Get-ADUserフィルターを最適化する

Nov 29 2020

ADで、同じEmployeeID値が2つ以上のレコードに入力されているユーザーアカウントを特定しようとしています。以下は私のコードです（クレジット：ここでShow-Progress定義された関数を使用しています）。Get-ADUserコマンドだけですべてのレコードをフェッチするのに2時間以上かかりました。他のステップ（2から5）はかなり迅速でした。作業を完了している間、PowerShellを使用してこれをより効率的に実行できたかどうかを確認しようとしています。

Get-ADUser -LDAPFilter "(&(ObjectCategory=Person)(objectclass=user)(employeeid=*))" -Properties $properties -Server $server_AD_GC -ResultPageSize 1000 | 
    # *ISSUE HERE*
    #    The Get-ADUser extract process seems to work very slow.
    #    However, it is important to note that the above command will be retrieving more than 200K records
    # NOTE: I've inferred that employeeid is an indexed attribute and is replicated to GlobalCatalogs and hence have used it in the filter
    Show-Progress -Activity "(1/5) Getting AD Users ..." |
select $selectPropsList -OutVariable results_UsersBaseSet | Group-Object EmployeeID | Show-Progress -Activity "(2/5) Grouping on EmployeeID ..." | ? { $_.Count -gt 1 } | 
    Show-Progress -Activity "(3/5) Filtering only dup EmpID records ..." | 
select -Exp Group | 
    Show-Progress -Activity "(4/5) UnGrouping ..." | 
Export-Csv "C:\Users\me\op_GetADUser_w_EmpID_Dupes_EntireForest - $([datetime]::Now.ToString("MM-dd-yyyy_hhmmss")).csv" -NoTypeInformation |
    Show-Progress -Activity "(5/5) Exporting ..." | 
Out-Null

PS：最初にすべてのユーザーアカウントをcsvファイルにエクスポートしてから、Excelで後処理しようとしましたが、データセットのサイズが原因で眉をひそめなければならず、時間とメモリの両方が不足していました。

どんな提案でも大歓迎です。

回答

2 Theo Nov 29 2020 at 16:20

我々はしているかわからないので$propertiesまたは$selectPropsList、あなたの質問は、同じ社員が、右発行されたユーザーにアウト見つけることについては本当にありますか？
デフォルトでは、Get-ADUserはすでに次のプロパティを返します。

DistinguishedName、Enabled、GivenName、Name、ObjectClass、ObjectGUID、SamAccountName、SID、Surname、UserPrincipalName

したがって、追加で必要なのは、私が推測するEmployeeIDだけです。たくさんのプロパティを収集しようとすると速度が低下するため、これを最小限に抑えることで処理速度を上げることができます。

次に、Show-Progressリンクしたスクリプトを使用すると、スクリプトの実行が大幅に遅くなります。あなたは本当にプログレスバーを持っている必要がありますか？アクティビティステップを含む行をコンソールに直接書き込んでみませんか？

また、すべてを一緒に配管することは、スピード部門でも役に立ちません。

$server_AD_GC = 'YourServer' $selectPropsList = 'EmployeeID', 'Name', 'SamAccountName', 'Enabled'
$outFile = "C:\Users\me\op_GetADUser_w_EmpID_Dupes_EntireForest - $([datetime]::Now.ToString("MM-dd-yyyy_hhmmss")).csv"

Write-Host "Step (1/4) Getting AD Users ..." 
$users = Get-ADUser -Filter "EmployeeID -like '*'" -Properties EmployeeID -Server $server_AD_GC -ResultPageSize 1000

Write-Host "Step (2/4) Grouping on EmployeeID ..."
$dupes = $users | Group-Object -Property EmployeeID | Where-Object { $_.Count -gt 1 } Write-Host "Step (3/4) Collecting duplicates ..." $result = foreach ($group in $dupes) {
    $group.Group | Select-Object $selectPropsList
}

Write-Host "Step (4/4) Exporting ..."
$result | Export-Csv -Path $outFile -NoTypeInformation

Write-Host  "All done" -ForegroundColor Green

^{PSはGet-ADUserすでにユーザーオブジェクトのみを返すため、LDAPフィルターは必要ありません(ObjectCategory=Person)(objectclass=user)。使用-Filter "EmployeeID -like '*'"はおそらくより速いです}