Comme tous les administrateur d’un domaine sous Active Directory, il m’arrive tous les jours de modifier les objets, un nom qui change, un email à modifier, un groupe à crée. Ce manipulation sur un nombre limité d’objet sont facilement réalisé avec la console MMC “Utilisateurs & Ordinateurs Active Directory”. Les choses deviennent un peu plus compliqué quand il s’agit de faire les modifications sur un nombre important d’objet, disons plus de 10.

Tout les administrateurs du monde cherche la solution la plus rapide et donc la simple à mettre en place pour resoudre ce type de besoin. Il y a alors 3 solutions possibles pour modifier “en masse” Active Directory. Je vous invite à bien verifier votre connaissance d’AD et des différents attributs LDAP avant de vous lancer dans les étapes ci-dessous. Vous pouvez utiliser l’excélent ldp.exe du Ressource Kit Windows 2003 pour regarder un peu tous les attributs disponibles sur un objet type user par exemple.

1-L’ancienne école : Import/Export via csvde et ldifde

Ça fonctionne plutôt bien, c’est en ligne de commande, par contre l’import/export se fait via des fichiers à plats qui sont vite inutilisables.

2-Scripting : VBScript / ADSI

C’est encore moins sympa à utiliser que la solution 1 par contre pour des taches de modifications souvent effectués cela peut-être très utile. J’imagine plus l’usage de ce type de script pour la creation d’un compte où une partie du script est dédié à la création de l’objet dans AD directement, le reste etant par exemple, la creation d’une homedir, puis l’envoi d’un mail de bienvenue

3-Utilitaire dédié : ADModify.Net

C’est un utilitaire que j’ai trouvé il y a quelques temps, on ne fait pas beaucoup de publicité autour, mais cela fonctionne à merveilles, il est dédié à la modification d’objet dans AD (user,group,contact,computer…) en masse.

L’interface est assez simple, cela fonctionne en 2 étapes, on choisie d’abord avec quels objets ont souhaite travailler puis ensuite, un ecran présente sous forme d’onglet toutes les propriétés qui peuvent être modifié.

Par défaut les attributs classiques sont disponibles : bureau, téléphone… Mais rien n’empèche de connaitre le nom exacte de l’attribut que vous voulez modifié et de l’indiqué à ADModify.

Une fois la définition des attributs à modifier effectué, il faut lancer l’application des modifications sur AD. Afin d’assurer un rollback si jamais la modification avait le moindre impact problématique sur l’annuaire, on peut sauvegarder un fichier XML permettant de remettre le LDAP à son état avant la modification. C’est très appréciable.

Enfin, voici un exemple d’utilisation pour moi de ADModify, je voulais crée des listes d’adresses dans notre Exchange basés sur l’appartenance à un OU. Disons, une liste d’adresses “compta” sous la liste d’adresses global contenant tous les membres de mon OU compta. Sous Exchange, on ne peut pas faire de query ldap basé sur l’OU. J’ai donc utilisé AD Modify, pour modifié un attribut de tous les utilisateurs (utilisateurs, groupes et contacts) à l’interieur de l’OU compta et mettre la valeur “CPT”. Ensuite sous Exchange, j’ai fait une query en utilisant ce critère pour filtrer tous les mail-enabled object avec le fameux attribut = “CPT”.

Ce n’est qu’un parmis tous les usages possibles d’AD Modify.NET.

Quelques liens :

Introduction à ADModify.net

You Had Me At EHLO…

Homepage of ADModify.net

En attendant de reussir à faire fonctionner le fameux SuperCopier qui remplace le shell copier/coller/deplacer de Windows, sous Vista. Je viens de trouver un logiciel qui fonctionne lui sous Vista et qui reprend la philosophie du premier.

A savoir, suspendre une copie/deplacement en cours, gérér la bande passante, gérér les remplacements/mise à jours, bref toutes les fonctions manquantes au copier/coller de Microsoft.

Voila une petite capture pour vous donner envie :

Pour télécharger Téracopy

Vous pouvez aussi visiter le site de CodeSector, l’editeur de Teracopy qui propose quels utilitaires nouveaux.

Pour les nostalgiques de SuperCopier, voici quand même leur site supercopier.sfxteam.org  en espérant qu’ils sortent bientôt une nouvelle version.

Lors de l’authentification via Kerberos sur des liens WAN ou le transit est important, il peut arriver que les paquets UDP n’arrivent pas. Particulierement, si le lien est de type mobile, une connexion UMTS ou Edge par exemple.

Nous sommes tous equipés ou seront bientot equipé de ce type de connexions. Le ping moyen attend facilement 300 ou 400 ms, ce type de connexion n’est pas toujours fiable (coupure, debit…). Aussi les paquets type UDP n’arrivent pas toujours à destination dans les meilleurs délais. Hors cela peut provoquer quelques mauvaises surprises : l’authentification par exemple qui via Kerberos utilise des paquets UDP.

Nous avons constaté que l’authentification via Kerberos pour Outlook par exemple sur un lien 3G fonctionnait beaucoup mieux si les échanges étaient effectués en TCP à la place d’UDP pour les raisons expliqués précédement.

Voila donc l’astuce pour forcer Kerberos sur TCP :

Crée un DWORD nommé MaxPacketSize = 1 dans
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ Kerberos\Parameter

Vous trouverez toutes les explications sur Technet comme toujours KB244474

Voici le cas typique où les outils de Microsoft sont mal connus et parfois, avant d’en arriver à la réinstallation, il y a une solution. Votre config dans Office est étrange, certaines fonctions ne répondent plus comme avant, des icônes ou des éléments d’un menu sont manquants. J’ai redécouvert l’usage aujourd’hui de l’assistant Enregistrement des paramètres personnels.

Et voila la sauvegarde fait sur un poste fraichement installé, la restauration sur le poste ayant le problème et zou… Tout refonctionne.

Plus de lecture sur l’assistant : Office Online

A vous d’essayez.