Sind Sie es leid, Active Directory (AD) Benutzer und Computer (ADUC) zu öffnen, herumzuklicken, Tippfehler zu machen und den Vorgang der Erstellung eines neuen Benutzerkontos zum sechsten Mal heute durchzuführen? Wenn ja, müssen Sie den alltäglichen Prozess der Verwendung von Active Directory zum Hinzufügen eines Benutzers mit PowerShell mithilfe des New-ADUser-Cmdlets automatisieren!
Es ist Freitagabend und eine Stunde bevor Sie planen, zum Wochenende nach Hause zu gehen. Es war eine arbeitsreiche Woche, also haben Sie beschlossen, Pläne zu machen, um das große Spiel mit Ihren engsten Freunden anzuschauen. Aber Ihr Chef kommt lässig vorbei und fragt: „Hast du die E-Mail bekommen? Kannst du das bis zum Ende des Tages erledigen?“ Sie öffnen schnell Microsoft Outlook und tatsächlich ist es eine E-Mail von der Personalabteilung, bei der Sie von Ihrem Manager in CC gesetzt wurden, die Sie bittet, 400 neue Mitarbeiter-Benutzerkonten im Active Directory (AD) zu erstellen, bevor Sie das Büro verlassen. Toll. Da geht das Spiel.
Sie suchen schnell im Internet nach Möglichkeiten, um die Erstellung dieser Benutzerkonten zu beschleunigen, und entdecken, dass Sie die AD-Kontoerstellung mithilfe der Befehlszeile und eines PowerShell-Cmdlets namens New-ADUser automatisieren können.
Normalerweise erstellen Administratoren AD-Konten manuell, indem sie das Active Directory Benutzer und Computer MMC-Snap-In verwenden, das auf Ihrem Desktop-Computer über Remote Server Administration Tools (RSAT) installiert ist. Das Erstellen eines AD-Benutzers auf diese Weise dauert im Durchschnitt drei Minuten pro Benutzerkonto. Das Erstellen von AD-Benutzerkonten ist keine glamouröse Aufgabe und eignet sich gut für die Automatisierung.
Es gibt drei gängige Möglichkeiten, wie Administratoren AD-Benutzerkonten mit dem New-ADUser-Cmdlet erstellen.
- Fügen Sie ein Active Directory-Benutzerkonto unter Verwendung der erforderlichen und zusätzlichen Cmdlet-Parameter hinzu.
- Kopieren Sie ein vorhandenes AD-Benutzerobjekt, um ein neues Konto unter Verwendung des Parameters
Instancezu erstellen. - Kombinieren Sie das Cmdlet
Import-Csvmit dem CmdletNew-ADUser, um mehrere Active Directory-Benutzerobjekte mithilfe einer durch Kommas getrennten Wert (CSV)-Datei zu erstellen.
Diese Verfahren können manchmal kombiniert werden, um eine effizientere Lösung zu erstellen. Sie können beispielsweise alle drei Optionen verwenden, um ein Vorlagen-AD-Konto zu erstellen, das mithilfe einer CSV-Datei kopiert werden kann, um mehrere neue AD-Konten zu generieren.
In diesem Artikel erfahren Sie, wie Sie New-AdUser verwenden und dabei von jeder dieser Methoden profitieren können.
Verwalten und Berichten Sie über Active Directory, Exchange und Microsoft 365 mit ManageEngine ADManager Plus. Holen Sie sich die kostenlose Testversion!
Voraussetzungen/Anforderungen
Bevor Sie mit dem Cmdlet New-AdUser beginnen können, müssen Sie zunächst sicherstellen, dass Sie einige Voraussetzungen erfüllen.
- Windows PowerShell 5.1
- Das Remote Server Administration Tools (RSAT)-Paket ist installiert. Dieses Paket installiert das Active Directory PowerShell-Modul, das den
New-AdUser-Befehl enthält - Sie sind auf einem Windows-Computer angemeldet, der sich in der gleichen Domäne wie die Benutzerkonten befindet, die Sie erstellen möchten
- Sie sind als AD-Benutzerkonto angemeldet und haben Berechtigungen zum Erstellen neuer Benutzerkonten
Sobald Sie diese Voraussetzungen erfüllen, können Sie loslegen!
Erstellen eines einzelnen Benutzerkontos mit dem New-ADUser-Befehl
Beginnen wir damit, ein einzelnes Benutzerkonto zu erstellen, um zu demonstrieren, wie New-ADUser auf einer grundlegenden Ebene funktioniert. Sie werden feststellen, dass New-ADUser nicht viele obligatorische Parameter hat. Tatsächlich ist der einzige obligatorische Parameter der Name-Parameter, der jedoch selten alleine verwendet wird.
Normalerweise verwenden Sie viele verschiedene Parameter, um ein Benutzerkonto zu erstellen. Glücklicherweise sind die meisten Parameter selbsterklärend und entsprechen dem, was Sie in ADUC sehen. Sie können im folgenden Beispiel sehen, dass Sie problemlos viele Parameter verwenden können. Jeder Parameter korreliert ungefähr mit einem einzelnen Benutzerkontenattribut.
Beachten Sie, dass wir im Beispiel Backticks verwenden. Dies dient nur der Lesbarkeit, um eine lange einzelne Zeile zu verhindern.
Die Organisationseinheit (OU), in der sich das AD-Benutzerobjekt befindet, darf keinen doppelten SamAccountName haben.
Jetzt, da das Konto erstellt ist, bestätigen Sie, dass das Konto mit dem Get-ADUser-Befehl erstellt wurde. Unten sehen Sie, dass Get-AdUser einige gängige Attribute für das gerade erstellte Benutzerkonto zurückgibt.
Kopieren eines vorhandenen AD-Benutzerobjekts
Eine weitere Methode zur Kontoerstellung besteht darin, ein vorhandenes AD-Benutzerobjekt zu kopieren und es als Vorlage für ein neues AD-Konto zu verwenden. Dieser Ansatz bietet mehrere Vorteile:
- Er spart Zeit, da nicht jedes Parameter einzeln angegeben werden muss
- Er hilft bei der Standardisierung der AD-Kontoerstellung
- Er verhindert menschliche Fehler, die durch manuelle Kontoerstellung verursacht werden, und ermöglicht es Mitarbeitern im selben Team, dieselben benutzerdefinierten AD-Attribute zu haben
In diesem Beispiel verwenden Sie das gerade erstellte Konto als Vorlage (kesapp-test). Vielleicht müssen Sie ein neues Benutzerkonto mit denselben Bundesland-, Ort-, Abteilung-, Land– und Stadt-AD-Attributen erstellen. Dieses neue Konto wird für den Mitarbeiter James Brown sein.
Beachten Sie, dass es bei diesem Ansatz eine Einschränkung gibt und nur die folgenden AD-Kontoeigenschaften, die in dem unten stehenden Link aufgeführt sind, mit diesem Vorgang kopiert werden können. Weitere Informationen finden Sie auf der Seite „Benutzereigenschaften kopieren“ von Microsoft Docs.
Der erste Schritt besteht darin, das AD-Benutzerkonto zu finden, das als Vorlage verwendet wird, und sicherzustellen, dass alle zu kopierenden Attribute über den Properties-Parameter bereitgestellt werden. Verwenden Sie dazu das Get-ADUser-Cmdlet wie unten gezeigt. Dadurch wird das AD-Benutzerobjekt einfach in der Variablen $template_account gespeichert.
Beachten Sie, dass die zweite Zeile die Eigenschaft UserPrincipalName (UPN) des Vorlagenobjekts auf $null setzt. Dies wird empfohlen, um sicherzustellen, dass der UPN der Vorlage eindeutig ist. Jedes AD-Benutzerkonto muss einen eindeutigen UPN haben.
Wenn Sie das Vorlagenbenutzerkonto erfasst haben, können Sie dieses Objekt als Wert für den Instance-Parameter verwenden und beliebige benutzerspezifische Parameter angeben, um die anderen Attribute auszufüllen, wie unten gezeigt.
Sie sollten jetzt ein Konto für James haben, bei dem alle zulässigen AD-Attribute vom Vorlagenobjekt übernommen wurden.
Probleme mit Vorlagen für Benutzerkonten
Ein häufiger Fehler bei diesem Ansatz besteht darin, den Platzhalter * für den Properties-Parameter beim Erfassen des Vorlagenobjekts zu verwenden. Administratoren tun dies, weil sie alle Benutzerkontoeigenschaften auf einmal kopieren möchten. Aber das funktioniert nicht.
Beispielsweise führt der folgende Befehl zu einem Fehler:
Das Problem bei diesem Ansatz besteht darin, dass das Attribut UserPrincipalName eindeutig über den AD Forest sein muss. Daher sollte der UPN im New-ADUser-Befehl überschrieben oder in der Vorlagenvariable auf null gesetzt werden (wie unten dargestellt).
Ein weiterer Grund, warum der Wildcard-Ansatz scheitert, ist, dass einige der vom Wildcard kopierten AD-Eigenschaften schreibgeschützt sind (im Besitz des Security Account Managers).
Erstellen neuer Benutzerkonten mit einer CSV-Datei
Um das Gelernte einen Schritt weiter zu gehen, können Mitarbeiterkonten aus einer CSV-Datei gelesen und mit New-ADUser AD-Benutzerkonten erstellt werden.
Diese Lösung wird oft von vielen Organisationen verwendet, um die Kontenerstellung in Verbindung mit HR-Systemen zu automatisieren, die Flatfiles mit Informationen zur Einstellung neuer Mitarbeiter erstellen.
Angenommen, Ihnen wurde eine Liste neuer Mitarbeiter in einer CSV-Datei zugesandt. Jede Zeile in der CSV-Datei stellt einen einzelnen Mitarbeiter dar und enthält die folgenden Spalten: Vorname, Nachname, Abteilung, Bundesland, Mitarbeiter-ID und Büro. Die Namenskonvention für den Benutzeranmeldeaccount ist der erste Buchstabe des Vornamens des Mitarbeiters, gefolgt vom Nachnamen, wie z.B. ksapp für den Mitarbeiter Kevin Sapp.
Sobald Sie die CSV-Datei haben, verwenden Sie Import-Csv, um die CSV-Datei zu lesen und jede Zeile als einzelnes Objekt zu erfassen. Durchlaufen Sie dann jede dieser Zeilen und übergeben Sie die entsprechenden Felder in der CSV-Datei an die erwarteten Parameter von New-ADUser. Ein Beispiel dafür finden Sie unten.
Verwalten und Berichten Sie über Active Directory, Exchange und Microsoft 365 mit ManageEngine ADManager Plus. Laden Sie die kostenlose Testversion herunter!
Zusammenfassung
In diesem Beitrag haben Sie gelernt, wie Sie neue Benutzerkonten mit drei verschiedenen Methoden erstellen können:
- Erstellung eines einzelnen Kontos
- Kopieren eines Benutzerkontos aus einer Vorlage
- Erstellen mehrerer Konten mithilfe einer CSV-Datei
Dies sind grundlegende Methoden zur Bereitstellung neuer Benutzer in Ihrer Umgebung. Diese Methoden funktionieren gut, wenn sie zusammengefasst werden, indem Sie eine PowerShell-Funktion und ein Modul erstellen. Sie können sogar noch weiter gehen und Ihren eigenen Automatisierungsprozess erstellen, indem Sie eine SQL- oder Oracle-Datenbank als Quelle verwenden (anstelle einer CSV-Datei). Nutzen Sie jede Methode nach Ihren individuellen Anforderungen und Anwendungsfällen.
Hoffentlich wird Ihnen diese Information in einer Notlage helfen! Sie haben eine neue Fähigkeit erlernt und konnten es trotzdem zur Party mit Ihren Freunden schaffen, ohne Ihr Gleichgewicht zwischen Arbeit und Privatleben zu opfern!