> Tech > 5 outils AD indispensables

5 outils AD indispensables

Tech - Par Robbie Allen - Publié le 24 juin 2010
email

A son arrivée, Windows 2000 Active Directory (AD) a révolutionné le monde des services de répertoire. Malheureusement, il existait peu d’outils ligne de commande pour gérer AD. Heureusement, depuis l’avènement de Windows Server 2003, Microsoft et des tiers ont développé de nouveaux outils et mis à jour les existants, pour améliorer la capacité d’administration de l’AD. Les aficionados de la ligne de commande jugent cinq outils indispensables : AdFind, AdMod, OldCmp, Dsrevoke et AdRestore. Ces outils sont survitaminés et prêts à vous servir dans l’environnement AD.Même si vous préférez une GUI à une interface ligne de commande, il est important de comprendre les mérites de ces cinq outils ligne de commande. Dans bien des cas, aucune GUI ne peut rivaliser avec eux. Une bonne maîtrise de ces outils présente un autre avantage : on peut utiliser des fichiers batch de base pour diriger leur travail. N’aimeriezvous pas que ces outils exécutent automatiquement leurs tâches pendant que vous vous occupez ailleurs ? C’est tout à fait possible avec les outils ligne de commande. Ainsi, on peut utiliser un simple script batch de deux lignes qui demande à OldCmp de nettoyer les comptes ordinateur inactifs et de vous envoyer les résultats par e-mail.

Nous allons donc voir comment utiliser AdFind, AdMod, OldCmp, Dsrevoke et AdRestore dans votre environnement AD, pour dynamiser votre travail quotidien. Les cinq outils sont gratuits. Et, sauf mention contraire, ils opèrent tous dans des domaines Win2K et Windows 2003.

AdFind n’est pas vraiment nouveau, mais quelques fonctions intéressantes sont venues l’enrichir récemment. C’est tout simplement le meilleur outil ligne de commande pour interroger AD. Un peu comme la commande Dsquery de Windows 2003, en bien plus puissant.

Joe Richards, un expert AD qui en connaît un bout sur la programmation, a développé AdFind. Il a aussi écrit beaucoup d’autres utilitaires sympas (connus aussi sous le nom de Joeware), dont AdMod et OldCmp. Vous trouverez AdFind, AdMod et OldCmp sur son site Web à http://www.joeware. net. Une fois entré dans le site, cliquez sur le lien Free Win32 C++ Based Tools.

AdFind a de nombreuses options : beaucoup trop pour que nous les couvrions ici. Je m’en tiendrai donc aux plus courantes. Pour en obtenir la liste complète, exécutez la commande

adfind /?

Une option bien connue est l’option -b, qui permet de spécifier le DN (distinguished name) de base d’où démarrera une recherche. Si l’on utilise cette option par ellemême, AdFind affiche les attributs de l’objet représenté par le DN de base plus les attributs des éventuels objets contenus sous le DN de base. AdFind supporte toutes les options de requête LDAP (Lightweight Directory Access Protocol) standard que l’on est en droit d’attendre. Vous pouvez utiliser l’option -f pour spécifier un filtre LDAP conforme à la RFC (Request for Comments) 2254 et l’option -s pour indiquer l’étendue de la recherche. Pour afficher certains attributs d’un objet, on peut les indiquer dans une liste séparée par des espaces à la fin de la commande. (Par défaut, AdFind affiche tous les attributs qui ont des valeurs.) Supposons par exemple que dans l’OU (organizational unit) Workstations, on veuille trouver des objets ordinateur dont le nom commence par rallen. Pour chaque objet ordinateur trouvé, on veut que AdFind affiche les valeurs des attributs name et whenCreated. On utiliserait pour cela la commande adfind -b "ou=workstations,
dc=rallencorp,dc=com" -f
"(&(objectcategory=computer) (name=rallen*))"
name whenCreated

(Bien que cette commande apparaisse sur plusieurs lignes ici, vous ne l’entreriez que sur une ligne dans la fenêtre du shell de commande. Il en est de même pour les autres commandes multilignes de cet article.) La figure 1 montre un exemple des résultats de cette commande.

Vous pouvez utiliser l’option -h pour cibler des DC (domain controllers) spécifiques et l’option -gc pour interroger le GC (Global Catalog). Si vous devez vous authentifier avec des références autres que celles avec lesquelles vous vous êtes connectés, utilisez les options -u et -up pour spécifier le nom et le mot de passe de l’utilisateur, respectivement. Si vous voulez que le DN de base soit le contexte de nommage par défaut du domaine racine, le contexte de nommage par défaut du domaine par défaut, le contexte de nommage de configuration, ou le contexte de nommage de schéma, vous pouvez utiliser les options -root, -default, -config ou -schema, respectivement. Si vous utilisez l’une de ces options, il n’est pas nécessaire d’utiliser l’option –b. Ainsi, la commande suivante interroge le GC sous l’arbre du domaine racine de la forêt pour obtenir tous les groupes dont le nom commence par HR :

adfind -gc -root
-f "(&(objectcategory=group) (name=HR*))" name

Les fonctions évoquées jusqu’ici sont standard sur presque tous les outils de requête LDAP. Mais AdFind ne s’arrête pas là. Voici quelques autres de ses fonctions :

  • Trier à l’endroit ou à l’envers la sortie d’après la valeur d’un attribut avec les options -sort, et -rsort, respectivement.
  • Afficher les objets supprimés avec l’option -showdel.
  • Afficher la durée d’exécution d’une requête avec l’option -elapsed.
  • Décoder des valeurs d’attribut basées sur le temps, Large Integer, avec l’option – tdc.

L’une des fonctions d’Ad- Find que je préfère est sa possibilité d’afficher la sortie Search Stats d’une requête. Search Stats est un contrôle LDAP qui renvoie diverses statistiques de performances à propos de la requête. Par exemple, la commande suivante affiche l’information Search Stats concernant ma recherche HR précédente, à cela près que cette fois-ci j’interroge le GC sous le domaine par défaut :

adfind –stats+only –default -gc
-f "(&(objectcategory=group)
(name=HR*))" name

La figure 2 montre l’exemple de sortie SearchStats issue de cette commande. C’est une information précieuse quand il faut déboguer une requête particulière ou juger de son efficacité.

La sortie Search Stats inclura le taux de ciblage de la requête (c’est-à-dire le nombre d’objets trouvés par rapport au nombre d’objets examinés), les index utilisés et le filtre de requêtes étendu. Search Stats ne renvoie l’information de requête que pour des domaines Windows 2003.

Téléchargez cette ressource

Sécuriser votre système d’impression

Sécuriser votre système d’impression

Longtemps sous-estimée, la sécurisation d’un système d’impression d’entreprise doit être pleinement prise en compte afin de limiter le risque de fuite d’informations sensibles. Voici les 3 principales précautions à prendre.

Tech - Par Robbie Allen - Publié le 24 juin 2010