Windows Server

11 strumenti essenziali per la gestione di Active Directory

Laura E. Hunter

 

Panoramica:

  • Creazione di oggetti nella riga di comando
  • Esecuzione di operazioni di massa con Active Directory
  • Aggiornamenti e manutenzione di Active Directory

Se si è ricevuto un foglio di lavoro di Excel contenente l'elenco di 200 neoassunti che entreranno in servizio presso la propria azienda la settimana successiva o se gli account utente non sono configurati correttamente perché il personale del supporto tecnico ha selezionato qualche opzione errata

o, ancora, se si desidera trovare un modo più semplice di gestire Active Directory® in alternativa all'apertura di Utenti e computer ogni volta, esistono numerosi strumenti di amministrazione gratuiti che possono essere di aiuto. Alcuni di questi strumenti sono integrati nel sistema operativo Windows®, altri sono disponibili come Resource Kit o Strumenti di supporto di Windows, altri sono strumenti gratuiti di terzi. Quali sono questi strumenti e dove è possibile trovarli? Scopriamolo insieme.

Iniziamo dagli strumenti della riga di comando integrati in Windows Server® 2003 che consentono di creare, eliminare, modificare e ricercare oggetti in Active Directory.

CSVDE

Lo strumento CSVDE (Comma-Separated Values Data Exchange) consente di importare nuovi oggetti in Active Directory utilizzando un file di origine CSV e, viceversa, di esportare oggetti all'interno di un file CSV. CSVDE non consente però di modificare gli oggetti esistenti e, se viene utilizzato in modalità importazione, questo strumento consente unicamente di creare nuovi oggetti.

CSVDE consente inoltre di esportare un elenco di oggetti esistenti in modo piuttosto semplice. Di seguito viene illustrata la procedura di esportazione di oggetti Active Directory in un file denominato ad.csv:

csvde –f ad.csv

L'opzione –f indica che segue il nome del file di output. Tuttavia, è necessario tener presente che, a seconda dell'ambiente, la sintassi di base qui illustrata potrà produrre un file di output di grandi dimensioni e ingombrante. Per esportare tramite questo strumento solo gli oggetti contenuti all'interno di una determinata unità organizzativa (OU, Organizational Unit) è possibile modificare l'istruzione nel modo seguente:

csvde –f UsersOU.csv –d ou=Users,dc=contoso,dc=com

Ipotizziamo inoltre di voler solo esportare nel file CSV gli oggetti utente. In tal caso, è possibile aggiungere l'opzione –r, che consente di specificare un filtro LDAP (Lightweight Directory Access Protocol) per la ricerca, e l'opzione –l, che limita il numero di attributi esportati (si noti che la seguente sintassi è tutta su un'unica riga):

csvde –f UsersOnly.csv –d ou=Users,dc=contoso,dc=com –r 
    "(&(objectcategory=person)(objectclass=user))" –l 
    DN,objectClass,description

L'opzione –i consente di importare oggetti in Active Directory da un file CSV di origine. Tuttavia, la creazione di oggetti utente tramite CSVDE presenta una limitazione di importanza critica: non consente di impostare password utente. Per questo motivo, si sconsiglia di utilizzare lo strumento CSVDE per creare oggetti utente.

LDIFDE

Active Directory fornisce un altro strumento integrato per le operazioni utente di massa. Questo strumento chiamato LDIFDE è più potente e flessibile di CSVDE. Oltre a consentire la creazione di nuovi oggetti, LDIFDE è in grado di modificare ed eliminare gli oggetti esistenti e persino estendere lo schema di Active Directory. Questa flessibilità viene tuttavia limitata dal fatto che il file di input necessario, ovvero un file LDIF con estensione ldf, utilizza un formato notevolmente più complesso rispetto a un semplice file CSV. Con qualche operazione supplementare è inoltre possibile configurare le password utente, ma questo argomento verrà trattato tra poco.

Iniziamo con un esempio semplice: l'esportazione degli utenti di una OU in un file LDF (si noti che la seguente sintassi è tutta su un'unica riga):

ldifde -f users.ldf -s DC1.contoso.com -d "ou=UsersOU,dc=contoso,dc=com"
       –r "(&(objectcategory=person)(objectclass=user))"

Come per la maggior parte degli strumenti da riga di comando, è possibile visualizzare la spiegazione completa delle opzioni di LDIFDE eseguendo il comando LDIFDE /?. Nella Figura 1 vengono descritte le opzioni utilizzate in questo esempio. Si osservi che le opzioni sono in realtà identiche per entrambi i comandi CSVDE e LDIFDE.

Figure 1 Opzioni di LDIFDE

Opzione Descrizione
-d Specifica il percorso LDAP a cui LDIFDE deve collegarsi per eseguire l'operazione.
-f Indica il nome del file da utilizzare (in questo caso si tratta del file di output del risultato dell'esportazione).
-r Specifica il filtro LDAP da utilizzare per un'esportazione.
-s Specifica il controller di dominio (DC) a cui eseguire il collegamento che effettuerà l'operazione. Se questa opzione non viene specificata, lo strumento LDIFDE si connetterà al DC locale (o al DC che ha autenticato l'utente se lo strumento viene eseguito da una workstation).
   

La principale potenzialità offerta da LDIFDE consiste nella possibilità di creare e manipolare oggetti. A tale scopo è in primo luogo necessario creare un file di input. Il seguente esempio consente di creare due nuovi account utente denominati afuller e rking. Per creare il file di input, immettere il testo in Blocco note (o un altro editor di testo normale) e salvare il file con il nome NewUsers.ldf:

dn: CN=afuller, OU=UsersOU, DC=contoso, DC=com 
changetype: add 
cn: afuller
objectClass: user 
samAccountName: afuller 

dn: CN=rking, OU=UsersOU, DC=contoso, DC=com 
changetype: add 
cn: rking
objectClass: user 
samAccountName: rking 

Dopo aver creato il file, eseguire questo comando:

ldifde –i –f NewUsers.ldf –s DC1.contoso.com

In questo caso, l'unica nuova opzione è -i, che, come si può facilmente intuire, indica che si tratta di un'operazione di importazione e non di esportazione.

Quando si modificano o si eliminano oggetti esistenti, la sintassi del comando LDIFDE non cambia, vengono invece modificati i contenuti del file LDF. Per modificare il campo in cui inserire la descrizione degli account utente, creare un file di testo denominato ModifyUsers.ldf, come illustrato nell'esempio nella Figura 2.

Figura 2 Il file LDF ModifyUsers

Figura 2** Il file LDF ModifyUsers **(Fare clic sull'immagine per ingrandirla)

Le modifiche vengono importare eseguendo la stessa sintassi dei comandi di LDIFDE precedente, specificando il nome del nuovo file LDF dopo l'opzione -f. Il formato LDF per l'eliminazione di oggetti è ancora più semplice. Per eliminare gli utenti utilizzati in precedenza, creare un file denominato DeleteUsers.ldf e immettere la seguente sintassi:

dn: CN=afuller OU=UsersOU, DC=contoso, DC=com 
changetype: delete

dn: CN=rking, OU=UsersOU, DC=contoso, DC=com 
changetype: delete

Si noti che, a differenza dello strumento CSVDE, LDIFDE consente di configurare anche le password utente. Prima di poter configurare l'attributo unicodePWD per un account utente, è tuttavia necessario configurare la crittografia SSL/TLS (Secure Sockets Layer/Transport Layer Security) sui controller di dominio.

Lo strumento LDIFDE consente inoltre di creare e modificare qualunque tipo di oggetto Active Directory, non solo gli account utente. Il seguente file LDF, ad esempio, consente di creare un'estensione dello schema personalizzata denominata EmployeeID-example nello schema dell'insieme di strutture contoso.com:

dn: cn=EmployeeID-example,cn=Schema,
cn=Configuration,dc=contoso,dc=com
changetype: add
adminDisplayName: EmployeeID-Example
attributeID: 1.2.3.4.5.6.6.6.7
attributeSyntax: 2.5.5.6
cn: Employee-ID
instanceType: 4
isSingleValued: True
lDAPDisplayName: employeeID-example

Poiché i file LDIFDE utilizzano il formato file LDAP standard del settore, le applicazioni di terzi che richiedono la modifica dello schema di Active Directory spesso rendono disponibili file LDF che sarà possibile utilizzare per esaminare e approvare le modifiche prima di applicarle all'ambiente di produzione.

Oltre agli strumenti per l'esecuzione di operazioni di importazione ed esportazione di massa, Windows Server 2003 include un set di strumenti integrati che consentono di creare, eliminare e modificare vari oggetti Active Directory nonché di eseguire query sugli oggetti che soddisfano determinati criteri. Si noti che questi strumenti (dsadd, dsrm, dsget e dsquery) non sono supportati dalla versione Active Directory di Windows 2000.

Dsadd

Dsadd consente di creare un'istanza di una classe di oggetti Active Directory in una determinata partizione di directory. Queste classi includono utenti, computer, contatti, gruppi, unità organizzative e quote. Dsadd prevede la seguente sintassi generica:

dsadd <ObjectType> <ObjectDistinguishedName> attributes

Si noti che a ogni tipo di oggetto creato è associato un set specifico di opzioni che corrispondono agli attributi disponibili per quel tipo di oggetto. Questo comando consente di creare un unico oggetto utente con diversi attributi popolati (si noti che la seguente sintassi è tutta su un'unica riga):

dsadd user cn=afuller,ou=IT,dc=contoso,dc=com 
–samID afuller –fn Andrew –ln Fuller –pwd * 
-memberOf cn=IT,ou=Groups,dc=contoso,dc=com "cn=Help Desk,ou=Groups,
dc=contoso,dc=com" 
–desc "Marketing Director"

L'opzione –memberOf richiede il nome distinto (DN) completo di ogni gruppo a cui l'utente dovrà essere aggiunto. Per aggiungere l'utente a più gruppi, è possibile aggiungere più DN separati da spazi.

Se un elemento contiene uno spazio, ad esempio il DN del gruppo Supporto tecnico, dovrà essere incluso fra virgolette doppie. Se un elemento contiene una barra rovesciata, come una OU denominata IT\EMEA, questa dovrà essere immessa due volte: IT\\EMEA. Questi requisiti si applicano a tutti gli strumenti ds*.

Quando si utilizza l'opzione -pwd *, verrà richiesto di immettere una password per l'utente nella riga di comando. La password può essere specificata all'interno del comando stesso (-pwd P@ssword1), ma così facendo verrebbe visualizzata nel formato testo normale sullo schermo o in qualunque file di testo o script in cui sia stato incorporato il comando.

Analogamente, è possibile creare un oggetto gruppo e una OU utilizzando i seguenti comandi:

dsadd computer cn=WKS1,ou=Workstations,dc=contoso,dc=com
dsadd ou "ou=Training OU,dc=contoso,dc=com"

Dsmod

Dsmod viene utilizzato per modificare un oggetto esistente e funziona in modo analogo allo strumento dsadd, anche se prevede sottomenu e sintassi differenti a seconda del tipo di oggetto che si desidera modificare. La seguente istruzione dsmod modifica la password di un utente e il suo account in modo che al successivo accesso venga visualizzata la richiesta di sostituire la password:

dsmod user "cn=afuller,ou=IT,dc=contoso,dc=com" –pwd P@ssw0rd1
    –mustchpwd yes

Per comprendere la similitudine tra queste opzioni è sufficiente esaminare la sintassi dsadd che consente di creare l'utente con gli stessi attributi configurati:

dsadd user "cn=afuller,ou=IT,dc=contoso,dc=com" –pwd P@ssw0rd1
    –mustchpwd yes

Come si vede chiaramente, basta conoscere le opzioni che consentono di creare oggetti in dsadd in modo da utilizzarle per modificare gli utenti con dsmod.

Dsrm

Drsm è l'opposto dello strumento dsadd, ovvero consente di eliminare un oggetto dalla riga di comando. La sintassi dsrm di base è piuttosto semplice: è sufficiente digitare dsrm seguito dal nome distinto dell'oggetto che si desidera eliminare, nel modo seguente:

dsrm cn=WKS1,ou=Workstations,dc=contoso,dc=com

Per impostazione predefinita, verrà visualizzato il messaggio "Eliminare l'oggetto?" Digitare Y, quindi premere Invio. È possibile utilizzare l'opzione –noprompt per eliminare questo prompt, ma naturalmente così facendo non si avrà più la possibilità di confermare di aver selezionato l'oggetto corretto prima di eliminarlo. Vi sono inoltre altre due opzioni che possono risultare utili quando si elimina un oggetto contenitore, ovvero un'unità organizzativa in grado di contenere altri oggetti. Il seguente comando consente di eliminare l'unità organizzativa TrainingOU e tutti gli oggetti che contiene:

dsrm ou=TrainingOU,dc=contoso,dc=com –subtree 

Questa sintassi elimina tutti gli oggetti figlio contenuti all'interno di TrainingOU, senza però eliminare l'oggetto unità organizzativa stesso:

dsrm ou=TrainingOU,dc=contoso,dc=com –subtree 
    –exclude 

Dsmove

Per spostare o ridenominare un oggetto in Active Directory si utilizza lo strumento dsmove, che tuttavia consente solo di spostare oggetti all'interno di uno stesso dominio. Per eseguire la migrazione di oggetti tra domini o insiemi di strutture, utilizzare l'Utilità di migrazione ad Active Directory (ADMT), disponibile gratuitamente per il download dal sito Web Microsoft. Dsmove presenta due opzioni che è possibile utilizzare separatamente oppure insieme. Il seguente comando consente di attribuire un nuovo cognome all'account di Steve Conn:

dsmove "cn=Conn, Steve,ou=IT,dc=contoso,dc=com" 
    –newname "Steve Conn" 

Il seguente comando consente di trasferire l'account di Steve dall'OU IT all'OU Training:

dsmove "cn=Conn, Steve,ou=IT,dc=contoso,dc=com" –newparent 
    ou=Training,dc=contoso,dc=com 

È possibile combinare la ridenominazione e il trasferimento in un'unica operazione specificando entrambe le opzioni contemporaneamente, come illustrato di seguito:

dsmove "cn=Conn, Steve,ou=IT,dc=contoso,dc=com" –newname 
    "Steve Conn" –newparent ou=Training,dc=contoso,dc=com

Dsget e dsquery

Il set di strumenti della riga di comando ds* include inoltre due strumenti che consentono di eseguire query in Active Directory per ottenere informazioni anziché creare o modificare gli oggetti.

Dsget prende il DN di un oggetto come input e fornisce il valore dell'attributo o degli attributi specificati dall'utente. Dsget utilizza gli stessi sottomenu di dsadd e dsmod: user, computer, contact, group, ou e quota.

Per ottenere il nome account SAM e l'ID di protezione (SID) di un account utente, immettere il seguente comando (si noti che la seguente sintassi è tutta su un'unica riga):

dsget user cn=afuller,ou=IT,dc=contoso,dc=com 
    –samAccountName –sid

Si otterrà l'output visualizzato nella Figura 3.

Figura 3 Esecuzione di dsget

Figura 3** Esecuzione di dsget **(Fare clic sull'immagine per ingrandirla)

Dsquery restituisce un elenco di oggetti Active Directory che soddisfano i criteri specificati. È possibile specificare i seguenti parametri indipendentemente dal sottomenu utilizzato:

dsquery <ObjectType> <StartNode> -s <Search Scope> -o <OutputFormat>

Per ObjectType, dsquery può utilizzare i seguenti sottomenu, ognuno dei quali ha una propria sintassi: computer, contact, subnet, group, ou, site, server (si osservi che il sottomenu server restituisce informazioni sui controller di dominio, non sui server membri dell'ambiente), user, quota e partition. Nel caso in cui nessuno dei sottomenu precedenti soddisfi le proprie esigenze, è possibile utilizzare il sottomenu * per immettere una query LDAP in formato libero.

