Använda sparade frågor i ADUC MMC (Active Directory User and Computers)

augusti 23, 2021
| Inga kommentarer

Med sparade frågor i Active Directory Users and Computers (ADUC) mmc-konsolen kan du skapa komplexa LDAP-filter för att välja Active Directory-objekt. Dessa frågor kan sparas, redigeras och kopieras till andra datorer. Du kan använda de sparade Active Directory-frågorna för att snabbt och effektivt hitta AD-objekt utifrån olika kriterier. Sparade frågor kan hjälpa dig att snabbt utföra vanliga AD-objektadministrationsuppgifter: visa listan över alla inaktiverade konton i en domän, välja alla användare i ett företag som har brevlådor på en viss Exchange-server osv.

När administratören använder sparade LDAP-frågor kan han/hon utföra gruppoperationer med objekt från olika OU:er (behållare) i Active Directory. Du kan t.ex. utföra masslåsning/upplåsning/aktivering/avaktivering, flytta, ta bort, byta namn på AD-objekt/konton. Med sådana frågor i ADUC-konsolen kan du kringgå den hierarkiska strukturen för OUs i Active Directory och samla alla nödvändiga objekt i en platt tabellvy.

De flesta åtgärder för att hitta AD-objekt kan göras med hjälp av cmdlets från PowerShell-modulen för Active Directory (t.ex. Get-ADUser, Get-ADComputer, Get-ADObject, Get-ADGroup, Search-ADAccount etc.), verktyget dsquery.exe, vbs-skripten osv. Det är dock mycket enklare för icke-administratörer att använda ADUC GUI för att visa information om AD-objekt.

Active Directory Saved Queries introducerades för första gången i Windows Server 2003 och fick ytterligare stöd i de senare Windows Server-versionerna. För att kunna använda sparade AD-förfrågningar måste ADUC-konsolen vara installerad på datorn (är en del av RSAT-administrationsverktygen).

Hur skapar man en sparad fråga i Active Directory MMC-konsolen?

Låt oss titta på några typiska exempel på hur man använder sparade LDAP-förfrågningar i Active Directory Users and Computers-konsolen för att söka efter objekt. Anta att vi måste visa listan över aktiva användarkonton, deras avdelningsnamn och e-postadresser.

  1. Öppna ADUC-konsolen (dsa.msc), högerklicka på Saved Queries (sparade sökfrågor) och välj New – > Query (ny – > sökfråga).
  2. Ange i rutan Name (namn) namnet på den sparade sökfrågan som ska visas i ADUC-konsolen.
  3. I fältet Query root (sökrotsfältet) kan du ange den behållare (OU) som du vill söka i. Som standard utförs sökningen enligt frågekriterierna över hela AD-domänen. I vårt exempel begränsar vi sökområdet genom att välja behållaren Brasil;
  4. Klicka sedan på knappen Definiera fråga och välj Anpassad sökning i rullgardinslistan Hitta;
  5. Gå till fliken Avancerat och kopiera följande LDAP-fråga i rutan Ange LDAP-fråga. Denna fråga väljer aktiverat användarkonto (se andra exempel på LDAP-frågor i tabellen nedan):(&(objectcategory=person)(objectclass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2))
  6. Spara ändringarna genom att klicka på OK;
  7. Välj den skapade frågan i ADUC-konsolen, tryck på F5 för att skapa objektlistan. Som ett resultat visas en lista med användare i det högra fönstret som matchar din LDAP-fråga;
  8. För att visa ytterligare användarattribut (e-postadress, avdelning etc.) öppnar du menyn Visa i ADUC-konsolen och väljer Lägg till/ta bort kolumner;
  9. Lägg till de kolumner du vill ha. Vi har lagt till 3 ytterligare fält: Den resulterande listan över användarkonton kan sparas i en CSV- eller TXT-fil för vidare analys och import till Excel. Det gör du genom att högerklicka på den sparade frågan och välja menyalternativet Exportera lista.
    Observera: Du kan också hämta data från AD med hjälp av PowerShell och spara den direkt till en Excel-fil.

I ADUC-konsolen kan du skapa ett antal olika sparade frågor organisera dem i en trädstruktur. På så sätt kan du skapa en praktisk samling LDAP-förfrågningar för att snabbt utföra vanliga AD-administrationsuppgifter.

Snapin-modulen ADUC mmc har stöd för flera olika sätt att bygga sparade Active Directory-förfrågningar. Det är inte nödvändigt att manuellt ange LDAP-filterkoden varje gång. Du kan skapa din AD-fråga med en enkel grafisk guide. Du väljer helt enkelt olika attribut för AD-objekt och använder dem för att söka objekt enligt de kriterier du vill ha. Till exempel för att lista alla Windows Server-datorobjekt i en domän:

  1. Sök -> Datorer;
  2. Gå till fliken Avancerat;
  3. Fält -> Operativsystem;
  4. Stjärnor med -> ange kriterierna ’Windows Server *
Jokertecknet är * (du kan ange ’*Server*’). Du kan lägga till flera sökkriterier till din sparade fråga.

Spara frågan och uppdatera objektlistan i ADUC-konsolen. Listan visar alla Windows Server-objekt i din domän.

De sparade sökfrågorna lagras lokalt på den dator där de skapades. XML-filen med inställningarna finns här: C:\Users\%USERNAME%\AppData\Roaming\Microsoft\MMC\DSA). För att överföra AD sparade frågor mellan datorer finns det en funktion för att importera/exportera frågorna som XML-filer i dsa.msc (Export Query Definition/Import Query Definition).

Användbara exempel på sparade frågor för Active Directory MMC

I följande tabell finns exempel på vanligt förekommande LDAP-förfrågningar för att välja Active Directory-objekt. Du kan spara dem i ADUC-konsolen för daglig användning.

Användning av LDAP-filter i PowerShell

Du kan använda ovanstående LDAP-filter för att hitta AD-objekt i PowerShell-konsolen. De flesta cmdlets från PowerShell Active Directory-modulen har en särskild LdapFilter-parameter. Du måste ange din LDAP-fråga i den här parametern. Till exempel:

Get-ADUser, Get-ADComputer och Get-ADGroup cmdlet är specialiserade cmdlets och används för att hitta objekt av en viss typ – användare, datorer eller grupper. Om du inte vet vilken typ av AD-objekt du vill ha, eller om du behöver information om alla typer av objekt, använder du den mer vanliga cmdlet Get-ADObject. Om du till exempel vill söka efter ett objekt med SID:

Articles