Mentett lekérdezések az Active Directory felhasználói és számítógépek (ADUC) konzolján egyszerű és összetett létrehozhat LDAP lekérdezések az Active Directory objektumok kiválasztására. Ezeket a lekérdezéseket mentheti, szerkesztheti és átviheti számítógépek között. A mentett lekérdezések gyorsan és hatékonyan megoldhatók az AD objektumok keresésének és kiválasztásának feladatai különböző kritériumok alapján. Például a mentett lekérdezések gyorsan segítenek: megjelenítheti a tartomány összes letiltott fiókjának listáját, kiválaszthatja egy adott szervezet összes felhasználóját, amelynek postafiókjai vannak egy adott Exchange kiszolgálón stb..
A mentett LDAP lekérdezések fontos előnye, hogy képesek csoportos műveleteket végrehajtani különböző Active Directory-egységekből (tárolókból) származó objektumokkal, például tömeges zárolás / feloldás, mozgatás, fiókok törlése stb. Ie lehetővé teszi, hogy "megszabaduljon" az OU hierarchikus struktúrájának hiányosságaitól az Active Directory-ban az összes szükséges objektum összegyűjtésével egy sík asztal formájában.
Ezen műveletek nagy részét végrehajthatjuk PowerShell, dsquery, vbs szkriptek stb. Használatával, de általában az eredmények konzol szokásos grafikus formájában történő bemutatása sokkal kényelmesebb és nem igényel különleges képességeket..
Az Active Directory-mentett lekérdezések először a Windows Server 2003-ban jelentek meg, és továbbra is a Windows Server minden jövőbeli verziójában támogatottak
A mentett lekérdezések tipikus példáját mutatjuk be az Active Directory - felhasználók és számítógépek konzolján. Tegyük fel, hogy fel kell jegyeznünk az aktív felhasználói fiókokat, azok osztályait és e-mail címeit.
Nyissa meg az ADUC konzolt (dsa.msc), válassza ki a részt Mentett lekérdezések, rákattintva az RMB válasszon Új -> Lekérdezés.
A mezőn név adja meg a mentett kérés nevét, amely megjelenik az ADUC konzolon.
A mezőn Lekérdezés gyökér Megadhatja azt a tárolót (OU), amelyben a kérés végrehajtásra kerül. Alapértelmezés szerint a lekérdezési kritériumokat a teljes AD tartományban keresik. Példánkban a keresést szűkítjük az Jekatyerinburgi konténer kiválasztásával.
Ezután nyomja meg a gombot Határozza kérdés, és a legördülő listában talál válasszon elemet szokás Keresés.
Lépjen a lapra fejlett és a szántóföldön Írja be az LDAP lekérdezést másolja a következő LDAP lekérdezést:(& (objectcategory = person) (objectclass = user) (! userAccountControl: 1.2.840.113556.1.4.803: = 2))
A módosítások mentéséhez kattintson az OK gombra.
Válassza ki a létrehozott kérést az ADUC konzolon, kattintson az OK gombra F5 a lista újjáépítéséhez. A kérelem eredménye a képernyőképen látható..
További mezők (e-mail cím, osztály) megjelenítéséhez az ADUC konzolon nyissa meg a menüt kilátás és válassza ki az elemet Oszlopok hozzáadása / eltávolítása.
Adja hozzá a szükséges mezőket.
3 további mezőt adtunk hozzá: Felhasználói bejelentkezés neve, E-mail cím, osztály.
Az eredmény feltölthető CSV vagy TXT formátumban további elemzés céljából, és felhasználható egy Excel táblázatkezelő reaktorban. Ehhez kattintson az RMB elemre a mentett kérésnél, és válassza a menüpontot Export lista.
Az ADUC konzolon sok különféle tárolt lekérdezést hozhat létre, amelyeket fa struktúrába lehet rendezni..
A mentett kéréseket a számítógép konzolján tárolják, amelyen létrehozták (itt található a beállításokkal ellátott xml-fájl C: \ Users \% USERNAME% \ AppData \ Roaming \ Microsoft \ MMC \ DSA). Mentett kérés átvitele a számítógépek között, a dsa.msc konzolban a kérések importálása / exportálása XML fájlokon keresztül történik..
Az alábbi táblázat példákat mutat az gyakran használt LDAP lekérdezésekre az Active Directory kiválasztásához.
| feladat | LDAP szűrő |
| Keressen csoportokat az admin kulcsszóval a nevében | (objectcategory = group) (samaccountname = * admin *) |
| Keressen fiókokat a kulcsszó szolgáltatással a leírás mezőben | (tárgykategória = személy) (leírás = * szolgáltatás *) |
| Üres Active Directory-csoportok (felhasználók nélkül) | (objectCategory = csoport) (! tag = *) |
| Azok a felhasználók, akiknek a "Jelszó soha nem jár lejár" jelölése | (objectCategory = személy) (objectClass = felhasználó) (userAccountControl: 1.2.840.113556.1.4.803: = 65536) |
| Üres profil elérési útvonalú felhasználók | (tárgykategória = személy) (! profilút = *) |
| Aktív felhasználói fiókok, akiknek meg kell változtatniuk a jelszót | (objectCategory = személy) (objectClass = felhasználó) (pwdLastSet = 0) (! useraccountcontrol: 1.2.840.113556.1.4.803: = 2) |
| Minden AD-felhasználó letiltva | (objectCategory = személy) (objectClass = felhasználó) (! useraccountcontrol: 1.2.840.113556.1.4.803: = 2) |
| Blokkolt AD felhasználók | (objectCategory = személy) (objectClass = felhasználó) (useraccountcontrol: 1.2.840.113556.1.4.803: = 16) |
| E-mail címmel rendelkező felhasználók | (tárgykategória = személy) (mail = *) |
| E-mail címek nélküli felhasználók | (tárgykategória = személy) (! mail = *) |
| Számítógépek Windows XP SP3 rendszerrel | (& (objectCategory = számítógép) (operációs rendszer = Windows XP Professional) (operációs rendszerServicePack = 3. szervizcsomag)) |
| A domainben még soha nem regisztrált fiókok listája (a domain kényelmesebb formában történő belépésének idejéről a Kiegészítő fiókadatok fülön olvashat) | (& (& (objectCategory = személy) (objectClass = felhasználó)) (| (lastLogon = 0) (! (lastLogon = *)))) |
| Bizonyos ideig létrehozott felhasználói fiókok (2014-re) | (& (& (objectCategory = felhasználó) (amikor létrehozva> = 20140101000000.0Z &<=20150101000000.0Z&))) |
| Az AD felhasználók idén jöttek létre | (& (& (& (objectClass = Felhasználó) (amikor létrehozva> = 20150101000000.0ZZ)))) |
| Keresési lekérdezés alapú terjesztési csoportok keresése egy domainben |