StartNode specifica il percorso dell'albero Active Directory da cui inizierà la ricerca. È possibile utilizzare un DN specifico, ad esempio ou=IT,dc=contoso,dc=com, oppure uno dei seguenti identificatori rapidi: domainroot, per iniziare dalla directory principale di un determinato dominio, oppure forestroot, per iniziare dalla directory principale di un insieme di strutture utilizzando un server del catalogo globale per eseguire la ricerca.

Infine, l'opzione Ambito di ricerca specifica l'ambito di ricerca ovvero il modo in cui verrà eseguita la ricerca tramite dsquery all'interno dell'albero di Active Directory. Sottostruttura (l'impostazione predefinita) esegue una query sull'oggetto StartNode e tutti i relativi oggetti figlio, UnLivello esegue una query solo sugli oggetti figlio di primo livello di StartNode e Base esegue una query solo sull'oggetto StartNode.

Per una migliore comprensione del concetto di ambito di ricerca, si consideri una OU che contenga sia oggetti utente che una OU figlio contenente a sua volta altri oggetti. Se si utilizza l'ambito Sottostruttura, la query verrà eseguita sulla OU, su tutti gli oggetti utente in essa contenuti, sulla OU figlio e tutto ciò che contiene. Se si utilizza l'ambito UnLivello, la query verrà eseguita solo sugli utenti contenuti all'interno della OU e non sulla OU figlio e tutto ciò che contiene. Se si utilizza l'ambito Base, la query verrà eseguita solo sulla OU stessa, ma non sugli oggetti in essa contenuti.

Infine, è possibile utilizzare Formato output per controllare il modo in cui verranno formattati i risultati delle query. Per impostazione predefinita, dsquery restituisce i nomi distinti degli oggetti corrispondenti alle query, nel modo seguente:

"cn=afuller,ou=Training,dc=contoso,dc=com"
"cn=rking,ou=ITTraining,ou=Training,dc=contoso,dc=com"

Per eseguire una query su tutti gli oggetti contenuti all'interno della OU IT e le eventuali OU figlio, utilizzare la seguente sintassi:

dsquery user ou=IT,dc=contoso,dc=com 

È possibile impostare criteri di query ulteriormente restrittivi utilizzando altre opzioni come -disabled, che restituisce solo gli account utente disabilitati, -inactive x, che restituisce solo gli utenti che non hanno eseguito l'accesso durante le ultime x settimane o più, oppure -stalepwd x, che restituisce solo gli utenti che non hanno modificato la propria password nell'arco di x o più giorni.

A seconda del numero di oggetti contenuti nella directory, può essere necessario specificare l'opzione -limit x quando si esegue la query. Per impostazione predefinita, dsquery restituisce fino a 100 oggetti corrispondenti ai criteri di query specificati, ma è possibile ottenere un numero di risultati più elevato, ad esempio impostando -limit 500, oppure utilizzare -limit 0 per fare in modo che dsquery restituisca tutti gli oggetti corrispondenti alla query.

Inoltre, è possibile utilizzare gli altri sottomenu per eseguire query anche su altri tipi di oggetti. Si consideri la seguente query che restituisce ogni subnet definita in Siti e servizi di Active Directory che si trova nello spazio degli indirizzi 10.1.x.x:

dsquery subnet –name 10.1.*

In alternativa, utilizzare la seguente query per ottenere l'elenco di tutte le subnet presenti nel sito Corp:

dsquery subnet –site Corp

Un altro sottomenu consente inoltre di determinare rapidamente quanti sono i controller di dominio dell'insieme di strutture configurati come server del catalogo globale:

dsquery server –forest –isgc

La seguente sintassi consente di determinare quale controller di dominio ospita il ruolo FSMO (Emulator Flexible Single Master Operations) Controller di dominio primario (PDC):

dsquery server –hasfsmo pdc

Come nel caso degli altri comandi ds* che includono sottomenu, è possibile visualizzare tutte le opzioni disponibili all'interno di un determinato sottomenu di dsquery digitando dsquery user /?, dsquery computer /?, dsquery subnet /? e così via, al prompt dei comandi.

Un altro trucco utile consiste nell'inviare l'output di una query eseguita con dsquery a un altro strumento come dsmod utilizzando il carattere | (tasti MAIUSC+barra rovesciata). Ad esempio, supponiamo che un'azienda abbia cambiato il nome del reparto Training in Internal Development e si debba ora aggiornare il campo relativo alla descrizione di ogni utente interessato, cambiando di conseguenza il nome del reparto. In questo caso sarà possibile utilizzare una sola riga di comando per eseguire una query che restituisca gli oggetti utente contenenti Training nel campo relativo alla descrizione e quindi eseguire la modifica di massa della descrizione, tramite la seguente sintassi:

dsquery user –description "Training" | dsmod 
    -description "Internal Development"

Alcuni strumenti utili di terze parti

Poiché Active Directory si basa sugli standard LDAP, è possibile eseguire query e modifiche tramite qualsiasi strumento che supporti il protocollo LDAP. La maggior parte dei fornitori terzi forniscono strumenti che agevolano l'amministrazione di Active Directory, tuttavia a volte si trovano anche prodotti molto utili disponibili gratuitamente, come nel caso della raccolta creata dall'MVP per i Servizi directory Joe Richards, disponibile per il download all'indirizzo joeware.net/freetools. Questa raccolta include numerosi strumenti utili a svolgere diverse funzioni. Tre degli strumenti che utilizzo più spesso sono adfind, admod e oldcmp.

Adfind e admod

Adfind e admod sono simili a dsquery e dsmod. Il primo è uno strumento di query da riga di comando per Active Directory mentre il secondo consente di creare, eliminare o modificare uno o più oggetti Active Directory.

A differenza degli strumenti ds* che comprendono molti sottomenu e diverse opzioni a seconda del tipo di oggetto, adfind e admod presentano una sintassi coerente indipendentemente dal tipo di query o modifica che si desidera eseguire. La sintassi di base di adfind è:

adfind –b <Search Base> -s <Search Scope> -f <Search Filter>
    attributesDesired

Pertanto, una query per ricercare il DN e la descrizione di tutti gli oggetti computer del dominio avrà la seguente sintassi:

adfind –b dc=contoso,dc=com –s subtree –f (objectclass=computer) dn 
    description

Una query per ricercare tutti gli oggetti utente avrà la seguente sintassi:

adfind –b dc=contoso,dc=com –s subtree –f "(&(objectcategory=person)
    (objectclass=user))" dn description

Si osservi che, tranne nel caso dei contenuti della query LDAP, la sintassi non varia.

Man mano che si acquisisce familiarità con lo strumento adfind, si scopriranno diversi operatori che consentono di abbreviare la sintassi utilizzata. Ad esempio, sostituendo -b dc=contoso,dc=com l'opzione -default è possibile eseguire la ricerca nell'intero dominio mentre -gc consente di ricercare tutti gli utenti dell'insieme di strutture di Active Directory all'interno della Garbage Collection. È inoltre possibile utilizzare l'opzione -rb per impostare una base relativa per la ricerca. Ad esempio, se si desidera ricercare all'interno della OU Training del dominio phl.east.us.contoso.com, è possibile risparmiare parecchio lavoro scrivendo semplicemente –default –rb ou=Training anziché –b ou=Training, dc=phl,dc=east,dc=us,dc=contoso,dc=com.

Tramite adfind è inoltre possibile eseguire diverse ricerche avanzate altrimenti difficilmente gestibili dalla riga di comando, incluse le query illustrate nella Figura 4.

Figure 4 Opzioni di adfind

Opzione Descrizione
-showdel Esegue una query sul contenitore degli oggetti eliminati per ricercare gli oggetti contrassegnati per la rimozione definitiva.
-bit Esegue una query sugli operatori bit per bit, come l'attributo user­AccountControl.
-asq Esegue una query con ambito attributo. Questa funzione (che non può essere replicata in dsquery) è in grado di recuperare un attributo di un determinato oggetto e quindi eseguire una query utilizzandolo come criterio di ricerca.
-dsq Invia l'output di una query adfind a dsmod o a uno degli altri strumenti ds*.
   

La seguente sintassi è un esempio di utilizzo dell'opzione –asq al fine di visualizzare l'appartenenza ai gruppi dei membri del Supporto tecnico:

adfind –default –rb cn=HelpDesk,ou=IT –asq member memberOf 

Come suggerisce il nome stesso, admod consente di modificare gli oggetti all'interno di Active Directory. Come nel caso di adfind, non vi sono sottomenu specifici o sintassi particolari da memorizzare. Admod prevede la stessa sintassi indipendentemente dal tipo di oggetto. È inoltre possibile utilizzare admod per aggiungere, spostare, ridenominare, eliminare gli oggetti e persino annullarne l'eliminazione, semplicemente aggiungendo l'opzione appropriata, ad esempio -add, -rm, -move, -undel. E come con gli strumenti dsquery e dsmod, anche qui è possibile utilizzare il carattere | per inviare i risultati delle query di adfind ad admod.

Si noti che l'annullamento di un'operazione di eliminazione con admod non è altro che un'operazione di recupero di una rimozione definitiva dopo che ormai la maggior parte degli attributi degli oggetti è stata rimossa. Per ripristinare completamente un oggetto e tutti i suoi attributi, è necessario eseguire un ripristino autorevole dell'oggetto.

Oldcmp

Esiste un altro strumento che ritengo un componente fondamentale del mio toolkit per l'automazione: oldcmp. Questo strumento esegue l'analisi del database di Active Directory ricercando gli account computer che non sono stati utilizzati durante il numero di settimane specificato ed è inoltre in grado di:

  • Creare un report degli account senza eseguire alcuna operazione su di essi
  • Disabilitare gli account computer non utilizzati
  • Trasferire gli account computer a una diversa OU specificata dall'utente
  • Eliminare definitivamente gli account computer

Si noti che, poiché oldcmp è potenzialmente in grado di danneggiare seriamente la directory, integra diverse funzionalità di protezione integrate. Non consente di eliminare gli account che non sono stati precedentemente disabilitati (e senza dover specificare manualmente un'apposita opzione di conferma della riga di comando), né di modificare più di 10 oggetti per volta in mancanza di un'apposita opzione di conferma e non è assolutamente in grado di alterare l'account computer di un controller di dominio.

Anche se ora il nome dello strumento risulta fuorviante, Joe ha aggiornato oldcmp affinché possa eseguire le relative operazioni anche sugli account utente che non sono stati utilizzati per un determinato periodo di tempo.

In un ambiente Active Directory di piccole dimensioni o in cui vengono apportate solo poche aggiunte o modifiche per volta, strumenti GUI come Utenti e computer di Active Directory possono essere sufficienti ai fini dell'amministrazione quotidiana. Ma se si aggiungono e modificano quotidianamente molti oggetti o, semplicemente, se si desidera una soluzione che ottimizzi lo svolgimento delle attività amministrative, gli strumenti della riga di comando sono in grado di incrementare notevolmente la velocità di creazione, modifica ed eliminazione degli oggetti all'interno di Active Directory. Come ho illustrato in questo articolo, è possibile accedere gratuitamente a numerosi strumenti flessibili e potenti, sia integrati nell'ambiente Windows, sia scaricabili dai siti dei membri della community Active Directory. Tutti questi strumenti possono incrementare enormemente la produttività degli amministratori di Active Directory e diventare sempre più importanti per le attività quotidiane.

Laura E. Hunter è stata insignita per quattro volte del premio Microsoft MVP per l'area Windows Server Networking. È autrice del libro Active Directory Cookbook, Second Edition (O'Reilly, 2006). Laura possiede 10 anni di esperienza nel settore IT e attualmente lavora in qualità di progettista Active Directory per una società di progettazione globale. Ha conseguito numerose certificazioni del settore e partecipa frequentemente come relatrice a incontri tra gruppi di utenti e a conferenze del settore.

© 2008 Microsoft Corporation e CMP Media, LLC. Tutti i diritti riservati. È vietata la riproduzione completa o parziale senza autorizzazione.