دستور Set-ADUser امکان تغییر ویژگی های کاربران را در Active Directory با استفاده از PowerShell فراهم می کند. در روش سنتی از طریق کنسول ADUC ادمین ها می توانند ویژگی های Object ها در اکتیودایرکتوری را تغییر دهند. از طریق کنسول ADUC برخی ویژگی ها در دسترس هستند و امکان تغییر آنها وجود دارد و با وارد شدن به تب Attribute Editor می توانید به تمام ویژگی های آن شیء دسترسی داشته باشید و تغییرات را در آن اعمال کنید. ولی نکته منفی اینجاست که بصورت گروهی نمی توانید روی تعدادی یوزر یه تغییر را اعمال کنید(البته از طریق AD saved queries تا حدودی امکان پذیر است). از این رو در این مطلب به چند نمونه مثال از دستور Set-ADUser برای تغییر ویژگی های کاربر می پردازیم.

Modifying User Properties in Active Directory with PowerShell

Get-ADUser حدود 50 گزینه مربوط به ویژگی های AD (شهر، شرکت، بخش، توضیحات، EmailAddress، MobilePhone، سازمان، UserPrincipalName و غیره) دارد. با استفاده از دستور زیر می توانید لیست ویژگی های موجود را نمایش دهید:

Get-Help Set-ADUser -Parameter *|ft

نام کاربری که می خواهید ویژگی های AD را برای آن تغییر دهید در گزینه Identity مشخص شده است (مثلاsAMAccountName ، SID ، Distinguished Name یا objectGUID مشخص کنید).
با دستور Get-ADUser در مطلب قبلی آشنا شدیم. به عنوان مثال ، مقدار ویژگی Title یک کاربر خاص را با استفاده از Get-ADUser مشاهده کنیم. توجه داشته باشید در این دستور و در دستورات بعدی مقادیر خودتان را جایگزین مقادیر موجود کنید.

Get-ADUser -Identity h.mohammadi -Properties title|select-object name,title

برای تغییر job title این کاربر با دستورات پاورشل کافیست دستور زیر را استفاده کنید:

Set-ADuser h.mohammadi -title “Junior DevOps Engineer”

شما همچنین می توانید چندین Attribute را بصورت همزمان تغییر دهید. برای مثال، یک آدرس ایمیل جدید و لیستی از کامپیوترهایی که کاربر مجاز به لاگین در آنها است را تنظیم کنیم:

Set-ADUser h.mohammadi -EmailAddress [email protected] -LogonWorkstations 'munx32f2r13,munx32f2r15

دستور زیر یک حساب کاربری را در دامین غیرفعال می کند:

Set-ADUser h.mohammadi -Enabled $False

با دستور می توانید تصویر پروفایل کاربر در اکتیودایرکتوری را تغییر دهید:

Set-ADUser h.mohammadi -Replace @{thumbnailPhoto=([byte[]](Get-Content "C:\scripts\ad\h.mohammadi.jpg" -Encoding byte))}

با استفاده از گزینه های Set-ADUser می توانید مقادیر سایر ویژگی های کاربر را در AD ویرایش کنید. برای مثال برای تغییر Phone Number یک کاربر از دستور زیر می توانید استفاده کنید:

Set-ADUser h.mohammadi -MobilePhone $NewNumber

یا

Set-ADUser h.mohammadi -replace @{'MobilePhone' = $($Number) }

یا می توانید همزمان چندین attribute را تغییر دهید:

Set-ADUser h.mohammadi -Replace @{title="Senior DevOps";company="XYZ"}

How to Bulk Modify Active Directory Users Attributes?

کار جالب تر دیگری که می توانید انجام دهید این است که attribute های چندین کاربر را همزمان تغییر دهید. به عنوان مثال ، دستور زیر مقدار ویژگی UserAccountControl را تغییر می دهد و همه کاربران را از OU مشخص شده مجبور می کند رمزهای عبور خود را در لاگین بعدی تغییر دهند:

Get-ADUser -Filter * -SearchBase "OU=Users,OU=DE,DC=khoshamoz,DC=ir" | Set-ADUser -ChangePasswordAtLogon $true

حتی می توانید بروزرسانی attribute های کاربر را از طریق یک فایل CSV انجام دهید. بعنوان مثال شما یک فایل CSV با لیست حساب ها ، عناوین و شماره تلفن ها دارید(فرمت فایل SamAccountName, Title, MobilePhone است).


برای به روزرسانی attribute های کاربر با استفاده از مقادیر موجود در فایل CSV، دستور PowerShell زیر را اجرا کنید:

Import-Csv "C:\scripts\ad\update_ad_users.csv" | foreach {Set-ADUser -Identity $_.SamAccountName -Title $_.Title -MobilePhone $_.MobilePhone}

کارهایی که با دستور Set-ADUser در خصوص کاربران اکتیودایرکتوری می توانید انجام دهید بسیار بیشتر از چیزی است که ما در این مطلب گفتیم. برای ادمین حرفه ای شدن نیاز به یادگیری دستورات پاورشل دارید تا در شرایط لازم، با صرف کمترین زمان و سرعت بالا کار را بهترین شکل انجام دهید.