Met de Opgeslagen query’s in de mmc-console Active Directory Gebruikers en Computers (ADUC) kunt u complexe LDAP-filters maken om Active Directory-objecten te selecteren. Deze query’s kunnen worden opgeslagen, bewerkt en gekopieerd naar andere computers. U kunt de opgeslagen query’s van Active Directory gebruiken om snel en efficiënt AD-objecten te vinden op basis van verschillende criteria. Met opgeslagen query’s kunt u snel veelvoorkomende beheertaken voor AD-objecten uitvoeren: de lijst met alle uitgeschakelde accounts in een domein weergeven, alle gebruikers van een bedrijf selecteren die mailboxen hebben op een bepaalde Exchange-server, enzovoort.
Wanneer u opgeslagen LDAP-query’s gebruikt, kan de beheerder groepsbewerkingen uitvoeren met objecten uit verschillende OU’s (containers) van Active Directory. U kunt bijvoorbeeld bulkbewerkingen uitvoeren voor het vergrendelen/ontgrendelen/inschakelen/uitschakelen, verplaatsen, verwijderen en hernoemen van AD-objecten/accounts. Met dergelijke query’s in de ADUC-console kunt u de hiërarchische structuur van OU’s in Active Directory omzeilen en alle benodigde objecten verzamelen in een platte tabelweergave.
Active Directory Opgeslagen Query’s werden voor het eerst geïntroduceerd in Windows Server 2003 en kregen verdere ondersteuning in de latere Windows Server versies. Om opgeslagen AD-query’s te kunnen gebruiken, moet de ADUC-console op uw computer zijn geïnstalleerd (is een onderdeel van RSAT-beheerhulpmiddelen).
Hoe maak je een opgeslagen query in de Active Directory MMC Console?
Laten we eens kijken naar een paar typische voorbeelden van het gebruik van opgeslagen LDAP-query’s in Active Directory Gebruikers en Computers console om objecten te zoeken. Stel, we moeten de lijst met actieve gebruikersaccounts, hun afdelingsnamen en e-mailadressen weergeven.
- Open de ADUC-console (
dsa.msc
), klik met de rechtermuisknop op Opgeslagen query’s en selecteer Nieuw – > Query; - In het vak Naam geeft u de naam op van de opgeslagen query die in de ADUC-console moet worden weergegeven.
- In het veld Query root kunt u de container (OU) opgeven waarin u wilt zoeken. Standaard wordt het zoeken op de query criteria uitgevoerd in het gehele AD domein. In ons voorbeeld beperken we het zoekbereik door de container Brazilië te selecteren;
- Klik vervolgens op de knop Query definiëren en selecteer de optie Aangepast zoeken in de vervolgkeuzelijst Zoeken;
- Ga naar het tabblad Geavanceerd en kopieer de volgende LDAP-query in het vak LDAP-query invoeren. Deze query selecteert de ingeschakelde gebruikersaccount (zie andere voorbeelden van LDAP-query’s in de onderstaande tabel):
(&(objectcategory=person)(objectclass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2))
- Bewaar de wijzigingen door op OK te klikken;
- Selecteer de gemaakte query in de ADUC-console en druk op F5 om de objectlijst op te bouwen. Als resultaat zal in het rechtervenster een lijst met gebruikers verschijnen die overeenkomt met uw LDAP-query;
- Om de extra gebruikersattributen (e-mailadres, afdeling, enz.) weer te geven, opent u het menu Beeld in ADUC-console en selecteert u Kolommen toevoegen/verwijderen;
- Voeg de kolommen toe die u wilt. Wij hebben 3 extra velden toegevoegd: User Logon Name, E-Mail Address, Department;
- De resulterende lijst met gebruikersaccounts kan worden opgeslagen in een CSV- of TXT-bestand voor verdere analyse en import in Excel. Om dit te doen, klik met de rechtermuisknop op de opgeslagen query en selecteer de Export List menu-item.
Note.You kan ook gegevens uit AD met behulp van PowerShell en sla het direct naar een Excel-bestand.
In de ADUC-console kunt u een aantal verschillende opgeslagen query’s maken en deze in een boomstructuur ordenen. Op deze manier kunt u een handige verzameling LDAP-query’s maken om snel veelvoorkomende AD-beheertaken uit te voeren.
De ADUC mmc snap-in ondersteunt verschillende modi voor het bouwen van opgeslagen Active Directory-query’s. Het is niet nodig om elke keer handmatig de LDAP-filtercode op te geven. U kunt uw AD-query maken met een eenvoudige grafische wizard. U selecteert eenvoudigweg verschillende attributen van AD-objecten en gebruikt deze om objecten te zoeken op basis van de gewenste criteria. Bijvoorbeeld, om een lijst te maken van alle Windows Server computerobjecten in een domein:
- Vind -> Computers;
- Ga naar het tabblad Geavanceerd ;
- Velden -> Besturingssysteem;
- Sterren met -> specificeer uw criteria ‘
Windows Server *
‘
*
(u kunt ‘*Server*
‘ specificeren). U kunt meerdere zoekcriteria toevoegen aan uw opgeslagen query.Sla de query op en vernieuw de objectenlijst in de ADUC console. De lijst zal alle Windows Server objecten in uw domein tonen.
De opgeslagen query’s worden lokaal opgeslagen op de computer waarop ze zijn gemaakt. Het XML-bestand met de instellingen bevindt zich hier: C:\Users%USERNAME%AppData\Roaming\Microsoft\MMC\DSA). Om opgeslagen AD-query’s tussen computers over te zetten, is er een functie om de query’s als XML-bestanden te importeren/exporteren in dsa.msc (Querydefinitie exporteren/Importeren).
Bruikbare voorbeelden van opgeslagen query’s voor Active Directory MMC
De volgende tabel bevat voorbeelden van veelgebruikte LDAP-query’s voor het selecteren van Active Directory-objecten. U kunt ze opslaan in uw ADUC-console voor dagelijks gebruik.
LDAP-filters gebruiken in PowerShell
U kunt de bovenstaande LDAP-filters gebruiken om AD-objecten te vinden in de PowerShell-console. De meeste cmdlets van de PowerShell Active Directory module hebben een speciale LdapFilter parameter. In deze parameter moet je je LDAP query opgeven. Bijvoorbeeld:
Get-ADUser, Get-ADComputer, en Get-ADGroup cmdlet zijn gespecialiseerde cmdlets en worden gebruikt om objecten van een bepaald type te vinden – gebruikers, computers, of groepen. Indien je niet weet welk type AD object je zoekt, of indien je informatie nodig hebt over alle typen objecten, gebruik dan het meer algemene Get-ADObject cmdlet. Bijvoorbeeld, om een object te zoeken op SID: