Utilizzo delle query salvate in ADUC MMC (Active Directory User and Computers)

Le query salvate nella console mmc di Active Directory Users and Computers (ADUC) permettono di creare complessi filtri LDAP per selezionare oggetti Active Directory. Queste query possono essere salvate, modificate e copiate su altri computer. È possibile utilizzare le query salvate di Active Directory per trovare rapidamente ed efficacemente gli oggetti AD in base a vari criteri. Le query salvate possono aiutare a eseguire rapidamente le comuni attività di amministrazione degli oggetti AD: visualizzare l’elenco di tutti gli account disattivati in un dominio, selezionare tutti gli utenti di un’azienda che hanno caselle di posta su un dato server Exchange, ecc.

Quando si usano le query LDAP salvate, l’amministratore può eseguire operazioni di gruppo con oggetti di diverse OU (contenitori) di Active Directory. Per esempio, è possibile eseguire operazioni di blocco/sblocco/abilitazione/disabilitazione di massa, spostare, eliminare, rinominare sotto oggetti/account AD. Tali interrogazioni nella console ADUC ti permettono di bypassare la struttura gerarchica delle OU di Active Directory e di raccogliere tutti gli oggetti necessari in una vista tabella piatta.

La maggior parte delle operazioni per trovare gli oggetti AD può essere fatta usando cmdlets dal modulo PowerShell per Active Directory (per esempio, Get-ADUser, Get-ADComputer, Get-ADObject, Get-ADGroup, Search-ADAccount, etc.), lo strumento dsquery.exe, script vbs, etc. Tuttavia, è molto più facile per gli utenti non amministratori usare la GUI ADUC per visualizzare le informazioni sugli oggetti AD.

Le query salvate di Active Directory sono state introdotte per la prima volta in Windows Server 2003 e hanno ottenuto ulteriore supporto nelle versioni successive di Windows Server. Per usare le query salvate di AD, devi avere la console ADUC installata sul tuo computer (fa parte degli strumenti di amministrazione RSAT).

Come creare una query salvata nella console MMC di Active Directory?

Diamo un’occhiata ad alcuni esempi tipici di utilizzo delle query LDAP salvate nella console Active Directory Users and Computers per cercare oggetti. Supponiamo di dover visualizzare l’elenco degli account utente attivi, i loro nomi di reparto e gli indirizzi e-mail.

  1. Apri la console ADUC (dsa.msc), fai clic con il tasto destro del mouse su Query salvate e seleziona Nuovo – > Query;
  2. Nella casella Nome, specifica il nome della query salvata da visualizzare nella console ADUC.
  3. Nel campo Query root, puoi specificare il contenitore (OU) nel quale vuoi cercare. Per impostazione predefinita, la ricerca in base ai criteri della query viene eseguita nell’intero dominio AD. Nel nostro esempio, restringeremo l’ambito di ricerca selezionando il contenitore Brasil;
  4. Poi clicchiamo sul pulsante Definisci query e selezioniamo la ricerca personalizzata nell’elenco a discesa Trova;
  5. Passa alla scheda Avanzate e copia la seguente query LDAP nella casella Inserisci query LDAP. Questa query seleziona l’account utente abilitato (vedi altri esempi di query LDAP nella tabella sottostante):
    (&(objectcategory=person)(objectclass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2))
  6. Salva le modifiche facendo clic su OK;
  7. Seleziona la query creata nella console ADUC, premi F5 per costruire l’elenco degli oggetti. Come risultato, una lista di utenti apparirà nella finestra di destra che corrisponde alla tua query LDAP;
  8. Per visualizzare gli attributi aggiuntivi dell’utente (indirizzo e-mail, dipartimento, ecc.), apri il menu View nella console ADUC e seleziona Add/Remove Columns;
  9. Aggiungi le colonne che vuoi. Abbiamo aggiunto 3 campi supplementari: User Logon Name, E-Mail Address, Department;
  10. L’elenco risultante degli account utente può essere salvato in un file CSV o TXT per ulteriori analisi e importazione in Excel. Per farlo, clicca con il tasto destro del mouse sulla query salvata e seleziona la voce di menu Export List.
    Nota.Puoi anche ottenere i dati da AD usando PowerShell e salvarli direttamente in un file Excel.

Nella console ADUC, puoi creare una serie di diverse query salvate organizzandole in una struttura ad albero. In questo modo, puoi creare una comoda raccolta di query LDAP per eseguire rapidamente le comuni attività di amministrazione AD.

Lo snap-in ADUC mmc supporta diverse modalità di costruzione delle query salvate di Active Directory. Non è necessario specificare manualmente il codice del filtro LDAP ogni volta. Puoi creare la tua query AD con una semplice procedura guidata grafica. Devi semplicemente selezionare diversi attributi degli oggetti AD e usarli per cercare gli oggetti secondo i criteri che vuoi. Ad esempio, per elencare tutti gli oggetti computer Windows Server in un dominio:

  1. Trova -> Computer;
  2. Vai alla scheda Avanzate ;
  3. Campi -> Sistema operativo;
  4. Stelle con -> specifica il tuo criterio ‘Windows Server *
Il carattere jolly è * (puoi specificare ‘*Server*‘). Criteri di ricerca multipli possono essere aggiunti alla tua query salvata.

Salva la query e aggiorna la lista degli oggetti nella console ADUC. L’elenco mostrerà tutti gli oggetti Windows Server nel tuo dominio.

Le query salvate sono memorizzate localmente sul computer su cui sono state create. Il file XML contenente le impostazioni si trova qui: C:\Users\%USERNAME%\AppData\Roaming\Microsoft\MMC\DSA). Per trasferire le query salvate AD tra i computer, c’è una funzione per importare/esportare le query come file XML in dsa.msc (Export Query Definition/Import Query Definition).

Esempi di query salvate utili per Active Directory MMC

La seguente tabella contiene esempi di query LDAP comunemente usate per selezionare oggetti Active Directory. Puoi salvarle nella tua console ADUC per l’uso quotidiano.

Usare i filtri LDAP in PowerShell

Puoi usare i suddetti filtri LDAP per trovare oggetti AD nella console PowerShell. La maggior parte delle cmdlets del modulo PowerShell Active Directory hanno un parametro speciale LdapFilter. Devi specificare la tua query LDAP in questo parametro. Per esempio:

Le cmdlet Get-ADUser, Get-ADComputer e Get-ADGroup sono cmdlet specializzate e utilizzate per trovare oggetti di un certo tipo – utenti, computer o gruppi. Se non conosci il tipo di oggetto AD che vuoi, o se hai bisogno di informazioni su tutti i tipi di oggetti, usa il più comune cmdlet Get-ADObject. Per esempio, per cercare un oggetto per SID: