Como criar novos usuários do Active Directory com o PowerShell

Ferramentas como ADUC e ADAC permitem que Sysadmins criem um novo usuário em um Active Directory com facilidade, mas possuem certas limitações quando se trata de criação de usuários em massa. O PowerShell é uma ferramenta poderosa e flexível para criar contas no Active Directory, e muito mais em larga escala.

Este blog analisa o processo de criação de um novo usuário do Active Directory com o cmdlet PowerShell New-ADUser. Vamos abordar os principais casos de uso para este cmdlet e fornecer sua sintaxe completa para que você possa explorá-lo mais a fundo.

Criando usuários do Active Directory com PowerShell

Usando ADUC e ADAC, é simples adicionar um único usuário, mas ambos não possuem a funcionalidade para criar usuários em massa. O PowerShell oferece várias maneiras de não apenas criar um único usuário, mas também de criar objetos de usuário do Active Directory em massa. Vamos começar revisando a sintaxe e os parâmetros do cmdlet que usaremos: New-ADUser.

Você pode usar certos parâmetros com o comando New-ADUser para preencher as propriedades mais comuns do usuário.

• Usando o parâmetro OtherAttributes, você pode alterar valores de propriedades que não estão relacionados aos parâmetros do cmdlet. Certifique-se de colocar o nome do atributo entre aspas simples ao usar este parâmetro.
• Para criar um usuário, você deve fornecer o parâmetro SamAccountName.
• The container or organizational unit (OU) for the new user is specified by the Path parameter. When the Path option is not used, the cmdlet creates a user object in the domain’s default user object container.

As técnicas a seguir descrevem várias maneiras de construir um objeto usando este cmdlet:

• Com o comando New-ADUser, forneça os parâmetros e valores comumente usados e defina quaisquer valores adicionais utilizando o parâmetro OtherAttributes.
• Você também pode criar um novo usuário a partir de um modelo. Use o parâmetro Instance para criar um novo usuário ou copiar um existente para o novo objeto. O objeto usado no parâmetro Instance é utilizado como modelo.
• Para criar objetos de usuário do Active Directory em massa, combine o cmdlet Import-Csv com o cmdlet New-ADUser.
  1. Importe um arquivo CSV com uma lista de propriedades de objetos para construir objetos personalizados usando o cmdlet Import-Csv.
  2. O cmdlet New-ADUser pode então ser usado para construir objetos de usuário passando esses objetos através de seu pipeline.

Antes de começarmos, precisamos ativar o módulo do PowerShell do Active Directory integrado ao Microsoft Windows Server 2008R2/2012 e superior executando este comando:

New-ADUser Cmdlet: Sintaxe

Agora vamos revisar a sintaxe do cmdlet New-ADUser:

      Get-Command New-ADUser –Syntax
      

Aqui estão as mesmas informações em um formato que você pode copiar e modificar de acordo com suas necessidades:

      New-ADUser   [-WhatIf]   [-Confirm]   [-AccountExpirationDate <DateTime>]   [-AccountNotDelegated <Boolean>]   [-AccountPassword <SecureString>]   [-AllowReversiblePasswordEncryption <Boolean>]   [-AuthenticationPolicy <ADAuthenticationPolicy>]   [-AuthenticationPolicySilo <ADAuthenticationPolicySilo>]   [-AuthType <ADAuthType>]   [-CannotChangePassword <Boolean>]
   [-Certificates <X509Certificate[]>]   [-ChangePasswordAtLogon <Boolean>]   [-City <String>]
   [-Company <String>]   [-CompoundIdentitySupported <Boolean>]   [-Country <String>]
   [-Credential <PSCredential>]   [-Department <String>]   [-Description <String>]   [-DisplayName <String>]   [-Division <String>]   [-EmailAddress <String>]   [-EmployeeID <String>]   [-EmployeeNumber <String>]   [-Enabled <Boolean>]   [-Fax <String>]   [-GivenName <String>]
   [-HomeDirectory <String>]   [-HomeDrive <String>]   [-HomePage <String>]   [-HomePhone <String>]
   [-Initials <String>]   [-Instance <ADUser>]   [-KerberosEncryptionType <ADKerberosEncryptionType>]   [-LogonWorkstations <String>]   [-Manager <ADUser>]   [-MobilePhone <String>]   [-Name] <String>   [-Office <String>]   [-OfficePhone <String>]
   [-Organization <String>]   [-OtherAttributes <Hashtable>]   [-OtherName <String>]   [-PassThru]
   [-PasswordNeverExpires <Boolean>]   [-PasswordNotRequired <Boolean>]   [-Path <String>]
   [-POBox <String>]   [-PostalCode <String>]   [-PrincipalsAllowedToDelegateToAccount <ADPrincipal[]>]   [-ProfilePath <String>]   [-SamAccountName <String>]   [-ScriptPath <String>]
   [-Server <String>]   [-ServicePrincipalNames <String[]>]   [-SmartcardLogonRequired <Boolean>]
   [-State <String>]   [-StreetAddress <String>]   [-Surname <String>]   [-Title <String>]   [-TrustedForDelegation <Boolean>]   [-Type <String>]   [-UserPrincipalName <String>]
      

