Comment utiliser efficacement les requêtes enregistrées dans ADUC MMC

Comment optimiser le fonctionnement des requêtes enregistrées dans la console MMC d’Active Directory ?

Honnêtement, trouver des objets Active Directory peut parfois être un vrai casse-tête. Surtout si vous cherchez à repérer tous les comptes désactivés, à exclure certains ordinateurs ou à obtenir la liste des utilisateurs d’un service spécifique. L’utilisation des filtres LDAP dans la console ADUC est extrêmement puissante, mais peut aussi s’avérer complexe, surtout pour les débutants ou ceux qui recherchent une solution rapide et simple. Heureusement, une fois la création de requêtes enregistrées maîtrisée, la vie devient beaucoup plus facile. Vous pouvez enregistrer vos recherches fréquentes, les ajuster au besoin et les avoir toujours sous la main, sans avoir à tout recréer à chaque fois.

Petit avertissement : en raison des particularités de conception de Windows, la création et la gestion de ces requêtes nécessitent parfois quelques essais. Sur certaines configurations, les filtres ou les requêtes enregistrées peuvent ne pas afficher de résultats immédiatement. Redémarrer l’ordinateur ou réimporter les requêtes peut résoudre le problème. Globalement, c’est un moyen pratique d’obtenir un aperçu des objets Active Directory selon les critères qui vous importent le plus. Voyons maintenant comment les faire fonctionner correctement, en agrémentant nos conseils techniques.

Comment créer une requête enregistrée dans la console MMC Active Directory

Ouvrez la console et créez une nouvelle requête

  • Commencez par ouvrir la console Utilisateurs et ordinateurs Active Directory ( dsa.msc).Sur la plupart des serveurs Windows ou installations RSAT, vous la trouverez sous Outils d’administration ; vous pouvez également la rechercher. Cliquez avec le bouton droit sur Requêtes enregistrées et sélectionnez Nouveau > Requête.
  • C’est ici que vous nommez votre requête ; donnez-lui un nom pertinent, comme « Utilisateurs actifs dans les ventes ».Une fois enregistrée, c’est ce qui apparaîtra dans la liste.
  • Sélectionnez maintenant le conteneur (par exemple, votre unité organisationnelle ou la racine de votre domaine) dans Racine de la requête. Si vous laissez ce champ vide, la recherche s’effectuera dans tout le domaine, ce qui peut ralentir les opérations si votre domaine est très volumineux. Par exemple, sélectionnez le conteneur Brésil si vous vous intéressez à ce pays.
  • Cliquez sur Définir la requête, puis choisissez Recherche personnalisée dans le menu déroulant Rechercher. Vous indiquez ainsi à Active Directory de rechercher des objets spécifiques en fonction de votre filtre LDAP.

Utilisez judicieusement les requêtes LDAP

  • Passez à l’ onglet Avancé. C’est là que la magie opère. Vous verrez une case intitulée « Saisir la requête LDAP ».
  • Collez ou saisissez votre filtre LDAP ici. Par exemple, pour trouver les comptes utilisateurs activés, vous pouvez utiliser : 
    (&(objectcategory=person)(objectclass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2))

    Ce filtre fonctionne, mais il est parfois difficile à paramétrer correctement. Tout dépend de ce que vous recherchez.

  • Cliquez sur OK pour enregistrer la requête. La liste affichera alors les objets correspondants lorsque vous actualiserez la page ou appuierez sur F5.

Personnaliser les options d’affichage et d’exportation

  • Vous souhaitez afficher les adresses e-mail, les services ou d’autres attributs ? Dans le menu de la console, accédez à Affichage > Ajouter/Supprimer des colonnes. Glissez-déposez les colonnes souhaitées. Sur certaines configurations, cela a fonctionné ; sur d’autres, il se peut que vous deviez redémarrer la console si les colonnes ne s’affichent pas immédiatement.
  • Vous pouvez exporter vos résultats au format CSV ou TXT en cliquant avec le bouton droit sur la liste et en sélectionnant « Exporter la liste ». Très pratique pour les rapports ou les audits.

