Запазени заявки в конзолата Active Directory потребители и компютри (ADUC) можете да създавате прости и сложни LDAP заявки за избор на обекти на Active Directory. Тези заявки могат да бъдат запазени, редактирани и прехвърлени между компютри. Запазените заявки могат да бъдат бързо и ефективно разрешени задачи за търсене и подбор на обекти в AD по различни критерии. Запишените заявки например ще ви помогнат бързо: покажете списък на всички профили с деактивирани данни в даден домейн, изберете всички потребители на определена организация с пощенски кутии на даден сървър на Exchange и т.н..
Важно предимство на запазените LDAP заявки е възможността да се извършват групови операции с обекти от различни OU (контейнери) на Active Directory, например, масово заключване / отключване, преместване, изтриване на акаунти и т.н. Т.е. ви позволяват да се „отървете“ от недостатъците на йерархичната структура на OU в Active Directory, като събирате всички необходими обекти във форма на плоска таблица.
Повечето от тези операции могат да се извършват с помощта на PowerShell, dsquery, vbs скриптове и т.н., но като правило представянето на резултатите в обичайната графична форма на конзолата е много по-удобно и не изисква специални умения..
Запазените заявки в Active Directory за първи път се появяват в Windows Server 2003 и продължават да се поддържат във всички бъдещи версии на Windows Server
Показваме типичен пример за използване на запазени заявки в конзолата на Active Directory потребители и компютри. Да предположим, че трябва да изброяваме активни потребителски акаунти, техните отдели и имейл адреси.
Отворете конзолата ADUC (dsa.msc), изберете секцията Запазени заявки, като щракнете върху него, изберете RMB Ново -> Заявка.
На полето име посочете името на запазената заявка, която ще бъде показана в конзолата ADUC.
На полето Корен за запитване Можете да посочите контейнера (OU), в който се изпълнява заявката. По подразбиране се търсят критерии за заявки в целия AD домейн. В нашия пример ще стесним търсенето, като изберете контейнера Ekaterinburg.
След това натиснете бутона Определяне Запитване, и в падащия списък намирам изберете елемент обичай Търсене.
Отидете на раздела напреднал и на полето Въведете LDAP заявка копирайте следната LDAP заявка:(& (objectcategory = person) (objectclass = потребител) (! userAccountControl: 1.2.840.113556.1.4.803: = 2))
Запазете промените, като щракнете върху OK.
Изберете създадената заявка в конзолата ADUC, щракнете F5 за възстановяване на списъка. Резултатът от заявката е показан на екрана..
За да се покажат допълнителни полета (имейл адрес, отдел), в конзолата ADUC отворете менюто изглед и изберете елемента Добавяне / премахване на колони.
Добавете задължителните полета.
Добавихме 3 допълнителни полета: Име на потребителско вход, Адрес на електронна поща, отдел.
Резултатът може да бъде качен във формат CSV или TXT за допълнителен анализ и използване в реактор на електронни таблици на Excel. За да направите това, щракнете върху RMB върху запазената заявка и изберете елемента от менюто Експорт списък.
В конзолата ADUC можете да създадете много различни съхранени заявки, които могат да бъдат организирани в дървовидна структура..
Запазените заявки се съхраняват локално в конзолата на компютъра, на който са създадени (xml-файлът с настройките е тук C: \ Потребители \% USERNAME% \ AppData \ Роуминг \ Microsoft \ MMC \ DSA). За прехвърляне на запазена заявка между компютрите в конзолата dsa.msc има функция за импортиране / експортиране на заявки чрез XML файлове.
В следващата таблица ще дадем примери за често използвани LDAP заявки за избор в Active Directory.
| задача | LDAP филтър |
| Търсете групи с ключовата дума администратор в името | (objectcategory = group) (самосметка = * администратор *) |
| Търсете акаунти с услугата за ключови думи в полето за описание | (objectcategory = лице) (описание = * услуга *) |
| Празни групи от Active Directory (без потребители) | (objectCategory = група) (! member = *) |
| Потребители, чиито настройки показват „Паролата никога не изтича“ | (objectCategory = person) (objectClass = потребител) (userAccountControl: 1.2.840.113556.1.4.803: = 65536) |
| Потребители с празен профил на пътя | (objectcategory = лице) (! profilepath = *) |
| Активни потребителски акаунти, които трябва да променят паролата | (objectCategory = person) (objectClass = потребител) (pwdLastSet = 0) (! useraccountcontrol: 1.2.840.113556.1.4.803: = 2) |
| Всички потребители на AD с изключение на инвалидите | (objectCategory = person) (objectClass = потребител) (! useraccountcontrol: 1.2.840.113556.1.4.803: = 2) |
| Блокирани потребители на AD | (objectCategory = person) (objectClass = потребител) (useraccountcontrol: 1.2.840.113556.1.4.803: = 16) |
| Потребители с имейл адреси | (objectcategory = лице) (поща = *) |
| Потребители без имейл адреси | (objectcategory = лице) (! поща = *) |
| Компютри с Windows XP SP3 | (& (objectCategory = компютър) (операционна система = Windows XP Professional) (operaSystemServicePack = Service Pack 3)) |
| Списък на акаунти, които никога не са били регистрирани в домейна (информация за времето на влизане в домейна в по-удобна форма може да бъде прегледана чрез раздела Допълнителна информация за акаунта) | (& (& (objectCategory = person) (objectClass = потребител)) (| (lastLogon = 0) (! (lastLogon = *)))) |
| Потребителски акаунти, създадени за определен период от време (за 2014 г.) | (& (& (objectCategory = потребител) (whenCreate> = 20140101000000.0Z &<=20150101000000.0Z&))) |
| Потребителите на AD създадоха тази година | (& (& (& (objectClass = Потребител) (whenCreate> = 20150101000000.0ZZ)))) |
| Групи за разпространение, базирани на заявки за търсене в домейн |
