如何使用 PowerShell 创建新的 Active Directory 用户

在 Active Directory 域中创建新用户的最简单方法是使用 Active Directory 用户和计算机 (ADUC) MMC 管理单元或 Active Directory 管理中心 (ADAC)。但是，如果这些工具不可用或者您需要执行更复杂的任务（例如批量创建多个用户帐户）怎么办？输入 PowerShell，这是一个强大而灵活的工具，用于创建 Active Directory 帐户等。

本博客回顾了使用 ADUC 和 ADAC 创建新 Active Directory 用户的过程，然后深入研究 PowerShell cmdlet New-ADUser。我们将介绍此 cmdlet 的主要用例并提供其完整语法，以便您可以进一步探索。

使用 ADUC 创建 AD 用户

要使用 Active Directory 用户和计算机管理单元在 Active Directory 中创建新用户，请执行以下步骤：

1. 您可以通过以下两种方式打开ADUC控制台：

   • 在“运行”对话框中键入dsa.msc，然后单击确定

     

2. 打开服务器管理器并单击工具 > Active Directory 用户和计算机。

   

3. 右键单击要在其中创建用户的 OU，然后选择新建 > 用户：

   

4. 指定有关用户的详细信息，然后单击下一步。

   

5. 提供密码并选择所需的密码选项。然后点击下一步。

   

6. 检查您指定的详细信息，然后单击完成在 Active Directory 中创建用户。

   

使用 ADAC 创建 AD 用户

Active Directory 管理中心在用户创建过程中提供比 ADUC 更多的选项。以下是使用 ADAC 创建用户所需执行的步骤：

1. 通过以下任一方式打开 ADAC 控制台：

   • 在“运行”对话框中键入dsac.exe。

     

2. 打开服务器管理器并单击工具 > Active Directory 管理中心。

   

3. ADAC接口如下图所示。正如您所看到的，它提供了比 ADUC 更多的选项，例如：

   • 搜索
4. 域内轻松导航

5. 用于执行常见操作的快速链接（在右侧窗格中）
   要创建新的 AD 用户，请单击新建。

   

6. 在“创建用户”窗口中，指定要为新用户配置的选项。然后点击确定。

   

使用 PowerShell 创建 AD 用户

使用ADUC和ADAC，添加单个用户很简单，但它们都缺乏批量创建用户的功能。 PowerShell 提供了多种方法，不仅可以创建单个用户，还可以批量创建 Active Directory 用户对象。让我们首先回顾一下我们将使用的 cmdlet 的语法和参数：New-ADUser。

您可以将某些参数与 New-ADUser 命令一起使用来填充最常见的用户属性。

• 使用 OtherAttributes 参数，您可以更改与 cmdlet 参数无关的属性值。使用此参数时，请确保将属性名称括在单引号中。
• 要创建用户，您必须提供 SamAccountName 参数。
• 新用户的容器或组织单位 (OU) 由 Path 参数指定。当未使用 Path 选项时，cmdlet 会在域的默认用户对象容器中创建一个用户对象。

以下技术描述了使用此 cmdlet 构建对象的各种方法：

• 使用 New-ADUser 命令，提供常用参数和值，并使用 OtherAttributes 参数设置任何其他值。
• 您还可以从模板创建新用户。使用 Instance 参数创建新用户或将现有用户复制到新对象。 Instance 参数中使用的对象用作模板。

• 要批量创建 Active Directory 用户对象，请将 Import-Csv cmdlet 与 New-ADUser cmdlet 结合使用。

  1. 导入包含对象属性列表的 CSV 文件，以使用 Import-Csv cmdlet 构建自定义对象。
• 然后，可以使用 New-ADUser cmdlet 通过将这些对象传递到其管道来构造用户对象。

在开始之前，我们需要通过运行以下命令来启用 Microsoft Windows Server 2008R2/2012 及更高版本中内置的 Active Directory PowerShell 模块：

