假若你登錄到了一個(gè)AD中你可以輕松的查詢AD目錄。在先前的技巧中我們闡述了一個(gè)基本腳本。這里有一個(gè)可以自定義根目錄的擴(kuò)展方法（設(shè)置你的查詢點(diǎn)），它支持同步查詢（而不是遞歸到一個(gè)容器）。

它同時(shí)也闡述了怎么從一個(gè)活動(dòng)目錄查找結(jié)果再將其轉(zhuǎn)化成用戶對象：

$SAMAccountName = 'tobias'$SearchRoot = 'LDAP://OU=customer,DC=company,DC=com'$SearchScope = 'OneLevel' $ldap = "(&(objectClass=user)(samAccountName=*$SAMAccountName*))"$searcher = [adsisearcher]$ldap$searcher.SearchRoot = $SearchRoot$searcher.PageSize = 999$searcher.SearchScope = $SearchScope $searcher.FindAll() | ForEach-Object { $_.GetDirectoryEntry() } | Select-Object -Property *

支持所有的PS版本

想要了解AD中賬號使用情況,如什么時(shí)候創(chuàng)建/最后一次登錄是時(shí)間/最后一次修改密碼等信息,利用PowerShell,這些都可以達(dá)到.

PowerShell中Get-AdUser能查詢的信息很多,可參考下面文章:

http://social.technet.microsoft.com/wiki/contents/articles/12037.active-directory-get-aduser-default-and-extended-properties.aspx

下面介紹用PowerShell查詢指定OU中所有賬號的創(chuàng)建時(shí)間/SID/上次修改密碼時(shí)間/最后一次登錄時(shí)間,CMDlet如下:
Get-ADuser -searchbase ' OU=User,OU=Compay1,DC=Domain,DC=COM ' -filter * -Properties * | Select-Object Name,SID, Created,PasswordLastSet,@{n="lastLogonDate";e={[datetime]::FromFileTime($_.lastLogonTimestamp)}} | Export-CSV Accountlist.csv -NoTypeInformation -Encoding UTF8
(請自行修改OU和域信息)

查詢出指定的結(jié)果生成.CSV文件,用Excel打開,進(jìn)行需要的統(tǒng)計(jì)與分析,效果如下:

如果要查詢整個(gè)AD中的所有賬號,取消中間的-searchbase ' OU=User, OU=Compay1,DC=Domain,DC=COM '即可.