New-ADUser: Parâmetros

O cmdlet New-ADUser oferece mais de 60 parâmetros, mas você não precisa conhecê-los todos imediatamente. Aqui estão os mais comumente usados para criar contas de usuário AD:

Cenários Comuns para Criar Usuários com PowerShell

Agora, vamos percorrer algumas das principais maneiras de usar o PowerShell para provisionar contas de usuário:

• Crie uma nova conta de usuário.
• Crie uma conta de usuário em uma OU específica.
• Crie um usuário e defina atributos que não são abrangidos pelos parâmetros do cmdlet.
• Crie um usuário inetOrgPerson.
• Crie um novo usuário com base em um usuário AD existente.
• Crie usuários em massa usando um script PowerShell.
• Crie usuários em massa importando seus atributos de um arquivo CSV.
• Crie várias contas de usuário usando um arquivo CSV.

Criar uma Nova Conta de Usuário

Exemplo 1: Especifique apenas o nome da conta

Vamos começar com o caso mais simples: criando uma nova conta de usuário especificando apenas o atributo de nome. Por exemplo:

      New-ADUser B.Johnson
      

Executar isso criará o usuário, mas não mostrará nenhum resultado. Para verificar se o usuário foi adicionado com sucesso, podemos listar todos os usuários do Active Directory usando o seguinte script:

      Get-ADUser -Filter * -Properties samAccountName | select samAccountName
      

Lá está, o último da lista!

No entanto, observe que o usuário que acabamos de criar possui mais atributos do que apenas um nome; os seguintes atributos são definidos por padrão:

• A conta é criada no contêiner “Users”.
• A conta está desativada.
• A conta é membro do grupo Domain Users.
• O usuário deve redefinir a senha no primeiro login.

Muitos atributos desejados não estão preenchidos. Em particular, nenhuma senha foi definida.

Exemplo 2: Especifique atributos adicionais

Assim, vamos criar uma nova conta que seja realmente utilizável, especificando mais atributos:

      New-ADUser -Name "Jack Robinson" -GivenName "Jack" -Surname "Robinson" -SamAccountName "J.Robinson" -UserPrincipalName "J.Robinson@enterprise.com" -Path "OU=Managers,DC=enterprise,DC=com" -AccountPassword(Read-Host -AsSecureString "Input Password") -Enabled $true
      

O parâmetro Read-Host solicitará que você insira uma nova senha. Observe que a senha deve atender aos requisitos de comprimento, complexidade e histórico da política de segurança do seu domínio.

Agora vamos dar uma olhada nos resultados executando o seguinte cmdlet:

      Get-ADUser J.Robinson -Properties CanonicalName, Enabled, GivenName, Surname, Name, UserPrincipalName, samAccountName, whenCreated, PasswordLastSet  | Select CanonicalName, Enabled, GivenName, Surname, Name, UserPrincipalName, samAccountName, whenCreated, PasswordLastSet
      

Exemplo 3: Especifique ainda mais atributos

Para criar uma conta de usuário completa com ainda mais atributos, use o seguinte comando.

