Címtár haladóknak
2005/05/31 13:36
723 megtekintés
A cikk már legalább egy éve nem frissült, az akkor még aktuális információk lehet, hogy mára elavultak.
A Mentett lekérdezések (Saved Queries).

Már a Windows 2000 Server is nyújtott lehetőséget arra, hogy a grafikus felületen keressünk a címtár adatbázisban. Ebben a címtárszolgáltatás alapertelmezett protokollja, a teljesen szabványos LDAP (Lightweight Directory Access Protocol) segítette az üzemeltetőket, tehát LDAP sztringek formájában történt címtár "megszólitása" és a lekérdezési feltételek kiadása. Ebben nem is történt változás, de amiért meg kell említenünk újra ezt a lehetőséget, azaz hogy rendkívüli módon praktikussá változtak ezek a lekérdezések, mivel a Windows Server 2003-ban már el is tudjuk menteni az eredményeket, sőt a keresési feltételek egy faszerkezetbe is berakhatóak valamint rendszerezhetők, vagy tetszőlegesen szűkíthetőek is. Ezek összesége már egy olyan eszközt ad a kezünkbe, amellyel gyorsan és egységes módon férhetünk hozzá az általános címtárobjektumokhoz.

A mentett lekérdezések számára fenntartott mappában található minden lekérdezést az ADUC (dsa.msc) tárol. Miután létrehoztuk az egyedi lekérdezéseket, átmásolhatjuk ezt az .msc fájlt egy másik, de ugyanabban a tartományban található Windows Server 2003 operációs rendszert futtató tartományvezérlőre, hogy azon is ugyanazokat a mentett lekérdezéseket használhassuk. Van lehetőség egy-egy konkrét mentett lekérdezés exportálására egy .xml fájlba, majd ez az állomány beimportálható egy másik tartományvezérlő ADUC felületére. Mappába szervezett és önálló elmentett lekérdezések A lekérdezések variálásának szinte csak a fantáziánk szabhatna határokat, pl. többek között és hirtelen felindulásból :D, kreatívan kitalálhatunk lekérdezéseket a sohasem lejáró vagy éppen már lejárt jelszavak birtokosainak kilistázására, vagy a régesrég bejelentkezett felhasználókról, vagy ennek kapcsán a legutolsó belépésük óta eltelt időről, a letiltott számítógépek és felhasználókról, stb. De sajnos ezek közül nem mind valósítható meg ilyen egyszerűen, lehetőségeink alapból igencsak szűkek, az egyszerűbb, a grafikus felületen is bepipálható lekérdezésekre korlátozódnak, de azért némi cserkészéssel kibővíthetjük ismereteinket (lásd később):

Jó tudni, hogy ha menetközben változtatunk a lekérdezésen, akkor mindig frissítenünk kell az F5-tel és fontos még az is, hogy a mentett lekérdezés végrehajtása és a keresett objektumok megjelenítése után minden objektum közvetlenül módosítható, ugyanúgy mintha a szervezeti egységében lenne, ezért vigyázzunk pl. a törléssel! Az eredmény tartalmazó listában kijelöléssel egyszerre több objektumon is végrehajthatunk feladatokat, szintén ugyanúgy mint bárhol máshol az ADUC-ban.

Hogyan lehet egyéni LDAP lekérdezéseket írni a Mentett lekérdezésekhez?

Az alábbi "szörnyű" sztring a soha le nem járó jelszavakkal rendelkező felhasználókat listázza ki, nézzük meg alaposan:

(&(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=65536))

Mivel alapesetben a kézenfekvő lekérdezések LDAP sztringjai megtekinthetőek a lekérdezések panelján, ennek alapján mi is kitalálhatjuk a lekérésben rejlő logikát a különböző gyári példákon keresztül (jelen esetben a 65536 azaz a userAccountControl attribútum értéke lehet az egyik kulcs). Kis internetes keres-géléssel arra is rájöhetünk, hogy ez az érték felel meg az AD-ben beállítható olyan egyedi jellemzők számszerű összegének, mint pl. a kötelező SmartCard használat a belépésnél, a fiókletiltás érvénye, vagy pl. az, hogy a jelszóváltoztatás engedélyezett-e (ezeket a felhasználó tulajdonságlapjának Account fülén, az Account options-nál pipálgathatjuk be egyesével). Innen már csak egy kis lépés megkeresni a lehetséges értékeket vagy az ezt kiszámító kis segítséget és annak leírását megtalálni a szabadon letölthető Windows Server 2003 Resource Kit Toolsból, és átírni, majd beimportálni az .xml sablon alapján. Nem egyszerű ez a folyamat, de talán megéri!

Csatlakozz hozzánk!

Ajánljuk

European Schoolnet Academy Ingyenes online tanfolyamok tanároknak
School Education Gateway Ingyenes tanfolyamok és sok más tanárok számára
ENABLE pilot Program iskoláknak a bullying ellen
eBiztonság Minősítés Minősítési rendszer oktatási intézményeknek