Az Active Directory-felhasználók és számítógépek (ADUC) mmc-konzol mentett lekérdezései lehetővé teszik összetett LDAP-szűrők létrehozását az Active Directory-objektumok kiválasztásához. Ezek a lekérdezések menthetők, szerkeszthetők és másolhatók más számítógépekre. Az Active Directory mentett lekérdezések segítségével gyorsan és hatékonyan kereshet AD-objektumokat különböző kritériumok alapján. A mentett lekérdezések segítségével gyorsan elvégezhetjük az AD-objektumok gyakori adminisztrációs feladatait: megjeleníthetjük egy tartományban az összes letiltott fiók listáját, kiválaszthatjuk egy vállalat összes olyan felhasználóját, akik egy adott Exchange-kiszolgálón postafiókkal rendelkeznek stb.
A mentett LDAP-lekérdezések használatával a rendszergazda csoportos műveleteket végezhet az Active Directory különböző OU-jainak (konténereinek) objektumaival. Például tömeges zárolási/feloldási/engedélyezési/tiltási, mozgatási, törlési, átnevezési műveleteket végezhet AD objektumok/fiókok alatt. Az ADUC-konzol ilyen lekérdezései lehetővé teszik az Active Directory OU-k hierarchikus struktúrájának megkerülését és az összes szükséges objektum összegyűjtését egy sima táblázatos nézetben.
Active Directory mentett lekérdezések először a Windows Server 2003-ban jelentek meg, és a későbbi Windows Server verziókban további támogatást kaptak. A mentett AD-lekérdezések használatához az ADUC-konzolnak telepítve kell lennie a számítógépen (az RSAT felügyeleti eszközök részét képezi).
Hogyan hozhatunk létre mentett lekérdezést az Active Directory MMC-konzolban?
Nézzünk néhány tipikus példát az Active Directory felhasználók és számítógépek konzol mentett LDAP-lekérdezéseinek használatára objektumok kereséséhez. Tegyük fel, hogy meg kell jelenítenünk az aktív felhasználói fiókok listáját, a részlegük nevét és e-mail címét.
- Nyissuk meg az ADUC konzolt (
dsa.msc
), kattintsunk a jobb gombbal a Mentett lekérdezésekre, és válasszuk az Új – > lekérdezés parancsot; - A Név mezőben adjuk meg az ADUC konzolon megjelenítendő mentett lekérdezés nevét.
- A lekérdezés gyökere mezőben megadhatjuk a tárolót (OU), amelyben keresni szeretnénk. Alapértelmezés szerint a lekérdezési feltételek szerinti keresés a teljes AD-tartományban történik. Példánkban a keresés hatókörét a Brasil konténer kiválasztásával szűkítjük;
- Ezután kattintsunk a Define Query gombra, és a Find (Keresés) legördülő listában válasszuk az Custom Search (Egyéni keresés) opciót;
- Menjünk a Advanced (Speciális) fülre, és másoljuk be a következő LDAP-lekérdezést az Enter LDAP query (LDAP-lekérdezés megadása) mezőbe. Ez a lekérdezés az engedélyezett felhasználói fiókot választja ki (további példákat az LDAP-lekérdezésekre lásd az alábbi táblázatban):
(&(objectcategory=person)(objectclass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2))
- Mentés a módosításokat az OK gombra kattintva;
- A létrehozott lekérdezést válassza ki az ADUC-konzolon, az objektumlista létrehozásához nyomja meg az F5 billentyűt. Ennek eredményeként a jobb oldali ablakban megjelenik az LDAP-lekérdezésnek megfelelő felhasználók listája;
- A további felhasználói attribútumok (e-mail cím, osztály stb.) megjelenítéséhez nyissa meg az ADUC konzolban a Nézet menüt, és válassza az Oszlopok hozzáadása/eltávolítása parancsot;
- Adja hozzá a kívánt oszlopokat. Mi 3 további mezőt adtunk hozzá:
- A felhasználói fiókok így kapott listája elmenthető CSV vagy TXT fájlba a további elemzéshez és az Excelbe történő importáláshoz. Ehhez kattintson a jobb gombbal a mentett lekérdezésre, és válassza a Lista exportálása menüpontot.
Megjegyzés: Az adatokat az AD-ből a PowerShell segítségével is lekérheti, és közvetlenül Excel-fájlba mentheti.
Az ADUC konzolon számos különböző mentett lekérdezést hozhat létre, amelyeket fa struktúrába rendezhet. Így az LDAP-lekérdezések kényelmes gyűjteményét hozhatja létre a gyakori AD-adminisztrációs feladatok gyors elvégzéséhez.
Az ADUC mmc beépülő modul többféle módon támogatja az Active Directory mentett lekérdezések létrehozását. Nem szükséges minden alkalommal manuálisan megadni az LDAP-szűrőkódot. Az AD-lekérdezést egy egyszerű grafikus varázsló segítségével hozhatja létre. Egyszerűen csak kiválasztja az AD-objektumok különböző attribútumait, és azok segítségével a kívánt kritériumok szerint kereshet objektumokat. Például egy tartományban lévő összes Windows Server számítógép-objektum listázásához:
- Keresés -> Számítógépek;
- Menjen a Speciális lapra;
- Mezők -> Operációs rendszer;
- Sztárok -> adja meg a ‘
Windows Server *
‘
*
(megadhatja a ‘*Server*
‘-t is). A mentett lekérdezéshez több keresési feltétel is hozzáadható.Mentse el a lekérdezést, és frissítse az objektumlistát az ADUC-konzolon. A lista a tartományban lévő összes Windows Server objektumot megjeleníti.
A mentett lekérdezések helyileg azon a számítógépen tárolódnak, amelyen létrehozták őket. A beállításokat tartalmazó XML fájl itt található: C:\Users\%USERNAME%\AppData\Roaming\Microsoft\MMC\DSA). Az AD mentett lekérdezések számítógépek közötti átviteléhez a dsa.msc programban (Export Query Definition/Import Query Definition) a lekérdezések XML-fájlként történő importálására/exportálására van lehetőség.
Hasznos mentett lekérdezési példák az Active Directory MMC-hez
A következő táblázat az Active Directory objektumok kiválasztásához gyakran használt LDAP-lekérdezések példáit tartalmazza. Ezeket napi használatra elmentheti az ADUC-konzolba.
LDAP-szűrők használata a PowerShellben
A fenti LDAP-szűrőkkel AD-objektumokat kereshet a PowerShell-konzolban. A PowerShell Active Directory moduljának legtöbb cmdletje rendelkezik egy speciális LdapFilter paraméterrel. Ebben a paraméterben kell megadni az LDAP-lekérdezést. Például:
A Get-ADUser, Get-ADComputer és Get-ADGroup cmdlet speciális cmdlet, és egy bizonyos típusú – felhasználók, számítógépek vagy csoportok – objektumok keresésére szolgál. Ha nem tudja, hogy milyen típusú AD-objektumra van szüksége, vagy ha minden típusú objektumra vonatkozó információra van szüksége, használja az általánosabb Get-ADObject cmdletet. Például egy objektum keresése SID:
szerint.