如何将 CSV 与 AD 用户进行比较并禁用不在 CSV 中的用户？

Question

作为禁用用户的过程，我有一个 CSV，其中用户由员工 ID 而不是用户名标识。我需要遍历并将 CSV 与 AD 用户进行比较，并且需要禁用任何不在 CSV 中的 AD 用户。这是我到目前为止所拥有的，但它不起作用。我承认我对 powershell 脚本还很陌生，所以任何帮助都将不胜感激。

Import-Module ActiveDirectory  

Import-Csv -Path c:\ADTerm.csv | foreach {Get-ADUser -filter * -SearchBase "ou=Test,ou=Logins,dc=domain,dc=com" -Identity $_.employeeID} | Where {$_ -ne $null} | Disable-ADAccount -Identity $_.employeeID

Answer 1

如果不让它看起来很糟糕，我真的无法将这一切都放在评论中，所以让我们从这个开始吧。

您正在组合-Filter 和-Identity，这很可能不会获得您正在寻找的结果。使用身份来获取一个特定用户或使用过滤器来获取一对多。查看Get-AdUser 的 TechNet，您将看到 Identity 仅将值匹配到：

• 专有名称
• objectGUID
• objectSid
• sAMAccountName

在这方面，我看到您有一个EmployeeID 的专栏。我猜这些不是SamAccountName，这是-Identity 支持的值之一。我觉得您可以进行以下更改。

$IDs = Import-Csv -Path c:\ADTerm.csv | Select-object -ExpandProperty EmployeeID
Get-ADUser -filter * -SearchBase "ou=Test,ou=Logins,dc=domain,dc=com" -Properties EmployeeID | 
        Where-Object{$_.EmployeeID -and ($IDs -notcontains $_.EmployeeID)} | Disable-ADAccount

更新 get-aduser 以获取该 OU 中的所有用户。 Get-Aduser 默认不返回 EmployeeID，所以我们使用 -Properties 来指定它。过滤所有那些拥有employeeID 但不在列表中的用户。 Disable-ADAccount 将很好地获取Get-AdUser 的输出，因此无需再次指定帐户。

根据您的情况，您可能会将此值存储为 AD 中的 EmployeeNumber。这也取决于您是否拥有一个包含 EmployeeNumber 列的 csv 文件