Come creare nuovi utenti di Active Directory con PowerShell

Strumenti come ADUC e ADAC consentono ai Sysadmin di creare facilmente un nuovo utente in un Active Directory, ma presentano alcune limitazioni quando si tratta di creazione di utenti in massa. PowerShell è uno strumento potente e flessibile per la creazione di account Active Directory, e molto altro su larga scala.

Questo blog esamina il processo per creare un nuovo utente di Active Directory con il cmdlet PowerShell New-ADUser. Copriremo i principali casi d'uso per questo cmdlet e forniremo la sua sintassi completa così che tu possa esplorarla ulteriormente.

Creazione di utenti Active Directory con PowerShell

Utilizzando ADUC e ADAC, è semplice aggiungere un singolo utente, ma entrambi non dispongono della funzionalità per creare utenti in massa. PowerShell offre diversi metodi non solo per creare un singolo utente, ma anche per creare oggetti utente di Active Directory in massa. Iniziamo esaminando la sintassi e i parametri del cmdlet che utilizzeremo: New-ADUser.

Puoi utilizzare determinati parametri con il comando New-ADUser per popolare le proprietà utente più comuni.

• Utilizzando il parametro OtherAttributes, è possibile modificare i valori delle proprietà che non sono correlati ai parametri del cmdlet. Assicurati di racchiudere il nome dell'attributo tra virgolette singole quando utilizzi questo parametro.
• Per creare un utente, devi fornire il parametro SamAccountName.
• The container or organizational unit (OU) for the new user is specified by the Path parameter. When the Path option is not used, the cmdlet creates a user object in the domain’s default user object container.

Le seguenti tecniche descrivono vari modi per costruire un oggetto utilizzando questo cmdlet:

• Con il comando New-ADUser, fornisci i parametri e i valori comunemente utilizzati e imposta eventuali valori aggiuntivi utilizzando il parametro OtherAttributes.
• È possibile anche creare un nuovo utente da un modello. Utilizzare il parametro Instance per creare un nuovo utente o copiare un utente esistente nel nuovo oggetto. L'oggetto utilizzato nel parametro Instance viene usato come modello.
• Per creare oggetti utente di Active Directory in massa, combina il cmdlet Import-Csv con il cmdlet New-ADUser.
  1. Importa un file CSV con un elenco di proprietà degli oggetti per costruire oggetti personalizzati utilizzando il cmdlet Import-Csv.
  2. Il cmdlet New-ADUser può quindi essere utilizzato per costruire oggetti utente passando questi oggetti attraverso la sua pipeline.

Prima di iniziare, dobbiamo abilitare il modulo PowerShell di Active Directory integrato in Microsoft Windows Server 2008R2/2012 e versioni successive eseguendo questo comando:

New-ADUser Cmdlet: Sintassi

Ora esaminiamo la sintassi del cmdlet New-ADUser:

      Get-Command New-ADUser –Syntax
      

Ecco le stesse informazioni in un formato che puoi copiare e modificare secondo le tue necessità:

      New-ADUser   [-WhatIf]   [-Confirm]   [-AccountExpirationDate <DateTime>]   [-AccountNotDelegated <Boolean>]   [-AccountPassword <SecureString>]   [-AllowReversiblePasswordEncryption <Boolean>]   [-AuthenticationPolicy <ADAuthenticationPolicy>]   [-AuthenticationPolicySilo <ADAuthenticationPolicySilo>]   [-AuthType <ADAuthType>]   [-CannotChangePassword <Boolean>]
   [-Certificates <X509Certificate[]>]   [-ChangePasswordAtLogon <Boolean>]   [-City <String>]
   [-Company <String>]   [-CompoundIdentitySupported <Boolean>]   [-Country <String>]
   [-Credential <PSCredential>]   [-Department <String>]   [-Description <String>]   [-DisplayName <String>]   [-Division <String>]   [-EmailAddress <String>]   [-EmployeeID <String>]   [-EmployeeNumber <String>]   [-Enabled <Boolean>]   [-Fax <String>]   [-GivenName <String>]
   [-HomeDirectory <String>]   [-HomeDrive <String>]   [-HomePage <String>]   [-HomePhone <String>]
   [-Initials <String>]   [-Instance <ADUser>]   [-KerberosEncryptionType <ADKerberosEncryptionType>]   [-LogonWorkstations <String>]   [-Manager <ADUser>]   [-MobilePhone <String>]   [-Name] <String>   [-Office <String>]   [-OfficePhone <String>]
   [-Organization <String>]   [-OtherAttributes <Hashtable>]   [-OtherName <String>]   [-PassThru]
   [-PasswordNeverExpires <Boolean>]   [-PasswordNotRequired <Boolean>]   [-Path <String>]
   [-POBox <String>]   [-PostalCode <String>]   [-PrincipalsAllowedToDelegateToAccount <ADPrincipal[]>]   [-ProfilePath <String>]   [-SamAccountName <String>]   [-ScriptPath <String>]
   [-Server <String>]   [-ServicePrincipalNames <String[]>]   [-SmartcardLogonRequired <Boolean>]
   [-State <String>]   [-StreetAddress <String>]   [-Surname <String>]   [-Title <String>]   [-TrustedForDelegation <Boolean>]   [-Type <String>]   [-UserPrincipalName <String>]
      

New-ADUser: Parametri

Il cmdlet New-ADUser offre più di 60 parametri, ma non è necessario conoscerli tutti immediatamente. Ecco quelli più comunemente utilizzati per creare account utente AD:

Scenari comuni per la creazione di utenti con PowerShell

Ora esaminiamo alcuni dei principali metodi che potresti utilizzare per creare account utente tramite PowerShell:

• Crea un nuovo account utente.
• Crea un account utente in una specifica OU.
• Crea un utente e imposta attributi non coperti dai parametri del cmdlet.
• Crea un utente inetOrgPerson.
• Crea un nuovo utente basato su un utente AD esistente.
• Creare utenti in massa utilizzando uno script PowerShell.
• Crea utenti in massa importando i loro attributi da un file CSV.
• Crea più account utente utilizzando un file CSV.

Crea un Nuovo Account Utente

Esempio 1: Specificare solo il nome dell'account

Iniziamo con il caso più semplice: creare un nuovo account utente specificando solo il suo attributo nome. Ad esempio:

      New-ADUser B.Johnson
      

Eseguendo questo verrà creato l'utente ma non verrà mostrato alcun output. Per verificare se l'utente è stato aggiunto con successo, possiamo elencare tutti gli utenti di Active Directory utilizzando lo script seguente:

      Get-ADUser -Filter * -Properties samAccountName | select samAccountName
      

Ecco lì, l'ultimo nell'elenco!

Tuttavia, si noti che l'utente appena creato ha più attributi oltre al solo nome; i seguenti attributi sono impostati per default:

• L'account è stato creato nel contenitore “Users”.
• L'account è disabilitato.
• L'account è membro del gruppo Domain Users.
• L'utente deve reimpostare la password al primo accesso.

Molti attributi desiderati non sono popolati. In particolare, non è impostata nessuna password.

Esempio 2: Specificare attributi aggiuntivi

Di conseguenza, creiamo un nuovo account che sia effettivamente utilizzabile specificando più attributi:

      New-ADUser -Name "Jack Robinson" -GivenName "Jack" -Surname "Robinson" -SamAccountName "J.Robinson" -UserPrincipalName "J.Robinson@enterprise.com" -Path "OU=Managers,DC=enterprise,DC=com" -AccountPassword(Read-Host -AsSecureString "Input Password") -Enabled $true
      

Il parametro Read-Host vi chiederà di inserire una nuova password. Notate che la password deve soddisfare i requisiti di lunghezza, complessità e cronologia della vostra security policy.

Ora diamo un'occhiata ai risultati eseguendo il seguente cmdlet:

      Get-ADUser J.Robinson -Properties CanonicalName, Enabled, GivenName, Surname, Name, UserPrincipalName, samAccountName, whenCreated, PasswordLastSet  | Select CanonicalName, Enabled, GivenName, Surname, Name, UserPrincipalName, samAccountName, whenCreated, PasswordLastSet
      

Esempio 3: Specificare ulteriori attributi

Per creare un account utente completo con ancora più attributi, utilizza il seguente comando.

      New-ADUser -Name "Jason Bourne" -GivenName "Jason" -Surname "Bourne" -SamAccountName "Jason-Bourne" -AccountPassword (ConvertTo-SecureString -AsPlainText “webdir123R” -Force) -ChangePasswordAtLogon $True -Company "Versacorp" -Title "CEO" -State "California" -City "San Francisco" -Description "Test Account Creation" -EmployeeNumber "45" -Department "Engineering" -DisplayName "Jason Bourne" -Country "US" -PostalCode "94001" -Enabled $True
      

Vediamo solo alcune delle nuove attributi dell'utente:

      Get-ADUser -Identity Jason-bourne -Properties * | select name,samaccountname,company,title,department,city,state,country,description,employeenumber,postalcode
      

Creare un Account Utente in una Specifica OU

Come già accennato, per impostazione predefinita, il cmdlet New-ADUser crea il nuovo utente nel contenitore “Users” nel dominio. Per creare l'utente in un'OU diversa, utilizzare il parametro -Path con il nome distinto dell'OU desiderata:

      New-ADUser -Name "Jason Bourne" -Path "OU=NBC,DC=milkyway,DC=local" -GivenName "Jason" -Surname "Bourne" -SamAccountName "Jason-Bourne" -AccountPassword (ConvertTo-SecureString -AsPlainText “webdir123R” -Force ) -ChangePasswordAtLogon $True -DisplayName "Jason Bourne" -Enabled $True<
      

Creare utente e impostare attributi oltre i parametri di New-ADUser

Il cmdlet New-ADUser con i suoi oltre 60 parametri copre gli attributi comuni di un nuovo utente, ma ci sono ancora molti attributi meno comunemente utilizzati. Puoi popolarli utilizzando il parametro -OtherAttributes. In questo esempio, popoliamo extensionattribute1 e l'attributo personalizzato carlicense:

      New-ADUser -Name "Jason Bourne" -Path "OU=NBC,DC=milkyway,DC=local" -GivenName "Jason" -Surname "Bourne" -SamAccountName "Jason-Bourne" -AccountPassword (ConvertTo-SecureString -AsPlainText “webdir123R” -Force ) -ChangePasswordAtLogon $True -DisplayName "Jason Bourne" -Enabled $True -OtherAttributes @{'extensionattribute1'="director";'carlicense'="LWG3852"}
      

Verifichiamo i risultati utilizzando il comando Get-ADUser, come mostrato di seguito.

      Get-ADUser -Identity Jason-bourne -Properties * | select name,extensionattribute1,carlicense
      

Crea un utente inetOrgPerson

La maggior parte degli oggetti utente in Active Directory hanno la classe user. Tuttavia, è possibile anche creare oggetti utente con la classe inetOrgPerson, che ha user come classe padre. La classe inetOrgPerson facilita l'integrazione con alcune applicazioni e semplifica la migrazione di certi oggetti utente in Active Directory.

Per creare un account utente inetOrgPerson, basta includere il parametro -Type e specificare inetOrgPerson come suo valore:

      New-ADUser -Name "Benedict Cumberbatch" -Path "OU=NBC,DC=milkyway,DC=local" -GivenName "Benedict" -Surname "Cumberbatch" -SamAccountName "Benedict.Cumberbatch" -AccountPassword (ConvertTo-SecureString -AsPlainText “webdir123R” -Force ) -ChangePasswordAtLogon $True -DisplayName "Benedict Cumberbatch" -Enabled $True -Type iNetOrgPerson<
      

Nello screenshot seguente, osserva il tipo del nuovo utente Benedict Cumberbatch e il tipo dell'utente Jason Bourne che abbiamo creato in precedenza:

Crea un Nuovo Account Utente di Active Directory con Password

Gli account vengono creati con le seguenti proprietà predefinite:

• L'account è stato creato nel contenitore “Users”.
• L'account è disabilitato.
• L'account è membro del gruppo Domain Users.
• Non è impostata alcuna password.
• L'utente deve reimpostare la password al primo accesso.

Pertanto, per creare un nuovo account che sia effettivamente utilizzabile, dobbiamo abilitarlo utilizzando il cmdlet Enable-ADAccount e assegnargli una password usando il cmdlet Set-ADAccountPassword.

Quindi creiamo un nuovo account con i seguenti attributi:

Nome – Jack Robinson

Nome di battesimo – Jack

Cognome – Robinson

Nome dell'account – J.Robinson

Nome Principale Utente – J.Robinson@enterprise.com

Indirizzo del percorso – “OU=Managers,DC=enterprise,DC=com”

Inserimento Password

Stato – Abilitato

Ecco lo script che useremo:

      New-ADUser -Name "Jack Robinson" -GivenName "Jack" -Surname "Robinson" -SamAccountName "J.Robinson" -UserPrincipalName "J.Robinson@enterprise.com" -Path "OU=Managers,DC=enterprise,DC=com" -AccountPassword(Read-Host -AsSecureString "Input Password") -Enabled $true
      

Il parametro Read-Host vi chiederà di inserire una nuova password. Notate che la password deve soddisfare i requisiti di lunghezza, complessità e cronologia della vostra politica di sicurezza del dominio.

Ora diamo un'occhiata ai risultati eseguendo il seguente cmdlet:

      Get-ADUser J.Robinson -Properties CanonicalName, Enabled, GivenName, Surname, Name, UserPrincipalName, samAccountName, whenCreated, PasswordLastSet  | Select CanonicalName, Enabled, GivenName, Surname, Name, UserPrincipalName, samAccountName, whenCreated, PasswordLastSet
      

Crea un Nuovo Utente Basato su un Utente Esistente

A volte, si desidera creare un nuovo utente che abbia quasi tutte le stesse proprietà di un utente esistente. Prima di tutto, dobbiamo creare un modello basato sull'utente esistente. Qui, creiamo un modello con 5 proprietà dell'utente Benedict Cumberbatch. La seconda riga imposta il valore di userPrincipalName su null perché quell'attributo è unico in tutta la foresta. Il modello è memorizzato nella variabile $temp_UserAccount.

      $temp_UserAccount = Get-ADUser -Identity Benedict.Cumberbatch -Properties State,Department,Country,City,title
$temp_UserAccount.UserPrincipalName = $null
      

Ora possiamo creare un nuovo utente che avrà i 5 attributi del nostro modello (specificando il parametro Instance con il valore $temp_UserAccount, oltre a diversi altri attributi che specifichiamo:

      New-ADUser -Instance $temp_UserAccount -Name 'Nelson Mendela' -SamAccountName 'Nelson.Mendela' -AccountPassword (Read-Host -AsSecureString "Input User Password") -Enabled $True
      

Possiamo utilizzare il comando Get-ADUser per vedere il nuovo utente:

      Get-ADUser -Identity Nelson.Mendela -Properties * | select `name,department,city,country,title,state
      

Si noti che le proprietà elencate sono le stesse per il nuovo utente e Benedict Cumberbatch:

Creare Utenti in Massa con uno Script PowerShell

Ora, utilizziamo uno script PowerShell per creare in blocco dieci account di Active Directory simili. Avranno tutti un nome utente quasi identico, eccetto per un numero alla fine che viene incrementato per ciascun utente. Imposteremo la stessa password predefinita (P@ssw0rd) per ognuno di loro, inviandola in uno stato protetto utilizzando il parametro ConvertTo-SecureString. Ecco lo script da utilizzare e i primi due utenti che esso crea:

      $path="OU=IT,DC=enterprise,DC=com"
$username="ITclassuser"
$count=1..10
foreach ($i in $count)
{ New-AdUser -Name $username$i -Path $path -Enabled $True -ChangePasswordAtLogon $true  `
-AccountPassword (ConvertTo-SecureString "P@ssw0rd" -AsPlainText -force) -passThru }
      

Ora rendiamo il nostro script più flessibile aggiungendo il parametro Read-Host, che ci solleciterà a inserire il nome utente base da utilizzare e il numero di utenti da creare:

      $path="OU=IT,DC=enterprise,DC=com"
$username=Read-Host "Enter name"
$n=Read-Host "Enter Number"
$count=1..$n
foreach ($i in $count)
{ New-AdUser -Name $username$i -Path $path -Enabled $True -ChangePasswordAtLogon $true  `
-AccountPassword (ConvertTo-SecureString "P@ssw0rd" -AsPlainText -force) -passThru }
      

Creare utenti in massa con l'importazione di un file CSV tramite PowerShell

Un'altra opzione per creare utenti in massa è importare i loro attributi da un file CSV. Questa opzione è ottima quando si dispone di un elenco di utenti con dettagli personali predefiniti come il loro nome, dipartimento e OU.

Il file CSV deve essere codificato in UTF8 e avere questo aspetto:

Lo script seguente creerà oggetti utente abilitati per tutti gli utenti nel CSV che non hanno già un account in Active Directory. L'opzione “Reimposta password al prossimo accesso” sarà abilitata per i nuovi account, così potrai utilizzare la tua password predefinita:

      #Define path to your import CSV file location in a variable as shown in below line.
$AD_Users = Import-csv C:\scripts\newusers.csv
foreach ($User in $AD_Users)
{
       $User_name    = $User.username
       $User_Password    = $User.password
       $First_name   = $User.firstname
       $Last_name    = $User.lastname
    $User_Department = $User.department
       $User_OU           = $User.ou
       #Below if-else condition will check if the user already exists in Active Directory.
       if (Get-ADUser -F {SamAccountName -eq $User_name})
       {
               #Will output a warning message if user exist.
               Write-Warning "A user $User_name has already existed in Active Directory."
       }
       else
       {
              #Will create a new user, if user is not available in Active Directory.
          
        #User account will be created in the OU listed in the $User_OU variable in the CSV file; it is necessary to change the domain name in the"-UserPrincipalName" variable in the script below.
              New-ADUser `
            -SamAccountName $User_name `
            -UserPrincipalName "$Username@example.com"
            -Name "$First_name $Last_name"
            -GivenName $First_name `
            -Surname $Last_name `
            -Enabled $True `
            -ChangePasswordAtLogon $True `
            -DisplayName "$Last_name, $First_name" `
            -Department $User_Department `
            -Path $User_OU `
            -AccountPassword (convertto-securestring $User_Password -AsPlainText -Force)
       }
}
      

Dopo aver eseguito lo script, abbiamo due nuovi utenti, Edward Franklin e Bill Jackson, nel nostro dominio Active Directory:

Creare account utente in massa con un file CSV

Spesso, è necessario creare utenti su base giornaliera o settimanale. Supponiamo che il tuo reparto HR ti fornisca i dettagli di ogni utente in un file CSV che si presenta in questo modo:

Per creare utenti da questo file, prima importiamo il file CSV nella variabile $import_users, con ogni record su una riga separata:

      $import_users = Import-Csv -Path c:\bulkuser.csv
      

Quindi creiamo gli utenti utilizzando lo script sottostante. Nota che prende la password di ogni utente dal file sorgente, la converte in una stringa sicura e la cripta.

      $import_users | ForEach-Object {New-ADUser -Name $($_.First + " " + $_.Last) -GivenName $_.First -Surname $_.Last -Department $_.Department -State $_.State -EmployeeID $_.EmployeeID -DisplayName $($_.First + " " + $_.Last) -Office $_.OfficeName -UserPrincipalName $_.UserPrincipalName -SamAccountName $_.samAccountName -AccountPassword $(ConvertTo-SecureString $_.Password -AsPlainText -Force) -City $_.City -StreetAddress $_.Address -Title $_.Title -Company $_.Company -EMailAddress $_.Email -Path $_.OU -Enabled $True}
      

Possiamo utilizzare il seguente comando per rivedere i nuovi utenti e le loro proprietà:

      Get-ADUser -Filter 'Name -like "*"' -SearchBase "OU=BaseOU,DC=milkyway,DC=local" -Properties * | select name,samaccountname,title,department,city,state,employeeid,userprincipalname,mail,streetaddress
      

Come Netwrix può aiutare nella creazione di utenti in Active Directory

La fornitura degli utenti è un compito senza fine. Ogni giorno, le organizzazioni devono:

• Provisionare nuovi account utente in Active Directory.
• Aggiornate gli account utente quando gli utenti cambiano nome, passano a un altro dipartimento e così via.
• Aggiungi utenti e rimuovi utenti dai gruppi di sicurezza per garantire che abbiano i permessi appropriati.
• Disattiva e disabilita gli account quando gli utenti lasciano l'organizzazione.

Inoltre, per garantire una sicurezza solida e la produttività degli utenti, tutte queste attività devono essere completate con precisione, affidabilità e tempestività.

Netwrix Directory Manager semplifica la gestione di gruppi e utenti per Active Directory, Azure AD e Microsoft 365. In particolare, è possibile provisionare e deprovisionare utenti AD attraverso una sincronizzazione automatica e bidirezionale dei dati con i sistemi HR, come database SQL o Oracle. .Vediamo alcune schermate che illustrano la GUI di Synchronize.

• La seguente schermata mostra i provider che possono essere utilizzati come fonte di dati in un lavoro di Sincronizzazione.

• La seguente schermata mostra che Active Directory è selezionato come provider di destinazione per la creazione di oggetti utente, contatto, casella di posta e utente esterno abilitato alla posta. Come provider di origine, possiamo utilizzare archivi dati semplici (ad esempio, testo o CSV) fino a complessi (ad esempio, Microsoft SQL Server o Oracle Server).

• La seguente schermata mostra che puoi scegliere di creare diversi oggetti (come utenti abilitati alla casella di posta, utenti abilitati alla posta e contatti) nella destinazione. Puoi anche aggiornare questi oggetti nella destinazione quando si verifica un cambiamento nel provider di origine.

• Il pulsante dell'opzione Crea ti consente di creare gli oggetti corrispondenti nella destinazione.
• Il pulsante dell'opzione Salta ti consente di aggiornare gli oggetti corrispondenti nella destinazione.

Conclusione

Ora che hai visto come creare utenti in Active Directory utilizzando PowerShell, prova i comandi e gli script mostrati qui nel tuo ambiente e esplora i molti altri parametri del cmdlet New-ADUser.

Assicurati quindi di dare un'occhiata a Netwrix Directory Manager. Combina i vantaggi di ADAC e PowerShell offrendo un'interfaccia grafica intuitiva per eseguire e automatizzare le tue attività di provisioning e deprovisioning degli utenti.

FAQ

D: Cos'è new-ADUser in Active Directory?

A: New-ADUser è un comando PowerShell per la creazione di un utente di Active Directory.

D: Come utilizzo il cmdlet PowerShell new-ADUser?

A: Per utilizzare New-ADUser, specifica quanti più parametri possibili, come in questo comando di esempio:

      New-ADUser -Name "Jason Bourne" -GivenName "Jason" -Surname "Bourne" -SamAccountName "Jason-Bourne" -AccountPassword (ConvertTo-SecureString -AsPlainText “webdir123R” -Force) -ChangePasswordAtLogon $True -Company "Versacorp" -Title "CEO" -State "California" -City "San Francisco" -Description "Test Account Creation" -EmployeeNumber "45" -Department "Engineering" -DisplayName "Jason Bourne" -Country "US" -PostalCode "94001" -Enabled $True
      

D: Come posso creare un nuovo utente in Active Directory?

A: Puoi creare facilmente un nuovo utente utilizzando Active Directory Users and Computers, ma potresti non essere in grado di popolare tutte le proprietà dell'utente di cui hai bisogno e non puoi creare account utente in blocco. Un'alternativa più potente e flessibile è PowerShell. Ecco un esempio di come puoi utilizzare il cmdlet New-ADUser per creare un utente in Active Directory e popolare molti attributi comuni:

      New-ADUser -Name "Mike Hussey" -GivenName "Mike" -Surname "Hussey" -SamAccountName "Mike-Hussey" -AccountPassword (ConvertTo-SecureString -AsPlainText “Sas123R” -Force) -ChangePasswordAtLogon $True -Company "DeltaCorp" -Title "COO" -State "California" -City "San Jose" -Description "Test Account Creation-2" -EmployeeNumber "46" -Department "Operations" -DisplayName "Mike Hussey" -Country "US" -PostalCode "94089" -Enabled $True
      

D: Come posso creare 1.000 utenti in Active Directory?

A: Puoi utilizzare il cmdlet PowerShell New-ADUser per creare molti account utente basati su un file CSV contenente i dettagli per ogni utente. Un'opzione ancora più semplice è utilizzare Netwrix Directory Manager, che offre una procedura guidata facile da usare e accetta input non solo da file CSV ma anche da database SQL Server e Oracle.