Active Directory Users and Computers (ADUC) mmc-konsolin tallennettujen kyselyjen avulla voit luoda monimutkaisia LDAP-suodattimia Active Directory -kohteiden valitsemiseksi. Nämä kyselyt voidaan tallentaa, muokata ja kopioida muihin tietokoneisiin. Voit käyttää Active Directoryn tallennettuja kyselyjä AD-kohteiden nopeaan ja tehokkaaseen etsimiseen eri kriteerien perusteella. Tallennettujen kyselyjen avulla voit suorittaa nopeasti tavallisia AD-kohteiden hallintatehtäviä: näyttää luettelon kaikista toimialueen käytöstä poistetuista tileistä, valita kaikki yrityksen käyttäjät, joilla on postilaatikoita tietyssä Exchange-palvelimessa jne.
Käytettäessä tallennettuja LDAP-kyselyjä järjestelmänvalvoja voi suorittaa ryhmätoimintoja Active Directoryn eri OU:iden (konttien) kohteilla. Voit esimerkiksi suorittaa AD-objekteihin/tileihin kohdistuvia joukkolukitus-, -avaus-, -aktivointi- ja -poisto-, -siirto-, -poisto- ja -uudelleennimeämistoimintoja. Tällaisilla ADUC-konsolin kyselyillä voidaan ohittaa Active Directoryn OU:iden hierarkkinen rakenne ja kerätä kaikki tarvittavat objektit tasaiseen taulukkonäkymään.
Active Directory Saved Queries otettiin käyttöön ensimmäisen kerran Windows Server 2003:ssa, ja se sai lisätukea myöhemmissä Windows Server -versioissa. Tallennettujen AD-kyselyjen käyttäminen edellyttää, että tietokoneeseen on asennettu ADUC-konsoli (on osa RSAT-hallintatyökaluja).
Miten luodaan tallennettu kysely Active Directory MMC-konsolissa?
Katsotaanpa muutamia tyypillisiä esimerkkejä tallennettujen LDAP-kyselyjen käyttämisestä Active Directoryn Käyttäjät ja tietokoneet -konsolissa objektien hakuun. Oletetaan, että meidän on näytettävä luettelo aktiivisista käyttäjätileistä, niiden osastojen nimistä ja sähköpostiosoitteista.
- Avaa ADUC-konsoli (
dsa.msc
), napsauta hiiren kakkospainikkeella Tallennetut kyselyt (Saved Queries) -painiketta ja valitse Uusi – > Kysely (New – > Query); - Määritä Nimi (Name) -ruudussa tallennetun kyselyn nimi, joka näytetään ADUC-konsolissa.
- Kyselyn juuret (Query root) -ruudussa (Queryn juurikenttään (Queryn juurikenttään (Queryn juurikenttään)) määritetään kontti eli OU (Container, OU, OU, OU, OU, OU, OU, OU, OU, OU, OU, OU, OU, OU, OU. Oletusarvoisesti haku kyselykriteereillä suoritetaan koko AD-toimialueen alueella. Esimerkissämme kavennamme hakualuetta valitsemalla Brasil-säiliön;
- Klikkaa sitten Define Query (Määritä kysely) -painiketta ja valitse Custom Search (Mukautettu haku) Find (Haku) -pudotusvalikosta;
- Mene Advanced (Lisäasetukset) -välilehdelle ja kopioi seuraava LDAP-kysely Enter LDAP query (Anna LDAP-kysely) -kenttään. Tämä kysely valitsee käytössä olevan käyttäjätilin (katso muita esimerkkejä LDAP-kyselyistä alla olevasta taulukosta):
(&(objectcategory=person)(objectclass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2))
- Tallenna muutokset napsauttamalla OK;
- Valitse luotu kysely ADUC-konsolissa ja paina F5-painiketta objektiluettelon muodostamiseksi. Tämän tuloksena oikeaan ikkunaan ilmestyy luettelo käyttäjistä, jotka vastaavat LDAP-kyselyäsi;
- Käyttäjän lisäattribuuttien (sähköpostiosoite, osasto jne.) näyttämiseksi avaa ADUC-konsolin Näytä-valikko ja valitse Lisää/poista sarakkeita;
- Lisää haluamasi sarakkeet. Olemme lisänneet 3 lisäkenttää:
- Tuloksena syntynyt käyttäjätilien luettelo voidaan tallentaa CSV- tai TXT-tiedostoon lisäanalyysiä ja Exceliin tuontia varten. Tee se napsauttamalla tallennettua kyselyä hiiren kakkospainikkeella ja valitsemalla Export List (Vie lista) -valikkokohta.
Huomautus: Voit myös hakea tietoja AD:stä PowerShellin avulla ja tallentaa ne suoraan Excel-tiedostoon.
ADUC-konsolissa voit luoda useita erilaisia tallennettuja kyselyjä järjestää ne puurakenteeseen. Näin voit luoda kätevän kokoelman LDAP-kyselyjä, joiden avulla voit suorittaa nopeasti tavallisia AD:n hallintatehtäviä.
AdUC mmc -laajennus tukee useita Active Directoryn tallennettujen kyselyjen rakentamistapoja. LDAP-suodatinkoodia ei tarvitse määrittää joka kerta manuaalisesti. Voit luoda AD-kyselyn yksinkertaisella graafisella ohjatulla toiminnolla. Valitset yksinkertaisesti AD-objektien eri attribuutteja ja käytät niitä etsiessäsi objekteja haluamiesi kriteerien mukaan. Voit esimerkiksi luetella kaikki toimialueen Windows Server -tietokonekohteet:
- Haku -> Tietokoneet;
- Mene Lisäasetukset-välilehdelle ;
- Kentät -> Käyttöjärjestelmä;
- Tähtäimet -> määritä kriteerit ’
Windows Server *
’
*
(voit myös määritellä ’*Server*
’). Tallennettuun kyselyyn voi lisätä useita hakuehtoja.Tallenna kysely ja päivitä kohdeluettelo se ADUC-konsolissa. Luettelossa näkyvät kaikki toimialueesi Windows Server -objektit.
Tallennetut kyselyt tallennetaan paikallisesti tietokoneelle, jolla ne on luotu. Asetukset sisältävä XML-tiedosto sijaitsee täällä: C:\Users\%USERNAME%\AppData\Roaming\Microsoft\MMC\DSA). AD:n tallennettujen kyselyjen siirtämiseksi tietokoneiden välillä on dsa.msc:ssä ominaisuus, jolla kyselyt voidaan tuoda/viedä XML-tiedostoina (Export Query Definition/Import Query Definition).
Käyttökelpoisia esimerkkejä tallennetuista kyselyistä Active Directory MMC:ssä
Seuraavassa taulukossa on esimerkkejä yleisesti käytetyistä LDAP-kyselyistä, joilla valitaan Active Directory -kohteita. Voit tallentaa ne ADUC-konsoliin päivittäistä käyttöä varten.
LDAP-suodattimien käyttäminen PowerShellissä
Voit käyttää edellä mainittuja LDAP-suodattimia AD-kohteiden etsimiseen PowerShell-konsolissa. Useimmissa PowerShellin Active Directory -moduulin cmdleteissä on erityinen LdapFilter-parametri. Sinun on määritettävä LDAP-kyselysi tähän parametriin. Esimerkiksi:
Get-ADUser-, Get-ADComputer- ja Get-ADGroup-cmdlet ovat erikoistuneita cmdlettejä, ja niitä käytetään tietyn tyyppisten objektien – käyttäjien, tietokoneiden tai ryhmien – etsimiseen. Jos et tiedä haluamasi AD-objektin tyyppiä tai jos tarvitset tietoja kaikentyyppisistä objekteista, käytä yleisempää Get-ADObject-senttimerkkiä. Voit esimerkiksi etsiä objektia SID:n mukaan:
.