Shranjene poizvedbe v konzoli za uporabnike in računalnike Active Directory (ADUC) lahko ustvarite preprosto in zapleteno LDAP poizvedbe za izbiro predmetov Active Directory. Te poizvedbe je mogoče shranjevati, urejati in prenašati med računalnike. Shranjene poizvedbe je mogoče hitro in učinkovito rešiti naloge iskanja in izbire predmetov v AD po različnih merilih. Hitro vam bodo hitro pomagale shranjene poizvedbe: prikažite seznam vseh onemogočenih računov v domeni, izberite vse uporabnike določene organizacije s poštnimi nabiralniki na določenem strežniku Exchange itd..
Pomembna prednost shranjenih poizvedb LDAP je zmožnost izvajanja skupinskih operacij s predmeti iz različnih OU aktivnih imenikov (vsebnikov), na primer množično zaklepanje / odklepanje, premikanje, brisanje računov itd. I.e. omogočajo, da se "znebite" pomanjkljivosti hierarhične strukture OU v Active Directory, tako da zberete vse potrebne predmete v obliki ravne tabele.
Večino teh operacij je mogoče izvajati z uporabo PowerShell, dsquery, skriptov vbs itd., Vendar pa je praviloma predstavitev rezultatov v običajni grafični obliki konzole veliko bolj priročna in ne zahteva posebnih znanj..
Shranjene poizvedbe Active Directory so se prvič pojavile v operacijskem sistemu Windows Server 2003 in so še naprej podprte v vseh prihodnjih različicah sistema Windows Server
Prikažemo tipičen primer uporabe shranjenih poizvedb v konzoli Active Directory za uporabnike in računalnike. Recimo, da moramo navesti aktivne uporabniške račune, njihove oddelke in e-poštne naslove.
Odprite konzolo ADUC (dsa.msc), izberite razdelek Shranjene poizvedbe, s klikom nanj izberite RMB Novo -> Poizvedba.
Na polju Ime določite ime shranjene zahteve, ki bo prikazana v konzoli ADUC.
Na polju Poizvedbeni koren Lahko določite vsebnik (OU), v katerem se zahteva izvede. Privzeto se poizvedbeni kriteriji iščejo po celotni domeni AD. V našem primeru bomo iskanje zožili z izbiro zabojnika Ekaterinburg.
Nato pritisnite gumb Določi Poizvedovanje, in na spustnem seznamu Najdi izberite element Po meri Išči.
Pojdite na zavihek Napredno in na polju Vnesite poizvedbo LDAP kopirajte naslednjo poizvedbo LDAP:(& (objectcategory = oseba) (objectclass = uporabnik) (! userAccountControl: 1.2.840.113556.1.4.803: = 2))
Spremembe shranite s klikom na V redu.
Izberite ustvarjeno zahtevo v konzoli ADUC, kliknite F5 za obnovo seznama. Rezultat zahteve je prikazan na posnetku zaslona..
Za prikaz dodatnih polj (e-poštni naslov, oddelek) v konzoli ADUC odprite meni Pogled in izberite predmet Dodaj / odstrani stolpce.
Dodajte obvezna polja.
Dodali smo 3 dodatna polja: Ime uporabniškega vpisa, E-poštni naslov, Oddelek.
Rezultat je mogoče naložiti v formatu CSV ali TXT za nadaljnjo analizo in uporabo v reaktorju Excelove preglednice. Če želite to narediti, na shranjeni zahtevi kliknite RMB in izberite točko menija Izvozi seznam.
V konzoli ADUC lahko ustvarite veliko različnih shranjenih poizvedb, ki jih je mogoče organizirati v drevesno strukturo..
Namig. V nekaterih primerih je bolj priročno dostopati do predmetov Active Directory iz Excela. Kako to izvesti, je opisano v članku Izvajanje poizvedb Active Directory iz Excela.Shranjene zahteve so shranjene lokalno v konzoli računalnika, na katerem so bile ustvarjene (datoteka xml z nastavitvami je tukaj C: \ Uporabniki \% USERNAME% \ AppData \ Gostovanje \ Microsoft \ MMC \ DSA) Za prenos shranjene zahteve med računalnike v konzoli dsa.msc obstaja funkcija Uvoz / Izvoz zahtevkov prek datotek XML.
V naslednji tabeli bomo dali primere pogosto uporabljenih poizvedb LDAP za izbiro v Active Directoryu.
Izziv | LDAP filter |
Poiščite skupine s ključno besedo admin v imenu | (objectcategory = skupina) (ime računa = * admin *) |
V opisnem polju poiščite račune s storitvijo ključnih besed | (objectcategory = oseba) (opis = * storitev *) |
Izpraznite skupine Active Directory (brez uporabnikov) | (objectCategory = skupina) (! član = *) |
Uporabniki, katerih nastavitve označujejo »Geslo nikoli ne poteče« | (objectCategory = oseba) (objectClass = uporabnik) (userAccountControl: 1.2.840.113556.1.4.803: = 65536) |
Uporabniki s prazno potjo profila | (objectcategory = oseba) (! profilepath = *) |
Aktivni uporabniški računi, ki morajo spremeniti geslo | (objectCategory = oseba) (objectClass = uporabnik) (pwdLastSet = 0) (! useraccountcontrol: 1.2.840.113556.1.4.803: = 2) |
Vsi uporabniki AD, razen invalidov | (objectCategory = oseba) (objectClass = uporabnik) (! useraccountcontrol: 1.2.840.113556.1.4.803: = 2) |
Blokirani uporabniki AD-ja | (objectCategory = oseba) (objectClass = uporabnik) (useraccountcontrol: 1.2.840.113556.1.4.803: = 16) |
Uporabniki z e-poštnimi naslovi | (objectcategory = oseba) (pošta = *) |
Uporabniki brez e-poštnih naslovov | (objectcategory = oseba) (! pošta = *) |
Računalniki s sistemom Windows XP SP3 | (& (objectCategory = računalnik) (operacijski sistem = Windows XP Professional) (operacijski sistemServicePack = servisni paket 3) |
Seznam računov, ki niso bili nikoli registrirani v domeni (informacije o času vnosa domene v bolj priročni obliki si lahko ogledate na kartici Dodatne informacije o računu) | (& (& (objectCategory = oseba) (objectClass = uporabnik)) (| (lastLogon = 0) (! (lastLogon = *)))) |
Uporabniški računi, ustvarjeni v določenem časovnem obdobju (za leto 2014) | (& (& (objectCategory = uporabnik) (whenCreate> = 20140101000000.0Z &<=20150101000000.0Z&))) |
Uporabniki AD so ustvarili letos | (& (& (& (objectClass = Uporabnik) (whenCreate> = 20150101000000.0ZZ)))) |
Skupine distribucij, ki temeljijo na iskalnih poizvedbah v domeni |