Med sparade frågor i Active Directory Users and Computers (ADUC) mmc-konsolen kan du skapa komplexa LDAP-filter för att välja Active Directory-objekt. Dessa frågor kan sparas, redigeras och kopieras till andra datorer. Du kan använda de sparade Active Directory-frågorna för att snabbt och effektivt hitta AD-objekt utifrån olika kriterier. Sparade frågor kan hjälpa dig att snabbt utföra vanliga AD-objektadministrationsuppgifter: visa listan över alla inaktiverade konton i en domän, välja alla användare i ett företag som har brevlådor på en viss Exchange-server osv.
När administratören använder sparade LDAP-frågor kan han/hon utföra gruppoperationer med objekt från olika OU:er (behållare) i Active Directory. Du kan t.ex. utföra masslåsning/upplåsning/aktivering/avaktivering, flytta, ta bort, byta namn på AD-objekt/konton. Med sådana frågor i ADUC-konsolen kan du kringgå den hierarkiska strukturen för OUs i Active Directory och samla alla nödvändiga objekt i en platt tabellvy.
Active Directory Saved Queries introducerades för första gången i Windows Server 2003 och fick ytterligare stöd i de senare Windows Server-versionerna. För att kunna använda sparade AD-förfrågningar måste ADUC-konsolen vara installerad på datorn (är en del av RSAT-administrationsverktygen).
Hur skapar man en sparad fråga i Active Directory MMC-konsolen?
Låt oss titta på några typiska exempel på hur man använder sparade LDAP-förfrågningar i Active Directory Users and Computers-konsolen för att söka efter objekt. Anta att vi måste visa listan över aktiva användarkonton, deras avdelningsnamn och e-postadresser.
- Öppna ADUC-konsolen (
dsa.msc
), högerklicka på Saved Queries (sparade sökfrågor) och välj New – > Query (ny – > sökfråga). - Ange i rutan Name (namn) namnet på den sparade sökfrågan som ska visas i ADUC-konsolen.
- I fältet Query root (sökrotsfältet) kan du ange den behållare (OU) som du vill söka i. Som standard utförs sökningen enligt frågekriterierna över hela AD-domänen. I vårt exempel begränsar vi sökområdet genom att välja behållaren Brasil;
- Klicka sedan på knappen Definiera fråga och välj Anpassad sökning i rullgardinslistan Hitta;
- Gå till fliken Avancerat och kopiera följande LDAP-fråga i rutan Ange LDAP-fråga. Denna fråga väljer aktiverat användarkonto (se andra exempel på LDAP-frågor i tabellen nedan):
(&(objectcategory=person)(objectclass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2))
- Spara ändringarna genom att klicka på OK;
- Välj den skapade frågan i ADUC-konsolen, tryck på F5 för att skapa objektlistan. Som ett resultat visas en lista med användare i det högra fönstret som matchar din LDAP-fråga;
- För att visa ytterligare användarattribut (e-postadress, avdelning etc.) öppnar du menyn Visa i ADUC-konsolen och väljer Lägg till/ta bort kolumner;
- Lägg till de kolumner du vill ha. Vi har lagt till 3 ytterligare fält: Den resulterande listan över användarkonton kan sparas i en CSV- eller TXT-fil för vidare analys och import till Excel. Det gör du genom att högerklicka på den sparade frågan och välja menyalternativet Exportera lista.
Observera: Du kan också hämta data från AD med hjälp av PowerShell och spara den direkt till en Excel-fil.
I ADUC-konsolen kan du skapa ett antal olika sparade frågor organisera dem i en trädstruktur. På så sätt kan du skapa en praktisk samling LDAP-förfrågningar för att snabbt utföra vanliga AD-administrationsuppgifter.
Snapin-modulen ADUC mmc har stöd för flera olika sätt att bygga sparade Active Directory-förfrågningar. Det är inte nödvändigt att manuellt ange LDAP-filterkoden varje gång. Du kan skapa din AD-fråga med en enkel grafisk guide. Du väljer helt enkelt olika attribut för AD-objekt och använder dem för att söka objekt enligt de kriterier du vill ha. Till exempel för att lista alla Windows Server-datorobjekt i en domän:
- Sök -> Datorer;
- Gå till fliken Avancerat;
- Fält -> Operativsystem;
- Stjärnor med -> ange kriterierna ’
Windows Server *
’
*
(du kan ange ’*Server*
’). Du kan lägga till flera sökkriterier till din sparade fråga.Spara frågan och uppdatera objektlistan i ADUC-konsolen. Listan visar alla Windows Server-objekt i din domän.
De sparade sökfrågorna lagras lokalt på den dator där de skapades. XML-filen med inställningarna finns här: C:\Users\%USERNAME%\AppData\Roaming\Microsoft\MMC\DSA). För att överföra AD sparade frågor mellan datorer finns det en funktion för att importera/exportera frågorna som XML-filer i dsa.msc (Export Query Definition/Import Query Definition).
Användbara exempel på sparade frågor för Active Directory MMC
I följande tabell finns exempel på vanligt förekommande LDAP-förfrågningar för att välja Active Directory-objekt. Du kan spara dem i ADUC-konsolen för daglig användning.
Användning av LDAP-filter i PowerShell
Du kan använda ovanstående LDAP-filter för att hitta AD-objekt i PowerShell-konsolen. De flesta cmdlets från PowerShell Active Directory-modulen har en särskild LdapFilter-parameter. Du måste ange din LDAP-fråga i den här parametern. Till exempel:
Get-ADUser, Get-ADComputer och Get-ADGroup cmdlet är specialiserade cmdlets och används för att hitta objekt av en viss typ – användare, datorer eller grupper. Om du inte vet vilken typ av AD-objekt du vill ha, eller om du behöver information om alla typer av objekt, använder du den mer vanliga cmdlet Get-ADObject. Om du till exempel vill söka efter ett objekt med SID: