LDAP-Abfragen erstellen

Anwendungsmöglichkeiten

Ein Platz, an dem die hier gezeigten Suchfilter zu Tage treten, sind die gespeicherten Abfragen im Verwaltungsprogramm Active Directory-Benutzer und -Computer (ADUC). Im Dialog zur Erstellung neuer Abfragen können über verschiedene Felder Suchen erstellt werden. Der resultierende LDAP-Filter wird dann unter Abfragezeichenfolge angezeigt. Das Ergebnis lässt sich nach der Anlage einsehen. Auf diese Weise kann jedenfalls für nicht allzu komplexe Suchen die eigenhändige Erstellung umgangen werden. Zum anderen ist es auch eine gute Möglichkeit, sich einen Überblick über die Abfrage-Syntax zu verschaffen.

Im gleichen Programm lassen sich die einzelnen LDAP-Abfragen direkt einsetzen. Im Kontextmenü (rechte Maustaste) des Domänenbaums wählt man im Dialogfeld Suchen unter Suchen dann Benutzerdefinierte Suche aus. In der Registerkarte Erweitert kann in das enthaltene Textfeld eine LDAP-Anfrage im beschriebenen Filter-Format angegeben und damit eine Suche gestartet werden.

Ein weiterer wichtiger Platz, bei dem die beschriebenen LDAP-Abfragen benötigt werden, sind administrative Skripts. Analog gilt dies für andere Skript- und Programmiersprachen, die auf ADSI oder die entsprechenden .NET-Klassen zugreifen können, wie auch die neue Windows PowerShell, die die Grundlage für die kommende Verwaltungsschnittstelle von Exchange Server 2007 bilden wird.

Bild 2: In ADUC können LDAP-Filter auch im Klartext eingegeben werden.
Bild 2: In ADUC können LDAP-Filter auch im Klartext eingegeben werden.

Auch im Programm LDP, das Teil der Windows Server Support Tools ist, kommen LDAP-Suchabfragen zum Einsatz. Dieses Hilfsprogramm zeichnet sich dadurch aus, dass es im Vergleich zu den Standardverwaltungsprogrammen das unterliegende LDAP-Protokoll wesentlich weniger abstrahiert. Hierdurch lassen sich verschiedene Dinge protokollnäher untersuchen. Auch hier kann über das Kontextmenü eines Verzeichnisobjekts ein Suchdialog geöffnet werden. Desgleichen werden LDAP-Suchabfragen im Programm LDIFDE verwendet, das ebenfalls in den Support Tools enthalten ist und im Wesentlichen zum Datenim- und export eingesetzt wird.

Ein anderes Hilfsprogramm der Microsoft-Produktunterstützung, das zur Durchführung einer größeren Anzahl von Änderungen beispielsweise bei einem Abteilungsumzug hilft, ist ADModify (http://workspaces.gotdotnet.com/ADModify).Hier können die zu ändernden Objekte ebenfalls über einen LDAP-Filter ausgewählt werden.

Ein Exchange-spezifisches Anwendungsfeld ist schließlich die Definition von benutzerdefinierten Adresslisten. Globale Adresslisten (GAL) werden über LDAP-Filter festgelegt, wobei sich mehrere GAL-Filter definieren lassen, die verschiedenen Anwendern zugeordnet werden können. Auf diese Weise ist es möglich, in großen Unternehmen die GALs übersichtlich zu gestalten, da sie nur die Anwender einer Niederlassung oder eines Unternehmensteils enthalten. Besonders wichtig wird dies im Hostingbereich, wo mehrere Kunden in einer Exchange-Struktur untergebracht werden, die aber nur die jeweils eigenen Anwender zu sehen bekommen dürfen. Auch die abfragebasierten Verteilerlisten werden über LDAP-Filter generiert. Diese können entweder über Dialogmasken oder über die direkte Eingabe des LDAP-Filters erstellt werden.