אוטומציה של יצירת משתמש ב-Active Directory עם New-ADUser

מדריכים
PowerShell

האם אתה עייף מפתיחת Active Directory (AD) Users and Computers (ADUC), ללחיצה כאן ושם, עשיית שגיאות ועבודה מחדש על יצירת חשבון משתמש חדש לשישית פעם היום? אם כן, ייתכן ותרצה לאוטומטזיה של התהליך הנפוץ ביותר של שימוש ב-Active Directory להוספת משתמש באמצעות PowerShell באמצעות הפקודה New-ADUser!

הוא יום שישי ערב ושעה לפני שתעזוב הביתה לסופש. השבוע היה עמוס, ולכן החלטת לתכנן לצפות במשחק הגדול עם החברים הקרובים ביותר שלך. אך, המנהל שלך מגיע אליך בצורה מקלה ושואל, "האם קיבלת את האימייל? האם אתה יכול לטפל בזה עד סוף היום?" אתה מפעיל מהר את Microsoft Outlook ובוודאי שם נמצא האימייל ממחלקת המשאבי אנוש, עם העתק אליך על ידי המנהל שלך, המבקש ממך לספק 400 חשבונות עובד חדשים ב-Active Directory (AD) לפני שתעזוב את המשרד. מעולה. המשחק הולך לך לאיבוד.

אתה מחפש במהירות באינטרנט אפשרויות להאצת יצירת חשבונות המשתמשים הללו ומגלה שאתה יכול לאוטומטזיה של הפקודה להקצאת חשבונות AD באמצעות שורת הפקודה ופקודת הפאוורשל New-ADUser.

לרוב, מנהלים יוצרים ידנית חשבונות AD באמצעות Active Directory Users and Computers MMC snap-in מותקן על מחשב השולחן שלך באמצעות Remote Server Administration Tools (RSAT). אך יצירת משתמש AD בדרך זו לוקחת, בממוצע, שלוש דקות לחשבון משתמש. יצירת חשבונות משתמש AD אינה משימה מפוארת ומתאימה לאוטומציה.

קיימות שלוש דרכים נפוצות למנהלים ליצירת חשבונות משתמש AD באמצעות הפקודה New-AdUser.

  1. הוסף חשבון משתמש ל Active Directory באמצעות הפקודות cmdlet הדרושות והפרמטרים הנוספים.
  2. העתק את אובייקט המשתמש ב-AD הקיים כדי ליצור חשבון חדש באמצעות פרמטר ה-Instance.
  3. התאם את הפקודה Import-Csv עם הפקודה New-ADUser כדי ליצור מספר אובייקטים של משתמשי Active Directory באמצעות קובץ ערכים מופרדים בפסיקים (CSV).

לפעמים ניתן לשלב את השיטות הללו יחד כדי ליצור פתרון יעיל יותר. לדוגמה, ניתן להשתמש בכל שלוש האפשרויות כדי ליצור חשבון AD תבנית שיתמקם באמצעות קובץ CSV ליצירת מספר חשבונות AD חדשים.

במאמר זה, תלמד כיצד להשתמש ב-New-AdUser תוך ניצול כל אחת מהשיטות אלו.

ניהול ודיוח של Active Directory, Exchange ו-Microsoft 365 עם ManageEngine ADManager Plus. הורד גרסה חינמית!

דרישות רצויות/תנאי מערכת

לפני שתתחיל להשתמש בפקודה New-AdUser, עליך לוודא שאתה עומד בכמה דרישות רצויות.

  • Windows PowerShell 5.1
  • החבילה כלי ניהול מרחוק של שרת (RSAT) מותקנת. חבילה זו מתקינה את מודול ה-PowerShell של שירותי ספרות הרשות הפעילה המכיל את ה-New-AdUser cmdlet
  • מחובר למחשב ב-Windows בתחום כזה של החשבונות שאתה רוצה ליצור
  • מחובר כמחשב משתמש AD עם הרשאה ליצירת חשבונות משתמש חדשים

פעם שאתה עומד בדרישות אלו, אתה יכול להתחיל!

יצירת חשבון משתמש יחיד באמצעות פקודת New-ADUser

בואו ניצור תחילה חשבון משתמש יחיד כדי להדגיש כיצד New-ADUser פועלת ברמה בסיסית. תגלו של- New-ADUser אין הרבה פרמטרים חובתיים. למעשה, הפרמטר החובתי היחיד הוא ה-Name אך נדיר מאוד להשתמש בו לבד.

בדרך כלל, יש לך צורך בשימוש בהרבה פרמטרים שונים כדי ליצור חשבון משתמש. למזלך, רוב הפרמטרים הם ברורים מאליהם ומתאימים היטב למה שאתה רואה ב-ADUC. כמו שאתה רואה בדוגמה למטה, אתה יכול להשתמש בקלטים אחרים בקלות. כל פרמטר קשור בערך יחיד בחשבון משתמש

שים לב שאנו משתמשים ב- backticks בדוגמה. זה רק כדי למנוע שורה ארוכה בלתי נקראת.

PS51> New-ADUser `
    -Name "Kevin Sapp" `
    -GivenName "Kevin" `
    -Surname "Sapp" `
    -SamAccountName "kesapp-test" `
    -AccountPassword (Read-Host -AsSecureString "Input User Password") `
    -ChangePasswordAtLogon $True `
    -Company "Code Duet" `
    -Title "CEO" `
    -State "California" `
    -City "San Francisco" `
    -Description "Test Account Creation" `
    -EmployeeNumber "45" `
    -Department "Engineering" `
    -DisplayName "Kevin Sapp (Test)" `
    -Country "us" `
    -PostalCode "940001" `
    -Enabled $True

היחידה הארגונית (OU) שבה נמצא עצם משתמש AD לא יכולה לכלול שם חשבון כפול של SamAccountName.

עכשיו שהחשבון נוצר, אשרד את החשבון שנוצר באמצעות ה- Get-ADUser cmdlet. למטה תוכל לראות שה- Get-AdUser מחזיר כמה מאפיינים נפוצים עבור החשבון המשתמש שנוצר כעת. 

PS51> Get-ADUser -Identity kesapp-test -Properties State,Department,Country,City

DistinguishedName : CN=Kevin Sapp,CN=Users,DC=mylab,DC=local
Enabled           : True
GivenName         : Kevin
Name              : Kevin Sapp
ObjectClass       : user
ObjectGUID        : 3b18338d-b3c7-4d00-a54a-1d3121e1363f
SamAccountName    : kesapp-test
SID               : S-1-5-21-1181311581-1397355964-1468337501-1109
Surname           : Sapp
UserPrincipalName : kesapp-test@mylab.local

העתקת אובייקט משתמש קיים ב-AD

שיטה נוספת ליצירת חשבון היא להעתיק אובייקט משתמש קיים ב-AD ולהשתמש בו כתבנית עבור חשבון AD חדש. ישנם מספר יתרונות לשיטה זו:

  • זה חוסך את הזמן שנדרש לציין כל פרמטר בנפרד
  • זה עוזר לתקן את יצירת חשבונות ה-AD
  • זה מונע שגיאות אנוש שנגרמות על ידי יצירת חשבון ידנית ומאפשר לעובדים באותה צוות לקבל את אותם מאפיינים מותאמים אישית ב-AD

לדוגמה, תשתמש בחשבון שנוצר כתבנית (kesapp-test). אולי תצטרך ליצור חשבון משתמש חדש עם אותם מאפייני מדינה, מיקום, מחלקה, מדינה ו- עיר ב-AD. החשבון החדש יהיה עבור העובד ג'יימס בראון.

שים לב שיש הגבלה עם השיטה הזו ורק המאפיינים הבאים של חשבון AD מופיעים בקישור למטה יכולים להיות מועתקים עם התהליך הזה. למידע נוסף, ראה את עמוד התיעוד של מיקרוסופט "להעתיק את מאפייני המשתמש".

השלב הראשון הוא למצוא את חשבון המשתמש AD שישמש כתבנית ולוודא שכל המאפיינים שיש להעתיק נמצאים באמצעות הפרמטר Properties. על מנת לעשות זאת, יש להשתמש בפקודת Get-ADUser כפי שמוצג למטה. פשוט זה שומר את אובייקט המשתמש AD במשתנה $template_account.

שים לב שהשורה השנייה מגדירה את מאפיין ה־UserPrincipalName (UPN) של עצם התבנית ל־$null. זה מומלץ כדי לוודא שה־UPN של התבנית הוא ייחודי. לכל חשבון משתמש AD חייב להיות UPN ייחודי. 

$template_account = Get-ADUser -Identity kesapp-test -Properties State,Department,Country,City
$template_account.UserPrincipalName = $null

לאחר שקיבלת את חשבון המשתמש התבנית, ניתן להשתמש באובייקט זה כערך עבור הפרמטר Instance ולספק פרמטרים מסוימים למשתמש על מנת למלא באופן עצמאי את שאר המאפיינים, כפי שמוצג למטה. 

New-ADUser `
    -Instance $template_account `
    -Name 'James Brown' `
    -SamAccountName 'jbrown' `
    -AccountPassword (Read-Host -AsSecureString "Input User Password") `
    -Enabled $True

עכשיו צריך להיות לך חשבון עבור ג'יימס עם כל ה־מאפיינים המותרים של AD שהובאו על ידי עצם התבנית.

תקלות של תבנית חשבון משתמש

אחד הטעויות הנפוצות ביותר בגישה זו היא להשתמש בסמל ה- * כפרמטר ל־Properties בעת לכידת אובייקט התבנית. מנהלים עושים זאת מכיוון שהם רוצים להעתיק את כל מאפייני חשבון המשתמש בבת אחת. אך זה לא עובד.

לדוגמה, הפקודה למטה תזרוק שגיאה:

$template_account = Get-ADUser -Identity kesapp-test -Properties *
New-ADUser `
    -Instance $template_account `
    -Name 'James Brown' `
    -SamAccountName 'jbrown' `
    -UserPrincipalName '[email protected]' `
    -AccountPassword (Read-Host -AsSecureString "Input User Password") `
    -Enabled $True

הבעיה עם הגישה הזו היא שהמאפיין UserPrincipalName צריך להיות ייחודי בכל היעדים ב- AD Forest. לכן, עליך לדרוס את ה- UPN בפקודת New-ADUser או להגדיר אותו כ- null במשתנה התבנית (המוצג למטה).

$template_account.UserPrincipalName = $null

סיבה נוספת שהגישה באמצעות תו כוכב נכשלת היא שחלק ממאפייני ה-AD שמועתקים על ידי התו הכוכב הם קריאים בלבד (בבעלותו של מנהל החשבונות האבטחתי).

Permission error when copying AD objects

יצירת חשבונות משתמש חדשים עם קובץ CSV

הכלל הבא הוא לקרוא חשבונות של עובדים מקובץ CSV ולהשתמש ב- New-ADUser כדי ליצור חשבונות משתמש ב- AD.

פתרון זה נהג להיות בשימוש רב של ארגונים רבים כדי לאוטומטז יצירת חשבון בשילוב עם מערכות משאבי אנוש שיוצרות קבצים שטוחים עם מידע על השכרת עובדים חדשים.

נניח שנשלח אליך רשימה של עובדים חדשים בקובץ CSV. כל שורה בקובץ ה-CSV מייצגת שורה אחת וכוללת את העמודות הבאות: FirstName, LastName, Department, State, EmployeeID, ו- Office. הסגנון של שם המשתמש להתחברות הוא האות הראשונה של העובד מחוברת לשם המשפחה, כמו לדוג ksapp עבור העובד Kevin Sapp.

FirstName, LastName, Department, State, EmployeeID, Office, UserPrincipalName, SamAccountName, Password
Micheal, Jordan, NBA, Chicago, 23, Chicago Bulls, mjordan@mylab.local, mjordan, p@ssw0rd1
Lebron, James, NBA, Los Angeles,24, LA Lakers,ljames@mylab.local, ljames, p@ssw0rd2
Dwayne, Wade, NBA, Miami, 13, Miami Heat, dwade@mylab.local, dwade, p@ssw0rd3
$import_users = Import-Csv -Path sample.csv

כשיש לך את קובץ ה-CSV, השתמש ב- Import-Csv כדי לקרוא את קובץ ה-CSV ולקפוץ על כל שורה המעבירה את השדות המתאימים בקובץ ה-CSV לפרמטרים הצפויים של New-ADUser. ניתן לראות דוגמה לכך למטה.

$import_users | ForEach-Object {
    New-ADUser `
        -Name $($_.FirstName + " " + $_.LastName) `
        -GivenName $_.FirstName `
        -Surname $_.LastName `
        -Department $_.Department `
        -State $_.State `
        -EmployeeID $_.EmployeeID `
        -DisplayName $($_.FirstName + " " + $_.LastName) `
        -Office $_.Office `
        -UserPrincipalName $_.UserPrincipalName `
        -SamAccountName $_.SamAccountName `
        -AccountPassword $(ConvertTo-SecureString $_.Password -AsPlainText -Force) `
        -Enabled $True
}

ניהול ודיווח על תיקיית ה-Active Directory, החלפה ו-Microsoft 365 עם ManageEngine ADManager Plus. הורד גרסת ניסיון חינם!

סיכום

בפוסט זה, למדת כיצד להקצות חשבונות משתמש חדשים באמצעות שלושה שיטות שונות:

  1. יצירת חשבון יחיד
  2. העתקת חשבון משתמש מתבנית
  3. יצירת מספר חשבונות באמצעות קובץ CSV

אלו הם אופני הקצאה בסיסיים למשתמשים חדשים בסביבתך. שיטות אלו עובדות נהדר כאשר אתה מגרם להן לעבוד יחד על ידי יצירת פונקצית PowerShell ומודול. אפשר אפילו לקחת את הדברים צעד קדימה נוסף וליצור תהליך אוטומציה משלך באמצעות מסד נתונים SQL או Oracle כמקור (במקום קובץ CSV). תרגיש חופשי להשתמש בכל שיטה בהתבסס על דרישות הייחודיות והמקרים שלך.

במקווה שהמידע יוכל לעזור לך! למדת כישור חדש והצלחת להגיע למסיבה עם החברים שלך מבלי לפגוע באיזון בין עבודה וחיים!

קריאה נוספת

Source:
https://adamtheautomator.com/new-aduser/