Uložené dotazy v konzole Active Directory Users and Computers (ADUC) můžete vytvářet jednoduché a složité LDAP dotazy na výběr objektů služby Active Directory. Tyto dotazy lze ukládat, upravovat a přenášet mezi počítači. Uložené dotazy lze rychle a efektivně vyřešit úkoly vyhledávání a výběru objektů v AD podle různých kritérií. Uložené dotazy vám například pomohou rychle: zobrazit seznam všech zakázaných účtů v doméně, vybrat všechny uživatele určité organizace s poštovními schránkami na daném serveru Exchange atd..
Důležitou výhodou uložených dotazů LDAP je schopnost provádět skupinové operace s objekty z různých organizačních jednotek OU (kontejnery) služby Active Directory, například hromadné zamykání / odemykání, přesouvání, mazání účtů atd. I.e. umožňují „zbavit se“ nedostatků hierarchické struktury OU ve službě Active Directory shromažďováním všech potřebných objektů ve formě ploché tabulky.
Většinu těchto operací lze provádět pomocí PowerShell, dsquery, vbs skriptů atd., Ale zpravidla je prezentace výsledků v obvyklé grafické podobě konzole mnohem pohodlnější a nevyžaduje speciální dovednosti..
Uložené dotazy služby Active Directory se poprvé objevily v systému Windows Server 2003 a nadále jsou podporovány ve všech budoucích verzích systému Windows Server
Ukážeme typický příklad použití uložených dotazů v konzole Uživatelé a počítače služby Active Directory. Předpokládejme, že musíme uvést aktivní uživatelské účty, jejich oddělení a e-mailové adresy.
Otevřete konzolu ADUC (dsa.msc), vyberte sekci Uložené dotazy, kliknutím na něj vyberte RMB Nové -> Dotaz.
Na poli Jméno zadejte název uloženého požadavku, který se zobrazí v konzole ADUC.
Na poli Kořen dotazu Můžete určit kontejner (OU), ve kterém je požadavek zpracován. Ve výchozím nastavení jsou kritéria dotazu prohledávána v celé doméně AD. V našem příkladu zúžíme hledání výběrem kontejneru Jekatěrinburg.
Poté stiskněte tlačítko Definujte Dotaz, a v rozevíracím seznamu Najít vyberte položku Vlastní Hledat.
Přejděte na kartu Pokročilé a na poli Zadejte dotaz LDAP zkopírujte následující dotaz LDAP:(& (objectcategory = person) (objectclass = user) (! userAccountControl: 1.2.840.113556.1.4.803: = 2))
Uložte změny kliknutím na OK.
Vyberte vytvořený požadavek v konzole ADUC, klikněte na F5 znovu sestavit seznam. Výsledek požadavku je zobrazen na snímku obrazovky..
Chcete-li zobrazit další pole (e-mailovou adresu, oddělení), otevřete v konzole ADUC nabídku Zobrazit a vyberte položku Přidat nebo odebrat sloupce.
Přidejte povinná pole.
Přidali jsme 3 další pole: Přihlašovací jméno uživatele, E-mailová adresa, Oddělení.
Výsledek lze nahrát ve formátu CSV nebo TXT pro další analýzu a použití v tabulkovém reaktoru Excel. Chcete-li to provést, klikněte na uložený požadavek na RMB a vyberte položku nabídky Exportovat seznam.
V konzole ADUC můžete vytvořit mnoho různých uložených dotazů, které lze uspořádat do stromové struktury..
Uložené požadavky jsou uloženy lokálně v konzole v počítači, na kterém byly vytvořeny (soubor xml s nastavením je zde C: \ Users \% USERNAME% \ AppData \ Roaming \ Microsoft \ MMC \ DSA) Pro přenos uloženého požadavku mezi počítači je v konzole dsa.msc funkce Import / Export požadavků prostřednictvím souborů XML..
V následující tabulce uvedeme příklady často používaných dotazů LDAP pro výběr v Active Directory.
| Výzva | Filtr LDAP |
| Hledejte skupiny s klíčovým slovem admin v názvu | (objectcategory = group) (samaccountname = * admin *) |
| Vyhledejte účty s klíčovou službou v poli popisu | (objectcategory = person) (description = * service *) |
| Prázdné skupiny služby Active Directory (bez uživatelů) | (objectCategory = group) (! member = *) |
| Uživatelé, jejichž nastavení označuje „Heslo nikdy nevyprší“ | (objectCategory = person) (objectClass = user) (userAccountControl: 1.2.840.113556.1.4.803: = 65536) |
| Uživatelé s prázdnou cestou profilu | (objectcategory = person) (! profilepath = *) |
| Aktivní uživatelské účty, které potřebují změnit heslo | (objectCategory = person) (objectClass = user) (pwdLastSet = 0) (! useraccountcontrol: 1.2.840.113556.1.4.803: = 2) |
| Všichni uživatelé AD kromě zakázaných | (objectCategory = person) (objectClass = user) (! useraccountcontrol: 1.2.840.113556.1.4.803: = 2) |
| Blokovaní uživatelé AD | (objectCategory = person) (objectClass = user) (useraccountcontrol: 1.2.840.113556.1.4.803: = 16) |
| Uživatelé s e-mailovými adresami | (objectcategory = person) (mail = *) |
| Uživatelé bez e-mailových adres | (objectcategory = person) (! mail = *) |
| Počítače s Windows XP SP3 | (& (objectCategory = computer) (operationSystem = Windows XP Professional) (operationSystemServicePack = Service Pack 3)) |
| Seznam účtů, které dosud nebyly v doméně zaregistrovány (informace o době vstupu do domény pohodlnějším způsobem lze zobrazit na kartě Další informace o účtu) | (& (& (objectCategory = person) (objectClass = user)) (| (lastLogon = 0) (! (lastLogon = *)))) |
| Uživatelské účty vytvořené v určitém časovém období (pro rok 2014) | (& (& (objectCategory = user) (ifCreated> = 20140101000000.0Z &<=20150101000000.0Z&))) |
| Uživatelé AD vytvořili tento rok | (& (& (& (objectClass = Uživatel) (při vytvoření> = 20150101000000.0ZZ))))) |
| Prohledejte distribuční skupiny založené na dotazu v doméně |
