Uložené dopyty v konzole Active Directory Users and Computers (ADUC) môžete vytvárať jednoduché a komplexné súbory LDAP dotazy na výber objektov služby Active Directory. Tieto dotazy je možné ukladať, upravovať a prenášať medzi počítačmi. Uložené dopyty je možné rýchlo a efektívne vyriešiť úlohy hľadania a výberu objektov v AD podľa rôznych kritérií. Napríklad uložené otázky vám pomôžu rýchlo: zobraziť zoznam všetkých zakázaných účtov v doméne, vybrať všetkých používateľov určitej organizácie s poštovými schránkami na danom serveri Exchange atď..
Dôležitou výhodou uložených dotazov LDAP je schopnosť vykonávať skupinové operácie s objektmi z rôznych organizačných jednotiek Active Directory (OU) (kontajnery), napríklad hromadné uzamykanie / odomykanie, presúvanie, mazanie účtov atď. tj umožňujú vám zbaviť sa nedostatkov hierarchickej štruktúry OU v službe Active Directory zhromažďovaním všetkých potrebných objektov vo forme plochej tabuľky.
Väčšinu týchto operácií je možné vykonávať pomocou skriptov PowerShell, dsquery, vbs atď., Ale prezentácia výsledkov v obvyklej grafickej podobe konzoly je spravidla oveľa pohodlnejšia a nevyžaduje špeciálne zručnosti..
Uložené dotazy služby Active Directory sa prvýkrát objavili v systéme Windows Server 2003 a naďalej sú podporované vo všetkých budúcich verziách systému Windows Server
Ukážeme typický príklad použitia uložených dopytov v konzole Používatelia a počítače služby Active Directory. Predpokladajme, že musíme uviesť zoznam aktívnych používateľských účtov, ich oddelení a e-mailových adries.
Otvorte konzolu ADUC (dsa.msc), vyberte časť Uložené dopyty, kliknutím naň vyberte RMB Nové -> Dopyt.
V teréne názov zadajte názov uloženej žiadosti, ktorá sa zobrazí v konzole ADUC.
V teréne Koreň dotazu Môžete určiť kontajner (OU), v ktorom sa žiadosť spracuje. V predvolenom nastavení sa vyhľadávajú kritériá dopytu v celej doméne AD. V našom príklade zúžime vyhľadávanie výberom kontajnera v Jekaterinburgu.
Potom stlačte tlačidlo vymedziť dotaz, a v rozbaľovacom zozname nájsť vyberte položku zvyk vyhľadávať.
Prejdite na kartu pokročilý a na poli Zadajte dotaz LDAP skopírujte nasledujúci dotaz LDAP:(& (objectcategory = person) (objectclass = user) (! userAccountControl: 1.2.840.113556.1.4.803: = 2))
Uložte zmeny kliknutím na tlačidlo OK.
Vyberte vytvorenú požiadavku v konzole ADUC, kliknite na F5 obnoviť zoznam. Výsledok žiadosti sa zobrazí na snímke obrazovky..
Ak chcete v konzole ADUC zobraziť ďalšie polia (e-mailová adresa, oddelenie), otvorte ponuku vyhliadka a vyberte položku Pridať alebo odstrániť stĺpce.
Pridajte požadované polia.
Pridali sme ďalšie 3 polia: Prihlasovacie meno používateľa, E-mailová adresa, oddelenie.
Výsledok je možné nahrať vo formáte CSV alebo TXT na ďalšiu analýzu a použitie v tabuľkovom reaktore Excel. Ak to chcete urobiť, kliknite na uloženú požiadavku na RMB a vyberte položku ponuky Exportovať zoznam.
V konzole ADUC môžete vytvoriť veľa rôznych uložených dopytov, ktoré je možné usporiadať do stromovej štruktúry..
Uložené požiadavky sa ukladajú lokálne v konzole v počítači, na ktorom boli vytvorené (súbor xml s nastaveniami je tu C: \ Users \% USERNAME% \ AppData \ Roaming \ Microsoft \ MMC \ DSA). Ak chcete preniesť uloženú požiadavku medzi počítačmi, v konzole dsa.msc existuje funkcia Import / Export požiadaviek prostredníctvom súborov XML..
V nasledujúcej tabuľke uvádzame príklady často používaných dotazov LDAP na výber v službe Active Directory.
| úloha | Filter LDAP |
| Vyhľadajte skupiny s kľúčovým slovom admin v názve | (objectcategory = group) (samaccountname = * admin *) |
| V poli popisu vyhľadajte účty so službou kľúčových slov | (objectcategory = person) (description = * service *) |
| Prázdne skupiny Active Directory (bez používateľov) | (objectCategory = group) (! member = *) |
| Používatelia, ktorých nastavenia označujú „Heslo nikdy nevyprší“ | (objectCategory = person) (objectClass = user) (userAccountControl: 1.2.840.113556.1.4.803: = 65536) |
| Používatelia s prázdnou profilovou cestou | (objectcategory = person) (! profilepath = *) |
| Aktívne používateľské účty, ktoré potrebujú zmeniť heslo | (objectCategory = person) (objectClass = user) (pwdLastSet = 0) (! useraccountcontrol: 1.2.840.113556.1.4.803: = 2) |
| Všetci používatelia AD okrem zakázaných | (objectCategory = person) (objectClass = user) (! useraccountcontrol: 1.2.840.113556.1.4.803: = 2) |
| Blokovaní používatelia AD | (objectCategory = person) (objectClass = user) (useraccountcontrol: 1.2.840.113556.1.4.803: = 16) |
| Používatelia s e-mailovými adresami | (objectcategory = person) (mail = *) |
| Používatelia bez e-mailových adries | (objectcategory = person) (! mail = *) |
| Počítače s aktualizáciou Windows XP SP3 | (& (objectCategory = computer) (operationSystem = Windows XP Professional) (operationSystemServicePack = Service Pack 3)) |
| Zoznam účtov, ktoré ešte nikdy neboli zaregistrované v doméne (informácie o čase zadania domény vo vhodnejšej forme nájdete na karte Ďalšie informácie o účte) | (& (& (objectCategory = person) (objectClass = user)) (| (lastLogon = 0) (! (lastLogon = *)))) |
| Používateľské účty vytvorené v určitom časovom období (na rok 2014) | (& (& (objectCategory = user) (ifCreated> = 20140101000000.0Z &<=20150101000000.0Z&))) |
| Používatelia AD vytvorili tento rok | (& (& (& (objectClass = User) (keď je vytvorený> = 20150101000000.0ZZ))))) |
| Vyhľadajte distribučné skupiny založené na dopyte v doméne |
