» Как экспортировать список пользюков из АД

Задача:
В файлик вытащить список учетных записей АД (юзер, группы в которых состоит юзер)

Чем можно это сотворить?
AD win2k3

Добавлено:
Ideal Administrator 2008 помог

файлик users.vbs создай со следующим кодом
my_domen.ru исправь на свой домен

Цитата:

Const ForAppending = 8
On Error Resume Next
'Путь, по которому будет писаться отчёт
path="c:\"
'Файл, в который будет писаться отчёт
file_name=path+"\users.txt"

Set fso = CreateObject("Scripting.FileSystemObject")
'Проверяем наличие папки
if (fso.FolderExists(path)) then
else Set Folder = fso.CreateFolder(path)
end if

Set objFSO = CreateObject("Scripting.FileSystemObject")
'Проверяем наличие файла, если есть то дописываем в конец
Set objTextFile = objFSO.OpenTextFile _
(file_name, ForAppending, True)

'Собственно поиск нужных юзеров
On Error Resume Next
Set objDomain = GetObject("WinNT://my_domen.ru")

for Each Item in objDomain
if Item.Class = "User" then
objTextFile.Write Item.FullName & VbCrLf
END if
Next
objTextFile.Close
WSCript.Echo "Всё"

с этим скриптом вытаскивает только полное имя, нужно еще User Logon Name.
делаю строку:
objTextFile.Write Item.FullName & vBTab & item.sAMAccountName & VbCrLf

но после ничего в файл не пишет.

IDaho
Попробуй так:

Код:
objTextFile.WriteLine Item.FullName & vBTab & Item.Name

пасиб работает!

Штатные утилиты LDIFDE и CSVDE тоже решают задачу не только экспорта, но и импорта, если таковой будет востребован.

еще вопрос, как дернуть прописанные в профиле у пользователя группы?

Вы будете смеяться но в самой оснастке AD "пользователи и компьютеры" можно щелкнуть правой кнопкой мыши на любом контейнере и там будет команда "экспортировать список..." экспортированы будут те столбцы которые вы видите на экране поэтому нужно заранее добавить те которые интересуют

Добавлено:

Цитата:

еще вопрос, как дернуть прописанные в профиле у пользователя группы?

http://forum.script-coding.info/viewtopic.php?id=4421

Valery12 пробовал смеяться, но не вышло, т.к. опция выбора колонок отсутствует. за линк спасибо

Цитата:

опция выбора колонок отсутствует

я ведь написал зарнее
выбрал контейнер, в окне со списком щелкнул правой кнопкой в любом свободном месте, меню вид - добавить или удалить столбцы, а уже потом когда нужные столбцы отобразились - "экспортировать список..."

граппы все равно не показывает... а они важнее чем все остальное

группы конечно нет, тут только скрипт.

Цитата:

Вы будете смеяться но в самой оснастке AD "пользователи и компьютеры" можно щелкнуть правой кнопкой мыши на любом контейнере и там будет команда "экспортировать список..." экспортированы будут те столбцы которые вы видите на экране поэтому нужно заранее добавить те которые интересуют

всё бы хорошо, только русские символы заменяются вопросительными знаками

beatlejuse
открой список в notepad++ и поменяй кодировку.

а на какую менять? вроде все перепробовал - никаких изменений

Ну в наш то продвинутый 21 век вроде можно и что-то вроде:
Get-ADUser -filter *|where {$_.enabled}
Сразу в utf8, со всеми полями, обрабатывай по самые не хочу.

Цитата:

Ну в наш то продвинутый 21 век вроде можно и что-то вроде

в наш продвинутый век надо ещё уточнять, куда ЭТО писать.
в цмд? вываливает ошибку...
если говорите "А", извольте говорить и "Б"

В powershell. В любой ОС выше xp\2003 есть. Да и на них можно поставить.
p.s. Я просто думал, по синтаксису понятно...

ага, в повершэле прокатило...
кстати, никаким утф там и не пахнет - всё также, с вопросиками.
а ещё простыня вываливается в окне, а неплохо бы заливать это в файлик

Добавлено:

Цитата:

Я просто думал, по синтаксису понятно...

ну не знаю... мне например этот синтаксис напомнил линух
а вообще наверное не все знают повершел

Цитата:

кстати, никаким утф там и не пахнет - всё также, с вопросиками.

У вас что-то с локалью в системе.

Цитата:

а неплохо бы заливать это в файлик

А чуть подумать? )
Get-ADUser -filter *|where {$_.enabled -eq $TRUE }|format-table name,samaccountname > out.txt

Добавлено:
поля для вывода(типа name, samaccountname) можно посмотреть в
get-aduser -filter *|get-member

Цитата:

Get-ADUser -filter *|where {$_.enabled -eq $TRUE }|format-table name,samaccountname > out.txt

вот теперь всё читаемо.
а какие ещё вещи можно выгружать? где можно найти все возможные параметры?
надо чтобы выгружалось, в каких группах каждый пользователь, блокирована ли учётка и когда последний раз менялся пароль

На данный момент выгружаются только включенные учетки(where {$_.enabled})
Список параметров в man`e:
get-help get-aduser -detailed
Выгружать (и изменять) при наличии прав можно любые аттрибуты.

подскажите, а как вывести в каких группах каждый усер, забловитрована ли учётка и когда последний раз менялся пароль?

Что-то типа этого:
Get-ADUser -filter * -properties memberof,enabled,pwdlastset|format-list name,samaccountname,enabled,pwdlastset,memberof
Время смены пароля в unix time, членство в группах в ldap нотации.

спасибо!

Добавлено:
что то время криво пишется. все числа вот такого размера:130243831555527966
если конвертировать то получается 15th April 4127264690 09:46:06 PM (UTC)
реальная дата должна быть примерно два месяца назад и рабочее время.
если отрезать лишние 8 знаков с конца или сначала - получится ерунда

Цитата:

что то время криво пишется

Ну я же сразу сказал - unix time.

да, это я понял. я же привёл пример числа. попробуйте перевести ))

Ну, не вопрос.
130243831555527966= 23 сентября 2013 г. 4:12:35 UTC
p.s. Оказывается, эти идиоты(MS) как обычно обнаружили фатальный недостаток unix time, и считают время в своих единицах от 01.01.1601 a.c. И почему я не особо удивлен.

Добавлено:
Еще вроде есть атрибут PasswordLastSet с человеческим временем, не требующим перевода из наркоманских единиц.

Возник ещё вопросик.
Параметр enabled показывает (не)отключенные учётки а как посмотреть заблокированные?
и где можно посмотреть все допустимые параметры?

Цитата:

посмотреть заблокированные

(where {$_.enabled -eq $false})

Цитата:

и где можно посмотреть все допустимые параметры?

Параметры чего? Командлетов powershell - get-help "о чем", атрибуты объектов AD - в AD.