Mentett lekérdezések használata az ADUC MMC-ben (Active Directory-felhasználók és számítógépek)

Az Active Directory-felhasználók és számítógépek (ADUC) mmc-konzol mentett lekérdezései lehetővé teszik összetett LDAP-szűrők létrehozását az Active Directory-objektumok kiválasztásához. Ezek a lekérdezések menthetők, szerkeszthetők és másolhatók más számítógépekre. Az Active Directory mentett lekérdezések segítségével gyorsan és hatékonyan kereshet AD-objektumokat különböző kritériumok alapján. A mentett lekérdezések segítségével gyorsan elvégezhetjük az AD-objektumok gyakori adminisztrációs feladatait: megjeleníthetjük egy tartományban az összes letiltott fiók listáját, kiválaszthatjuk egy vállalat összes olyan felhasználóját, akik egy adott Exchange-kiszolgálón postafiókkal rendelkeznek stb.

A mentett LDAP-lekérdezések használatával a rendszergazda csoportos műveleteket végezhet az Active Directory különböző OU-jainak (konténereinek) objektumaival. Például tömeges zárolási/feloldási/engedélyezési/tiltási, mozgatási, törlési, átnevezési műveleteket végezhet AD objektumok/fiókok alatt. Az ADUC-konzol ilyen lekérdezései lehetővé teszik az Active Directory OU-k hierarchikus struktúrájának megkerülését és az összes szükséges objektum összegyűjtését egy sima táblázatos nézetben.

Az AD-objektumok keresésére szolgáló műveletek többsége elvégezhető az Active Directory PowerShell moduljának cmdletjei (például Get-ADUser, Get-ADComputer, Get-ADObject, Get-ADGroup, Search-ADAccount stb.), a dsquery.exe eszköz, vbs szkriptek stb. segítségével. A nem adminisztrátor felhasználók számára azonban sokkal egyszerűbb az ADUC GUI-t használni az AD objektumokra vonatkozó információk megjelenítésére.

Active Directory mentett lekérdezések először a Windows Server 2003-ban jelentek meg, és a későbbi Windows Server verziókban további támogatást kaptak. A mentett AD-lekérdezések használatához az ADUC-konzolnak telepítve kell lennie a számítógépen (az RSAT felügyeleti eszközök részét képezi).

Hogyan hozhatunk létre mentett lekérdezést az Active Directory MMC-konzolban?

Nézzünk néhány tipikus példát az Active Directory felhasználók és számítógépek konzol mentett LDAP-lekérdezéseinek használatára objektumok kereséséhez. Tegyük fel, hogy meg kell jelenítenünk az aktív felhasználói fiókok listáját, a részlegük nevét és e-mail címét.

  1. Nyissuk meg az ADUC konzolt (dsa.msc), kattintsunk a jobb gombbal a Mentett lekérdezésekre, és válasszuk az Új – > lekérdezés parancsot;
  2. A Név mezőben adjuk meg az ADUC konzolon megjelenítendő mentett lekérdezés nevét.
  3. A lekérdezés gyökere mezőben megadhatjuk a tárolót (OU), amelyben keresni szeretnénk. Alapértelmezés szerint a lekérdezési feltételek szerinti keresés a teljes AD-tartományban történik. Példánkban a keresés hatókörét a Brasil konténer kiválasztásával szűkítjük;
  4. Ezután kattintsunk a Define Query gombra, és a Find (Keresés) legördülő listában válasszuk az Custom Search (Egyéni keresés) opciót;
  5. Menjünk a Advanced (Speciális) fülre, és másoljuk be a következő LDAP-lekérdezést az Enter LDAP query (LDAP-lekérdezés megadása) mezőbe. Ez a lekérdezés az engedélyezett felhasználói fiókot választja ki (további példákat az LDAP-lekérdezésekre lásd az alábbi táblázatban):
    (&(objectcategory=person)(objectclass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2))
  6. Mentés a módosításokat az OK gombra kattintva;
  7. A létrehozott lekérdezést válassza ki az ADUC-konzolon, az objektumlista létrehozásához nyomja meg az F5 billentyűt. Ennek eredményeként a jobb oldali ablakban megjelenik az LDAP-lekérdezésnek megfelelő felhasználók listája;
  8. A további felhasználói attribútumok (e-mail cím, osztály stb.) megjelenítéséhez nyissa meg az ADUC konzolban a Nézet menüt, és válassza az Oszlopok hozzáadása/eltávolítása parancsot;
  9. Adja hozzá a kívánt oszlopokat. Mi 3 további mezőt adtunk hozzá:
  10. A felhasználói fiókok így kapott listája elmenthető CSV vagy TXT fájlba a további elemzéshez és az Excelbe történő importáláshoz. Ehhez kattintson a jobb gombbal a mentett lekérdezésre, és válassza a Lista exportálása menüpontot.
    Megjegyzés: Az adatokat az AD-ből a PowerShell segítségével is lekérheti, és közvetlenül Excel-fájlba mentheti.