New-ADUser Cmdlet：语法

现在让我们回顾一下 New-ADUser cmdlet 的语法：

Get-Command New-ADUser –Syntax

以下是相同格式的信息，您可以根据需要复制和修改：

New-ADUser   [-WhatIf]   [-Confirm]   [-AccountExpirationDate <DateTime>]   [-AccountNotDelegated <Boolean>]   [-AccountPassword <SecureString>]   [-AllowReversiblePasswordEncryption <Boolean>]   [-AuthenticationPolicy <ADAuthenticationPolicy>]   [-AuthenticationPolicySilo <ADAuthenticationPolicySilo>]   [-AuthType <ADAuthType>]   [-CannotChangePassword <Boolean>]
   [-Certificates <X509Certificate[]>]   [-ChangePasswordAtLogon <Boolean>]   [-City <String>]
   [-Company <String>]   [-CompoundIdentitySupported <Boolean>]   [-Country <String>]
   [-Credential <PSCredential>]   [-Department <String>]   [-Description <String>]   [-DisplayName <String>]   [-Division <String>]   [-EmailAddress <String>]   [-EmployeeID <String>]   [-EmployeeNumber <String>]   [-Enabled <Boolean>]   [-Fax <String>]   [-GivenName <String>]
   [-HomeDirectory <String>]   [-HomeDrive <String>]   [-HomePage <String>]   [-HomePhone <String>]
   [-Initials <String>]   [-Instance <ADUser>]   [-KerberosEncryptionType <ADKerberosEncryptionType>]   [-LogonWorkstations <String>]   [-Manager <ADUser>]   [-MobilePhone <String>]   [-Name] <String>   [-Office <String>]   [-OfficePhone <String>]
   [-Organization <String>]   [-OtherAttributes <Hashtable>]   [-OtherName <String>]   [-PassThru]
   [-PasswordNeverExpires <Boolean>]   [-PasswordNotRequired <Boolean>]   [-Path <String>]
   [-POBox <String>]   [-PostalCode <String>]   [-PrincipalsAllowedToDelegateToAccount <ADPrincipal[]>]   [-ProfilePath <String>]   [-SamAccountName <String>]   [-ScriptPath <String>]
   [-Server <String>]   [-ServicePrincipalNames <String[]>]   [-SmartcardLogonRequired <Boolean>]
   [-State <String>]   [-StreetAddress <String>]   [-Surname <String>]   [-Title <String>]   [-TrustedForDelegation <Boolean>]   [-Type <String>]   [-UserPrincipalName <String>]

新 ADUser：参数

New-ADUser cmdlet 提供了 60 多个参数，但您不需要立即了解它们。以下是创建 AD 用户帐户最常用的方法：

习惯

指定帐户的到期日期

指定帐户的密码

运行命令时选择认证类型

防止帐户所有者更改密码（通常用于服务帐户）

强制用户下次登录时更改账户密码

指定用户帐户的城市

指定用户帐户的公司

收到运行 cmdlet 的确认提示

指定用户帐户所在的国家/地区

使用备用凭据运行命令

指定用户的部门

指定用户帐户的描述

指定帐户的显示名称

指定帐户的电子邮件地址

指定用户的员工 ID

启用用户帐户

基于现有帐户创建用户帐户，例如与您正在创建的帐户具有相同部门和职务属性的用户帐户

指定用户帐户的管理员

指定用户帐户的office属性

指定用户的组织

指定 cmdlet 中没有对应参数的属性的值，例如 extensionAttribute1 到 15 属性

强制帐户密码永不过期

指定帐户（例如服务帐户）不需要密码

指定用于创建用户帐户的 OU 路径

指定帐户的 SAMAccountName 属性，这是用于支持运行早期版本的 Windows（例如 Windows NT 4.0、Windows 95 或 LAN Manager）的客户端和服务器的登录名

运行命令时连接到备用 DC

指定用户所在的美国州

指定用户的地址

指定用户的头衔

指定用户对象的类型，例如普通用户或inetOrgPerson用户

指定帐户的 userPrincipalName (UPN)，这通常是用户用于登录的名称

查看 cmdlet 的输出而不实际运行它

使用 PowerShell 创建用户的常见场景

现在，我们来了解一下使用 PowerShell 来配置用户帐户的一些主要方法：

• 创建一个新的用户帐户。
• 在特定 OU 中创建用户帐户。
• 创建用户并设置 cmdlet 参数未涵盖的属性。
• 创建 inetOrgPerson 用户。
• 基于现有 AD 用户创建新用户。
• 使用 PowerShell 脚本批量创建用户。
• 通过从 CSV 文件导入用户属性来批量创建用户。
• 使用 CSV 文件创建多个用户帐户。