Exporter et réutiliser les requêtes enregistrées

Les requêtes enregistrées sont stockées localement C:\Users\%USERNAME%\AppData\Roaming\Microsoft\MMC\DSA. Si vous utilisez plusieurs machines ou souhaitez une sauvegarde, exportez-les au format XML via l’option « Exporter la définition de requête ». Ensuite, sur d’autres ordinateurs, importez-les avec l’ option « Importer la définition de requête ». Cela vous évite de tout recréer à chaque fois.

Exemples de requêtes LDAP utiles pour AD

Connaître quelques filtres LDAP prêts à l’emploi peut vous faire gagner beaucoup de temps. En voici quelques-uns que nous recommandons :

Ce que vous voulez trouver Filtre LDAP
Utilisateurs dont le nom d’utilisateur contient « admin » (objectcategory=group)(samaccountname=*admin*)
Comptes dont la description contient « service » (objectcategory=person)(description=*service*)
Groupes vides (sans membres) (objectCategory=group)(!member=*)
Comptes utilisateurs avec « Mot de passe n’expire jamais » (objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=65536)
Les utilisateurs qui n’ont pas changé leur mot de passe depuis 3 mois (&(sAMAccountType=805306368)(pwdLastSet<=132161330597286610))
Utilisateurs du service « Ventes » (&(objectCategory=person)(objectClass=user)(department=*sales*))
Ordinateurs avec « Windows Server » (&(objectCategory=computer)(operatingSystem=Windows Server *))
Trouver tous les comptes désactivés (&(objectCategory=person)(objectClass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2))

Utilisation des filtres LDAP dans PowerShell

Si vous préférez PowerShell (et qui ne le préfère pas, parfois ?), vous pouvez utiliser ces mêmes filtres avec des cmdlets comme `ldap` Get-ADUser, Get-ADComputer`ldap` ou `ldap` Get-ADObject. Il suffit de spécifier la chaîne LDAP avec le paramètre `-LdapFilter`. Exemple :

Get-ADUser -LdapFilter "(&(objectCategory=person)(objectClass=user)(department=*Sales*))" | ft -a DisplayName, department

Cette méthode simple vous permet d’allier la puissance des scripts à des filtres sophistiqués. Il vous suffit de vérifier que votre filtre LDAP est correct et correspond à vos attentes. Le débogage peut parfois être fastidieux, mais le jeu en vaut la chandelle si vous parvenez ainsi à résoudre le problème complexe de la recherche.

En résumé, la création, l’enregistrement et l’utilisation de requêtes LDAP dans ADUC ne sont pas toujours d’une simplicité enfantine, mais avec un peu de patience, cela change tout. Qu’il s’agisse de récupérer des comptes désactivés ou de sélectionner des groupes d’utilisateurs spécifiques, avoir vos filtres favoris enregistrés vous permet de gagner un temps précieux.

Conclure

J’espère que ces explications vous permettront de faire fonctionner vos requêtes LDAP enregistrées sans trop de difficultés. C’est un peu étrange, mais une fois la configuration initiale effectuée, tout se déroule sans problème. Pensez simplement à conserver une copie de sauvegarde de vos fichiers XML de requêtes, car Windows a la fâcheuse tendance à compliquer inutilement les choses. Mais bon, il faut souffrir pour être belle, n’est-ce pas ?

Résumé

  • Configurez des requêtes enregistrées dans ADUC pour les recherches courantes.
  • Utilisez les filtres LDAP avec précaution ; testez-les et ajustez-les jusqu’à ce qu’ils fonctionnent.
  • Exportez les requêtes si vous devez les déplacer.
  • Combinez LDAP et PowerShell pour des scripts encore plus magiques.

Réflexions finales

Ce processus peut paraître un peu fastidieux, mais une fois maîtrisé, il permet un gain de temps considérable. Une ou deux requêtes bien pensées ont suffi pour couvrir tous mes besoins de maintenance courante. J’espère que cela évitera à d’autres de s’arracher les cheveux.

Comment déployer un hyperviseur VMware ESXi gratuit
Comment activer et configurer les quotas de disque utilisateur sous Windows