Utilizarea interogărilor salvate în ADUC MMC (Active Directory User and Computers)

Interogările salvate din consola mmc Active Directory Users and Computers (ADUC) vă permit să creați filtre LDAP complexe pentru a selecta obiecte Active Directory. Aceste interogări pot fi salvate, editate și copiate pe alte calculatoare. Puteți utiliza interogările salvate din Active Directory pentru a găsi rapid și eficient obiecte AD pe baza unor criterii diverse. Interogările salvate vă pot ajuta să efectuați rapid sarcini comune de administrare a obiectelor AD: afișarea listei tuturor conturilor dezactivate dintr-un domeniu, selectarea tuturor utilizatorilor unei companii care au căsuțe poștale pe un anumit server Exchange etc.

Când utilizează interogări LDAP salvate, administratorul poate efectua operații de grup cu obiecte din diferite OU (containere) din Active Directory. De exemplu, se pot efectua operații de blocare/ deblocare/activare/dezactivare în grup, mutare, ștergere, redenumire a obiectelor/conturilor AD. Astfel de interogări în consola ADUC vă permit să ocoliți structura ierarhică a OU-urilor din Active Directory și să colectați toate obiectele necesare într-o vizualizare de tip tabel plat.

Majoritatea operațiilor de căutare a obiectelor AD pot fi efectuate cu ajutorul cmdlet-urilor din modulul PowerShell pentru Active Directory (de exemplu, Get-ADUser, Get-ADComputer, Get-ADObject, Get-ADGroup, Search-ADAccount etc.), a instrumentului dsquery.exe, a scripturilor vbs etc. Cu toate acestea, este mult mai ușor pentru utilizatorii care nu sunt administratori să utilizeze ADUC GUI pentru a afișa informații despre obiectele AD.

Active Directory Saved Queries au fost introduse pentru prima dată în Windows Server 2003 și au primit suport suplimentar în versiunile ulterioare ale Windows Server. Pentru a utiliza interogările AD salvate, trebuie să aveți consola ADUC instalată pe computer (face parte din instrumentele de administrare RSAT).

Cum se creează o interogare salvată în consola MMC Active Directory?

Să aruncăm o privire la câteva exemple tipice de utilizare a interogărilor LDAP salvate în consola Active Directory Users and Computers pentru a căuta obiecte. Să presupunem că trebuie să afișăm lista conturilor de utilizatori activi, numele departamentelor și adresele de e-mail ale acestora.

  1. Deschideți consola ADUC (dsa.msc), faceți clic dreapta pe Interogări salvate și selectați New – > Query;
  2. În caseta Name (Nume), specificați numele interogării salvate care urmează să fie afișată în consola ADUC.
  3. În câmpul Query root (Rădăcină interogare), puteți specifica containerul (OU) în care doriți să căutați. În mod implicit, căutarea după criteriile de interogare se efectuează în întregul domeniu AD. În exemplul nostru, vom restrânge domeniul de căutare prin selectarea containerului Brasil;
  4. Apoi faceți clic pe butonul Define Query (Definiți interogarea) și selectați Custom Search (Căutare personalizată) în lista derulantă Find (Găsire);
  5. Accesați fila Advanced (Avansat) și copiați următoarea interogare LDAP în caseta Enter LDAP query (Introduceți interogarea LDAP). Această interogare selectează contul de utilizator activat (a se vedea alte exemple de interogări LDAP în tabelul de mai jos):
    (&(objectcategory=person)(objectclass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2))
  6. Salvați modificările făcând clic pe OK;
  7. Selectați interogarea creată în consola ADUC, apăsați F5 pentru a construi lista de obiecte. Ca rezultat, în fereastra din dreapta va apărea o listă de utilizatori care corespunde interogării LDAP;
  8. Pentru a afișa atributele suplimentare ale utilizatorilor (adresa de e-mail, departamentul etc.), deschideți meniul View (Vizualizare) din consola ADUC și selectați Add/Remove Columns (Adăugare/eliminare coloane);
  9. Adaugați coloanele dorite. Noi am adăugat 3 câmpuri suplimentare: User Logon Name, E-Mail Address, Department;
  10. Lista de conturi de utilizator rezultată poate fi salvată într-un fișier CSV sau TXT pentru analize ulterioare și import în Excel. Pentru a face acest lucru, faceți clic dreapta pe interogarea salvată și selectați elementul de meniu Export List.
    Notă.Puteți, de asemenea, să obțineți date din AD utilizând PowerShell și să le salvați direct într-un fișier Excel.

În consola ADUC, puteți crea un număr de interogări salvate diferite pe care le puteți organiza într-o structură arborescentă. În acest mod, puteți crea o colecție convenabilă de interogări LDAP pentru a efectua rapid sarcini comune de administrare AD.

Instalația ADUC mmc acceptă mai multe moduri de creare a interogărilor salvate Active Directory. Nu este necesar să specificați manual codul filtrului LDAP de fiecare dată. Puteți crea interogarea AD cu ajutorul unui asistent grafic simplu. Pur și simplu selectați diferite atribute ale obiectelor AD și le utilizați pentru a căuta obiecte în funcție de criteriile pe care le doriți. De exemplu, pentru a lista toate obiectele computerului Windows Server dintr-un domeniu:

  1. Căutați -> Computere;
  2. Apăsați fila Advanced ;
  3. Câmpuri -> Sistem de operare;
  4. Stars cu -> specificați criteriile ‘Windows Server *
Caracterul joker este * (puteți specifica ‘*Server*‘). Se pot adăuga mai multe criterii de căutare la interogarea salvată.

Salvați interogarea și reîmprospătați lista de obiecte în consola ADUC. Lista va afișa toate obiectele Windows Server din domeniul dumneavoastră.

Cerințele salvate sunt stocate local pe computerul pe care au fost create. Fișierul XML care conține setările se află aici: C:\Users\%USERNAME%\AppData\Roaming\Microsoft\MMC\DSA). Pentru a transfera interogările salvate AD între calculatoare, există o funcție de import/export al interogărilor ca fișiere XML în dsa.msc (Export Query Definition/Import Query Definition).

Exemple utile de interogări salvate pentru Active Directory MMC

Tabelul următor conține exemple de interogări LDAP utilizate în mod obișnuit pentru a selecta obiecte Active Directory. Le puteți salva în consola ADUC pentru utilizare zilnică.

Utilizarea filtrelor LDAP în PowerShell

Puteți utiliza filtrele LDAP de mai sus pentru a găsi obiecte AD în consola PowerShell. Majoritatea cmdlet-urilor din modulul PowerShell Active Directory au un parametru special LdapFilter. Trebuie să specificați interogarea LDAP în acest parametru. De exemplu:

Get-ADUser, Get-ADComputer și Get-ADGroup cmdlet sunt cmdlet-uri specializate și utilizate pentru a găsi obiecte de un anumit tip – utilizatori, computere sau grupuri. Dacă nu cunoașteți tipul de obiect AD pe care îl doriți sau dacă aveți nevoie de informații despre toate tipurile de obiecte, utilizați cmdlet-ul Get-ADObject, mai obișnuit. De exemplu, pentru a căuta un obiect după SID:

.