      New-ADUser -Name "Jason Bourne" -GivenName "Jason" -Surname "Bourne" -SamAccountName "Jason-Bourne" -AccountPassword (ConvertTo-SecureString -AsPlainText “webdir123R” -Force) -ChangePasswordAtLogon $True -Company "Versacorp" -Title "CEO" -State "California" -City "San Francisco" -Description "Test Account Creation" -EmployeeNumber "45" -Department "Engineering" -DisplayName "Jason Bourne" -Country "US" -PostalCode "94001" -Enabled $True
      

Vamos analisar apenas alguns dos novos atributos do usuário:

      Get-ADUser -Identity Jason-bourne -Properties * | select name,samaccountname,company,title,department,city,state,country,description,employeenumber,postalcode
      

Criar uma Conta de Usuário em uma OU Específica

Como mencionado acima, por padrão, o cmdlet New-ADUser cria o novo usuário no contêiner “Users” no domínio. Para criar o usuário em uma OU diferente, use o parâmetro -Path com o nome distinto da OU desejada:

      New-ADUser -Name "Jason Bourne" -Path "OU=NBC,DC=milkyway,DC=local" -GivenName "Jason" -Surname "Bourne" -SamAccountName "Jason-Bourne" -AccountPassword (ConvertTo-SecureString -AsPlainText “webdir123R” -Force ) -ChangePasswordAtLogon $True -DisplayName "Jason Bourne" -Enabled $True<
      

Criar usuário e definir atributos além dos parâmetros New-ADUser

O cmdlet New-ADUser com mais de 60 parâmetros cobre os atributos comuns de um novo usuário, mas ainda existem muitos atributos menos comuns. Você pode preenchê-los usando o parâmetro -OtherAttributes. Neste exemplo, nós preenchemos extensionattribute1 e o atributo personalizado carlicense:

      New-ADUser -Name "Jason Bourne" -Path "OU=NBC,DC=milkyway,DC=local" -GivenName "Jason" -Surname "Bourne" -SamAccountName "Jason-Bourne" -AccountPassword (ConvertTo-SecureString -AsPlainText “webdir123R” -Force ) -ChangePasswordAtLogon $True -DisplayName "Jason Bourne" -Enabled $True -OtherAttributes @{'extensionattribute1'="director";'carlicense'="LWG3852"}
      

Vamos verificar os resultados usando o comando Get-ADUser, conforme mostrado abaixo.

      Get-ADUser -Identity Jason-bourne -Properties * | select name,extensionattribute1,carlicense
      

Criar um usuário inetOrgPerson

A maioria dos objetos de usuário no Active Directory tem a classe user. Mas você também pode criar objetos de usuário com a classe inetOrgPerson, que tem user como classe pai. A classe inetOrgPerson facilita a integração com certas aplicações e simplifica a migração de certos objetos de usuário para o Active Directory.

Para criar uma conta de usuário inetOrgPerson, basta incluir o parâmetro -Type e especificar inetOrgPerson como seu valor:

      New-ADUser -Name "Benedict Cumberbatch" -Path "OU=NBC,DC=milkyway,DC=local" -GivenName "Benedict" -Surname "Cumberbatch" -SamAccountName "Benedict.Cumberbatch" -AccountPassword (ConvertTo-SecureString -AsPlainText “webdir123R” -Force ) -ChangePasswordAtLogon $True -DisplayName "Benedict Cumberbatch" -Enabled $True -Type iNetOrgPerson<
      

Na captura de tela a seguir, observe o tipo do novo usuário Benedict Cumberbatch e o tipo do usuário Jason Bourne que criamos anteriormente:

Criar uma Nova Conta de Usuário do Active Directory com Senha

As contas são criadas com as seguintes propriedades padrão:

• A conta é criada no contêiner “Users”.
• A conta está desativada.
• A conta é membro do grupo Domain Users.
• Nenhuma senha foi definida.
• O usuário deve redefinir a senha no primeiro login.

Portanto, para criar uma nova conta que seja realmente utilizável, precisamos habilitá-la usando o cmdlet Enable-ADAccount e dar-lhe uma senha usando o cmdlet Set-ADAccountPassword.

Então, vamos criar uma nova conta com os seguintes atributos:

Nome – Jack Robinson

Nome Próprio – Jack

Sobrenome – Robinson

Nome da Conta – J.Robinson

Nome Principal do Usuário – J.Robinson@enterprise.com

Endereço do caminho – “OU=Managers,DC=enterprise,DC=com”

Entrada de Senha

Status – Ativado

Aqui está o script que usaremos:

      New-ADUser -Name "Jack Robinson" -GivenName "Jack" -Surname "Robinson" -SamAccountName "J.Robinson" -UserPrincipalName "J.Robinson@enterprise.com" -Path "OU=Managers,DC=enterprise,DC=com" -AccountPassword(Read-Host -AsSecureString "Input Password") -Enabled $true
      

O parâmetro Read-Host solicitará que você insira uma nova senha. Observe que a senha deve atender aos requisitos de comprimento, complexidade e histórico da política de segurança do seu domínio.

Agora vamos dar uma olhada nos resultados executando o seguinte cmdlet:

      Get-ADUser J.Robinson -Properties CanonicalName, Enabled, GivenName, Surname, Name, UserPrincipalName, samAccountName, whenCreated, PasswordLastSet  | Select CanonicalName, Enabled, GivenName, Surname, Name, UserPrincipalName, samAccountName, whenCreated, PasswordLastSet
      

Criar um Novo Usuário Baseado em um Usuário Existente

Às vezes, você quer criar um novo usuário que tenha quase todas as mesmas propriedades de um usuário existente. Primeiro, precisamos criar um modelo baseado no usuário existente. Aqui, criamos um modelo com 5 propriedades do usuário Benedict Cumberbatch. A segunda linha define o valor de userPrincipalName como nulo porque esse atributo é único em toda a floresta. O modelo é armazenado na variável $temp_UserAccount.

      $temp_UserAccount = Get-ADUser -Identity Benedict.Cumberbatch -Properties State,Department,Country,City,title
$temp_UserAccount.UserPrincipalName = $null
      

Agora podemos criar um novo usuário que terá os 5 atributos do nosso modelo (especificando o parâmetro Instance com o valor $temp_UserAccount, além de vários outros atributos que especificamos:

      New-ADUser -Instance $temp_UserAccount -Name 'Nelson Mendela' -SamAccountName 'Nelson.Mendela' -AccountPassword (Read-Host -AsSecureString "Input User Password") -Enabled $True
      

Podemos usar o comando Get-ADUser para ver o novo usuário:

      Get-ADUser -Identity Nelson.Mendela -Properties * | select `name,department,city,country,title,state
      

Observe que as propriedades que listamos são as mesmas para o novo usuário e Benedict Cumberbatch:

Criar Usuários em Massa com um Script PowerShell

Agora, vamos usar um script do PowerShell para criar em massa dez contas similares no Active Directory. Todas terão nomes de usuário quase idênticos, exceto por um número no final que é incrementado para cada usuário. Definiremos a mesma senha padrão (P@ssw0rd) para cada uma delas, enviando-a em um estado protegido usando o parâmetro ConvertTo-SecureString. Aqui está o script a ser usado e os dois primeiros usuários que ele cria:

      $path="OU=IT,DC=enterprise,DC=com"
$username="ITclassuser"
$count=1..10
foreach ($i in $count)
{ New-AdUser -Name $username$i -Path $path -Enabled $True -ChangePasswordAtLogon $true  `
-AccountPassword (ConvertTo-SecureString "P@ssw0rd" -AsPlainText -force) -passThru }
      

Agora vamos tornar nosso script mais flexível adicionando o parâmetro Read-Host, que nos solicitará o nome de usuário base a ser utilizado e o número de usuários a serem criados:

      $path="OU=IT,DC=enterprise,DC=com"
$username=Read-Host "Enter name"
$n=Read-Host "Enter Number"
$count=1..$n
foreach ($i in $count)
{ New-AdUser -Name $username$i -Path $path -Enabled $True -ChangePasswordAtLogon $true  `
-AccountPassword (ConvertTo-SecureString "P@ssw0rd" -AsPlainText -force) -passThru }
      

Criar usuários em massa com importação de CSV usando PowerShell

Outra opção para criar usuários em massa é importar seus atributos de um arquivo CSV. Essa opção é ótima quando você tem uma lista de usuários com detalhes pessoais predefinidos, como nome, departamento e OU.

