Mit den gespeicherten Abfragen in der MMC-Konsole von Active Directory-Benutzer und -Computer (ADUC) können Sie komplexe LDAP-Filter zur Auswahl von Active Directory-Objekten erstellen. Diese Abfragen können gespeichert, bearbeitet und auf andere Computer kopiert werden. Sie können die gespeicherten Active Directory-Abfragen verwenden, um schnell und effizient AD-Objekte auf der Grundlage verschiedener Kriterien zu finden. Gespeicherte Abfragen können Ihnen helfen, gängige AD-Objekt-Verwaltungsaufgaben schnell auszuführen: die Liste aller deaktivierten Konten in einer Domäne anzeigen, alle Benutzer eines Unternehmens auswählen, die Postfächer auf einem bestimmten Exchange-Server haben, usw.

Bei der Verwendung von gespeicherten LDAP-Abfragen kann der Administrator Gruppenoperationen mit Objekten aus verschiedenen OUs (Containern) von Active Directory durchführen. Zum Beispiel können Sie Massenoperationen zum Sperren/Entsperren/Aktivieren/Deaktivieren, Verschieben, Löschen und Umbenennen von AD-Objekten/Accounts durchführen. Solche Abfragen in der ADUC-Konsole ermöglichen es Ihnen, die hierarchische Struktur der OUs in Active Directory zu umgehen und alle erforderlichen Objekte in einer flachen Tabellenansicht zu sammeln.

Gespeicherte Active Directory-Abfragen wurden erstmals in Windows Server 2003 eingeführt und wurden in den späteren Windows Server-Versionen weiter unterstützt. Um gespeicherte AD-Abfragen zu verwenden, müssen Sie die ADUC-Konsole auf Ihrem Computer installiert haben (ist ein Teil der RSAT-Verwaltungstools).

Wie erstellt man eine gespeicherte Abfrage in der Active Directory MMC-Konsole?

Werfen wir einen Blick auf einige typische Beispiele für die Verwendung gespeicherter LDAP-Abfragen in der Active Directory-Benutzer und -Computer-Konsole, um Objekte zu suchen.

1. Öffnen Sie die ADUC-Konsole (dsa.msc), klicken Sie mit der rechten Maustaste auf Gespeicherte Abfragen und wählen Sie Neu – > Abfrage;
2. Geben Sie im Feld Name den Namen der gespeicherten Abfrage an, die in der ADUC-Konsole angezeigt werden soll.
3. Im Feld Abfragestamm können Sie den Container (OU) angeben, in dem Sie suchen möchten. Standardmäßig wird die Suche nach den Abfragekriterien in der gesamten AD-Domäne durchgeführt. In unserem Beispiel grenzen wir den Suchbereich ein, indem wir den Container Brasilien auswählen;
4. Klicken Sie dann auf die Schaltfläche Abfrage definieren und wählen Sie die benutzerdefinierte Suche in der Dropdown-Liste Suchen;
5. Gehen Sie zur Registerkarte Erweitert und kopieren Sie die folgende LDAP-Abfrage in das Feld LDAP-Abfrage eingeben. Diese Abfrage wählt das aktivierte Benutzerkonto aus (siehe andere Beispiele für LDAP-Abfragen in der Tabelle unten):
   (&(objectcategory=person)(objectclass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2))
6. Speichern Sie die Änderungen, indem Sie auf OK klicken;
7. Wählen Sie die erstellte Abfrage in der ADUC-Konsole aus und drücken Sie F5, um die Objektliste zu erstellen. Als Ergebnis erscheint im rechten Fenster eine Liste von Benutzern, die Ihrer LDAP-Abfrage entsprechen;
8. Um die zusätzlichen Benutzerattribute (E-Mail-Adresse, Abteilung usw.) anzuzeigen, öffnen Sie das Menü Ansicht in der ADUC-Konsole und wählen Sie Spalten hinzufügen/entfernen;
9. Fügen Sie die gewünschten Spalten hinzu. Wir haben 3 zusätzliche Felder hinzugefügt: Benutzername, E-Mail-Adresse, Abteilung;
10. Die resultierende Liste der Benutzerkonten kann in einer CSV- oder TXT-Datei zur weiteren Analyse und zum Import in Excel gespeichert werden. Klicken Sie dazu mit der rechten Maustaste auf die gespeicherte Abfrage und wählen Sie den Menüpunkt „Liste exportieren“.
    Hinweis: Sie können die Daten auch mit PowerShell aus AD abrufen und direkt in einer Excel-Datei speichern.

    

In der ADUC-Konsole können Sie eine Reihe von verschiedenen gespeicherten Abfragen erstellen und diese in einer Baumstruktur organisieren. Auf diese Weise können Sie eine bequeme Sammlung von LDAP-Abfragen erstellen, um gängige AD-Verwaltungsaufgaben schnell durchzuführen.

Das ADUC mmc-Snap-In unterstützt mehrere Modi zur Erstellung von gespeicherten Active Directory-Abfragen. Es ist nicht notwendig, den LDAP-Filtercode jedes Mal manuell anzugeben. Sie können Ihre AD-Abfrage mit einem einfachen grafischen Assistenten erstellen. Sie wählen einfach verschiedene Attribute von AD-Objekten aus und verwenden diese, um Objekte nach den von Ihnen gewünschten Kriterien zu suchen. Zum Beispiel, um alle Windows Server Computer Objekte in einer Domäne aufzulisten:

1. Suchen Sie -> Computer;
2. Gehen Sie zur Registerkarte Erweitert;
3. Felder -> Betriebssystem;
4. Sterne mit -> Geben Sie Ihre Kriterien ‚Windows Server *‚

Speichern Sie die Abfrage und aktualisieren Sie die Objektliste in der ADUC-Konsole. Die Liste zeigt alle Windows Server Objekte in Ihrer Domäne an.

Die gespeicherten Abfragen werden lokal auf dem Computer gespeichert, auf dem sie erstellt wurden. Die XML-Datei, die die Einstellungen enthält, befindet sich hier: C:\Users\%USERNAME%\AppData\Roaming\Microsoft\MMC\DSA). Um AD-gespeicherte Abfragen zwischen Computern zu übertragen, gibt es eine Funktion zum Import/Export der Abfragen als XML-Dateien in dsa.msc (Export Query Definition/Import Query Definition).

Nützliche Beispiele für gespeicherte Abfragen für Active Directory MMC

Die folgende Tabelle enthält Beispiele für häufig verwendete LDAP-Abfragen zur Auswahl von Active Directory-Objekten. Sie können diese in Ihrer ADUC-Konsole für die tägliche Verwendung speichern.

Verwenden von LDAP-Filtern in PowerShell

Sie können die oben genannten LDAP-Filter verwenden, um AD-Objekte in der PowerShell-Konsole zu finden. Die meisten Cmdlets des PowerShell-Moduls Active Directory verfügen über einen speziellen LdapFilter-Parameter. Sie müssen Ihre LDAP-Abfrage in diesem Parameter angeben. Zum Beispiel:

Die Cmdlets Get-ADUser, Get-ADComputer und Get-ADGroup sind spezialisierte Cmdlets und werden verwendet, um Objekte eines bestimmten Typs zu finden – Benutzer, Computer oder Gruppen. Wenn Sie den Typ des gewünschten AD-Objekts nicht kennen oder wenn Sie Informationen über alle Objekttypen benötigen, verwenden Sie das allgemeinere Cmdlet „Get-ADObject“. Zum Beispiel, um nach einem Objekt nach SID zu suchen: