Med de gemte forespørgsler i Active Directory-brugere og -computere (ADUC) mmc-konsollen kan du oprette komplekse LDAP-filtre til at vælge Active Directory-objekter. Disse forespørgsler kan gemmes, redigeres og kopieres til andre computere. Du kan bruge de gemte Active Directory-forespørgsler til hurtigt og effektivt at finde AD-objekter baseret på forskellige kriterier. Gemte forespørgsler kan hjælpe dig med hurtigt at udføre almindelige AD-objektadministrationsopgaver: Vis en liste over alle deaktiverede konti i et domæne, vælg alle brugere i en virksomhed, der har postkasser på en given Exchange-server osv.

Når du bruger gemte LDAP-forespørgsler, kan administratoren udføre gruppeoperationer med objekter fra forskellige OU’er (containere) i Active Directory. Du kan f.eks. udføre bulk-operationer til låsning/oplåsning/aktivering/deaktivering, flytning, sletning, omdøbning under AD-objekter/konti. Sådanne forespørgsler i ADUC-konsollen giver dig mulighed for at omgå den hierarkiske struktur af OU’er i Active Directory og samle alle de nødvendige objekter i en flad tabelvisning.

Active Directory Saved Queries blev først indført i Windows Server 2003 og fik yderligere understøttelse i de senere Windows Server-versioner. For at kunne bruge gemte AD-forespørgsler skal du have ADUC-konsollen installeret på din computer (er en del af RSAT-administrationsværktøjerne).

Hvordan opretter man en gemt forespørgsel i Active Directory MMC-konsollen?

Lad os se på et par typiske eksempler på at bruge gemte LDAP-forespørgsler i Active Directory Users and Computers-konsollen til at søge efter objekter. Antag, at vi skal vise listen over aktive brugerkonti, deres afdelingsnavne og e-mailadresser.

1. Åbn ADUC-konsollen (dsa.msc), højreklik på Gemte forespørgsler, og vælg Ny – > forespørgsel;
2. I feltet Navn skal du angive navnet på den gemte forespørgsel, der skal vises i ADUC-konsollen.
3. I feltet Forespørgselsrod kan du angive den container (OU), som du vil søge i. Som standard udføres søgningen efter forespørgselskriterierne på tværs af hele AD-domænet. I vores eksempel indsnævrer vi søgeområdet ved at vælge Brasil-containeren;
4. Klik derefter på knappen Definer forespørgsel, og vælg Brugerdefineret søgning i rullelisten Find;
5. Gå til fanen Avanceret, og kopier følgende LDAP-forespørgsel i feltet Indtast LDAP-forespørgsel. Denne forespørgsel vælger aktiveret brugerkonto (se andre eksempler på LDAP-forespørgsler i tabellen nedenfor):
   (&(objectcategory=person)(objectclass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2))
6. Sparer ændringerne ved at klikke på OK;
7. Selekter den oprettede forespørgsel i ADUC-konsollen, tryk på F5 for at oprette objektlisten. Som følge heraf vises en liste over brugere i det højre vindue, der passer til din LDAP-forespørgsel;
8. For at få vist de yderligere brugerattributter (e-mailadresse, afdeling osv.) skal du åbne menuen Vis i ADUC-konsollen og vælge Tilføj/fjern kolonner;
9. Føj de ønskede kolonner til. Vi har tilføjet 3 ekstra felter: Den resulterende liste over brugerkonti kan gemmes i en CSV- eller TXT-fil med henblik på yderligere analyse og import til Excel. Det gør du ved at højreklikke på den gemte forespørgsel og vælge menupunktet Eksporter liste.
   Bemærk.Du kan også hente data fra AD ved hjælp af PowerShell og gemme dem direkte til en Excel-fil.

   

I ADUC-konsollen kan du oprette en række forskellige gemte forespørgsler organisere dem i en træstruktur. På denne måde kan du oprette en praktisk samling af LDAP-forespørgsler til hurtigt at udføre almindelige AD-administrationsopgaver.

Den ADUC mmc snap-in understøtter flere måder at opbygge gemte Active Directory-forespørgsler på. Det er ikke nødvendigt at angive LDAP-filterkoden manuelt hver gang. Du kan oprette din AD-forespørgsel med en simpel grafisk guiden. Du skal blot vælge forskellige attributter for AD-objekter og bruge dem til at søge efter objekter i henhold til de ønskede kriterier. Du kan f.eks. liste alle Windows Server-computerobjekter i et domæne:

1. Søg -> Computere;
2. Gå til fanen Avanceret ;
3. Felter -> Operativsystem;
4. Stjerner med -> Angiv dine kriterier ‘Windows Server *‘

Spar forespørgslen, og opdater objektlisten i ADUC-konsollen. Listen viser alle Windows Server-objekter i dit domæne.

De gemte forespørgsler gemmes lokalt på den computer, hvor de blev oprettet. Den XML-fil, der indeholder indstillingerne, findes her: C:\Users\%USERNAME%\AppData\Roaming\Microsoft\MMC\DSA). Hvis du vil overføre AD-gemte forespørgsler mellem computere, er der en funktion til at importere/eksportere forespørgslerne som XML-filer i dsa.msc (Export Query Definition/Import Query Definition).

Nyttige eksempler på gemte forespørgsler til Active Directory MMC

Den følgende tabel indeholder eksempler på almindeligt anvendte LDAP-forespørgsler til at vælge Active Directory-objekter. Du kan gemme dem i din ADUC-konsol til daglig brug.

Brug af LDAP-filtre i PowerShell

Du kan bruge ovenstående LDAP-filtre til at finde AD-objekter i PowerShell-konsollen. De fleste cmdlets fra PowerShell Active Directory-modulet har en særlig LdapFilter-parameter. Du skal angive din LDAP-forespørgsel i denne parameter. For eksempel:

Get-ADUser, Get-ADComputer og Get-ADGroup cmdlets er specialiserede cmdlets og bruges til at finde objekter af en bestemt type – brugere, computere eller grupper. Hvis du ikke ved, hvilken type AD-objekt du vil have, eller hvis du har brug for oplysninger om alle typer objekter, skal du bruge den mere almindelige cmdlet Get-ADObject. Du kan f.eks. søge efter et objekt ved hjælp af SID: