Использование сохраненных запросов

Опубликовано: 13 Апреля, 2023

Ресурс существует уже довольно давно, но добавлялся он тайно с небольшой фан-ярмарки. Инструмент, о котором я говорю, существует в Windows Server 2003 Active Directory. Инструмент называется «Сохраненные запросы». Инструмент сохраненных запросов позволяет запрашивать важную информацию, связанную с безопасностью, обо всех трех важных объектах, хранящихся в Active Directory: пользователях, группах и компьютерах.


Инструмент очень прост в использовании и аккуратно спрятан в консоли Active Directory Users and Computers, которая является основным инструментом, используемым для администрирования этих объектов. Существует даже возможность расширить запрос на все типы объектов, хранящихся в Active Directory. Эти дополнительные объекты могут включать в себя: общие папки, сам домен, организационные единицы (OU), принтеры и доверительные отношения с другими доменами. Если вы неплохо разбираетесь в строках запросов Lightweight Directory Access Protocol (LDAP), вы можете настроить свою собственную строку запроса LDAP, чтобы выкапывать из Active Directory практически все, что вам нужно.


Где вы найдете сохраненные запросы


Вы найдете параметр «Сохраненные запросы», где вы обычно администрируете и просматриваете объекты Active Directory, которые находятся в Active Directory Users and Computers. Если вы не используете Active Directory Users and Computers вместо стороннего инструмента, вы можете проверить другой инструмент, чтобы узнать, есть ли у него аналогичная функция.


Чтобы получить доступ к узлу «Пользователи и компьютеры Active Directory», а затем к узлу «Сохраненный запрос», выполните следующие действия.



  1. Выберите Пуск | Административные инструменты | Пользователи и компьютеры Active Directory
  2. На левой панели вы увидите узел сохраненных запросов.
  3. Выбор этого узла при установке по умолчанию не будет отображать никакой информации на правой панели.

Как вы можете ясно видеть, инструмент легко найти, но он не используется регулярно или даже не виден большую часть времени. Одна из причин, по которой он не используется часто, по моему опыту, связана с отсутствием запросов по умолчанию. Я обнаружил, что администраторы и аудиторы не создали никаких запросов, потому что они все еще используют свои существующие инструменты для выполнения этих задач. В этом нет ничего плохого, но этот встроенный инструмент бесплатный и чрезвычайно мощный.


Создание запроса


Для создания запроса достаточно находиться в узле «Сохраненные запросы» в консоли «Пользователи и компьютеры Active Directory». Щелкнув правой кнопкой мыши на узле «Сохраненные запросы», вы можете создать новый запрос. Это действие откроет диалоговое окно «Новый запрос», в котором у вас будет возможность настроить этот конкретный запрос.


Количество запросов, которые вы можете создать, не ограничено. Вам нужно будет назвать запрос, чтобы его было легко идентифицировать в списке всех других запросов, которые вы делаете. Существует также поле описания, которое позволяет вам быть более подробным с деталями самого запроса, снова помогая вам точно определить один запрос в списке других запросов. На рис. 1 показано, как выглядит диалоговое окно New Query.



Изображение 26027
Рис. 1. Диалоговое окно «Новый запрос» в Active Directory Users and Computers.


Есть еще три варианта, которые вам нужно понять при создании нового запроса. Все три варианта можно увидеть на рисунке 1. Первый — это определение корня запроса. Это важный параметр для запроса, поскольку он может сузить область поиска в Active Directory. Чтобы настроить этот параметр, вам нужно нажать кнопку «Обзор» рядом с текстовым полем, указывающим корень запроса. То, что вы увидите, нажав кнопку «Обзор», представляет собой контейнерное представление Active Directory, как показано на рис. 2.



Изображение 26028
Рисунок 2: Контейнерное представление Active Directory, позволяющее выбрать корень запроса.


Хорошим примером того, когда вы можете захотеть сузить область действия, является целевой запрос. Предположим, вы хотите найти все учетные записи пользователей, только для сотрудников отдела продаж, которые отключены. Для этого запроса вы можете найти подразделение Sales в представлении Active Directory, показанном на рис. 2, и выбрать его в качестве корня запроса.


Следующий параметр, который важно настроить, — это флажок, позволяющий включать или исключать подконтейнеры. Это идет рука об руку с корневой конфигурацией запроса, поскольку корневая конфигурация запроса инициирует начальную точку для запроса, а флажок для подконтейнеров определяет, выходит ли запрос за пределы этого начального контейнера.


Третий вариант — само определение запроса. Именно здесь хранится сила запроса. Как видите, по умолчанию запрос не определен. Нам нужно будет войти и определить запрос. Если вы нажмете кнопку «Определить запрос», откроется диалоговое окно «Найти общие запросы», как показано на рисунке 3.