O arquivo CSV deve estar codificado em UTF8 e ter esta aparência:

O script a seguir criará objetos de usuário habilitados para quaisquer usuários no CSV que ainda não possuam contas no Active Directory. A opção “Redefinir senha no próximo logon” será habilitada para as novas contas, para que você possa usar sua senha padrão:

      #Define path to your import CSV file location in a variable as shown in below line.
$AD_Users = Import-csv C:\scripts\newusers.csv
foreach ($User in $AD_Users)
{
       $User_name    = $User.username
       $User_Password    = $User.password
       $First_name   = $User.firstname
       $Last_name    = $User.lastname
    $User_Department = $User.department
       $User_OU           = $User.ou
       #Below if-else condition will check if the user already exists in Active Directory.
       if (Get-ADUser -F {SamAccountName -eq $User_name})
       {
               #Will output a warning message if user exist.
               Write-Warning "A user $User_name has already existed in Active Directory."
       }
       else
       {
              #Will create a new user, if user is not available in Active Directory.
          
        #User account will be created in the OU listed in the $User_OU variable in the CSV file; it is necessary to change the domain name in the"-UserPrincipalName" variable in the script below.
              New-ADUser `
            -SamAccountName $User_name `
            -UserPrincipalName "$Username@example.com"
            -Name "$First_name $Last_name"
            -GivenName $First_name `
            -Surname $Last_name `
            -Enabled $True `
            -ChangePasswordAtLogon $True `
            -DisplayName "$Last_name, $First_name" `
            -Department $User_Department `
            -Path $User_OU `
            -AccountPassword (convertto-securestring $User_Password -AsPlainText -Force)
       }
}
      

Após executar o script, temos dois novos usuários, Edward Franklin e Bill Jackson, no nosso domínio Active Directory:

Criar Contas de Usuário em Massa com um Arquivo CSV

Frequentemente, é necessário criar usuários diária ou semanalmente. Suponha que o departamento de RH forneça os detalhes de cada usuário em um arquivo CSV que se parece com isto:

Para criar usuários a partir deste arquivo, primeiro importamos o arquivo CSV para a variável $import_users, com cada registro em uma linha separada:

      $import_users = Import-Csv -Path c:\bulkuser.csv
      

Em seguida, criamos os usuários usando o script abaixo. Observe que ele pega a senha de cada usuário do arquivo de origem, converte-a em uma string segura e a criptografa.

      $import_users | ForEach-Object {New-ADUser -Name $($_.First + " " + $_.Last) -GivenName $_.First -Surname $_.Last -Department $_.Department -State $_.State -EmployeeID $_.EmployeeID -DisplayName $($_.First + " " + $_.Last) -Office $_.OfficeName -UserPrincipalName $_.UserPrincipalName -SamAccountName $_.samAccountName -AccountPassword $(ConvertTo-SecureString $_.Password -AsPlainText -Force) -City $_.City -StreetAddress $_.Address -Title $_.Title -Company $_.Company -EMailAddress $_.Email -Path $_.OU -Enabled $True}
      

Podemos usar o seguinte comando para revisar os novos usuários e suas propriedades:

      Get-ADUser -Filter 'Name -like "*"' -SearchBase "OU=BaseOU,DC=milkyway,DC=local" -Properties * | select name,samaccountname,title,department,city,state,employeeid,userprincipalname,mail,streetaddress
      

Como a Netwrix pode ajudar na criação de usuários no Active Directory

A provisão de usuários é uma tarefa sem fim. Todos os dias, as organizações precisam de:

• Provisione novas contas de usuário no Active Directory.
• Atualize as contas de usuário à medida que os usuários mudam seus nomes, trocam de departamentos e assim por diante.
• Adicione usuários e remova usuários de grupos de segurança para garantir que eles tenham as permissões adequadas.
• Desprovisione e desative contas quando os usuários deixarem a organização.

Além disso, para garantir uma segurança robusta e a produtividade do usuário, todas essas tarefas precisam ser realizadas com precisão, confiabilidade e prontidão.

Netwrix Directory Manager simplifica a gestão de grupos e usuários para Active Directory, Azure AD e Microsoft 365. Em particular, você pode provisionar e desprovisionar usuários do AD através de uma sincronização de dados automatizada e bidirecional com seus sistemas de RH, como bancos de dados SQL ou Oracle. Vamos dar uma olhada em algumas capturas de tela que mostram a GUI de Sincronização.

• A captura de tela a seguir mostra os provedores que podem ser usados como fonte de dados em um trabalho de Sincronização.

• A captura de tela a seguir mostra que o Active Directory está selecionado como o provedor de destino para a criação de objetos de usuário, contato, caixa de correio e usuário externo habilitado para e-mail. Como provedor de origem, podemos usar repositórios de dados simples (por exemplo, texto ou CSV) a complexos (por exemplo, Microsoft SQL Server ou Oracle Server).

• A captura de tela a seguir mostra que você pode escolher criar diferentes objetos (como usuários habilitados para caixa de correio, usuários habilitados para e-mail e contatos) no destino. Você também pode atualizar esses objetos no destino quando houver uma alteração no provedor de origem.

• O botão de opção Criar permite que você crie os respectivos objetos no destino.
• O botão de opção Skip permite que você atualize os respectivos objetos no destino.

Conclusão

Agora que você viu como criar usuários no Active Directory usando PowerShell, experimente os comandos e scripts mostrados aqui no seu próprio ambiente e explore os muitos outros parâmetros do cmdlet New-ADUser.

Então não deixe de conferir o Netwrix Directory Manager. Ele combina os benefícios do ADAC e do PowerShell ao oferecer uma interface gráfica amigável para realizar e automatizar suas tarefas de provisionamento e desprovisionamento de usuários.

FAQs

Q: O que é new-ADUser no Active Directory?

A: New-ADUser é um comando do PowerShell para criar um usuário do Active Directory.

Q: Como eu uso o cmdlet new-ADUser do PowerShell?

A: Para usar o New-ADUser, especifique tantos parâmetros quanto precisar, como neste comando de exemplo:

      New-ADUser -Name "Jason Bourne" -GivenName "Jason" -Surname "Bourne" -SamAccountName "Jason-Bourne" -AccountPassword (ConvertTo-SecureString -AsPlainText “webdir123R” -Force) -ChangePasswordAtLogon $True -Company "Versacorp" -Title "CEO" -State "California" -City "San Francisco" -Description "Test Account Creation" -EmployeeNumber "45" -Department "Engineering" -DisplayName "Jason Bourne" -Country "US" -PostalCode "94001" -Enabled $True
      

Q: Como eu crio um novo usuário no Active Directory?

A: Você pode criar um novo usuário facilmente usando o Active Directory Users and Computers, mas pode não ser capaz de preencher todas as propriedades do usuário que precisa e não pode criar contas de usuário em massa. Uma alternativa mais poderosa e flexível é o PowerShell. Aqui está um exemplo de como você pode usar o cmdlet New-ADUser para criar um usuário no Active Directory e preencher muitos atributos comuns:

      New-ADUser -Name "Mike Hussey" -GivenName "Mike" -Surname "Hussey" -SamAccountName "Mike-Hussey" -AccountPassword (ConvertTo-SecureString -AsPlainText “Sas123R” -Force) -ChangePasswordAtLogon $True -Company "DeltaCorp" -Title "COO" -State "California" -City "San Jose" -Description "Test Account Creation-2" -EmployeeNumber "46" -Department "Operations" -DisplayName "Mike Hussey" -Country "US" -PostalCode "94089" -Enabled $True
      

P: Como posso criar 1.000 usuários no Active Directory?

A: Você pode usar o cmdlet do PowerShell New-ADUser para criar várias contas de usuário com base em um arquivo CSV contendo os detalhes de cada usuário. Uma opção ainda mais fácil é usar o Netwrix Directory Manager, que oferece um assistente fácil de usar e aceita entradas não apenas de arquivos CSV, mas também de bancos de dados SQL Server e Oracle.