Les requêtes enregistrées dans la console mmc Active Directory Users and Computers (ADUC) vous permettent de créer des filtres LDAP complexes pour sélectionner des objets Active Directory. Ces requêtes peuvent être enregistrées, modifiées et copiées sur d’autres ordinateurs. Vous pouvez utiliser les requêtes sauvegardées Active Directory pour trouver rapidement et efficacement des objets AD en fonction de divers critères. Les requêtes sauvegardées peuvent vous aider à effectuer rapidement des tâches courantes d’administration d’objets AD : afficher la liste de tous les comptes désactivés dans un domaine, sélectionner tous les utilisateurs d’une entreprise qui ont des boîtes aux lettres sur un serveur Exchange donné, etc.
Lorsqu’il utilise des requêtes LDAP sauvegardées, l’administrateur peut effectuer des opérations de groupe avec des objets de différents OU (conteneurs) d’Active Directory. Par exemple, vous pouvez effectuer des opérations groupées de verrouillage/déverrouillage/activation/désactivation, déplacement, suppression, renommage sous des objets/comptes AD. De telles requêtes dans la console ADUC vous permettent de contourner la structure hiérarchique des OU d’Active Directory et de rassembler tous les objets nécessaires dans une vue de table plate.
Les requêtes enregistrées d’Active Directory ont été introduites pour la première fois dans Windows Server 2003 et ont obtenu un support supplémentaire dans les versions ultérieures de Windows Server. Pour utiliser les requêtes AD enregistrées, vous devez avoir la console ADUC installée sur votre ordinateur (fait partie des outils d’administration RSAT).
Comment créer une requête enregistrée dans la console MMC Active Directory?
Regardons quelques exemples typiques d’utilisation des requêtes LDAP enregistrées dans la console Utilisateurs et ordinateurs Active Directory pour rechercher des objets. Supposons que nous devions afficher la liste des comptes utilisateurs actifs, le nom de leur département et leur adresse électronique.
- Ouvrir la console ADUC (
dsa.msc
), cliquer avec le bouton droit de la souris sur les requêtes enregistrées et sélectionner Nouveau – > Requête; - Dans la zone Nom, spécifier le nom de la requête enregistrée à afficher dans la console ADUC.
- Dans le champ Racine de la requête, vous pouvez spécifier le conteneur (OU) dans lequel vous voulez effectuer la recherche. Par défaut, la recherche par les critères de la requête est effectuée sur l’ensemble du domaine AD. Dans notre exemple, nous allons restreindre le champ de recherche en sélectionnant le conteneur Brasil;
- Puis cliquez sur le bouton Définir la requête, et sélectionnez la Recherche personnalisée dans la liste déroulante Rechercher;
- Aller à l’onglet Avancé et copiez la requête LDAP suivante dans la zone Entrer la requête LDAP. Cette requête sélectionne le compte utilisateur activé (voir d’autres exemples de requêtes LDAP dans le tableau ci-dessous):
(&(objectcategory=person)(objectclass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2))
- Enregistrez les modifications en cliquant sur OK;
- Sélectionnez la requête créée dans la console ADUC, appuyez sur F5 pour construire la liste des objets. En conséquence, une liste d’utilisateurs apparaîtra dans la fenêtre de droite qui correspond à votre requête LDAP;
- Afin d’afficher les attributs supplémentaires des utilisateurs (adresse e-mail, département, etc.), ouvrez le menu View dans la console ADUC et sélectionnez Add/Remove Columns;
- Ajoutez les colonnes que vous voulez. Nous avons ajouté 3 champs supplémentaires : Nom de connexion de l’utilisateur, Adresse e-mail, Département;
- La liste résultante des comptes utilisateurs peut être enregistrée dans un fichier CSV ou TXT pour une analyse plus approfondie et une importation dans Excel. Pour ce faire, cliquez avec le bouton droit de la souris sur la requête enregistrée et sélectionnez l’élément de menu Exporter la liste.
Note.Vous pouvez également obtenir des données à partir d’AD en utilisant PowerShell et les enregistrer directement dans un fichier Excel.
Dans la console ADUC, vous pouvez créer un certain nombre de différentes requêtes enregistrées les organiser dans une structure arborescente. De cette façon, vous pouvez créer une collection pratique de requêtes LDAP pour effectuer rapidement des tâches d’administration AD courantes.
Le snap-in ADUC mmc prend en charge plusieurs modes de construction de requêtes sauvegardées Active Directory. Il n’est pas nécessaire de spécifier manuellement le code du filtre LDAP à chaque fois. Vous pouvez créer votre requête AD à l’aide d’un assistant graphique simple. Il vous suffit de sélectionner différents attributs des objets AD et de les utiliser pour rechercher des objets en fonction des critères souhaités. Par exemple, pour lister tous les objets ordinateurs Windows Server dans un domaine :
- Recherche -> Ordinateurs;
- Aller à l’onglet Avancé ;
- Champs -> Système d’exploitation;
- Étoiles avec -> spécifiez vos critères ‘
Windows Server *
‘
*
(vous pouvez spécifier ‘*Server*
‘). Plusieurs critères de recherche peuvent être ajoutés à votre requête enregistrée.Enregistrer la requête et rafraîchir la liste d’objets elle dans la console ADUC. La liste affichera tous les objets Windows Server de votre domaine.
Les requêtes enregistrées sont stockées localement sur l’ordinateur sur lequel elles ont été créées. Le fichier XML contenant les paramètres se trouve ici : C:\Users\%USERNAME%\AppData\Roaming\Microsoft\MMC\DSA). Pour transférer les requêtes enregistrées AD d’un ordinateur à l’autre, il existe une fonctionnalité permettant d’importer/exporter les requêtes sous forme de fichiers XML dans dsa.msc (Exporter une définition de requête/Importer une définition de requête).
Exemples utiles de requêtes enregistrées pour Active Directory MMC
Le tableau suivant contient des exemples de requêtes LDAP couramment utilisées pour sélectionner des objets Active Directory. Vous pouvez les enregistrer dans votre console ADUC pour une utilisation quotidienne.
Utilisation des filtres LDAP dans PowerShell
Vous pouvez utiliser les filtres LDAP ci-dessus pour trouver des objets AD dans la console PowerShell. La plupart des cmdlets du module PowerShell Active Directory ont un paramètre spécial LdapFilter. Vous devez spécifier votre requête LDAP dans ce paramètre. Par exemple:
Les cmdlets Get-ADUser, Get-ADComputer et Get-ADGroup sont des cmdlets spécialisés et utilisés pour trouver des objets d’un certain type – utilisateurs, ordinateurs ou groupes. Si vous ne connaissez pas le type d’objet AD que vous voulez, ou si vous avez besoin d’informations sur tous les types d’objets, utilisez la cmdlet plus courante Get-ADObject. Par exemple, pour rechercher un objet par SID: