Mostrar más objetos en Active Directory Users and Computers

En la entrada de hoy vamos a ver diferentes formas de sortear un problema habitual en servidores Windows, concretamente cuando queremos mostrar decenas de miles de objetos y nos encontramos con mensajes de error como:

The number of objects found exceeds the maximum allowed. Please refine your search

El error puede variar levemente, dado que en versiones 2012 R2 en adelante los límites máximos por defecto para una búsqueda son de 10000 registros:

Por defecto, las búsquedas realizadas bajo ADUC (Active Directory Users and Computers) o el snap-in de Directorio Activo que abrimos en mmc.exe, estarán limitadas bien a 2000 usuarios o bien a 10000, según el caso.

A medida que nuestra empresa tiene más y más usuarios, necesitaremos localizar grupos muy grandes de personas, eventualmente quedando sin espacio de búsqueda para mostrar todos los objetos a la vez.

Mostrar más de 2000 entradas en búsqueda de Active Directory

Lo primero que haremos es abrir una ventana de ADUC si aún no lo hemos hecho. Tenemos varias formas. La más rápida es abrir la ventana de ejecutar con el comando:

dsa.msc

Otra forma es ejecutar mmc.exe y añadir el snap-in apropiado:

• 

Ahora abriremos el menú view > Filter Options

En la parte inferior seleccionaremos un número superior al que viene preestablecido (2000). Hay quien sugiere que se puede especificar «0» en dicha casilla, en mi caos nunca he conseguido que funcione. Seleccionaremos un valor superior, por ejemplo 20000.

Aceptaremos y se aplicarán los cambios.

Crear una búsqueda personalizada en Directorio Activo

Si lo anterior no da el resultado, o bien resulta insuficiente para nosotros, podemos seguir este truco que permitirá mostrar todos los objetos de Active Directory, sin restricciones.

Prestaremos atención a la carpeta con nombre «Saved Queries» (búsquedas guardadas, en castellano) y pulsaremos con el botón secundario del ratón: New > Query

Asignaremos nombre, descripción y en el apartado «query root» escogeremos la subcarpeta o raíz para el filtro de búsqueda.

Ahora, en Query string, pulsaremos en y en el desplegable (Find) seleccionaremos Users, Contacts and Groups -normalmente, quizá estemos interesados en cosas como impresoras, recursos compartidos, etc- y finalmente, en Advanced haremos clic sobre Field y seleccionaremos una condición que englobe a todos los usuarios de nuestro interés.

Pulsaremos OK y comenzaremos la búsqueda.

Una vez resuelta la búsqueda, podemos exportar nuestro resultado a un archivo tabulado, para trabajar con él cómodamente en Excel.

Finalmente, otra manera de sortear esta restricción (en sistemas post-Windows 2000) es la utilizar un ajuste del Editor de Políticas de Grupo local.

Para ello escribiremos en un cuadro de ejecución:

gpedit

Ahora nos desplazaremos por la rama Configuración de Usuario > Plantillas administrativas > Escritorio > Directorio Activo

Estableceremos el valor en Disabled para eliminar cualquier restricción, o bien Enabled junto con un valor más alto, por ejemplo 50000 objetos.

Antes de despedirme, recordar que estas limitaciones vienen dadas de serie en Windows por seguridad, para evitar cargas innecesarias en los servidores de directorio si cometemos un error al buscar.