创建新用户帐户

示例 1：仅指定帐户名。

让我们从最简单的情况开始：通过仅指定名称属性来创建新的用户帐户。例如：

New-ADUser B.Johnson

运行此命令将创建用户，但不会显示任何输出。要检查用户是否添加成功，我们可以使用以下脚本列出所有 Active Directory 用户：

Get-ADUser -Filter * -Properties samAccountName | select samAccountName

就在那里，列表中的最后一个！

但是，请注意，我们刚刚创建的用户具有更多属性，而不仅仅是名称；默认设置以下属性：

• 该帐户是在“用户”容器中创建的。
• 该帐户已被禁用。
• 该帐户是域用户组的成员。
• 用户首次登录时必须重置密码。

许多所需的属性未填充。特别是没有设置密码。

示例 2：指定附加属性。

因此，让我们通过指定更多属性来创建一个实际可用的新帐户：

New-ADUser -Name "Jack Robinson" -GivenName "Jack" -Surname "Robinson" -SamAccountName "J.Robinson" -UserPrincipalName "[email protected]" -Path "OU=Managers,DC=enterprise,DC=com" -AccountPassword(Read-Host -AsSecureString "Input Password") -Enabled $true

Read-Host 参数将要求您输入新密码。请注意，密码应满足域安全策略的长度、复杂性和历史记录要求。

现在让我们通过运行以下 cmdlet 查看结果：

Get-ADUser J.Robinson -Properties CanonicalName, Enabled, GivenName, Surname, Name, UserPrincipalName, samAccountName, whenCreated, PasswordLastSet  | Select CanonicalName, Enabled, GivenName, Surname, Name, UserPrincipalName, samAccountName, whenCreated, PasswordLastSet

示例 3：指定更多属性。

要创建具有更多属性的完整用户帐户，请使用以下命令。

New-ADUser -Name "Jason Bourne" -GivenName "Jason" -Surname "Bourne" -SamAccountName "Jason-Bourne" -AccountPassword (ConvertTo-SecureString -AsPlainText “webdir123R” -Force) -ChangePasswordAtLogon $True -Company "Versacorp" -Title "CEO" -State "California" -City "San Francisco" -Description "Test Account Creation" -EmployeeNumber "45" -Department "Engineering" -DisplayName "Jason Bourne" -Country "US" -PostalCode "94001" -Enabled $True

让我们看一下新用户的一些属性：

Get-ADUser -Identity Jason-bourne -Properties * | select name,samaccountname,company,title,department,city,state,country,description,employeenumber,postalcode

在特定 OU 中创建用户帐户

如上所述，默认情况下，New-ADUser cmdlet 在域的“用户”容器中创建新用户。要在不同的 OU 中创建用户，请使用 -Path 参数以及所需 OU 的可分辨名称：

New-ADUser -Name "Jason Bourne" -Path "OU=NBC,DC=milkyway,DC=local" -GivenName "Jason" -Surname "Bourne" -SamAccountName "Jason-Bourne" -AccountPassword (ConvertTo-SecureString -AsPlainText “webdir123R” -Force ) -ChangePasswordAtLogon $True -DisplayName "Jason Bourne" -Enabled $True

创建用户并设置新 ADUser 参数之外的属性

New-ADUser cmdlet 的 60 多个参数涵盖了新用户的常见属性，但仍有大量不常用的属性。您可以使用-OtherAttributes参数填充它们。在此示例中，我们填充 extensionattribute1 和自定义属性 carlicense：

New-ADUser -Name "Jason Bourne" -Path "OU=NBC,DC=milkyway,DC=local" -GivenName "Jason" -Surname "Bourne" -SamAccountName "Jason-Bourne" -AccountPassword (ConvertTo-SecureString -AsPlainText “webdir123R” -Force ) -ChangePasswordAtLogon $True -DisplayName "Jason Bourne" -Enabled $True -OtherAttributes @{'extensionattribute1'="director";'carlicense'="LWG3852"}

让我们使用 Get-ADUser 命令验证结果，如下所示。

Get-ADUser -Identity Jason-bourne -Properties * | select name,extensionattribute1,carlicense

创建 inetOrgPerson 用户

Active Directory 中的大多数用户对象都具有用户 类。但您也可以使用 inetOrgPerson 类创建用户对象，该类以 user 作为父类。 inetOrgPerson类有助于与某些应用程序集成，并简化某些用户对象到 Active Directory 的迁移。

要创建 inetOrgPerson 用户帐户，只需包含 -Type 参数并指定 inetOrgPerson 作为其值：

New-ADUser -Name "Benedict Cumberbatch" -Path "OU=NBC,DC=milkyway,DC=local" -GivenName "Benedict" -Surname "Cumberbatch" -SamAccountName "Benedict.Cumberbatch" -AccountPassword (ConvertTo-SecureString -AsPlainText “webdir123R” -Force ) -ChangePasswordAtLogon $True -DisplayName "Benedict Cumberbatch" -Enabled $True -Type iNetOrgPerson

在下面的屏幕截图中，请注意新用户 Benedict Cumberbatch 的类型以及我们之前创建的用户 Jason Bourne 的类型：

使用密码创建新的 Active Directory 用户帐户

创建的帐户具有以下默认属性：

• 帐户是在“用户”容器中创建的。
• 帐户已被禁用。
• 帐户是域用户组的成员。
• 没有设置密码。
• 用户首次登录时必须重置密码。

因此，要创建一个实际可用的新帐户，我们需要使用 Enable-ADAccount cmdlet 启用它，并使用 Set-ADAccountPassword cmdlet 为其指定密码。

因此，让我们创建一个具有以下属性的新帐户：

姓名 - 杰克·罗宾逊

名字 - 杰克

姓氏 - 罗宾逊

帐户名称 - J.Robinson

用户主体名称 - [email protected]

路径地址 - “OU=Managers,DC=enterprise,DC=com”

密码输入

状态 - 已启用

这是我们将使用的脚本：

New-ADUser -Name "Jack Robinson" -GivenName "Jack" -Surname "Robinson" -SamAccountName "J.Robinson" -UserPrincipalName "[email protected]" -Path "OU=Managers,DC=enterprise,DC=com" -AccountPassword(Read-Host -AsSecureString "Input Password") -Enabled $true

Read-Host 参数将要求您输入新密码。请注意，密码应满足域安全策略的长度、复杂性和历史记录要求。

现在让我们通过运行以下 cmdlet 查看结果：

Get-ADUser J.Robinson -Properties CanonicalName, Enabled, GivenName, Surname, Name, UserPrincipalName, samAccountName, whenCreated, PasswordLastSet  | Select CanonicalName, Enabled, GivenName, Surname, Name, UserPrincipalName, samAccountName, whenCreated, PasswordLastSet

基于现有用户创建新用户

有时，您想要创建一个具有与现有用户几乎所有相同属性的新用户。首先，我们需要根据现有用户创建一个模板。在这里，我们创建一个包含用户 Benedict Cumberbatch 的 5 个属性的模板。第二行将 userPrincipalName 的值设置为 null，因为该属性在林范围内是唯一的。该模板存储在 $temp_UserAccount 变量中。

$temp_UserAccount = Get-ADUser -Identity Benedict.Cumberbatch -Properties State,Department,Country,City,title
$temp_UserAccount.UserPrincipalName = $null

现在我们可以创建一个新用户，该用户将具有模板中的 5 个属性（通过指定具有值 $temp_UserAccount 的 Instance 参数），以及我们指定的其他几个属性：

New-ADUser -Instance $temp_UserAccount -Name 'Nelson Mendela' -SamAccountName 'Nelson.Mendela' -AccountPassword (Read-Host -AsSecureString "Input User Password") -Enabled $True

我们可以使用 Get-ADUser 命令来查看新用户：

Get-ADUser -Identity Nelson.Mendela -Properties * | select `name,department,city,country,title,state

请注意，我们列出的属性对于新用户和 Benedict Cumberbatch 是相同的：

使用 PowerShell 脚本批量创建用户

现在，让我们使用 PowerShell 脚本批量创建 10 个类似的 Active Directory 帐户。他们都具有几乎相同的用户名，除了末尾的数字会根据每个用户递增。我们将为每个人设置相同的默认密码 (P@ssw0rd)，并使用 ConvertTo-SecureString 参数以受保护的状态发送它。这是要使用的脚本及其创建的前两个用户：

$path="OU=IT,DC=enterprise,DC=com"
$username="ITclassuser"
$count=1..10
foreach ($i in $count)
{ New-AdUser -Name $username$i -Path $path -Enabled $True -ChangePasswordAtLogon $true  `

-AccountPassword (ConvertTo-SecureString "P@ssw0rd" -AsPlainText -force) -passThru }

现在，让我们通过添加 Read-Host 参数来使我们的脚本更加灵活，这将提示我们输入要使用的用户名和要创建的用户数量：

$path="OU=IT,DC=enterprise,DC=com"
$username=Read-Host "Enter name"
$n=Read-Host "Enter Number"
$count=1..$n
foreach ($i in $count)
{ New-AdUser -Name $username$i -Path $path -Enabled $True -ChangePasswordAtLogon $true  `

-AccountPassword (ConvertTo-SecureString "P@ssw0rd" -AsPlainText -force) -passThru }

通过 CSV 导入批量创建用户

批量创建用户的另一个选项是从 CSV 文件导入其属性。当您有一个包含预定义个人详细信息（例如姓名、部门和 OU）的用户列表时，此选项非常有用。

CSV 文件必须采用 UTF8 编码，如下所示：

以下脚本将为 CSV 中尚未在 Active Directory 中拥有帐户的任何用户创建启用的用户对象。新帐户将启用“下次登录时重置密码”选项，因此您可以使用默认密码：

#Define path to your import CSV file location in a variable as shown in below line.
$AD_Users = Import-csv C:\scripts\newusers.csv

foreach ($User in $AD_Users)
{

       $User_name    = $User.username
       $User_Password    = $User.password
       $First_name   = $User.firstname
       $Last_name    = $User.lastname
    $User_Department = $User.department
       $User_OU           = $User.ou

       #Below if-else condition will check if the user already exists in Active Directory.
       if (Get-ADUser -F {SamAccountName -eq $User_name})
       {
               #Will output a warning message if user exist.
               Write-Warning "A user $User_name has already existed in Active Directory."
       }
       else
       {
              #Will create a new user, if user is not available in Active Directory.
          
        #User account will be created in the OU listed in the $User_OU variable in the CSV file; it is necessary to change the domain name in the"-UserPrincipalName" variable in the script below.
              New-ADUser `
            -SamAccountName $User_name `
            -UserPrincipalName "[email protected]"
            -Name "$First_name $Last_name"
            -GivenName $First_name `
            -Surname $Last_name `
            -Enabled $True `
            -ChangePasswordAtLogon $True `
            -DisplayName "$Last_name, $First_name" `
            -Department $User_Department `
            -Path $User_OU `
            -AccountPassword (convertto-securestring $User_Password -AsPlainText -Force)

       }
}

执行脚本后，我们的 Active Directory 域中就有了两个新用户，Edward Franklin 和 Bill Jackson：

使用 CSV 文件批量创建用户帐户

通常，需要每天或每周创建用户。假设您的人力资源部门在 CSV 文件中为您提供了每个用户的详细信息，如下所示：

要从此文件创建用户，我们首先将 CSV 文件导入到变量 $import_users 中，其中每条记录作为单独的行：

$import_users = Import-Csv -Path c:\bulkuser.csv

然后我们使用下面的脚本创建用户。请注意，它从源文件中获取每个用户的密码，将其转换为安全字符串并对其进行加密。

$import_users | ForEach-Object {New-ADUser -Name $($_.First + " " + $_.Last) -GivenName $_.First -Surname $_.Last -Department $_.Department -State $_.State -EmployeeID $_.EmployeeID -DisplayName $($_.First + " " + $_.Last) -Office $_.OfficeName -UserPrincipalName $_.UserPrincipalName -SamAccountName $_.samAccountName -AccountPassword $(ConvertTo-SecureString $_.Password -AsPlainText -Force) -City $_.City -StreetAddress $_.Address -Title $_.Title -Company $_.Company -EMailAddress $_.Email -Path $_.OU -Enabled $True}

我们可以使用以下命令来查看新用户及其属性：

Get-ADUser -Filter 'Name -like "*"' -SearchBase "OU=BaseOU,DC=milkyway,DC=local" -Properties * | select name,samaccountname,title,department,city,state,employeeid,userprincipalname,mail,streetaddress

