Für das heutige cmdlet werden wir uns auf Get-AdComputer konzentrieren. Dieses cmdlet ist der Bruder von Get-AdUser. Anstatt Benutzer aus dem Active Directory (AD) zu erhalten, findet dieses cmdlet Computer in Organisationseinheiten (OUs).
Sie finden das Get-AdComputer-cmdlet im ActiveDirectory PowerShell-Modul. Wenn Sie es noch nicht installiert haben, erfahren Sie hier, wie das geht hier.
Die Grundlagen
Wenn Sie das Get-AdComputer-cmdlet noch nie verwendet haben, stellen Sie sicher, dass Sie die Grundlagen verstehen. Sie suchen und rufen Computer mithilfe der Identity– und Filter-Parameter ab.
Der Identity-Parameter
Im einfachsten Fall ruft Get-Adcomputer ein einzelnes Computerobjekt aus dem AD mithilfe des Identity-Parameters ab. Wenn Sie einen Computer namens FOO haben, geben Sie diesen Wert wie unten gezeigt an.
Standardmäßig gibt das cmdlet nur wenige AD-Attribute zurück. Wenn Sie alle AD-Attribute für einen Computer sehen möchten, verwenden Sie den Properties-Parameter.
Indem Sie einen Asteriskus mit dem Properties-Parameter unten verwenden, gibt PowerShell alle AD-Attribute zurück. Wenn Sie jedoch nur einige davon sehen möchten, können Sie sie kommagetrennt angeben.
Wie bei allen anderen Identity-Parametern der Active Directory PowerShell-Cmdlets können Sie auch einen Distinguished Name (DN), eine GUID oder eine SID angeben.
Der Filterparameter
Wenn Sie mehr als ein Computerkonto finden müssen, verwenden Sie den Filter-Parameter. Der Filter-Parameter ist ein gemeinsamer Parameter bei vielen ActiveDirectory-Befehlen. Er ermöglicht es Ihnen, Bedingungen anzugeben, die ein Konto erfüllen muss, um zurückgegeben zu werden.
Wenn Sie den Identity-Parameter nicht verwenden, müssen Sie den Filter-Parameter verwenden. Wenn Sie beispielsweise alle Computerkonten in AD finden möchten, können Sie ein Sternchen angeben. Das Sternchen ist ein Platzhalter, der alle Computerkonten übereinstimmt.
Vielleicht müssen Sie alle Computer finden, die mit dem Buchstaben „F“ beginnen. In diesem Fall würden Sie die Filtersyntax wie unten gezeigt erstellen.
Der LDAPFilter-Parameter
Wenn Sie gut mit LDAP-Filtern sind, können Sie auch den LDAPFilter-Parameter verwenden. Der LDAP-Filter ermöglicht es Ihnen, LDAP-Syntax zu verwenden, um genau den Computer zu finden, den Sie suchen. LDAPFilter kann mit dem SearchBase-Parameter oder alleine verwendet werden.
Im Folgenden verwende ich den LDAP-Filter, um alle Computer zu finden, die mit F. beginnen.
Für weitere Informationen zum Erstellen von Filtern lesen Sie Lernen von Active Directory und LDAP-Filtern in PowerShell.
Computer in einer OU finden
Computer nach Namen mit dem Identity-Parameter oder nach verschiedenen AD-Attributen mit dem Filter-Parameter zu finden, ist nur eine Option. Sie können auch Computerkonten nach der OU finden, in der sie sich befinden.
Get-Adcomputer verfügt über einen SearchBase-Parameter, den Sie verwenden können, um die Suche nur auf eine OU und/oder alle untergeordneten OUs zu beschränken.
Vielleicht müssen Sie alle Domänencontroller in der OU „Domain Controllers“ finden. Sie können den Umfang der zurückgegebenen Computerkonten auf diese Maschinen beschränken, indem Sie den SearchBase-Parameter verwenden.
Der SearchBase-Parameter definiert einen „Start“ für die Suche. Anstatt die Suche am Wurzelverzeichnis der Domäne zu starten, gibt er PowerShell an, bei einer OU zu beginnen.
Um den SearchBase-Parameter zu verwenden, geben Sie den distinguished name (DN) einer OU an. Hier ist ein Beispiel, wie Sie alle Computerkonten in einer OU „Domain Controllers“ in einer company.pri-Domäne finden.
Accounts in untergeordneten OUs erhalten
Wenn Sie den SearchBase-Parameter verwenden, gibt PowerShell nur Computerkonten in dieser speziellen OU zurück. Es gibt keine Computerkonten in untergeordneten OUs zurück. Um dies zu erreichen, können Sie den SearchScope-Parameter verwenden.
Der SearchScope-Parameter ermöglicht es Ihnen, die Tiefe von der übergeordneten OU aus festzulegen. Dieser Parameter hat drei mögliche Werte – 0, 1 und 2. Standardmäßig ist er auf 0 gesetzt und gibt nur Computer in der Basis-OU zurück.
Wenn Sie rekursiv in der Basis-OU und der unmittelbaren untergeordneten OU suchen müssen, können Sie den Wert 1 verwenden. Der häufigste Wert ist jedoch 2, was bedeutet, dass alle untergeordneten, Enkel- und tieferen OUs rekursiv durchsucht werden.
Zusammenfassung
Get-AdComputer ist ein praktisches Cmdlet, um Informationen über AD-Computerkonten zu finden. Die größte Herausforderung besteht nicht darin, zu lernen, wie man Get-AdComputer verwendet, sondern die Syntax für die Filterung herauszufinden. Wenn Sie den oben verlinkten Filter-Artikel lesen, werden Sie sehen, dass es kompliziert werden kann.
Nachdem Sie den Filter gemeistert haben, können Sie dann ganz einfach so viele Informationen wie nötig von den AD-Computerkonten abrufen!
Dies sind einige der häufigsten Anwendungsfälle für dieses Cmdlet des Tages. Für eine vollständige Aufschlüsselung schauen Sie sich die Microsoft-Dokumentation an.