發佈日期:
如何利用PowerShell指令‧更新AD帳戶屬性(attribute)
01. 今天同事問到一個問題,就是為何公司的人走了,資料還在出現在Outlook的地址簿內呢?明明AD帳戶已經停用了,細問下原來在AD帳戶中,有一項是屬性(attribute),控制此帳戶資料是否出現在地址簿內。
02. 既然知道是AD帳戶屬性問題,只要將其更改便可以了。但雖則只是10幾個帳戶,但一個個改又好像要點時間。那不如研究一下如何利用PowerShell的『Set-ADUser』作更改。
03. 先用『Get-ADUser』找出出現問題的帳戶,就是那些已停用但屬性仍未刪除的帳戶,其中SamAccountName就是用來定義下一步-Identity需要的內容。
Get-ADUser -Filter "enabled -eq 'False' -and extensionAttribute14 -eq 'AzureADsync'" -SearchBase "ou=dc=example,dc=com" -Server "example.com" -Properties Name, SamAccountName, extensionAttribute14 | Select Name, SamAccountName, extensionAttribute14
04. 找出一堆的帳戶,直接將屬性更改為
Set-ADUser -Server "example.com" -Identity <SamAccountName> -Replace @{extensionAttribute14="<not set=''>"}
05. 在RSAT檢查一下帳戶,帳戶的屬性真的改成了<not set=”>。但用Get-ADUser將帳戶倒出來,便會看到其實屬性是要設為null,而不是文字屬性<not set=”>。改用-clear選項,直接將屬性刪除便可。
Set-ADUser -Server "example.com" -Identity <SamAccountName> -clear extensionAttribute14
發佈留言