Создание нестандартных запросов к Active Directory с помощью LDAP

Интересная практическая задачка по управлению обновлениями с помощью SCCM и динамических коллекций на основе групп Active Directory.

Дано

  1. Active Directory содержит две доменные группы безопасности:
    • “Microsoft-Updates-YES”
    • “Microsoft-Updates-NO”
  2. Все серверы должны быть членами одной (и только одной) из этих двух групп.
  3. SCCM содержит динамическую коллекцию, включающую в себя все серверы, входящие в группу Microsoft-Updates-YES; обновления назначаются именно этой коллекции SCCM.

Требуется

Обеспечить проверку корректности помещения серверов в группы.

Нестандартность задачи заключается в том, что помимо членства серверов в группах нужно еще проверить и отсутствие членства в одной из групп или ошибочное членство в обеих.

Решение

Возможность создания собственных LDAP запросов в консоли Active Directory Users and Computers сильно облегчает решение.

Для создания собственного запроса открываем консоль и правой кнопочкой щелкаем на Saved Queries

image

… и выбираем  New –> Query. Открывается окошко, в котором нужно выбрать Define Query

image

Затем в списке выбираем Custom Search  и открываем вкладку Advanced. Это как раз и есть поле для ввода нестандартного запроса с помощью LDAP…

image

 

Ниже приведены окошко уже созданными запросами и, собственно, сами запросы в формате LDAP.

image

Если будете экспериментировать с запросами, не забудьте поменять выделенную синим цветом часть в имени группы.

Запрос №1. Серверы, которые входят в группу Microsoft-Updates-YES

(&memberOf=cn=Microsoft-Updates-NO,ou=groups,dc=gorbunov,dc=pro)

Запрос №2. Серверы, которые входят в группу Microsoft-Updates-NO

(&memberOf=cn=Microsoft-Updates-YES,ou=groups,dc=gorbunov,dc=pro)

Запрос №3. Серверы, ошибочно помещенные в обе группы

(&(memberOf=cn=Microsoft-Updates-NO,ou=groups,dc=gorbunov,dc=pro)(memberOf=cn=Microsoft-Updates-YES,ou=groups,dc=gorbunov,dc=pro))

Запрос №4. Серверы, не входящие ни в одну из групп

(&(sAMAccountType=805306369)
(!(memberOf=cn=Microsoft-Updates-NO,ou=groups,dc=gorbunov,dc=pro))
(!(memberOf=cn=Microsoft-Updates-YES,ou=groups,dc=gorbunov,dc=pro)))

 

После создания запросы можно экспортировать в формат XML и сохранить на общей папке в сети. Название файла будет соответствовать названию запроса, которое вы зададите в консоли Active Directory Users and Computers.

image

Posted by Alexey Gorbunov on 1/25/2012
Теги: , , , ,

Комментариев нет:

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)