Az ADUC konzolon számos különböző mentett lekérdezést hozhat létre, amelyeket fa struktúrába rendezhet. Így az LDAP-lekérdezések kényelmes gyűjteményét hozhatja létre a gyakori AD-adminisztrációs feladatok gyors elvégzéséhez.

Az ADUC mmc beépülő modul többféle módon támogatja az Active Directory mentett lekérdezések létrehozását. Nem szükséges minden alkalommal manuálisan megadni az LDAP-szűrőkódot. Az AD-lekérdezést egy egyszerű grafikus varázsló segítségével hozhatja létre. Egyszerűen csak kiválasztja az AD-objektumok különböző attribútumait, és azok segítségével a kívánt kritériumok szerint kereshet objektumokat. Például egy tartományban lévő összes Windows Server számítógép-objektum listázásához:

  1. Keresés -> Számítógépek;
  2. Menjen a Speciális lapra;
  3. Mezők -> Operációs rendszer;
  4. Sztárok -> adja meg a ‘Windows Server *
A joker a * (megadhatja a ‘*Server*‘-t is). A mentett lekérdezéshez több keresési feltétel is hozzáadható.

Mentse el a lekérdezést, és frissítse az objektumlistát az ADUC-konzolon. A lista a tartományban lévő összes Windows Server objektumot megjeleníti.

A mentett lekérdezések helyileg azon a számítógépen tárolódnak, amelyen létrehozták őket. A beállításokat tartalmazó XML fájl itt található: C:\Users\%USERNAME%\AppData\Roaming\Microsoft\MMC\DSA). Az AD mentett lekérdezések számítógépek közötti átviteléhez a dsa.msc programban (Export Query Definition/Import Query Definition) a lekérdezések XML-fájlként történő importálására/exportálására van lehetőség.

Hasznos mentett lekérdezési példák az Active Directory MMC-hez

A következő táblázat az Active Directory objektumok kiválasztásához gyakran használt LDAP-lekérdezések példáit tartalmazza. Ezeket napi használatra elmentheti az ADUC-konzolba.

LDAP-szűrők használata a PowerShellben

A fenti LDAP-szűrőkkel AD-objektumokat kereshet a PowerShell-konzolban. A PowerShell Active Directory moduljának legtöbb cmdletje rendelkezik egy speciális LdapFilter paraméterrel. Ebben a paraméterben kell megadni az LDAP-lekérdezést. Például:

A Get-ADUser, Get-ADComputer és Get-ADGroup cmdlet speciális cmdlet, és egy bizonyos típusú – felhasználók, számítógépek vagy csoportok – objektumok keresésére szolgál. Ha nem tudja, hogy milyen típusú AD-objektumra van szüksége, vagy ha minden típusú objektumra vonatkozó információra van szüksége, használja az általánosabb Get-ADObject cmdletet. Például egy objektum keresése SID:

szerint.