搜索 Active Directory：如何查找 AD 对象

在本文中，您将了解如何搜索 Active Directory 以查找 AD 对象，例如用户、计算机、OU 和组。有多种用于搜索 AD 的选项，您可以使用内置的 Active Directory 用户和计算机控制台 (ADUC)、PowerShell 或第三方工具。在本指南中，我将向您展示这三个方面的示例。

使用 ADUC 控制台搜索 Active Directory

1.单击查找图标

使用 Active Directory 用户和计算机单击查找图标。

2.选择对象类型

在查找下拉列表中选择您要搜索的对象类型。在此示例中，我将搜索特定用户帐户并从整个目录中进行选择。如果要在特定容器或 OU 中搜索，请单击浏览按钮。

3.输入关键字进行搜索

在提供的字段中（取决于您选择的对象）输入您要搜索的关键字，然后单击“立即查找”按钮。在我的示例中，我正在查找名称中包含 Smith 的所有用户。我在“名称：”字段中输入 smith，然后单击“立即查找”按钮。

示例 2：在 Active Directory 中搜索 OU

在第二个示例中，我正在搜索以字母“mar”开头的所有组织单位。我在查找框中选择组织单位，在名称：字段中输入“mar”，然后单击立即查找。我的搜索返回了三个包含单词 mar 的 OU。

示例 3：自定义 Active Directory 搜索

自定义搜索允许您在对象内搜索并搜索非常具体的详细信息，例如城市、州、邮政编码、地址以及对象中存在的基本上任何字段。常见查询是一种快速、简单的方法，可以查找已禁用的帐户、未过期的密码以及在一定时间内未登录的帐户。

在此示例中，我将搜索用户

打开查找对象窗口后，选择自定义搜索 -> 字段 -> “用户”，然后选择“城市”

您可以从上面的屏幕截图中看到用户对象中可以在搜索中选择和使用的所有不同字段。

在条件字段中选择“开始于”，然后在值字段中输入“spr”。

这将显示所有以“spr”开头的城市。您还可以将条件设置为“是（完全）”，并在值字段中输入完整的城市名称。

您可以通过打开搜索结果之一然后单击地址选项卡来验证结果。

示例 4：使用常见查询查找所有禁用帐户

在此示例中，我将向您展示如何使用内置的常见查询在 AD 中查找禁用用户。

从查找下拉菜单中选择“常见查询”。然后单击禁用帐户框，然后单击“立即查找”按钮。

我的搜索发现 15 个帐户已被禁用。

示例 5：使用常见查询在 Active Directory 中搜索未过期的密码

在此示例中，我将向您展示如何查找密码未过期的用户帐户。这可能是一个重大的安全风险，发现并审查它们非常重要。

单击“永不过期的密码”框，然后单击“立即查找”按钮

我的搜索返回了 8 个密码设置为不过期的帐户。我建议在您的 AD 环境中运行此搜索并识别所有设置为不过期的帐户。您的用户不应设置永不过期的密码，并且通常仅用于服务帐户。

示例5：查找30天内未登录的帐户。

从上次登录后的天数下拉列表中选择“30 天”，然后单击“立即查找”。

您可以从下拉菜单中看到，您可以选择 30、60、90、120 或 180。我建议搜索 90 天或更长时间未登录的帐户，并验证这些帐户是否仍然有效。您可能会惊讶于您的域中有多少帐户从未登录过。

我的搜索返回了两个 30 天没有登录的帐户。

使用 PowerShell 搜索 Active Directory

PowerShell 是搜索 AD 以查找用户、计算机、组和其他对象的绝佳选择。以下是用于搜索 AD 的各种 PowerShell cmdlet 的命令和链接。

• Get-ADUser - 此命令用于搜索 AD 用户帐户。在本文中，我提供了十个不同的示例来说明如何在 AD 中搜索用户帐户。
• Get-ADComputer - 此命令用于搜索 Active Directory 中的计算机帐户。
• Get-ADGroup - 搜索单个或多个 AD 组。我在本文中提供了几个示例，包括如何运行通配符搜索。
• Get-ADGroupMember - 获取 Active Directory 组的成员。我分解了搜索群组并显示群组成员的步骤。我还向您展示了如何将结果导出到 CSV 文件。

正如您所看到的，使用 Active Directory 用户和计算机控制台搜索 Active Directory 非常容易，但它确实有其局限性。对于更高级的搜索和快速导出 AD 对象，我建议查看我列出的 PowerShell cmdlet。

我希望您喜欢这篇文章，如果您有疑问或意见，请发表评论。