Uložené dotazy v konzole ADUC (Active Directory Users and Computers) mmc umožňují vytvářet složité filtry LDAP pro výběr objektů Active Directory. Tyto dotazy lze ukládat, upravovat a kopírovat do jiných počítačů. Uložené dotazy Active Directory můžete použít pro rychlé a efektivní vyhledání objektů AD na základě různých kritérií. Uložené dotazy mohou pomoci rychle provádět běžné úlohy správy objektů AD: zobrazit seznam všech zakázaných účtů v doméně, vybrat všechny uživatele společnosti, kteří mají poštovní schránky na daném serveru Exchange atd.
Při použití uložených dotazů LDAP může správce provádět skupinové operace s objekty z různých jednotek (kontejnerů) služby Active Directory. Například lze provádět hromadné operace uzamčení/odemčení/povolení/zakázání, přesunutí, odstranění, přejmenování v rámci objektů/účtů AD. Takové dotazy v konzole ADUC umožňují obejít hierarchickou strukturu jednotek OU ve službě Active Directory a shromáždit všechny potřebné objekty v plochém tabulkovém zobrazení.
Uložené dotazy služby Active Directory byly poprvé zavedeny v systému Windows Server 2003 a v pozdějších verzích systému Windows Server získaly další podporu. Chcete-li používat uložené dotazy AD, musíte mít v počítači nainstalovanou konzolu ADUC (je součástí nástrojů pro správu RSAT).
Jak vytvořit uložený dotaz v konzole MMC služby Active Directory?
Podívejme se na několik typických příkladů použití uložených dotazů LDAP v konzole Active Directory Users and Computers pro vyhledávání objektů. Předpokládejme, že potřebujeme zobrazit seznam aktivních uživatelských účtů, názvy jejich oddělení a e-mailové adresy.
- Otevřete konzolu ADUC (
dsa.msc
), klikněte pravým tlačítkem myši na položku Uložené dotazy a vyberte možnost Nový – > Dotaz; - V poli Název zadejte název uloženého dotazu, který se má zobrazit v konzole ADUC.
- V poli Kořen dotazu můžete zadat kontejner (OU), ve kterém chcete vyhledávat. Ve výchozím nastavení se vyhledávání podle kritérií dotazu provádí v celé doméně AD. V našem příkladu zúžíme rozsah hledání výběrem kontejneru Brasil;
- Poté klikněte na tlačítko Definovat dotaz a v rozevíracím seznamu Najít vyberte možnost Vlastní hledání;
- Přejděte na kartu Upřesnit a zkopírujte následující dotaz LDAP do pole Zadat dotaz LDAP. Tento dotaz vybírá povolený uživatelský účet (viz další příklady dotazů LDAP v tabulce níže):
(&(objectcategory=person)(objectclass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2))
- Uložení změn kliknutím na tlačítko OK;
- Vyberte vytvořený dotaz v konzole ADUC, stiskněte klávesu F5 a sestavte seznam objektů. Výsledkem bude, že se v pravém okně zobrazí seznam uživatelů, který odpovídá vašemu dotazu LDAP;
- Chcete-li zobrazit další atributy uživatelů (e-mailová adresa, oddělení atd.), otevřete nabídku Zobrazit v konzole ADUC a vyberte možnost Přidat/odebrat sloupce;
- Přidejte požadované sloupce. Přidali jsme 3 další pole: Uživatelské přihlašovací jméno, e-mailová adresa, oddělení;
- Výsledný seznam uživatelských účtů lze uložit do souboru CSV nebo TXT pro další analýzu a import do aplikace Excel. To provedete kliknutím pravým tlačítkem myši na uložený dotaz a výběrem položky nabídky Exportovat seznam.
Poznámka: Data z AD můžete získat také pomocí prostředí PowerShell a uložit je přímo do souboru aplikace Excel.
V konzole ADUC můžete vytvořit řadu různých uložených dotazů uspořádat je do stromové struktury. Tímto způsobem můžete vytvořit pohodlnou kolekci dotazů LDAP pro rychlé provádění běžných úloh správy služby AD.
Institut snap-in ADUC mmc podporuje několik režimů vytváření uložených dotazů služby Active Directory. Není nutné pokaždé ručně zadávat kód filtru LDAP. Dotaz AD můžete vytvořit pomocí jednoduchého grafického průvodce. Jednoduše vyberete různé atributy objektů AD a pomocí nich vyhledáte objekty podle požadovaných kritérií. Například pro výpis všech objektů počítačů se systémem Windows Server v doméně:
- Vyhledat -> Počítače;
- Přejděte na kartu Upřesnit ;
- Pole -> Operační systém;
- Hvězdy s -> zadejte kritéria ‚
Windows Server *
‚
*
(můžete zadat ‚*Server*
‚). Do uloženého dotazu lze přidat více kritérií vyhledávání. Uložení dotazu a obnovení seznamu objektů jej v konzole ADUC. V seznamu se zobrazí všechny objekty Windows Server ve vaší doméně.
Uložené dotazy jsou uloženy lokálně v počítači, ve kterém byly vytvořeny. Soubor XML obsahující nastavení je umístěn zde: C:\Users\%USERNAME%\AppData\Roaming\Microsoft\MMC\DSA). Pro přenos uložených dotazů AD mezi počítači existuje funkce pro import/export dotazů jako souborů XML v souboru dsa.msc (Export Query Definition/Import Query Definition).
Příklady užitečných uložených dotazů pro Active Directory MMC
Následující tabulka obsahuje příklady běžně používaných dotazů LDAP pro výběr objektů Active Directory. Můžete si je uložit do konzoly ADUC pro každodenní použití.
Použití filtrů LDAP v prostředí PowerShell
Výše uvedené filtry LDAP můžete použít k vyhledání objektů AD v konzole PowerShell. Většina rutin z modulu Active Directory prostředí PowerShell má speciální parametr LdapFilter. V tomto parametru je třeba zadat dotaz LDAP. Například:
Komplementy Get-ADUser, Get-ADComputer a Get-ADGroup jsou specializované a slouží k vyhledání objektů určitého typu – uživatelů, počítačů nebo skupin. Pokud neznáte typ požadovaného objektu služby AD nebo pokud potřebujete informace o všech typech objektů, použijte běžnější rutinu Get-ADObject. Chcete-li například vyhledat objekt podle identifikátoru SID:
.