auf der Suche nach einem Tool um alle OU-Berechtigungen auszuwerten, bin ich auf ein Script in der Technet-Gallery gestoßen: gallery.technet.microsoft.com 

auf eine andere DomÀne verbinden (Trust)

als kleine ErgÀnzung zu dem Technet-Gallery Beispiel:

FĂŒr das Verbinden auf eine andere DomĂ€ne kann bei den Befehlen jeweils -Server ein bestimmter DomĂ€nen-Controller verwendet werden:

$OUs = Get-ADObject -SearchBase (Get-ADRootDSE).schemaNamingContext -LDAPFilter '(schemaIDGUID=*)' -server $FQDN_DC_ServerName -Properties name, schemaIDGUID 

Damit Get-ACL auf eine andere DomÀne angewandt wird, kann die DomÀne wie folgt mittels New-PSDrive verbunden werden:

New-PSDrive -Name AD2 -PSProvider ActiveDirectory -Server $FQDN_DC_ServerName -root "//RootDSE/"

...
ForEach ($OU in $OUs) {
$report += Get-Acl -Path "AD2:\$OU"

AD und DNS

DNS Zonen

Get-DnsServerZone -ComputerName DOMAINCONTROLLERNAME

alle Domain-Controller anzeigen:

(Get-ADForest).Domains | %{ Get-ADDomainController -Filter * -Server $_ }

um das Ergebnis in eine CSV-Datei zu schreiben, kann der Befehl wie folgt erweitert werden:

(Get-ADForest).Domains | %{ Get-ADDomainController -Filter * -Server $_ } | Export-csv c:\temp\allDCs.csv -delimiter ";" -NoTypeInformation

Subnets in Sites and Services

Get-ADReplicationSubnet -filter * -Properties * | Select Name, Site, Location, Description | export-csv -Delimiter ";" -Path c:\temp\subnets.csv -NoTypeInformation

Exchange Version

Get-ADObject "CN=ms-Exch-Schema-Version-Pt,$((Get-ADRootDSE).schemaNamingContext)" -Property Rangeupper

Hier die zugehörige Versions-Tabelle: https://eightwone.com/references/schema-versions/ oder https://adsecurity.org/?page_id=195

positive Bewertung({{pro_count}})
Beitrag bewerten:
{{percentage}} % positiv
negative Bewertung({{con_count}})

DANKE fĂŒr deine Bewertung!

Aktualisiert: 11.09.2020 von Bernhard | Translation English |🔔 | Kommentare:1

➚ Ping Computers or Websites Latency | ➊ PowerShell Beispiele | Mit PowerShell Filesystem-Rechte setzen: ACL ➚

Top-Artikel in diesem Bereich


PowerShell: Dateiattribute: Datum Àndern - ganz ohne Tools

Als Alternative zu speziellen Programmen kann auch mit PowerShell das Datum einer Datei oder eines Ordners geÀndert werden. 


PowerShell: Bildschirmschoner verhindern: Maus regelmĂ€ĂŸig bewegen

Wer die Einstellungen fĂŒr die Bildschirmsperre nicht Ă€ndern kann, kann alternativ regelmĂ€ĂŸig die Maus bewegen, oder die Maus von einem Script bewegen lassen. UrsprĂŒnglich als AutoIt-Script veröffentlicht, habe ich das Script mit ein paar PowerShell-Zeilen nachgebaut. Wer die folgenden Befehle in eine PowerShell-Sitzung kopiert, verhindert, dass sich der Computer sperrt:


PowerShell Email versenden: Send-MailMessage

In PowerShell kann ĂŒber einen einfachen Befehl eine Email versendet werden: "Send-MailMessage". Mit dem Befehl kann das Versenden von Mails außerhalb der Applikation rein mit PowerShell getestet werden:

Fragen / Kommentare


(sortiert nach Bewertung / Datum) [alle Kommentare(neueste zuerst)]

✍anonym
14.07.2020 06:32
FĂŒr all jene Leser, die wie ich keine Administratoren sind und sich wundern, wieso get-aduser auf ihrem Windows 10 nicht vorhanden ist: Das Tool muss erst aktiviert werden, so wie im folgenden Microsoft-Artikel beschrieben.
https://support.microsoft.com/en-us/help/2693643/remote-server-administration-tools-rsat-for-windows-operating-systems