Netwrix 如何提供帮助

用户配置是一项永无止境的任务。每天，组织都需要：

• 在 Active Directory 中配置新的用户帐户。
• 当用户更改姓名、切换部门等时更新用户帐户。
• 将用户添加到安全组或从安全组中删除用户，以确保他们拥有正确的权限。
• 当用户离开组织时取消配置和禁用帐户。

此外，为了确保强大的安全性和用户生产力，所有这些任务都需要准确、可靠、及时地完成。

Netwrix GroupID 简化了 Active Directory、Azure AD 和 Microsoft 365 的组和用户管理。特别是，您可以通过与 HR 系统（例如 SQL 或 Oracle 数据库）自动双向数据同步来配置和取消配置 AD 用户。让我们看一些描述同步 GUI 的屏幕截图。

• 以下屏幕截图显示了可用作同步作业中的数据源的提供程序。

  

• 以下屏幕截图显示选择 Active Directory 作为创建用户、联系人、邮箱和启用外部邮件的用户对象的目标提供程序。作为源提供商，我们可以使用简单（例如文本或 CSV）到复杂（例如 Microsoft SQL Server 或 Oracle Server）的数据存储。

  

• 以下屏幕截图显示您可以选择在目标处创建不同的对象（例如启用邮箱的用户、启用邮件的用户和联系人）。当源提供者发生更改时，您还可以在目标处更新这些对象。

  

• 通过“创建”选项按钮，您可以在目标位置创建相应的对象。
• 通过“跳过”选项按钮，您可以更新目标处的相应对象。

结论

现在您已经了解了如何使用 PowerShell 在 Active Directory 中创建用户，请在您自己的环境中尝试此处显示的命令和脚本，并探索 New -ADUser cmdlet 的许多其他参数。

然后一定要检查 Netwrix GroupID。它结合了 ADAC 和 PowerShell 的优点，提供用户友好的 GUI，用于执行和自动化用户配置和取消配置任务。

常见问题解答

问：什么是 Active Directory 中的 new-ADUser？

答： New-ADUser 是用于创建 Active Directory 用户的 PowerShell 命令。

问：如何使用新的 ADUser PowerShell cmdlet？

答：要使用 New-ADUser，请指定所需数量的参数，如以下示例命令所示：

New-ADUser -Name "Jason Bourne" -GivenName "Jason" -Surname "Bourne" -SamAccountName "Jason-Bourne" -AccountPassword (ConvertTo-SecureString -AsPlainText “webdir123R” -Force) -ChangePasswordAtLogon $True -Company "Versacorp" -Title "CEO" -State "California" -City "San Francisco" -Description "Test Account Creation" -EmployeeNumber "45" -Department "Engineering" -DisplayName "Jason Bourne" -Country "US" -PostalCode "94001" -Enabled $True

问：如何在 Active Directory 中创建新用户？

答：您可以使用 Active Directory 用户和计算机轻松创建新用户，但您可能无法填充所需的所有用户属性，也无法批量创建用户帐户。更强大、更灵活的替代方案是 PowerShell。以下示例说明了如何使用 New-ADUser cmdlet 在 Active Directory 中创建用户并填充许多常见属性：

New-ADUser -Name "Mike Hussey" -GivenName "Mike" -Surname "Hussey" -SamAccountName "Mike-Hussey" -AccountPassword (ConvertTo-SecureString -AsPlainText “Sas123R” -Force) -ChangePasswordAtLogon $True -Company "DeltaCorp" -Title "COO" -State "California" -City "San Jose" -Description "Test Account Creation-2" -EmployeeNumber "46" -Department "Operations" -DisplayName "Mike Hussey" -Country "US" -PostalCode "94089" -Enabled $True

问：如何在 Active Directory 中创建 1,000 个用户？

答：您可以使用 PowerShell cmdlet New-ADUser 基于包含每个用户详细信息的 CSV 文件创建多个用户帐户。一个更简单的选择是使用 Netwrix GroupID，它提供了一个易于使用的向导，不仅接受来自 CSV 文件的输入，还接受来自 SQL Server 和 Oracle 数据库的输入。