Полезные LDAP запросы для поиска в Active Directory

Функционал сохранённых запросов (Saved Queries) в оснастке MMC Active Directory Users and Computers (ADUC) до сих пор остаётся полезным и актуальным, даже несмотря на появление PowerShell и соответствующего модуля для Active Direcotory. LDAP запросы позволяют вывести объекты в едином представлении невзирая на иерархию OU в домене. Полученный результат можно экспортировать в текстовые файлы с разделителями, либо выполнить групповые операции над найденными объектами. Также функционал сохранённых запросов полезен в тех случаях, когда необходимо обеспечить неквалифицированный персонал средством поиска в Active Directory по заранее настроенным запросам. В этой статье я создам небольшой список-обзор запросов, которыми пользуюсь сам и, которые, я думаю, будут полезны всем.

Создание сохранённого запроса

Напомню, если кто забыл/не знал, как создать свой поисковый запрос. В оснастке ADUC открываем раздел Saved Queries (сохранённые запросы):

Далее можно воспользоваться мастером и сконструировать запрос, либо создать запрос, используя язык запросов LDAP. Я буду использовать язык запросов. Каждый пример из этой статьи можно создать таким образом:

Примеры запросов

  1. Поиск административных учётных записей по атрибуту adminCount. Если пользователь является членом защищенной группы (например, Domain Admins, Enterprise Admins и т.п.), ему назначаются ACL, установленные в объекте AdminSDHolder в AD, а атрибуту adminCount пользователя присваивается значение 1.

    При удалении пользователя из привилегированной группы процесс AdminSDHolder не возвращает атрибут adminCount к прежнему значению, т.е. в результаты запроса попадут и те учётные записи, которые, когда-либо входили в одну из защищённых групп. 
  2. Все объекты, защищённые AdminSDHolder:
  3. Поиск всех отключенных учётных записей компьютеров:
  4. Все пользователи:

    Или более эффективный вариант:
  5. Все пользователи, кроме отключенных:
  6. Пользователи, которые должны сменить пароль:
  7. Пользователи, которые будут заблокированы после ещё одной неудачной попытки ввода пароля. В запросе используется атрибут badPwdCount. Значение нужно указать в соответствии с вашими парольными политиками в домене и учётом гранулированных парольных политик, если используются.
  8. Пользователи с бессрочным паролем (Password never expires):
  9. Заблокированные пользователи:
  10. Пользователи, у которых не заполнено поле должность. По аналогии можно найти пользователей по другим полям, либо по маске *название должности:
  11. Пользователи, созданные за определённый период. Формат дат используется следующий:


    objectCategory можно использовать любой, например group, computer, contact и др.
  12. Пользователи без фотографии (атрибут thumbnailPhoto):
  13. Все пользователи с Email адресом:
  14. Все пользователи без Email адреса:
  15. Все пользователи у которых переопределена квота на почтовый ящик Exchange:
  16. Все пользователи, скрытые из адресной книги Exchange:
  17. Все компьютеры:
  18. Все компьютеры Windows 10:
  19. Все компьютеры Windows Server 2016:
  20. Windows Server 2016 Standard:
  21. Windows Server 2016 Datacenter:
  22. Все SQL серверы, с любой ОС, у которых зарегистрирован servicePrincipalName:
  23. Все Exchange серверы:
  24. Все контакты:
  25. Поиск SMTP адреса по атрибуту proxyAddress. Позволяет найти любые объекты с почтовым адресом, включая общие папки Exchange:
  26. Все группы:
  27. Пустые группы, не содержащие ни одного члена:
  28. Все организационные подразделения:
  29. Все контейнеры:
  30. Все цветные принтеры на сервере печати:

    Servername — имя сервера печати, на котором установлен и опубликован в Active Directory принтер.
  31. Все доверительные отношения:

     

Добавить комментарий