SQL Server 查询Active Directory

最近在研究将AD的数据如何快速筛选、查找、比较、分析。在AD里并不好操作，希望导入到SQL Server做统一查询，并且可以和其他系统WSUS、SCCM、SCOM、HR等关联。

1. 创建SQL连接器：

    建立Linked Server：    

EXEC sp_addlinkedserver 'ADSI', 'Active Directory Services 2.5', 
 'ADSDSOObject', 'adsdatasource'
 GO

2. 添加权限：

    因为查询的LDAP，需要用AD域账户进行认证

3.  通过SQL 语句查询AD信息：

    SELECT  * FROM OPENQUERY
(
ADSI,'SELECT cn
FROM ''LDAP://ServerName/DC=Contoso,DC=domain''
where objectClass = ''computer''
')

4. 创建查询视图

CREATE VIEW viewADContacts
AS
SELECT *
FROM OPENQUERY( ADSI,
   'SELECT Name, SN, ST,CN
   FROM ''LDAP://ServerName/DC=Contoso,DC=Domain''
   WHERE objectCategory = ''Person'' AND
      objectClass = ''user'' ')
GO
SELECT * FROM viewADContacts

PS:

    因为LDAP限制返回的信息行数只有1000，当你的域信息大于1000时会非常麻烦。接下来分享如何通过NTDSUtil来修改默认值。

    前提是你是域管理员，修改有风险，前请三思。

# Run as  Administrator进入命令行模式执行NTDSUTIL.exe
PS C:\Windows\system32> ntdsutil

# 输入LDAP Policies，进入LDAP策略设置模式
# 如果不知道如何输入，可以用？或help 查询帮忙
C:\Windows\system32\ntdsutil.exe: LDAP policies

# 设置连接服务器
ldap policy: connections

# 可以连接服务器，也可以连接域名
server connections: connect to domain Contoso.Domain
Binding to  ...
Connected to  credentials of locally logged on user.server 

# 输入quit返回上一层
server connections: quit

# 使用Show values显示目前的设定值
ldap policy: show values
Policy                          Current(New)
MaxPoolThreads                  4
MaxDatagramRecv                 4096
MaxReceiveBuffer                10485760
InitRecvTimeout                 120
MaxConnections                  5000
MaxConnIdleTime                 900
MaxPageSize                     5000
MaxQueryDuration                120
MaxTempTableSize                10000
MaxResultSetSize                262144
MinResultSets                   0
MaxResultSetsPerConn            0
MaxNotificationPerConn          5
MaxValRange                     1500

# 使用set 修改MaxPageSize就是我们要扩充的对象
ldap policy: set MaxPageSize to 5000

# 使用commit changes提交变更
ldap policy: commit changes

# 修改完成quit返回退出
ldap policy: quit

C:\Windows\system32\ntdsutil.exe: quit

PS C:\Windows\system32>

    再用SQL查询看看，不会再报错，也不会有1000条的限制啦。