Voor de cmdlet van vandaag gaan we ons concentreren op Get-AdComputer. Deze cmdlet is de tegenhanger van Get-AdUser. In plaats van gebruikers uit Active Directory (AD) te halen, zoekt deze cmdlet naar computers in OUs.
Je zult de Get-AdComputer cmdlet vinden in de ActiveDirectory PowerShell-module. Als je die nog niet hebt geïnstalleerd, ontdek dan hoe hier.
De Basis
Als je nog nooit de Get-AdComputer cmdlet hebt gebruikt, zorg er dan voor dat je de basisbeginselen begrijpt. Je zult computers zoeken en ophalen met behulp van de Identity– en Filter-parameters.
De Identity Parameter
Op zijn meest basale niveau haalt Get-Adcomputer een enkel computerobject uit AD met behulp van de Identity-parameter. Als je bijvoorbeeld een computer genaamd FOO hebt, zou je die waarde zoals hieronder getoond verstrekken.
Standaard geeft de cmdlet slechts enkele AD-attributen terug. Als je alle AD-attributen voor een computer wilt zien, gebruik dan de Properties-parameter.
Door een asterisk te gebruiken met de Properties-parameter hieronder, zal PowerShell alle AD-attributen teruggeven. Maar als je er slechts een paar wilt zien, kun je ze specificeren, gescheiden door een komma.
Net als alle andere Identity-parameters van Active Directory PowerShell-cmdlets, kun je ook een distinguised name (DN), GUID of een SID opgeven.
De Filter-parameter
Als u meer dan één computeraccount moet vinden, gebruikt u de Filter-parameter. De Filter-parameter is een veelvoorkomende parameter bij veel ActiveDirectory-commando’s. Hiermee kunt u voorwaarden opgeven waaraan een account moet voldoen om te worden geretourneerd.
Als u de Identity-parameter niet gebruikt, moet u de Filter-parameter gebruiken. Als u bijvoorbeeld alle computeraccounts in AD wilt vinden, kunt u een asterisk opgeven. Het asterisk is een wildcard die overeenkomt met alle computeraccounts.
Misschien moet u alle computers vinden die beginnen met de letter “F”. In dat geval zou u de filter-syntaxis als volgt opstellen.
De LDAPFilter-parameter
Als u goed bent in LDAP-filters, kunt u ook de LDAPFilter-parameter gebruiken. De LDAP-filter stelt u in staat LDAP-syntaxis te gebruiken om precies de computer te vinden waar u naar op zoek bent. LDAPFilter kan worden gebruikt met de SearchBase-parameter of op zichzelf.
Hieronder gebruik ik de LDAP-filter om alle computers te vinden die beginnen met F.
Voor meer informatie over het bouwen van filters, bekijk Het leren van Active Directory en LDAP-filters in PowerShell.
Computers vinden in een OU
Computers vinden op naam met de Identity-parameter of op verschillende AD-attributen met de Filter-parameter is slechts één optie. U kunt ook computeraccounts vinden op basis van de OU waarin ze zich bevinden.
Get-Adcomputer heeft een SearchBase-parameter waarmee je de zoekopdracht kunt beperken tot een OU en/of al zijn onderliggende OUs.
Misschien moet je alle domeincontrollers in de OU Domain Controllers vinden. Je kunt de reikwijdte van de teruggegeven computeraccounts beperken tot alleen deze machines met behulp van de SearchBase-parameter.
De SearchBase-parameter bepaalt een “startpunt” voor het zoeken. In plaats van een zoekopdracht te starten bij de root van het domein, vertelt het PowerShell om te beginnen bij een OU.
Om de SearchBase-parameter te gebruiken, geef je de distinguished name (DN) van een OU op. Hieronder staat een voorbeeld van het vinden van alle computeraccounts in een Domain Controllers OU in een company.pri-domein.
Accounts in onderliggende OUs verkrijgen
Wanneer je de SearchBase-parameter gebruikt, geeft PowerShell alleen computeraccounts terug in die specifieke OU. Het zal geen computeraccounts retourneren in eventuele onderliggende OUs. Om dat te doen, kun je de SearchScope-parameter gebruiken.
De SearchScope-parameter stelt je in staat om te definiëren hoe diep je wilt zoeken vanaf de bovenliggende OU. Deze parameter heeft drie mogelijke waarden – 0, 1 en 2. Standaard is het ingesteld op 0 en geeft alleen computers terug in de basis-OU.
Als je recursief wilt zoeken in de basis-OU en de onmiddellijke onderliggende OU, kun je de waarde 1 gebruiken. De meest voorkomende waarde hier is echter 2, wat betekent dat je recursief zoekt in alle onderliggende, kleinkinderen en diepere OUs.
Samenvatting
Get-AdComputer is een handige cmdlet om informatie te vinden over AD-computeraccounts. Het grootste uitdaging zal niet zijn om te leren hoe Get-AdComputer te gebruiken, maar om de filter syntax te begrijpen. Als je het gelinkte filterartikel hierboven leest, zul je zien dat het ingewikkeld kan worden.
Als je de filter onder de knie hebt, kun je gemakkelijk zoveel informatie als nodig is ophalen uit AD-computeraccounts!
Dit zijn enkele van de meest voorkomende gebruiksgevallen voor deze cmdlet van de dag. Voor een volledige uitleg, bekijk de Microsoft-documentatie.