powershell - Get-Aduser -Filter将不接受变量

我想检查系统中是否已存在用户帐户。

$SamAc = Read-Host 'What is your username?'
$User = Get-ADUser -Filter {sAMAccountName -eq "$SamAc"}

我不确定为什么，但是即使$User应该为true，{sAMAccountName -eq "$SamAc"}也会始终返回null。

我在这里想念什么？

编辑:

这是缺少的内容:

$User = Get-ADUser -Filter "sAMAccountName -eq '$SamAc'"

编者注:脚本块({ ... })被替换为字符串。

最佳答案

现有答案中包含有值(value)的信息，但我认为更集中的摘要会有所帮助。请注意，此答案的原始形式提倡严格避免使用脚本块和AD提供程序变量评估，这些建议已被更细微的建议所取代。
tl;博士

Get-ADUser -Filter 'sAMAccountName -eq $SamAc'

不要引用变量引用("$SamAc")。

仅使用简单的变量引用(例如$SamAc)；不支持表达式(例如$SamAc.Name或$("admin_" + $SamAc))；如有必要，请使用中间辅助变量；例如。:

$name = "admin_" + $SamAc; Get-ADUser -Filter 'sAMAccountName -eq $name'

通常，仅支持一部分PowerShell操作符，即使那些操作符也不总是以相同的方式运行-请参阅底部。

使用'...'引用整个-Filter参数。

使用脚本块({ ... })时，Get-ADUser -Filter { sAMAccountName -eq $SamAc }从技术上讲也可行，从概念上讲是有问题的-请参阅底部。

警告:如果您通过implicitly remoting module使用Get-ADUser-无论是通过 Import-PSSession 自行创建，还是在PowerShell v7 +中，通过Windows Compatibility feature-'...'和{ ... }都不起作用，因为然后在远程计算机上对变量引用进行求值，以查找变量那里(徒劳)；如果(Get-Command Get-ADUser).CommandType返回Function，则说明您使用的是隐式远程处理模块。

在这种情况下，您必须使用PowerShell的string interpolation("...")或文字和变量引用/表达式的字符串连接，以便将任何变量/表达式值“烘烤”到字符串中，例如:Get-ADUser -Filter "sAMAccountName -eq `"$SamAc`""

注意，对于字符串操作数，则必须使用嵌入式引号。

另外，请确保在`字符串内使用$true -escape常量，例如$false，$null和"..."，以使PowerShell不会在前面扩展它们。

警告:这项技术可能不适用于所有数据类型。至少是[datetime]实例的默认字符串化(例如，AD提供程序无法识别01/15/2018 16:00:00；在这种情况下，将对实例的.ToFileTime()方法的调用结果嵌入到字符串中可能会有所帮助(未经测试)；我不清楚是否还有其他数据类型需要类似的解决方法。

背景

传递给-Filter的任何参数在传递给Get-ADUser cmdlet之前，都会强制转换为字符串first ，因为-Filter参数的类型为[string]-就像支持该参数的所有cmdlet一样；用Get-ADUser -?验证

通常，与-Filter一起使用，取决于cmdlet(底层PowerShell提供程序)使用与PowerShell 很少有共同点的特定于域的(查询)语言来解释该字符串。

在Get-ADUser的情况下，该特定于域的语言(查询语言)记录在 Get-Help about_ActiveDirectory_Filter 中。

注意:截至撰写本文时，该旧主题尚不存在更新版本； this GitHub issue请求一个。

使用Get-AdUser，该语言无疑是在PowerShell上建模的，但是它有很多局限性和某些行为上的区别，您必须意识到，尤其是:

仅支持PowerShell运算符的一个有限子集，其中一些表现出不同的行为。这是一个非详尽的 list :

-like / -notlike仅在通配符表达式中支持*(不包括?和字符集/范围([...])

'*'本身表示任何非空值(与PowerShell的通配符表达式不同，该通配符还匹配一个空值)。
*使用-eq ""代替-eq $null或-notlike '*'来测试字段是否为空。

某些AD字段(例如DistinguishedName)仅支持'*'本身，而不作为较大模式的一部分；也就是说，它们仅支持空度测试。

不支持正则表达式匹配。

-lt / -le和-gt / -ge仅执行词汇比较。

引用不存在/拼写错误的属性名称会使Get-ADUser命令悄悄地返回$null。

无法使用Enabled测试-eq $true属性-请参阅this answer。

如上所述，仅支持简单的变量引用(例如$SamAc)，不支持表达式(例如$SamAc.Name或$("admin_" + $SamAc))

虽然您可以使用脚本块({ ... })将变成字符串的内容传递给-Filter，并且此语法可以方便地嵌入引号，但由于两个原因，这是有问题的:

可能会误导您以为您正在传递一段PowerShell代码。值得注意的是，您可能很想使用不受支持的运算符和表达式，而不是简单的变量引用。

它会创建不必要的工作(尽管实际上不太可能)，因为您将强制PowerShell首先将过滤器作为PowerShell代码解析为过滤器，仅在将参数绑定(bind)到-Filter时才将结果转换回字符串。

关于powershell - Get-Aduser -Filter将不接受变量，我们在Stack Overflow上找到一个类似的问题：https://stackoverflow.com/questions/20075502/