Usando Consultas Salvas no ADUC MMC (Active Directory User and Computers)

O console mmc de Consultas Salvas no Active Directory Users and Computers (ADUC) permite criar filtros LDAP complexos para selecionar objetos Active Directory. Estas consultas podem ser salvas, editadas e copiadas para outros computadores. Você pode usar as consultas salvas do Active Directory para encontrar objetos AD de forma rápida e eficiente, com base em vários critérios. As consultas salvas podem ajudá-lo a executar rapidamente tarefas comuns de administração de objetos AD: exibir a lista de todas as contas desativadas em um domínio, selecionar todos os usuários de uma empresa que possuem caixas de correio em um determinado servidor Exchange, etc.

Quando usar consultas LDAP salvas, o administrador pode executar operações de grupo com objetos de diferentes OUs (containers) do Active Directory. Por exemplo, você pode executar operações de bloqueio/desbloqueio/desbloqueio em massa, mover, excluir, renomear operações em objetos/contas AD. Tais consultas no console do ADUC permitem contornar a estrutura hierárquica das OUs no Active Directory e coletar todos os objetos necessários em uma visualização de tabela plana.

A maioria das operações para encontrar objetos AD pode ser feita usando cmdlets do módulo PowerShell para Active Directory (por exemplo, Get-ADUser, Get-ADComputer, Get-ADObject, Get-ADGroup, Search-ADAccount, etc.), a ferramenta dsquery.exe, scripts vbs, etc. Entretanto, é muito mais fácil para usuários não-administradores usar o GUI ADUC para exibir informações sobre objetos AD.

Active Directory Saved Queries foram introduzidos pela primeira vez no Windows Server 2003 e receberam mais suporte nas versões posteriores do Windows Server. Para usar consultas salvas do AD, você deve ter o console do ADUC instalado em seu computador (faz parte das ferramentas de administração RSAT).

Como Criar uma Consulta Salva no Console MMC do Active Directory?

Vamos dar uma olhada em alguns exemplos típicos de uso de consultas LDAP salvas no console do Active Directory Users and Computers para pesquisar objetos. Suponha que tenhamos que exibir a lista de contas de usuários ativos, seus nomes de departamento e endereços de e-mail.

  1. Abra o console ADUC (dsa.msc), clique com o botão direito do mouse em Consultas Salvas e selecione Novo – > Consulta;
  2. Na caixa Nome, especifique o nome da consulta salva a ser exibida no console ADUC.
  3. No campo raiz da Consulta, você pode especificar o container (OU) no qual você deseja pesquisar. Por padrão, a pesquisa pelo critério de consulta é executada em todo o domínio AD. Em nosso exemplo, vamos restringir o escopo da pesquisa selecionando o container Brasil;
  4. Então clique no botão Definir Consulta, e selecione a lista suspensa Pesquisa personalizada em Localizar;
  5. Vá para a guia Avançado e copie a seguinte consulta LDAP na caixa de consulta Entrar LDAP. Esta consulta seleciona a conta de usuário habilitada (veja outros exemplos de consultas LDAP na tabela abaixo):
    (&(objectcategory=person)(objectclass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2))
  6. Salve as alterações clicando em OK;
  7. Selecione a consulta criada no console ADUC, pressione F5 para construir a lista de objetos. Como resultado, uma lista de usuários aparecerá na janela à direita que corresponde à sua consulta LDAP;
  8. A fim de exibir os atributos adicionais do usuário (endereço de e-mail, departamento, etc.), abra o menu Exibir no console do ADUC e selecione Adicionar/Remover colunas;
  9. Adicionar as colunas desejadas. Nós adicionamos 3 campos adicionais: User Logon Name, E-Mail Address, Department;
  10. A lista resultante de contas de usuário pode ser salva em um arquivo CSV ou TXT para análise posterior e importação para o Excel. Para fazer isso, clique com o botão direito do mouse na consulta salva e selecione o item do menu Lista de exportação.
    Nota.Você também pode obter dados do AD usando o PowerShell e salvá-los diretamente em um arquivo do Excel.

No console do ADUC, você pode criar uma série de diferentes consultas salvas e organizá-las em uma estrutura em árvore. Desta forma, você pode criar uma coleção conveniente de consultas LDAP para executar rapidamente tarefas comuns de administração do AD.

O snap-in mmc do ADUC suporta vários modos de construção de consultas salvas do Active Directory. Não é necessário especificar manualmente o código do filtro LDAP cada vez. Você pode criar a sua consulta AD com um assistente gráfico simples. Basta selecionar diferentes atributos de objetos AD e usá-los para pesquisar objetos de acordo com o critério desejado. Por exemplo, para listar todos os objetos de computador do Windows Server em um domínio:

  1. Find -> Computadores;
  2. Vá para o separador Avançado ;
  3. Campos -> Sistema Operativo;
  4. Estrelas com -> especifique o seu critério ‘Windows Server *
O wildcard é * (pode especificar ‘*Server*‘). Vários critérios de pesquisa podem ser adicionados à sua consulta salva.

Salve a consulta e atualize a lista de objetos no console da ADUC. A lista mostrará todos os objetos do Windows Server no seu domínio.

As consultas salvas são armazenadas localmente no computador em que foram criadas. O arquivo XML contendo as configurações está localizado aqui: C:\Users\%USERNAME%\AppData\Roaming\Microsoft\MMC\DSA). Para transferir AD consultas salvas entre computadores, há um recurso para importar/exportar as consultas como arquivos XML no dsa.msc (Export Query Definition/Import Query Definition).

Useful Saved Query Examples for Active Directory MMC

A tabela a seguir contém exemplos de consultas LDAP comumente usadas para selecionar objetos Active Directory. Você pode salvá-los em seu console ADUC para uso diário.

Usar filtros LDAP no PowerShell

Você pode usar os filtros LDAP acima para encontrar objetos AD no console PowerShell. A maioria dos cmdlets do módulo PowerShell Active Directory tem um parâmetro especial de LdapFilter. Você precisa especificar sua consulta LDAP neste parâmetro. Por exemplo:

Get-ADUser, Get-ADComputer, e Get-ADGroup cmdlet são cmdlets especializados e usados para encontrar objetos de um determinado tipo – usuários, computadores ou grupos. Se você não sabe o tipo de objeto AD que deseja, ou se você precisa de informações sobre todos os tipos de objetos, use o mais comum Get-ADObject cmdlet. Por exemplo, para procurar um objeto pelo SID: