• Article

Windows Server

11 outils essentiels pour la gestion d'Active Directory

Laura E. Hunter

 

Vue d'ensemble:

  • Création d'objets à la ligne de commande
  • Exécution d'opérations en bloc au sein d'Active Directory
  • Mises à jour et maintenance d'Active Directory

Si vous avez déjà reçu une feuille de calcul Excel répertoriant les 200 nouveaux employés qui commencent la semaine prochaine, ou si vos comptes utilisateur sont mal configurés parce que le personnel de support technique a cliqué là

où il ne devait pas, ou si vous souhaitez simplement gérer Active Directory® plus facilement qu'en ouvrant Utilisateurs et ordinateurs à chaque fois, il existe plusieurs outils d'administration gratuits qui peuvent vous aider. Certains sont intégrés au système d'exploitation Windows®, d'autres sont fournis dans un kit de ressources ou avec les outils de support Windows et d'autres encore sont des outils de fournisseurs tiers gratuits. Quels sont ces outils pratiques et où pouvez-vous les obtenir ? Voyons cela.

Je vais commencer par les outils de ligne de commande intégrés à Windows Server ® 2003 qui vous permettent de créer, supprimer, modifier et rechercher des objets dans Active Directory.

CSVDE

L'outil CSVDE (Comma-Separated Values Data Exchange) vous permet d'importer de nouveaux objets dans Active Directory à l'aide d'un fichier source CSV. Il permet également d'exporter des objets existants dans un fichier CSV. CSVDE ne peut pas être utilisé pour modifier des objets existants. Lorsque vous utilisez cet outil en mode d'importation, vous pouvez uniquement créer de nouveaux objets.

L'exportation d'une liste d'objets existants avec CSVDE est assez simple. Voici comment exporter vos objets Active Directory vers un fichier appelé ad.csv :

csvde –f ad.csv

Le commutateur –f indique que le nom du fichier de sortie suit. Mais vous devez être conscient du fait qu'en fonction de votre environnement, cette syntaxe de base peut produire un fichier de sortie volumineux et encombrant. Pour limiter l'outil afin d'exporter uniquement les objets d'une unité d'organisation particulière (OU), modifiez l'instruction comme suit :

csvde –f UsersOU.csv –d ou=Users,dc=contoso,dc=com

Disons que vous ne souhaitez exporter que des objets utilisateur dans votre fichier CSV. Dans ce cas, vous pouvez ajouter le commutateur –r, qui vous permet de spécifier un filtre LDAP (Lightweight Directory Access Protocol) pour la recherche, et le commutateur –l, qui vous permet de limiter le nombre d'attributs exportés (notez que ce qui suit se trouve sur une même ligne) :

csvde –f UsersOnly.csv –d ou=Users,dc=contoso,dc=com –r 
    "(&(objectcategory=person)(objectclass=user))" –l 
    DN,objectClass,description

Le commutateur –i vous permet d'importer des objets dans Active Directory à partir d'un fichier CSV source. Cependant, la création d'objets utilisateur avec CSVDE présente une restriction critique : vous ne pouvez pas définir de mots de passe utilisateur. Pour cette raison, j'éviterais d'utiliser CSVDE pour créer des objets utilisateur.

LDIFDE

Active Directory offre un deuxième outil intégré pour les opérations utilisateur en bloc, appelé LDIFDE. Cet outil est plus puissant et flexible que CSVDE. En plus de créer de nouveaux objets, LDIFDE permet de modifier et supprimer des objets existants et même d'étendre le schéma Active Directory. La flexibilité de LDIFDE a un prix en ce sens que le fichier d'entrée nécessaire, appelé fichier LDIF avec l'extension .ldf, utilise un format plus complexe que le fichier CSV simple. (Avec quelques efforts, vous pouvez également configurer des mots de passe utilisateur, mais j'y reviendrai ultérieurement).

Commençons par un exemple simple, l'exportation d'utilisateurs d'une unité d'organisation vers un fichier LDF (notez que ce qui suit se trouve sur une même ligne) :

ldifde -f users.ldf -s DC1.contoso.com -d "ou=UsersOU,dc=contoso,dc=com"
       –r "(&(objectcategory=person)(objectclass=user))"

Comme avec la plupart des outils de ligne de commande, vous pouvez rechercher une explication complète des commutateurs LDIFDE en exécutant la commande LDIFDE /? La figure 1 décrit les commutateurs utilisés ici. (Notez que les commutateurs sont en fait identiques pour les commandes CSVDE et LDIFDE).

Figure 1 Commutateurs LDIFDE

Commutateur Description
-d Spécifie le chemin LDAP auquel LDIFDE doit se connecter pour l'opération.
-f Indique que le nom du fichier à utiliser, dans ce cas pour obtenir les résultats de l'exportation.
-r Spécifie le filtre LDAP à utiliser pour une exportation.
-s Spécifie le contrôleur de domaine auquel se connecter pour exécuter l'opération. Si vous laissez ce commutateur vide, LDIFDE se connectera au contrôleur de domaine local (ou au contrôleur de domaine qui vous a authentifié si vous exécutez l'outil depuis un poste de travail).
   

La véritable puissance de LDIFDE réside dans la création et la manipulation d'objets. Cependant, avant de faire ceci, vous devez d'abord créer un fichier d'entrée. La commande suivante crée deux nouveaux comptes utilisateur afuller et rking. Pour créer le fichier d'entrée, saisissez le texte dans le bloc-notes (ou votre éditeur de texte préféré) et enregistrez-le en tant que NewUsers.ldf :

dn: CN=afuller, OU=UsersOU, DC=contoso, DC=com 
changetype: add 
cn: afuller
objectClass: user 
samAccountName: afuller 

dn: CN=rking, OU=UsersOU, DC=contoso, DC=com 
changetype: add 
cn: rking
objectClass: user 
samAccountName: rking

Après la création du fichier, exécutez la commande suivante :

ldifde –i –f NewUsers.ldf –s DC1.contoso.com

Le seul nouveau commutateur ici est -i, qui (comme vous l'aurez certainement deviné) indique qu'il s'agit d'une importation au lieu d'une exportation.

Lorsque vous modifiez ou supprimez des objets existants, la syntaxe pour la commande LDIFDE ne change pas. Au lieu de cela, vous modifiez le contenu du fichier LDF. Pour modifier le champ de description des comptes utilisateur, créez un fichier texte appelé ModifyUsers.ldf, tel que celui illustré à la figure 2.

Figure 2 Fichier LDF ModifyUsers

Figure 2** Fichier LDF ModifyUsers **(Cliquer sur l'image pour l'agrandir)

Importez les modifications en exécutant la même syntaxe de commande LDIFDE que précédemment, en spécifiant le nouveau nom de fichier LDF après le commutateur -f. Le format LDF pour la suppression d'objets est encore plus simple. Pour supprimer des utilisateurs avec lesquels vous avez travaillé, créez un fichier appelé DeleteUsers.ldf et saisissez ce qui suit :

dn: CN=afuller OU=UsersOU, DC=contoso, DC=com 
changetype: delete

dn: CN=rking, OU=UsersOU, DC=contoso, DC=com 
changetype: delete

Notez que contrairement à CSVDE, LDIFDE est capable de configurer des mots de passe utilisateur. Cependant, avant de pouvoir configurer l'attribut unicodePWD pour un compte utilisateur, vous devez configurer le chiffrement SSL/TLS (Secure Sockets Layer/Transport Layer Security) sur vos contrôleurs de domaine.

De plus, LDIFDE peut créer et modifier tout type d'objet Active Directory, et pas seulement les comptes utilisateur. Par exemple, le fichier LDF suivant crée une extension de schéma personnalisée appelée EmployeeID-example dans le schéma de la forêt contoso.com :

dn: cn=EmployeeID-example,cn=Schema,
cn=Configuration,dc=contoso,dc=com
changetype: add
adminDisplayName: EmployeeID-Example
attributeID: 1.2.3.4.5.6.6.6.7
attributeSyntax: 2.5.5.6
cn: Employee-ID
instanceType: 4
isSingleValued: True
lDAPDisplayName: employeeID-example

Comme le fichier LDIFDE utilise le format de fichier LDAP standard, les applications tierces qui doivent modifier le schéma Active Directory fournissent souvent des fichiers LDF que vous pouvez utiliser pour examiner et approuver les modifications avant de les appliquer à votre environnement de production.

Outre les outils pour les opérations d'importation et d'exportation en bloc, Windows Server 2003 inclut également un jeu d'outils intégré qui vous permet de créer, supprimer et modifier divers objets Active Directory, ainsi que d'exécuter des requêtes pour les objets répondant à certains critères. (Notez que ces outils, dsadd, dsrm, dsget et dsquery, ne sont pas pris en charge par Windows 2000 Active Directory).

Dsadd

Dsadd est utilisé pour créer une instance d'une classe d'objets Active Directory sur une partition d'annuaire particulière. Ces classes incluent des utilisateurs, des ordinateurs, des contacts, des groupes, des unités organisationnelles et des quotas. Dsadd possède une syntaxe générique composée des éléments suivants :

dsadd <ObjectType> <ObjectDistinguishedName> attributes

Notez que chaque type d'objet que vous créez prend un jeu de commutateurs spécifique correspondant aux attributs disponibles pour ce type. Cette commande crée un objet utilisateur unique avec divers attributs renseignés (notez que ce qui suit se trouve sur une même ligne) :

dsadd user cn=afuller,ou=IT,dc=contoso,dc=com 
–samID afuller –fn Andrew –ln Fuller –pwd * 
-memberOf cn=IT,ou=Groups,dc=contoso,dc=com "cn=Help Desk,ou=Groups,
dc=contoso,dc=com" 
–desc "Marketing Director"

Le commutateur –memberOf nécessite le nom unique complet de chaque groupe auquel l'utilisateur devra être ajouté. Si vous souhaitez ajouter l'utilisateur à plusieurs groupes, vous pouvez ajouter plusieurs noms uniques séparés par des espaces.

Si un élément contient un espace, tels que le nom unique du groupe Help Desk, il devra être mis entre guillemets. Si un élément contient une barre oblique inverse, tel qu'une unité d'organisation appelée IT\EMEA, la barre oblique inverse devra être entrée deux fois : IL\\EMEA. (Ces exigences s'appliquent à tous les outils ds*.)

Lorsque vous utilisez le commutateur -pwd *, vous devez entrer un mot de passe pour l'utilisateur à la ligne de commande. Vous pouvez spécifier le mot de passe dans la commande elle-même (-pwd P@ssword1), mais le mot de passe s'affichera alors en texte brut à l'écran ou dans tout texte ou fichier de script que vous avez intégré à la commande.

De même, vous pouvez créer un objet de groupe et une unité d'organisation à l'aide des deux commandes suivantes :

dsadd computer cn=WKS1,ou=Workstations,dc=contoso,dc=com
dsadd ou "ou=Training OU,dc=contoso,dc=com"

Dsmod

Dsmod est utilisé pour modifier un objet existant et vous travaillez avec lui comme avec dsadd, à l'aide de sous-menus et de la syntaxe en fonction du type d'objet que vous modifiez. L'instruction dsmod suivante modifie le mot de passe d'un utilisateur et modifie son compte de sorte que l'utilisateur soit invité à modifier le mot de passe à l'ouverture de la prochaine session :

dsmod user "cn=afuller,ou=IT,dc=contoso,dc=com" –pwd P@ssw0rd1
    –mustchpwd yes

Pour constater la similarité de ces commutateurs, regardez la syntaxe dsadd que vous utiliseriez pour créer cet utilisateur avec les mêmes attributs configurés :

dsadd user "cn=afuller,ou=IT,dc=contoso,dc=com" –pwd P@ssw0rd1
    –mustchpwd yes

Comme vous pouvez clairement le voir, si vous connaissez les commutateurs permettant de créer des objets dans dsadd, vous pouvez utiliser ces mêmes commutateurs pour modifier les utilisateurs avec dsmod.

Dsrm

L'inverse de dsadd est dsrm. Comme vous pouvez l'imaginer, cet outil vous permet de supprimer un objet de la ligne de commande. La syntaxe dsrm de base est assez simple : il vous suffit d'entrer dsrm suivi par le nom unique de l'objet que vous souhaitez supprimer, comme suit :

dsrm cn=WKS1,ou=Workstations,dc=contoso,dc=com

Par défaut, dsrm demandera « Voulez-vous vraiment supprimer cet objet ? » Tapez Y, puis appuyez sur Entrée. Vous pouvez supprimer cette invite à l'aide du commutateur –noprompt, mais ensuite, vous ne pourrez plus vérifier que vous avez sélectionné l'objet correct avant de le supprimer. Deux commutateurs supplémentaires peuvent être utiles si vous supprimez un objet de conteneur, c'est-à-dire une unité d'organisation qui pourrait potentiellement contenir d'autres objets. La commande suivante supprime l'unité d'organisation TrainingOU et tous les objets qu'elle contient :

dsrm ou=TrainingOU,dc=contoso,dc=com –subtree

Celle-ci supprime tous les objets enfant contenus dans TrainingOU mais conserve l'objet d'unité d'organisation :

dsrm ou=TrainingOU,dc=contoso,dc=com –subtree 
    –exclude

Dsmove

Pour déplacer ou renommer un objet dans Active Directory, utilisez l'outil dsmove, mais notez que vous devez uniquement l'utiliser pour déplacer un objet au sein d'un domaine unique. Pour migrer des objets entre les domaines ou les forêts, utilisez l'outil de migration Active Directory (ADMT), téléchargeable gratuitement à partir du site Web de Microsoft. Dsmove repose sur deux commutateurs qui peuvent être utilisés séparément ou ensemble. Cette commande donne un nouveau nom au compte de Steve Conn :

dsmove "cn=Conn, Steve,ou=IT,dc=contoso,dc=com" 
    –newname "Steve Conn"

Cette commande déplace le compte de Steve de l'unité d'organisation IT vers l'unité d'organisation Training :

dsmove "cn=Conn, Steve,ou=IT,dc=contoso,dc=com" –newparent 
    ou=Training,dc=contoso,dc=com

Vous pouvez combiner un changement de nom et un déplacement en une seule opération en spécifiant les deux commutateurs simultanément, comme suit :

dsmove "cn=Conn, Steve,ou=IT,dc=contoso,dc=com" –newname 
    "Steve Conn" –newparent ou=Training,dc=contoso,dc=com

Dsget et Dsquery

Le jeu d'outils de ligne de commande ds* comprend également deux outils utilisés pour interroger Active Directory afin d'obtenir des informations au lieu de créer ou modifier des objets.

Dsget prend le nom unique d'un objet en tant qu'entrée et renvoie la valeur des attributs spécifiés. Dsget utilise les mêmes sous-menus que dsadd et dsmod : utilisateur, ordinateur, contact, groupe, unité d'organisation et quota.

Pour obtenir le nom de compte SAM et l'identificateur de sécurité (SID) d'un compte utilisateur, entrez la commande suivante (notez que ce qui suit se trouve sur une même ligne) :

dsget user cn=afuller,ou=IT,dc=contoso,dc=com 
    –samAccountName –sid

Vous obtiendrez un résultat semblable à celui illustré à la figure 3.

Figure 3 Exécution de dsget

Figure 3** Exécution de dsget **(Cliquer sur l'image pour l'agrandir)

Dsquery renvoie une liste d'objets Active Directory qui satisfont les critères que vous spécifiez. Vous pouvez spécifier les paramètres suivants quels que soient les sous-menus utilisés :

dsquery <ObjectType> <StartNode> -s <Search Scope> -o <OutputFormat>

Pour ObjectType, dsquery peut utiliser les sous-menus suivants, chacun d'entre eux ayant sa propre syntaxe : computer, contact, subnet, group, ou, site, server (notez que le sous-menu server récupère les informations sur les contrôleurs de domaine, pas sur les serveurs membres de votre environnement), user, quota et partition. Et si l'un de ces types de requêtes ne correspond pas à ce dont vous avez besoin, vous pouvez utiliser le sous-menu *, qui vous permet d'entrer une requête LDAP au format libre.

StartNode spécifie l'emplacement de l'arborescence Active Directory où la recherche commencera. Vous pouvez utiliser un nom unique spécifique, tel que ou=IT,dc=contoso,dc=com ou l'un des spécificateurs de raccourci suivants : domainroot, qui commence à la racine d'un domaine particulier, ou forestroot, qui commence à la racine du domaine racine de la forêt en utilisant un serveur de catalogue global pour exécuter la recherche.

Enfin, l'option de zone de recherche spécifie la façon dont dsquery doit exécuter la recherche dans l'arborescence Active Directory. Subtree (par défaut) interroge le StartNode spécifié et tous ses objets enfant, onelevel interroge uniquement les enfants immédiats du StartNode, et base interroge l'objet StartNode uniquement.

Pour mieux comprendre les zones de recherche, considérez une unité d'organisation qui contient des objets utilisateur et une unité d'organisation enfant qui contient elle-même des objets supplémentaires. L'utilisation de la zone subtree permet d'interroger l'unité d'organisation (ainsi que tous les objets utilisateur qu'elle contient) et l'unité d'organisation enfant et son contenu. L'étendue onelevel interrogera uniquement les utilisateurs contenus dans l'unité d'organisation et n'interrogera pas l'unité d'organisation enfant ni son contenu. Une requête base recherchera uniquement l'unité d'organisation elle-même sans interroger les objets qu'elle contient.

Enfin, vous pouvez utiliser Output Format pour contrôler la façon dont les résultats de dsquery sont formatés. Par défaut, dsquery renvoie les noms uniques de tous les objets qui correspondent à cette requête, comme suit :

"cn=afuller,ou=Training,dc=contoso,dc=com"
"cn=rking,ou=ITTraining,ou=Training,dc=contoso,dc=com"

Pour rechercher tous les objets utilisateur contenus dans l'unité d'organisation IT et toutes les unités organisationnelles enfant, utilisez la commande suivante :

dsquery user ou=IT,dc=contoso,dc=com

Vous pouvez affiner encore davantage cette requête en ajoutant des commutateurs supplémentaires, tels que -disabled, qui renvoie uniquement les comptes utilisateur désactivés ; -inactive x, qui renvoie uniquement les utilisateurs qui ne se sont pas connectés au cours des x dernières semaines ou plus ; ou -stalepwd x, qui renvoie uniquement les utilisateurs qui n'ont pas modifié leurs mots de passe depuis x jours ou plus.

En fonction du nombre d'objets dans votre annuaire, vous devrez spécifier le commutateur -limit x lors de l'exécution de votre requête. Par défaut, dsquery renvoie jusqu'à 100 objets qui correspondent aux détails spécifiés de votre requête. Vous pouvez spécifier un plus grand nombre, tel que -limit 500, ou utiliser -limit 0 pour demander à dsquery de renvoyer tous les objets correspondants.

Vous pouvez également utiliser les autres sous-menus pour exécuter des requêtes utiles pour les autres types d'objet. Considérons la requête suivante, qui renvoie tous les sous-réseaux définis dans les sites et services Active Directory qui se trouvent dans l'espace d'adressage 10.1.x.x :

dsquery subnet –name 10.1.*

Vous pouvez encore utiliser la requête suivante pour renvoyer chaque sous-réseau situé dans le site Corp :

dsquery subnet –site Corp

Avec un autre sous-menu, vous pouvez déterminer rapidement combien de contrôleurs de domaine dans votre forêt sont configurés en tant que serveurs de catalogue global :

dsquery server –forest –isgc

Vous pouvez également utiliser cette syntaxe pour vous aider à déterminer le contrôleur de domaine de votre domaine qui héberge le rôle FSMO (Flexible Single-Master Operation) du contrôleur de domaine principal (PDC) :

dsquery server –hasfsmo pdc

Comme avec les autres commandes ds* qui comprennent des sous-menus, vous pouvez afficher tous les commutateurs disponibles dans un sous-menu dsquery particulier en allant à l'invite de commande et en entrant dsquery user /?, dsquery computer /?, dsquery subnet /? et ainsi de suite.

Une astuce supplémentaire consiste à copier les résultats de dsquery dans un autre outil tel que dsmod à l'aide du caractère | (Alt Gr 6 sur les claviers français). Par exemple, disons que votre entreprise a renommé le service Training en Internal Development. Vous devez désormais mettre à jour le champ de description de chaque utilisateur pertinent de l'ancien département au nouveau. Sur une ligne de commande unique, vous pouvez rechercher les objets utilisateur ayant un champ de description Training, puis modifier ce champ de description en bloc, comme suit :

dsquery user –description "Training" | dsmod 
    -description "Internal Development"

Petits bijoux de fournisseurs tiers

Dans la mesure où Active Directory est basé sur les normes LDAP, vous pouvez l'interroger et le modifier à l'aide de n'importe quel outil qui comprend le langage LDAP. De nombreux fournisseurs tiers ont publié des outils payants pour vous aider à gérer Active Directory, mais vous trouverez parfois une perle qui a été mise gratuitement à la disposition de la communauté. C'est le cas d'une collection créée par Joe Richards, MVP pour les Services d'annuaire, disponible en téléchargement gratuit à l'adresse joeware.net/freetools. Vous trouverez plusieurs outils utiles à diverses fonctions Les trois dont je me sers constamment sont : adfind, admod et oldcmp.

Adfind et Admod

Adfind et admod sont semblables à dsquery et dsmod. adfind est un outil de requête de ligne de commande pour Active Directory et admod permet de créer, supprimer ou modifier un ou plusieurs objets Active Directory.

Contrairement aux outils ds* qui ont plusieurs sous-menus et différents commutateurs en fonction du type d'objet, adfind et admod ont une syntaxe cohérente quel que soit le type de requête ou de modification que vous tentez d'exécuter. La syntaxe de base pour adfind est :

adfind –b <Search Base> -s <Search Scope> -f <Search Filter>
    attributesDesired

Par conséquent, une requête du nom unique et de la description de tous les objets informatiques de votre domaine sera :

adfind –b dc=contoso,dc=com –s subtree –f (objectclass=computer) dn 
    description

Une requête de tous les objets utilisateur ressemblera à ce qui suit :

adfind –b dc=contoso,dc=com –s subtree –f "(&(objectcategory=person)
    (objectclass=user))" dn description

Notez qu'à part le contenu de la requête LDAP, la syntaxe n'a pas été modifiée.

Á mesure que vous travaillez avec adfind, vous trouverez de nombreux opérateurs de raccourcis qui peuvent vous faire gagner beaucoup de temps au niveau de la saisie. Par exemple, le commutateur -default peut remplacer -b dc=contoso,dc=com dans l'exemple précédent et effectuer une recherche sur tout votre domaine ; -gc recherche dans le nettoyage de la mémoire (GC) et renvoie tous les utilisateurs de votre forêt Active Directory. Vous pouvez également utiliser le commutateur -rb pour définir une base relative pour votre recherche. Si vous souhaitez rechercher dans l'unité d'organisation Training du domaine phl.east.us.contoso.com, il vous suffit simplement de spécifier –default –rb ou=Training au lieu de –b ou=Training, dc=phl,dc=east,dc=us,dc=contoso,dc=com.

Adfind peut également exécuter plusieurs fonctions de recherche avancées qui ne sont pas facilement gérables au niveau de la ligne de commande, notamment celles illustrées à la figure 4.

Figure 4 Commutateurs Adfind

Commutateur Description
-showdel Interroge le conteneur Deleted Objects pour rechercher les objets tombstone.
-bit Interroge les opérateurs au niveau du bit, tels que l'attribut user­AccountControl.
-asq Exécute une requête par attribut. Cette fonction (qui ne peut pas être répliquée dans dsquery) peut récupérer un attribut d'un objet particulier, puis exécuter une requête sur lui.
-dsq Copie les résultats d'une requête adfind vers dsmod ou un des autres outils ds*.
   

Un exemple d'utilisation du commutateur –asq serait« Afficher les appartenances aux groupes des membres du support technique », comme suit :

adfind –default –rb cn=HelpDesk,ou=IT –asq member memberOf

Admod, comme son nom le suggère, est utilisé pour modifier des objets dans Active Directory. Comme avec adfind, il n'existe pas de sous-menus spécialisés avec des syntaxes particulières à mémoriser. admod utilise la même syntaxe sans tenir compte du type d'objet avec lequel vous travaillez. Vous pouvez également utiliser admod pour ajouter, déplacer, renommer, supprimer et même annuler la suppression des objets. Pour cela, il vous suffit d'ajouter le commutateur approprié, tel que -add, -rm, -move, -undel. Et comme avec dsquery et dsmod, vous pouvez également utiliser le caractère | pour copier les résultats d'une requête adfind vers admod.

Notez que l'exécution de l'annulation d'une suppression avec admod exécute simplement une opération de réanimation d'objet tombstone, dans lequel la plupart des attributs d'objets ont été supprimés. Pour restaurer un objet et tous ses attributs, vous devrez toujours exécuter une restauration faisant autorité de l'objet.

Oldcmp

Il existe un autre outil créé par Joe que je considère comme indispensable dans ma boîte à outils d'automatisation : Oldcmp, qui analyse votre base de données Active Directory à la recherche des comptes d'ordinateur qui n'ont pas été utilisés pendant un nombre de semaines spécifié, et peut exécuter les opérations suivantes :

  • Créer un rapport des comptes sans prendre aucune mesure à leur encontre
  • Désactiver les comptes d'ordinateur inutilisés
  • Transférer les comptes d'ordinateur vers une unité d'organisation différente de votre choix
  • Supprimer les comptes d'ordinateur

Notez que comme oldcmp peut potentiellement endommager votre annuaire, il dispose de plusieurs fonctionnalités de sécurité intégrées. Il ne supprimera pas un compte qui a déjà été désactivé (sans devoir spécifier manuellement un commutateur de ligne de commande « Non vraiment, c'est ce que je veux ! »). Il ne modifiera pas plus de 10 objets simultanément sans un commutateur « Non vraiment, c'est ce que je veux ! » semblable et ne fera absolument rien au compte d'ordinateur d'un contrôleur de domaine.

Malgré le nom trompeur de l'outil, Joe a mis à jour oldcmp pour qu'il exécute des fonctions semblables sur les comptes utilisateur qui n'ont pas été utilisés depuis un certain temps.

Pour un petit environnement Active Directory ou un environnement dans lequel vous travaillez uniquement avec un ou deux ajouts ou modifications à la fois, les outils de GUI, tels qu'Ordinateurs et utilisateurs Active Directory peuvent être suffisants pour la gestion quotidienne. Mais si vous ajoutez et modifiez de grands nombres d'objets quotidiennement ou que vous souhaitez une solution plus simple pour vos tâches administratives, l'utilisation de la ligne de commande peut accélérer considérablement le processus de création, de modification et de suppression d'objets dans Active Directory. Comme vous l'avez vu, il existe plusieurs outils flexibles et puissants disponibles gratuitement, soit préintégrés à Windows, soit téléchargeables à partir de sites de membres de la communauté Active Directory. Tous ces outils ont la possibilité d'améliorer votre productivité en tant qu'administrateur Active Directory, et ensemble, ils deviennent encore plus indispensables à votre travail quotidien.

Laura E. Hunter a remporté quatre fois la récompense MVP de Microsoft pour la mise en réseau Windows Server. Elle est l'auteur du livre Active Directory Cookbook, Second Edition (O'Reilly, 2006). Depuis 10 ans dans l'informatique, Laura travaille actuellement comme architecte Active Directory pour une société d'ingénierie internationale. Elle détient de nombreuses certifications informatiques et intervient fréquemment lors de réunions de groupe d'utilisateurs et de conférences du secteur informatique.

© 2008 Microsoft Corporation et CMP Media, LLC. Tous droits réservés. Toute reproduction, totale ou partielle, est interdite sans autorisation préalable.