Serveur d'impression

Exemples de requêtes LDAP Active Directory – TheITBros – Serveur d’impression

Par Titanfall , le 3 mai 2020 - 4 minutes de lecture

Les requêtes LDAP peuvent être utilisées pour rechercher des objets (ordinateurs, utilisateurs, groupes) dans la base de données LDAP Active Directory selon certains critères. Pour effectuer une requête LDAP sur le catalogue AD LDAP, vous pouvez utiliser divers utilitaires (par exemple ldapsearch), Les scripts PowerShell ou VBS, la fonction Requêtes enregistrées dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, etc.

Dans cet article, nous allons examiner quelques exemples utiles de requêtes LDAP à AD et comment les exécuter.

Comment exécuter la requête LDAP?

Voyons d'abord quelques exemples d'exécution de requêtes LDAP. Par exemple, vous souhaitez effectuer une simple requête LDAP pour rechercher des utilisateurs dans AD qui ont l'option «L'utilisateur doit changer de mot de passe à la prochaine ouverture de session» activée. Le code de cette requête LDAP est le suivant:

(objectCategory = person) (objectClass = user) (pwdLastSet = 0) (! useraccountcontrol: 1.2.840.113556.1.4.803: = 2)

Essayons d'exécuter cette requête en utilisant le ADUC console.

  1. Ouvrez la console ADUC et accédez au Requêtes enregistrées section;
  2. Créez une nouvelle requête: Nouveau> Requête;
    requête LDAP
  3. Spécifiez le nom de la demande et cliquez sur le Définir la requête bouton;
    outil de requête LDAP
  4. Sélectionnez le Recherche personnalisée saisissez le Avancée onglet et copiez votre code de requête LDAP dans le Entrez une requête LDAP champ;
    exemples de requêtes LDAP
  5. Cliquez deux fois sur OK, sélectionnez votre nouvelle requête dans l'arborescence des requêtes enregistrées et appuyez sur F5;
  6. Une liste des utilisateurs AD qui correspondent à cette demande LDAP doit s'afficher dans le volet droit.
    Active Directory LDAP

Vous pouvez également exécuter cette requête LDAP à l'aide de l'applet de commande PowerShell Get-ADUser (pour rechercher des utilisateurs):

Get-ADUser -LDAPFilter '(objectCategory = person) (objectClass = user) (pwdLastSet = 0) (! Useraccountcontrol: 1.2.840.113556.1.4.803: = 2)'

Pour rechercher des ordinateurs, utilisez l'applet de commande Get-ADComputer:

Get-ADComputer –LDAPFilter «votre requête LDAP»

Exemples de requêtes LDAP pour Active Directory

Prenons quelques exemples utiles de requêtes LDAP qui sont souvent utilisées par les administrateurs AD.

Recherchez les administrateurs dans les groupes Administrateurs de domaine, Administrateurs d'entreprise:

(objectClass = user) (objectCategory = Person) (adminCount = 1)

Répertoriez tous les utilisateurs AD sauf ceux bloqués:

(objectCategory = person) (objectClass = user) (! useraccountcontrol: 1.2.840.113556.1.4.803: = 2)

Affichez la liste des comptes d'utilisateurs désactivés:

(objectCategory = person) (objectClass = user) (useraccountcontrol: 1.2.840.113556.1.4.803: = 16)

Sélectionnez les utilisateurs avec l'option «Le mot de passe n'expire jamais» activée:

(objectcategory = user) (userAccountControl: 1.2.840.113556.1.4.803: = 65536)

Utilisateurs dont la valeur de l'e-mail est vide:

(catégorie d'objet = personne) (! mail = *)

Répertoriez les utilisateurs dont les ventes sont spécifiées dans le champ Département:

(& (objectCategory = person) (objectClass = user) (department = Sales))

Répertoriez tous les comptes d'ordinateurs désactivés dans AD:

(& (objectClass = computer) (userAccountControl: 1.2.840.113556.1.4.803: = 2))

Affichez tous les ordinateurs Windows 10:

(objectCategory = computer) (operatingSystem = Windows 10 *)

Tous les contrôleurs de domaine:

(& (objectCategory = computer) (userAccountControl: 1.2.840.113556.1.4.803: = 8192))

Tous les serveurs de domaine membres (à l'exception des contrôleurs de domaine):

(& (objectCategory = computer) (operatingSystem = * server *) (! userAccountControl: 1.2.840.113556.1.4.803: = 8192))

Liste des groupes créés pour la période spécifiée:

(objectCategory = group) (whenCreated> = 20190101000000.0Z & <= 20191201000000.0Z &)

Liste tous les groupes AD vides:

(objectCategory = group) (! member = *)

Imprimez tous les groupes avec la touche * CIO * dans le nom du groupe:

(objectCategory = group) (samaccountname = * CIO *)

Trouver tous les serveurs Exchange du domaine:

(objectCategory = computer) (servicePrincipalName = exchangeMDB *) (operatingSystem = Windows Server *)

Toutes les imprimantes couleur sur un serveur d'impression spécifique publiées dans l'AD:

(uncName = * lon-prnt *) (objectCategory = printQueue) (printColor = TRUE)

Click to rate this post!
[Total: 0 Average: 0]

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.