Las consultas guardadas en la consola mmc de Active Directory Users and Computers (ADUC) permiten crear filtros LDAP complejos para seleccionar objetos de Active Directory. Estas consultas pueden ser guardadas, editadas y copiadas a otros ordenadores. Usted puede usar las consultas guardadas de Active Directory para encontrar rápida y eficientemente objetos de AD basados en varios criterios. Las consultas guardadas pueden ayudarle a realizar rápidamente tareas comunes de administración de objetos de AD: mostrar la lista de todas las cuentas deshabilitadas en un dominio, seleccionar todos los usuarios de una empresa que tienen buzones en un determinado servidor Exchange, etc.

Al utilizar las consultas LDAP guardadas, el administrador puede realizar operaciones de grupo con objetos de diferentes OUs (contenedores) de Active Directory. Por ejemplo, puede realizar operaciones masivas de bloqueo/desbloqueo/activación/desactivación, mover, eliminar, renombrar objetos/cuentas de AD. Este tipo de consultas en la consola de ADUC le permiten saltarse la estructura jerárquica de las OUs en Active Directory y recoger todos los objetos necesarios en una vista de tabla plana.

Las consultas guardadas de Active Directory se introdujeron por primera vez en Windows Server 2003 y obtuvieron más soporte en las versiones posteriores de Windows Server. Para utilizar las consultas guardadas de AD, debe tener la consola ADUC instalada en su equipo (forma parte de las herramientas de administración de RSAT).

¿Cómo crear una consulta guardada en la consola MMC de Active Directory?

Veamos algunos ejemplos típicos de uso de consultas guardadas de LDAP en la consola de usuarios y equipos de Active Directory para buscar objetos. Supongamos que tenemos que mostrar la lista de cuentas de usuario activas, sus nombres de departamento y direcciones de correo electrónico.

1. Abra la consola ADUC (dsa.msc), haga clic con el botón derecho en Consultas guardadas y seleccione Nueva – > Consulta;
2. En el cuadro Nombre, especifique el nombre de la consulta guardada que se mostrará en la consola ADUC.
3. En el campo Raíz de la consulta, puede especificar el contenedor (OU) en el que desea buscar. Por defecto, la búsqueda por los criterios de consulta se realiza en todo el dominio AD. En nuestro ejemplo, limitaremos el alcance de la búsqueda seleccionando el contenedor Brasil;
4. A continuación, haga clic en el botón Definir consulta y seleccione la búsqueda personalizada en la lista desplegable Buscar;
5. Vaya a la pestaña Avanzado y copie la siguiente consulta LDAP en el cuadro Introducir consulta LDAP. Esta consulta selecciona la cuenta de usuario habilitada (vea otros ejemplos de consultas LDAP en la tabla siguiente):
   (&(objectcategory=person)(objectclass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2))
6. Guarde los cambios haciendo clic en Aceptar;
7. Seleccione la consulta creada en la consola de ADUC, pulse F5 para construir la lista de objetos. Como resultado, aparecerá una lista de usuarios en la ventana derecha que coincide con su consulta LDAP;
8. Para mostrar los atributos adicionales de los usuarios (dirección de correo electrónico, departamento, etc.), abra el menú Ver en la consola ADUC y seleccione Añadir/Quitar columnas;
9. Añada las columnas que desee. Hemos añadido 3 campos adicionales: Nombre de inicio de sesión del usuario, Dirección de correo electrónico, Departamento;
10. La lista resultante de cuentas de usuario puede guardarse en un archivo CSV o TXT para su posterior análisis e importación en Excel. Para ello, haga clic con el botón derecho en la consulta guardada y seleccione el elemento de menú Exportar lista.
    Nota.También puede obtener los datos de AD mediante PowerShell y guardarlos directamente en un archivo de Excel.

    

En la consola de ADUC, puede crear varias consultas guardadas diferentes y organizarlas en una estructura de árbol. De este modo, puede crear una cómoda colección de consultas LDAP para realizar rápidamente tareas comunes de administración de AD.

El snap-in ADUC mmc admite varios modos de construir consultas guardadas de Active Directory. No es necesario especificar manualmente el código de filtro LDAP cada vez. Puede crear su consulta de AD con un sencillo asistente gráfico. Sólo tiene que seleccionar diferentes atributos de los objetos de AD y utilizarlos para buscar objetos según los criterios que desee. Por ejemplo, para listar todos los objetos informáticos de Windows Server en un dominio:

1. Buscar -> Ordenadores;
2. Ir a la pestaña Avanzado ;
3. Campos -> Sistema Operativo;
4. Especificar sus criterios ‘Windows Server *‘

Guarde la consulta y actualice la lista de objetos en la consola de ADUC. La lista mostrará todos los objetos de Windows Server en su dominio.

Las consultas guardadas se almacenan localmente en el equipo en el que se crearon. El archivo XML que contiene la configuración se encuentra aquí: C:\NUsers%USERNAME%\AppData\Roaming\Microsoft\MMC\DSA). Para transferir las consultas guardadas de AD entre ordenadores, existe una función para importar/exportar las consultas como archivos XML en dsa.msc (Export Query Definition/Import Query Definition).

Ejemplos de consultas guardadas útiles para Active Directory MMC

La siguiente tabla contiene ejemplos de consultas LDAP utilizadas habitualmente para seleccionar objetos de Active Directory. Puede guardarlos en su consola ADUC para su uso diario.

Uso de filtros LDAP en PowerShell

Puede utilizar los filtros LDAP anteriores para encontrar objetos AD en la consola PowerShell. La mayoría de los cmdlets del módulo PowerShell Active Directory tienen un parámetro especial LdapFilter. Tienes que especificar tu consulta LDAP en este parámetro. Por ejemplo:

El cmdlet Get-ADUser, Get-ADComputer y Get-ADGroup son cmdlets especializados y se utilizan para encontrar objetos de un determinado tipo: usuarios, equipos o grupos. Si no conoce el tipo de objeto de AD que desea, o si necesita información sobre todos los tipos de objetos, utilice el cmdlet más común Get-ADObject. Por ejemplo, para buscar un objeto por SID: