Automatize a Criação de Usuários do Active Directory com New-ADUser

Tutoriais
PowerShell

Você está cansado de abrir o Active Directory (AD) Users and Computers (ADUC), clicar por aí, cometer erros de digitação e passar pelo processo de criar uma nova conta de usuário pela sexta vez hoje? Se sim, você precisa automatizar o processo tão comum de usar o Active Directory para adicionar um usuário com o PowerShell usando o cmdlet New-ADUser!

É sexta-feira à noite e uma hora antes de você planejar ir para casa no fim de semana. Foi uma semana agitada, então você decidiu fazer planos para assistir ao grande jogo com seus amigos mais próximos. Mas, seu chefe casualmente se aproxima e pergunta: “Você viu o e-mail? Você consegue lidar com isso até o final do dia?” Você rapidamente abre o Microsoft Outlook e, com certeza, é um e-mail do departamento de recursos humanos, com você em cópia pelo seu gerente, pedindo para provisionar 400 novas contas de funcionários no Active Directory (AD) antes de sair do escritório. Ótimo. Lá se vai o jogo.

Você rapidamente busca na internet por algumas opções para acelerar a criação dessas contas de usuário e descobre que pode automatizar o provisionamento de contas do AD usando a linha de comando e um cmdlet do PowerShell chamado New-ADUser.

Normalmente, os administradores criam manualmente contas do AD usando o Active Directory Users and Computers MMC snap-in instalado no seu computador desktop via Remote Server Administration Tools (RSAT). Mas criar um usuário do AD dessa maneira leva, em média, três minutos por conta de usuário. Criar contas de usuários no AD não é um trabalho glamoroso e está pronto para automação.

Há três maneiras comuns pelas quais os administradores criam objetos de contas de usuário do AD usando o cmdlet New-AdUser.

  1. Adicione uma conta de usuário do Active Directory usando os parâmetros obrigatórios e adicionais do cmdlet.
  2. Copie um objeto de usuário do AD existente para criar uma nova conta usando o parâmetro Instance.
  3. Combine o cmdlet Import-Csv com o cmdlet New-ADUser para criar vários objetos de usuário do Active Directory usando um arquivo de valores separados por vírgula (CSV).

Essas práticas às vezes podem ser combinadas para criar uma solução mais eficiente. Por exemplo, você pode usar todas as três opções para criar uma conta de AD modelo que pode ser copiada usando um arquivo CSV para gerar várias novas contas de AD.

Neste artigo, você vai aprender como usar New-AdUser aproveitando cada um desses métodos.

Gerencie e Relate o Active Directory, Exchange e o Microsoft 365 com o ManageEngine ADManager Plus. Baixe o teste gratuito!

Pré-requisitos/Requisitos

Antes de começar a usar o cmdlet New-AdUser, primeiro você precisa garantir que atende a alguns pré-requisitos.

  • Windows PowerShell 5.1
  • O pacote Remote Server Administration Tools (RSAT) está instalado. Este pacote instala o módulo PowerShell do Active Directory, que contém o cmdlet New-AdUser
  • Acessado em um computador Windows no mesmo domínio das contas de usuário que você deseja criar
  • Conectado como uma conta de usuário do AD com permissão para criar novas contas de usuário

Uma vez que você atenda a esses requisitos, está pronto para começar!

Criando uma única conta de usuário usando o cmdlet New-ADUser

Vamos primeiro criar uma única conta de usuário para demonstrar como o New-ADUser funciona em um nível básico. Você verá que o New-ADUser não possui muitos parâmetros obrigatórios. Na verdade, o único parâmetro obrigatório é o parâmetro Name, mas raramente é usado sozinho.

Geralmente, você usará muitos parâmetros diferentes para criar uma conta de usuário. Felizmente, a maioria dos parâmetros é autoexplicativa e se alinha bem com o que você vê no ADUC. Como você pode ver no exemplo abaixo, você pode facilmente usar muitos parâmetros. Cada parâmetro corresponde aproximadamente a um atributo de conta de usuário único.

Observe que estamos usando backticks no exemplo. Isso é apenas para evitar uma linha única longa por questões de legibilidade.

PS51> New-ADUser `
    -Name "Kevin Sapp" `
    -GivenName "Kevin" `
    -Surname "Sapp" `
    -SamAccountName "kesapp-test" `
    -AccountPassword (Read-Host -AsSecureString "Input User Password") `
    -ChangePasswordAtLogon $True `
    -Company "Code Duet" `
    -Title "CEO" `
    -State "California" `
    -City "San Francisco" `
    -Description "Test Account Creation" `
    -EmployeeNumber "45" `
    -Department "Engineering" `
    -DisplayName "Kevin Sapp (Test)" `
    -Country "us" `
    -PostalCode "940001" `
    -Enabled $True

A unidade organizacional (OU) onde o objeto de usuário AD está contido não pode ter um SamAccountName duplicado.

Agora que a conta foi criada, confirme se a conta foi criada usando o comando Get-ADUser. Abaixo, você pode ver que Get-AdUser retorna alguns atributos comuns para a conta de usuário recém-criada.

PS51> Get-ADUser -Identity kesapp-test -Properties State,Department,Country,City

DistinguishedName : CN=Kevin Sapp,CN=Users,DC=mylab,DC=local
Enabled           : True
GivenName         : Kevin
Name              : Kevin Sapp
ObjectClass       : user
ObjectGUID        : 3b18338d-b3c7-4d00-a54a-1d3121e1363f
SamAccountName    : kesapp-test
SID               : S-1-5-21-1181311581-1397355964-1468337501-1109
Surname           : Sapp
UserPrincipalName : kesapp-test@mylab.local

Copiando um Objeto de Usuário AD Existente

Outro método para a criação de contas é copiar um objeto de usuário AD existente e usá-lo como modelo para uma nova conta AD. Existem várias vantagens nesse método:

  • Isso economiza tempo ao evitar a necessidade de especificar cada parâmetro individualmente
  • Ajuda a padronizar a criação de contas AD
  • Previne erros humanos causados pela criação manual de contas e permite que membros da mesma equipe tenham os mesmos atributos AD personalizados

Para este exemplo, você usará a conta recém-criada como modelo (kesapp-test). Talvez seja necessário criar uma nova conta de usuário com os mesmos atributos AD de estado, localização, departamento, país e cidade. Essa nova conta será para o funcionário James Brown.

Observe que há uma limitação com este método, e apenas as propriedades da conta AD listadas no link abaixo podem ser copiadas com esse processo. Para obter mais informações, consulte a página de documentos da Microsoft sobre Copiar Propriedades de um Usuário.

O primeiro passo é encontrar a conta de usuário do AD que será usada como modelo, garantindo que todos os atributos a serem copiados sejam fornecidos por meio do parâmetro Properties. Para fazer isso, use o cmdlet Get-ADUser conforme mostrado abaixo. Isso simplesmente armazena o objeto de usuário do AD na variável $template_account.

Observe que a segunda linha está definindo a propriedade UserPrincipalName (UPN) do objeto de modelo como $null. Isso é recomendado para garantir que o UPN do modelo seja único. Cada conta de usuário do AD deve ter um UPN único.

$template_account = Get-ADUser -Identity kesapp-test -Properties State,Department,Country,City
$template_account.UserPrincipalName = $null

Depois de capturar a conta de usuário modelo, você pode usar esse objeto como um valor para o parâmetro Instance e fornecer quaisquer parâmetros específicos do usuário para preencher os outros atributos conforme mostrado abaixo.

New-ADUser `
    -Instance $template_account `
    -Name 'James Brown' `
    -SamAccountName 'jbrown' `
    -AccountPassword (Read-Host -AsSecureString "Input User Password") `
    -Enabled $True

Agora você deve ter uma conta para James com todos os atributos AD permitidos trazidos pelo objeto de modelo.

Problemas comuns ao usar um Modelo de Conta de Usuário

Um erro comum com essa abordagem é usar o caractere * como curinga para o parâmetro Properties ao capturar o objeto de modelo. Os administradores fazem isso porque desejam copiar todos os atributos da conta de usuário de uma só vez. Mas isso não funciona.

Por exemplo, o comando abaixo gerará um erro:

$template_account = Get-ADUser -Identity kesapp-test -Properties *
New-ADUser `
    -Instance $template_account `
    -Name 'James Brown' `
    -SamAccountName 'jbrown' `
    -UserPrincipalName '[email protected]' `
    -AccountPassword (Read-Host -AsSecureString "Input User Password") `
    -Enabled $True

O problema com esta abordagem é que o atributo UserPrincipalName precisa ser único em todo o AD Forest. Portanto, o UPN deve ser sobrescrito no comando New-ADUser ou definido como nulo na variável de modelo (mostrada abaixo).

$template_account.UserPrincipalName = $null

Outra razão pela qual a abordagem de caractere curinga falha é que algumas das propriedades AD copiadas pelo caractere curinga são somente leitura (pertencem ao Security Account Manager).

Permission error when copying AD objects

Criar Novas Contas de Usuário com um Arquivo CSV

Levar o que você aprendeu um passo adiante é ler contas de funcionários de um arquivo CSV e usar o New-ADUser para criar contas de usuário AD.

Essa solução é frequentemente usada por muitas organizações para automatizar a criação de contas em conjunto com sistemas de RH que criam arquivos planos com informações de integração de novos funcionários.

Vamos supor que você recebeu uma lista de novos funcionários em um arquivo CSV. Cada linha no arquivo CSV representa uma única entrada e possui as seguintes colunas: FirstName, LastName, Department, State, EmployeeID e Office. A convenção de nomenclatura para a conta de login do usuário é a inicial do primeiro nome do funcionário concatenada com o sobrenome, como ksapp para o funcionário Kevin Sapp.

FirstName, LastName, Department, State, EmployeeID, Office, UserPrincipalName, SamAccountName, Password
Micheal, Jordan, NBA, Chicago, 23, Chicago Bulls, mjordan@mylab.local, mjordan, p@ssw0rd1
Lebron, James, NBA, Los Angeles,24, LA Lakers,ljames@mylab.local, ljames, p@ssw0rd2
Dwayne, Wade, NBA, Miami, 13, Miami Heat, dwade@mylab.local, dwade, p@ssw0rd3
$import_users = Import-Csv -Path sample.csv

Assim que tiver o arquivo CSV, use o Import-Csv para ler o arquivo CSV e capturar cada linha como um objeto único. Em seguida, itere sobre cada uma dessas linhas, passando os campos apropriados do arquivo CSV para os parâmetros esperados do New-ADUser. Você pode ver um exemplo disso abaixo.

$import_users | ForEach-Object {
    New-ADUser `
        -Name $($_.FirstName + " " + $_.LastName) `
        -GivenName $_.FirstName `
        -Surname $_.LastName `
        -Department $_.Department `
        -State $_.State `
        -EmployeeID $_.EmployeeID `
        -DisplayName $($_.FirstName + " " + $_.LastName) `
        -Office $_.Office `
        -UserPrincipalName $_.UserPrincipalName `
        -SamAccountName $_.SamAccountName `
        -AccountPassword $(ConvertTo-SecureString $_.Password -AsPlainText -Force) `
        -Enabled $True
}

Gerencie e Relate o Active Directory, Exchange e Microsoft 365 com o ManageEngine ADManager Plus. Baixe o Teste Gratuito!

Resumo

Neste post, você aprendeu como provisionar novas contas de usuário usando três métodos diferentes:

  1. Criação de conta única
  2. Copiando uma conta de usuário de um modelo
  3. Criando várias contas usando um arquivo CSV

Essas são maneiras básicas de provisionar novos usuários em seu ambiente. Esses métodos funcionam muito bem quando são agrupados criando uma função PowerShell e módulo. Você até pode levar as coisas um passo adiante e criar seu próprio processo de automação usando um banco de dados SQL ou Oracle como fonte (em vez de um arquivo CSV). Sinta-se à vontade para aproveitar cada método com base em seus próprios requisitos e casos de uso únicos.

Espero que estas informações te salvem em momentos de aperto! Você aprendeu uma nova habilidade e conseguiu ir para a festa com seus amigos sem sacrificar seu equilíbrio entre trabalho e vida pessoal!

Leitura Adicional

Source:
https://adamtheautomator.com/new-aduser/