Korzystanie z zapisanych kwerend w ADUC MMC (Active Directory User and Computers)

Zapisane kwerendy w konsoli Active Directory Users and Computers (ADUC) mmc pozwalają na tworzenie złożonych filtrów LDAP w celu wybrania obiektów Active Directory. Zapytania te mogą być zapisywane, edytowane i kopiowane na inne komputery. Zapisane kwerendy Active Directory można wykorzystać do szybkiego i efektywnego wyszukiwania obiektów AD na podstawie różnych kryteriów. Zapisane kwerendy mogą pomóc w szybkim wykonaniu typowych zadań administracji obiektami AD: wyświetlenie listy wszystkich wyłączonych kont w domenie, wybranie wszystkich użytkowników firmy, którzy mają skrzynki pocztowe na danym serwerze Exchange itp.

Używając zapisanych kwerend LDAP, administrator może wykonywać operacje grupowe z obiektami z różnych OU (kontenerów) Active Directory. Na przykład, można wykonywać masowe operacje blokowania/odblokowywania/aktywowania/dezaktywowania, przenoszenia, usuwania, zmiany nazw obiektów/kont AD. Takie zapytania w konsoli ADUC pozwalają ominąć hierarchiczną strukturę OU w Active Directory i zebrać wszystkie potrzebne obiekty w płaskim widoku tabeli.

Większość operacji wyszukiwania obiektów AD może być wykonana przy użyciu cmdletów z modułu PowerShell dla Active Directory (na przykład Get-ADUser, Get-ADComputer, Get-ADObject, Get-ADGroup, Search-ADAccount, itp.), narzędzia dsquery.exe, skryptów vbs, itp. Jednak dla użytkowników nie będących administratorami znacznie łatwiejsze jest użycie GUI ADUC do wyświetlenia informacji o obiektach AD.

Active Directory Saved Queries zostały po raz pierwszy wprowadzone w Windows Server 2003 i otrzymały dalsze wsparcie w późniejszych wersjach Windows Server. Aby korzystać z zapisanych zapytań AD, musisz mieć zainstalowaną na komputerze konsolę ADUC (jest częścią narzędzi administracyjnych RSAT).

Jak utworzyć zapisane zapytanie w konsoli MMC Active Directory?

Przyjrzyjrzyjmy się kilku typowym przykładom użycia zapisanych zapytań LDAP w konsoli Active Directory Users and Computers do wyszukiwania obiektów. Przypuśćmy, że musimy wyświetlić listę aktywnych kont użytkowników, ich nazwy działów i adresy e-mail.

  1. Otwórz konsolę ADUC (dsa.msc), kliknij prawym przyciskiem myszy Saved Queries i wybierz New – > Query;
  2. W polu Name określ nazwę zapisanej kwerendy, która ma być wyświetlana w konsoli ADUC.
  3. W polu Query root możesz określić kontener (OU), w którym chcesz wyszukiwać. Domyślnie, wyszukiwanie według kryteriów zapytania jest wykonywane w całej domenie AD. W naszym przykładzie zawęzimy zakres wyszukiwania, wybierając kontener Brasil;
  4. Następnie kliknij przycisk Define Query i wybierz opcję Custom Search z listy rozwijanej Find;
  5. Przejdź do zakładki Advanced i skopiuj poniższe zapytanie LDAP do pola Enter LDAP query. Zapytanie to wybiera włączone konto użytkownika (zobacz inne przykłady zapytań LDAP w tabeli poniżej):
    (&(objectcategory=person)(objectclass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2))
  6. Zapisz zmiany klikając OK;
  7. Wybierz utworzone zapytanie w konsoli ADUC, naciśnij F5 aby zbudować listę obiektów. W rezultacie w prawym oknie pojawi się lista użytkowników, która odpowiada zapytaniu LDAP;
  8. Aby wyświetlić dodatkowe atrybuty użytkownika (adres e-mail, dział, itp.), otwórz menu View w konsoli ADUC i wybierz Add/Remove Columns;
  9. Dodaj żądane kolumny. My dodaliśmy 3 dodatkowe pola: User Logon Name, E-Mail Address, Department;
  10. Wynikowa lista kont użytkowników może zostać zapisana do pliku CSV lub TXT w celu dalszej analizy i importu do Excela. W tym celu należy kliknąć prawym przyciskiem myszy na zapisane zapytanie i wybrać pozycję menu Eksportuj listę.
    Uwaga.Można również pobrać dane z AD za pomocą PowerShell i zapisać je bezpośrednio do pliku Excel.

W konsoli ADUC, można utworzyć wiele różnych zapisanych zapytań organizując je w strukturę drzewa. W ten sposób można stworzyć wygodny zbiór zapytań LDAP, aby szybko wykonywać typowe zadania administracyjne AD.

Wtyczka ADUC mmc obsługuje kilka trybów budowania zapisanych zapytań Active Directory. Nie jest konieczne ręczne określanie kodu filtru LDAP za każdym razem. Możesz utworzyć zapytanie AD za pomocą prostego kreatora graficznego. Wystarczy wybrać różne atrybuty obiektów AD i użyć ich do przeszukiwania obiektów według zadanych kryteriów. Na przykład, aby wyświetlić listę wszystkich obiektów komputerów Windows Server w domenie:

  1. Wyszukaj -> Komputery;
  2. Przejdź do karty Zaawansowane ;
  3. Poleć -> System operacyjny;
  4. Gwiazdki z -> określ swoje kryteria ’Windows Server *
Wieloznacznikiem jest * (możesz określić ’*Server*’). Wiele kryteriów wyszukiwania może być dodanych do zapisanego zapytania.

Zapisz zapytanie i odśwież listę obiektów w konsoli ADUC. Lista pokaże wszystkie obiekty Windows Server w twojej domenie.

Zapisane zapytania są przechowywane lokalnie na komputerze, na którym zostały utworzone. Plik XML zawierający ustawienia znajduje się tutaj: Aby przenieść zapisane zapytania AD między komputerami, dostępna jest funkcja importowania/eksportowania zapytań jako plików XML w pliku dsa.msc (Export Query Definition/Import Query Definition).

Użyteczne przykłady zapisanych zapytań dla Active Directory MMC

Następująca tabela zawiera przykłady często używanych zapytań LDAP w celu wybrania obiektów Active Directory. Można je zapisać w swojej konsoli ADUC do codziennego użytku.

Używanie filtrów LDAP w PowerShell

Można użyć powyższych filtrów LDAP do znalezienia obiektów AD w konsoli PowerShell. Większość cmdletów z modułu PowerShell Active Directory posiada specjalny parametr LdapFilter. W parametrze tym należy podać zapytanie LDAP. Na przykład:

cmdlet Get-ADUser, Get-ADComputer i Get-ADGroup są wyspecjalizowanymi cmdletami i służą do wyszukiwania obiektów określonego typu – użytkowników, komputerów lub grup. Jeśli nie znasz typu obiektu AD, który chcesz znaleźć, lub jeśli potrzebujesz informacji o wszystkich typach obiektów, użyj bardziej powszechnego polecenia cmdlet Get-ADObject. Na przykład, aby wyszukać obiekt według SID: