必须在安装Active Directory模块的域控制器或配置RSAT的工作站上操作:一、导入ActiveDirectory模块并验证cmdlet;二、用CSV批量创建用户,密码需明文且符合策略;三、用Get-ADUser筛选后批量修改属性,重置密码需SecureString;四、用哈希表定义属性创建单用户,键名须与参数一致;五、导出用户信息审计,注意LastLogonDate同步延迟。
如果您需要在Windows环境中通过PowerShell高效管理Active Directory用户,包括批量创建与修改账户,必须使用已安装Active Directory模块的域控制器或已配置远程AD管理工具的工作站。以下是执行这些操作的具体步骤:
一、启用并验证AD PowerShell模块
PowerShell管理AD用户依赖于ActiveDirectory模块,该模块不默认安装于普通Windows系统,需确保其已加载且具备域管理员权限。未加载模块将导致所有cmdlet报“未识别命令”错误。
1、以管理员身份运行PowerShell。
2、执行Import-Module ActiveDirectory导入模块。
3、运行Get-Command -Module ActiveDirectory确认模块中包含New-ADUser、Set-ADUser等关键cmdlet。
4、若提示模块不存在,需在域控制器上运行Install-WindowsFeature RSAT-AD-PowerShell,或在Windows 10/11上通过“可选功能”启用“RSAT: Active Directory Domain Services and Lightweight Directory Services Tools”。
二、从CSV文件批量创建AD用户
该方法适用于依据结构化数据(如姓名、部门、邮箱)一次性生成大量用户账户,避免逐一手动录入,所有属性由CSV字段映射至New-ADUser参数。
1、新建文本文件,保存为UTF-8编码的users.csv,内容含表头:FirstName,LastName,Department,Email,Password
2、在PowerShell中执行:$users = Import-Csv "C:\users.csv"
3、逐行遍历并创建账户:foreach ($user in $users) { $password = ConvertTo-SecureString $user.Password -AsPlainText -Force; New-ADUser -GivenName $user.FirstName -Surname $user.LastName -Name "$($user.FirstName) $($user.LastName)" -SamAccountName "$($user.FirstName).$($user.LastName)" -UserPrincipalName "$($user.FirstName).$($user.LastName)@domain.local" -Department $user.Department -EmailAddress $user.Email -AccountPassword $password -Enabled $true -ChangePasswordAtLogon $false }
4、关键校验点:所有密码字段必须为明文且长度符合域策略;SamAccountName不得重复且仅含字母、数字、连字符和下划线。
三、基于筛选条件批量修改现有用户属性
此方式通过Get-ADUser定位匹配对象后,统一更新指定属性,适用于部门调整、邮箱格式标准化、电话号码批量录入等场景,避免逐个编辑。
1、定位目标用户组:执行$targetUsers = Get-ADUser -Filter {Department -eq "Sales"} -Properties EmailAddress,OfficePhone
2、对每个匹配用户设置新邮箱:foreach ($u in $targetUsers) { Set-ADUser $u -EmailAddress "$($u.SamAccountName)@sales.company.com" }
3、同时更新多个属性:Set-ADUser -Identity "jdoe" -Title "Senior Analyst" -Office "Building A, Floor 3" -OfficePhone "+86-21-12345678"
4、重要限制:Set-ADUser无法直接修改密码;如需重置,必须配合-ResetPassword参数与SecureString类型密码值。
四、使用哈希表定义用户属性并创建单个账户
当需为特定用户精确控制数十项AD属性(如manager、physicalDeliveryOfficeName、extensionAttribute1–15)时,哈希表可提升代码可读性与维护性,避免长参数链。
1、构建属性哈希表:$userProps = @{ GivenName = "Zhang"; Surname = "San"; Name = "Zhang San"; SamAccountName = "zsan"; UserPrincipalName = "zsan@domain.local"; Department = "Engineering"; Title = "DevOps Engineer"; Manager = "CN=Li Si,OU=Managers,DC=domain,DC=local"; Enabled = $true; AccountPassword = (ConvertTo-SecureString "TempPass123!" -AsPlainText -Force) }
2、调用New-ADUser并传入哈希表:New-ADUser @userProps
3、注意语法细节:@符号前不可有空格;哈希表键名必须与New-ADUser参数名完全一致(区分大小写)。
五、导出全部用户信息并筛选异常账户
定期审计AD用户状态是安全运维的关键环节,本方法导出完整用户列表,支持后续用Excel或脚本分析禁用账户、过期密码、空邮箱等风险项。
1、导出全部启用用户的基本属性:Get-ADUser -Filter {Enabled -eq $true} -Properties DisplayName,Department,LastLogonDate,PasswordLastSet,EmailAddress | Select-Object DisplayName,Department,LastLogonDate,PasswordLastSet,EmailAddress | Export-Csv "C:\ad_users_active.csv" -NoTypeInformation -Encoding UTF8
2、单独导出90天未登录账户:Get-ADUser -Filter {LastLogonDate -lt (Get-Date).AddDays(-90)} -Properties LastLogonDate | Select-Object Name,LastLogonDate | Sort-Object LastLogonDate
3、高危提示:LastLogonDate属性在多域控制器环境下存在延迟同步,实际值可能滞后数小时;如需精确判断,应查询各DC的LastLogon时间戳后取最大值。
