LDAP 查詢基本知識(shí)

本文討論了輕量級(jí)目錄訪問協(xié)議(LDAP)查詢，它在排查MicrosoftExchangeServer及它與其目錄之間關(guān)系的故障時(shí)十分有用，但是它也經(jīng)常令人困惑不解。本文介紹了有關(guān)LDAP查詢的基本信息。%26#8226;基本LDAP語法%26#8226;何時(shí)使用LDAP查詢？%26#8226;使用“ActiveDirectory用戶和計(jì)算機(jī)”執(zhí)行搜索%26#8226;使用LDP執(zhí)行搜索%26#8226;使用LDIFDE執(zhí)行搜索%26#8226;在ADModify中使用LDAP查詢%26#8226;更多信息基本LDAP語法%26#822=(等于)6;此LDAP參數(shù)表明某個(gè)屬性等于某個(gè)值的條件得到滿足。例如，如果希望查找“名“屬性為“John”的所有對(duì)象，可以使用：(givenName二John)這會(huì)返回“名”屬性為“John”的所有對(duì)象。圓括號(hào)是必需的，以便強(qiáng)調(diào)LDAP語句的開始和結(jié)束。%26#822%26amp;(邏輯與)6;如果具有多個(gè)條件并且希望全部條件都得到滿足，則可使用此語法。例如，如果希望查找居住在Dallas并且“名”為“John”的所有人員，可以使用：(%26amp;(givenName=John)(l=Dallas))請(qǐng)注意，每個(gè)參數(shù)都被屬于其自己的圓括號(hào)括起來。整個(gè)LDAP語句必須包括在一對(duì)主圓括號(hào)中。操作符％26amp;表明，只有每個(gè)參數(shù)都為真，才會(huì)將此篩選條件應(yīng)用到要查詢的對(duì)象。%26#822!(邏輯非)6;此操作符用來排除具有特定屬性的對(duì)象。假定您需要查找“名”為“John”的對(duì)象以外的所有對(duì)象。則應(yīng)使用如下語句：(!givenName二John)此語句將查找“名”不為“John”的所有對(duì)象。請(qǐng)注意：！操作符緊鄰參數(shù)的前面，并且位于參數(shù)的圓括號(hào)內(nèi)。由于本語句只有一個(gè)參數(shù)，因此使用圓括號(hào)將其括起以示說明。%26#822*(通配符)6;可使用通配符表示值可以等于任何值。使用它的情況可能是：您希望查找具有職務(wù)頭銜的所有對(duì)象。為此，可以使用：(title=*)這會(huì)返回“title”屬性包含內(nèi)容的所有對(duì)象。另一個(gè)例子是：您知道某個(gè)對(duì)象的“名”屬性的開頭兩個(gè)字母是“Jo”。那么，可以使用如下語法進(jìn)行查找：(givenName二Jo*)這會(huì)返回“名”以“Jo”開頭的所有對(duì)象。%26#822以下是LDAP語法的高級(jí)使用示例：6;%26#822您需要一個(gè)篩選條件，用來查找居住在Dallas或Austin，并6;且名為“John”的所有對(duì)象。使用的語法應(yīng)當(dāng)是：(%26amp;(givenName=John)(|(l=Dallas)(l=Austin)))%26#822您發(fā)現(xiàn)應(yīng)用程序日志中有9,548個(gè)事件，因此需要查找導(dǎo)致這6; 些日志事件的所有對(duì)象。在此情況下，您需要查找所有被禁用的用戶(msExchUserAccountControl=2)，這些用戶的msExchMasterAccountSID沒有值。使用的語法應(yīng)當(dāng)是：(%26amp;(msExchUserAccountControl=2)(!msExchMasterAccountSID=*))1注意：!操作符與通配符的結(jié)合使用可查找屬性未設(shè)置為任何值的對(duì)象。何時(shí)使用LDAP查詢?在使用ExchangeServer時(shí)，您遇到了使用LDAP字符串的情況。例如，當(dāng)您設(shè)置收件人或郵箱管理策略或地址列表過濾器時(shí)，或者，當(dāng)您搜索ActiveDirectory目錄服務(wù)時(shí)，ExchangeServer都會(huì)使用LDAP。在下面的部分中，我們將介紹一些LDAP語句的使用方式。使用“ActiveDirectory用戶和計(jì)算機(jī)”進(jìn)行搜索下例描述了如何“ActiveDirectory用戶和計(jì)算機(jī)”執(zhí)行搜索：1打開“ActiveDirectory用戶和計(jì)算機(jī)”。

2右擊域?qū)ο蟛⑦x擇查找。3單擊查找旁邊的下拉列表，然后選擇自定義搜索。4從下一屏幕中，選擇高級(jí)選項(xiàng)卡。.5在輸入LDAP查詢下，輸入相應(yīng)的LDAP語句。本示例嘗試查找職務(wù)為prez或姓名以test開頭的所有對(duì)象。如果您單擊立即查找，應(yīng)該能夠看到相應(yīng)的輸出，如以下屏幕截圖所示。

使用LDP進(jìn)行搜索您還可以使用LDP執(zhí)行搜索，該工具已包括在MicrosoftWindowsServer2003和Windows2000Server支持工具之中。該工具不僅為您賦予了搜索域容器的能力，而且允許您搜索配置容器。首先，您應(yīng)打開LDP并連接到有效的域控制器。然后，您需要使用相應(yīng)憑證進(jìn)行綁定。請(qǐng)選擇視圖，然后選擇樹視圖。保留基位置DN字段為空，然后單擊確定。導(dǎo)航到要搜索的容器，右擊該容器，然后選擇搜索。

將出現(xiàn)一個(gè)對(duì)話框，其中的基位置DN字段包含了正確的值。輸入進(jìn)行篩選所依據(jù)的LDAP語句，將出現(xiàn)類似如下的內(nèi)容。如果希望搜索當(dāng)前級(jí)別以下的所有容器，請(qǐng)確信選擇了子樹單選按鈕。單擊運(yùn)行，然后開始查找所有匹配項(xiàng)。^!，ldap:://C0NT0S0GC.C0NT050.com/DC=C0NT050lDC=comConnectionBrowseViewOptionsUtilities-DC=CONTO5OJDC=com-DC=CONTO5OJDC=comOU=55UsersJDC=CONTO5OJDC=comOU=bethsouJDC=CONTO5OJDC=comCN=BuiltinJDC=CONTO5OJDC=comCN=ComputersJDC=CONTO5OJDC=comOU=DomainControllersJDC=CONTO5OJDC=coCN=Foreign5ecurityPrincipalsJDC=CONTO5OJECN^nfrastructurejDC=CONTOSOjDC=comCN=LostAndFound,DC=CONTO5O,DC=comCN=Microsol:tExchangeSystemObjectsJDC=CCN=ProgramDataJDC=CONTO5OJDC=comCN=5ystemJDC=CONTO5OJDC=comOU=testJDC=CONTO5O,DC=comCN=UsEr&DC=CONTO5O,DC=comCN^onfigurationjDC=CONTOSOjDC=comDC=witaylorchildJDC=CONTO5OJDC=com***Searching...ldap_search_s(ldJ"CN=UsersJDC=CONTOSOFDC=com"J2,"(title=prez]",attrList(L&msg]Result<0>：(null]MatchedDNs：Getting1entries：>>Dn：CN=Administrator,CN=Users,DC=CONTOSO,DC=com1>canonicalName：CONTOSOPDC=com/Users/Admini1>cn：Administrator；1>description：Built-inaccountforadministeringthicomputer/domain；1>distinguishedName：CN=Administrator,CN=UsersJDC=CONTOSOFDC=com；4>objectClass：top；person；organizationalPerson；1>name：Administrator；Ready使用LDIFDE執(zhí)行搜索您可能經(jīng)常需要搜索一組滿足特定條件的對(duì)象并且希望建立這些用戶的列表。LDIFDE是一個(gè)可以用來建立此列表的命令行工具。假定您希望查找并保存mailNickName以Jeff開頭的所有用戶的列表。那么，您可能會(huì)運(yùn)行如下命令。C:\>ldifde-d"DC=witaylorroot,DC=com"-fc:\output.txt-r〃(％26amp;(objectClass二user)(mailNickName二jeff*))在本例中，您將查找三個(gè)對(duì)象并將他們的所有屬性導(dǎo)出到指定的.txt輸出文件中。但是，如果您打算導(dǎo)出數(shù)千用戶的查找結(jié)果，導(dǎo)出文件將過于龐大。為此，我們可以使用其他選項(xiàng)。