Изображение 26029
 Рисунок 3: Диалоговое окно, позволяющее определить запрос LDAP для сохраненного запроса.


Как видно из параметров диалогового окна Find Common Queries, показанного на рис. 3, наиболее распространенными запросами являются поиск информации об учетных записях пользователей, компьютеров и групп.


Запросы для пользователей


Интерфейс для общих пользовательских запросов предоставляет вам пять параметров конфигурации. Эти настройки — лишь верхушка айсберга для отслеживания учетных записей пользователей, соответствующих определенным критериям. Вы можете увидеть эти настройки на рисунке 3.



  • Имя — этот параметр позволяет искать конкретное имя пользователя или использовать логический поиск, например: начинается с, заканчивается на, есть (точно) и т. д.
  • Описание — этот параметр аналогичен полю «Имя», за исключением того, что он позволяет вам использовать ввод описания для учетных записей пользователей, если вы потратили время на заполнение этой информации.
  • Отключенные учетные записи. Интерфейс пользователей и компьютеров Active Directory показывает отключенные учетные записи с красным крестиком. Однако попытка отследить этих пользователей из всех подразделений может быть своевременной и скучной. Этот флажок позволяет собрать все учетные записи пользователей, которые были отключены в контексте корня запроса.
  • Пароли с неограниченным сроком действия — этот параметр позволяет вам копаться в каждой учетной записи пользователя и выяснять, была ли настроена учетная запись, чтобы не требовать истечения срока действия пароля. Обычно таким образом настраиваются учетные записи администраторов, ИТ-специалистов и служб.
  • Дней с момента последнего входа в систему — этот параметр указывает количество дней, в течение которых пользователи в корневом каталоге запроса последний раз выполняли вход в домен.

Запросы для компьютеров


Как правило, вы хотите найти компьютеры по имени, местоположению, статусу или операционной системе. Общие запросы для компьютеров предоставляют возможность поиска по большинству этих переменных, как показано на рис. 4.



Изображение 26030
 Рисунок 4: Диалоговое окно, показывающее интерфейс для общих запросов компьютера.


Первые два параметра идентичны пользовательским параметрам, которые мы только что рассмотрели для имени и описания. Последний параметр, Отключенные учетные записи, позволяет быстро найти те учетные записи компьютеров, которые отключены в корневом определении запроса.


Если вы хотите найти компьютеры на основе операционной системы, вам нужно будет выполнить пользовательский поиск. Пользовательский поиск можно выполнить, выбрав раскрывающийся список рядом с полем «Найти», как показано на рис. 4. Затем вы просто выберете параметр «Пользовательский поиск», который приведет вас к диалоговому окну «Найти пользовательский поиск».


Запросы для групп


Я думаю, мы все можем признать, что администрировать группы довольно скучно, и интерфейс сохраненных запросов доказывает это для нас. При запросе групп у вас есть только два варианта, как показано на рис. 5.



Изображение 26031
 Рисунок 5: Диалоговое окно, показывающее интерфейс для общих групповых запросов.


Вы можете выполнять поиск только по имени группы (или его варианту) и по описанию группы. Если вы хотите выполнить поиск по другим атрибутам, которые вы определили для группы, вам потребуется выполнить пользовательский поиск, описанный в предыдущем разделе.


Запуск запроса


После того как вы сделаете определения запросов для пользователей, компьютеров, групп или настраиваемого поиска, вам нужно будет только сохранить запрос. Это так же просто, как нажимать кнопку OK, пока диалоговое окно запроса не исчезнет. Это должно вернуть вас к списку запросов, отображаемому в узле «Сохраненные запросы» в Active Directory Users and Computers.


Оказавшись здесь, вам просто нужно щелкнуть правой кнопкой мыши по интересующему вас запросу и выбрать пункт меню «Обновить». Это запустит запрос и отобразит результирующих пользователей, группы или компьютеры, соответствующие заданному вами запросу. Если вы хотите получить распечатку объектов, соответствующих вашему запросу, вы можете щелкнуть запрос правой кнопкой мыши и выбрать пункт меню «Экспортировать список». Это позволяет выводить вывод в стандартный текстовый файл.


Резюме


Параметр «Сохраненные запросы» в «Пользователи и компьютеры Active Directory» используется не так часто, как должен был бы, но Microsoft упустила его из виду. Как видите, запросы по умолчанию могут сэкономить вам кучу времени, позволяя собирать списки объектов на основе подробных критериев поиска. Если критериев, перечисленных в общих запросах, недостаточно, вы всегда можете выполнить пользовательский поиск или пользовательский запрос LDAP.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023