Welche Attribute des Active Directory zeigen PowerShell-Cmdlets an?

Cmdlets wie Get-ADUser oder Get-ADComputer geben standard­mäßig nur einen Teil der Attribute für die abge­fragten Objekte aus. Über den Parameter Properties kann man sie dazu über­reden, mehr Infor­ma­tionen preis­zugeben. Eine Über­sicht auf TechNet zeigt, mit welchen Cmdlets man welche AD-Attribute erhält.

Startet man etwa eine Abfrage mit Get-ADUser, dann erhält man standard­mäßig für jedes zurück­gegebene Objekt 10 Attribute. Solche, die sich nicht darunter befinden, kann man explizit über den Parameter Properties anfordern.

Gibt man dafür als Wert das Wildcard '*' an, dann zeigt das Cmdlet das gesamte Set der erweiterten Attribute. Schließlich kann man noch den LDAP-Anzeigename nutzen, um jedes beliebige Attribut zu bekommen.

Bei den direkt unterstützten Attributen, seien es die standardmäßig ausgegebenen oder die erweiterten, bereiten die AD-Cmdlets das Ergebnis häufig benutzer­freundlich auf, etwa durch Konvertierung von Byte-Arrays in eine Zeichen­kette.

Verschiedene Attribute je nach Cmdlet

Etwas verwirrend ist, dass unterschiedliche Cmdlets die gleichen AD-Objekte abfragen können, aber dabei verschiedene Attribute zurück­liefern. Das gilt etwa für Get-ADUser und Get-ADObject. Daher ist es das Anliegen eines auf TechNet erschienen Artikels, hier einen Überblick zu geben. Dieser berücksichtigt folgende Cmdlets:

• Get-ADUser
• Get-ADComputer
• Get-ADGroup
• Get-ADObject
• Get-ADOrganizationalUnit
• Get-ADServiceAccount
• Search-ADAccount

Eine umfangreiche Tabelle listet für jedes von ihnen auf, welche Attribute es standard­mäßig ausgibt und welche man über den Parameter Properties als erweiterte Eigenschaften erhält. Die Aufstellung findet sich auf dieser Seite.