您可以使用"Cl(小寫的L)開關(guān)指定導(dǎo)出哪些屬性?？煞直婷Q將總是被導(dǎo)出，但是如果希望僅導(dǎo)出該名稱，可以在字符串中添加"Clnothing，以簡(jiǎn)化輸出結(jié)果。以下命令便是這樣的一個(gè)例子。C:\>ldifde-d"DC=witaylorroot,DC=com"-fc:\output.txt-lnothing-r"(%26amp;(objectClass=user)(mailNickName=jeff*))請(qǐng)考慮這樣一種情況，您希望使用先前引用的LDIFDE導(dǎo)出結(jié)果，但是只想在輸出中包括homeMDB屬性。為此，必須使用以下命令。C:\>ldifde-d"DC=witaylorroot,DC=com"-fc:\output.txt-l"homeMDB"-r〃(％26amp;(objectClass二user)(mailNickName二jeff*))dn:CN二jeff,OU=55Users,DC二witaylorroot,DC二comchangetype:addhomeMDB:CN二PrivateInformationStore(WITAYLORNT4EX55),CN=FirstStorageGroup,CN=InformationStore,CN二WITAYLORNT4EX55,CN=Servers,CN二WITAYLORMIXEDSITE,CN二AdministrativeGroups,CN二WITAYLORORG,CN二MicrosoftExchange,CN=Services,CN=Configuration,DC=witaylorroot,DC=comdn:CN=jeff2,CN=Users,DC=witaylorroot,DC=comchangetype:addhomeMDB:CN二PrivateInformationStore(WITAYLORNT4EX55),CN=FirstStorageGroup,CN=InformationStore,CN二WITAYLORNT4EX55,CN=Servers,CN二WITAYLORMIXEDSITE,CN=AdministrativeGroups,CN二WITAYLORORG,CN二MicrosoftExchange,CN=Services,CN=Configuration,DC=witaylorroot,DC=comdn:CN=jeff3,CN=Users,DC=witaylorroot,DC=comchangetype:addhomeMDB:CN=PrivateInformationStore(WITAYLORNT4EX55),CN=FirstStorageGroup,CN=InformationStore,CN二WITAYLORNT4EX55,CN=Servers,CN二WITAYLORMIXEDSITE,CN=AdministrativeGroups,CN二WITAYLORORG,CN二MicrosoftExchange,CN=Services,CN=Configuration,DC=witaylorroot,DC=com如果您正在進(jìn)行導(dǎo)出，并且沒有限制導(dǎo)出哪些屬性，可能需要使用'Cn開關(guān)來排除正常情況下會(huì)包括在內(nèi)的任何值。這有助于防止導(dǎo)出文件的體積變得過于龐大。在ADModify中使用LDAP查詢?nèi)粢@得ADModify工具，請(qǐng)聯(lián)系微軟產(chǎn)品支持服務(wù)。有關(guān)如何聯(lián)系微軟產(chǎn)品支持服務(wù)的更多信息，請(qǐng)參見微軟支持和幫助網(wǎng)站。若要通過第三方網(wǎng)站獲得ADModify工具，請(qǐng)?jiān)L問以下GotDotNet網(wǎng)站：ADModify.NET：Workspace主頁.ADModify是微軟產(chǎn)品支持服務(wù)部門的日常使用工具。對(duì)于大型ActiveDirectory環(huán)境，將可能包含數(shù)千用戶的整個(gè)組織單位（OU）添加到右側(cè)列表的工作并對(duì)他們進(jìn)行分析以找出所需更改的用戶，這個(gè)過程可能并不那么輕松。因此，我們可以使用其他方法實(shí)現(xiàn)這個(gè)目的。在第一個(gè)屏幕上，選擇修改現(xiàn)有用戶屬性并單擊下一步。在修改ActiveDirectory用戶屏幕上，有一個(gè)高級(jí)按鈕。

如果單擊高級(jí)按鈕，將出現(xiàn)自定義LDAP篩選條件對(duì)話框。在該對(duì)話框中，可輸入要使用的LDAP篩選條件。在本例中，