Comme tous les administrateur d’un domaine sous Active Directory, il m’arrive tous les jours de modifier les objets, un nom qui change, un email à modifier, un groupe à crée. Ce manipulation sur un nombre limité d’objet sont facilement réalisé avec la console MMC “Utilisateurs & Ordinateurs Active Directory”. Les choses deviennent un peu plus compliqué quand il s’agit de faire les modifications sur un nombre important d’objet, disons plus de 10.

Tout les administrateurs du monde cherche la solution la plus rapide et donc la simple à mettre en place pour resoudre ce type de besoin. Il y a alors 3 solutions possibles pour modifier “en masse” Active Directory. Je vous invite à bien verifier votre connaissance d’AD et des différents attributs LDAP avant de vous lancer dans les étapes ci-dessous. Vous pouvez utiliser l’excélent ldp.exe du Ressource Kit Windows 2003 pour regarder un peu tous les attributs disponibles sur un objet type user par exemple.

1-L’ancienne école : Import/Export via csvde et ldifde

Ça fonctionne plutôt bien, c’est en ligne de commande, par contre l’import/export se fait via des fichiers à plats qui sont vite inutilisables.

2-Scripting : VBScript / ADSI

C’est encore moins sympa à utiliser que la solution 1 par contre pour des taches de modifications souvent effectués cela peut-être très utile. J’imagine plus l’usage de ce type de script pour la creation d’un compte où une partie du script est dédié à la création de l’objet dans AD directement, le reste etant par exemple, la creation d’une homedir, puis l’envoi d’un mail de bienvenue

3-Utilitaire dédié : ADModify.Net

C’est un utilitaire que j’ai trouvé il y a quelques temps, on ne fait pas beaucoup de publicité autour, mais cela fonctionne à merveilles, il est dédié à la modification d’objet dans AD (user,group,contact,computer…) en masse.

L’interface est assez simple, cela fonctionne en 2 étapes, on choisie d’abord avec quels objets ont souhaite travailler puis ensuite, un ecran présente sous forme d’onglet toutes les propriétés qui peuvent être modifié.

Par défaut les attributs classiques sont disponibles : bureau, téléphone… Mais rien n’empèche de connaitre le nom exacte de l’attribut que vous voulez modifié et de l’indiqué à ADModify.

Une fois la définition des attributs à modifier effectué, il faut lancer l’application des modifications sur AD. Afin d’assurer un rollback si jamais la modification avait le moindre impact problématique sur l’annuaire, on peut sauvegarder un fichier XML permettant de remettre le LDAP à son état avant la modification. C’est très appréciable.

Enfin, voici un exemple d’utilisation pour moi de ADModify, je voulais crée des listes d’adresses dans notre Exchange basés sur l’appartenance à un OU. Disons, une liste d’adresses “compta” sous la liste d’adresses global contenant tous les membres de mon OU compta. Sous Exchange, on ne peut pas faire de query ldap basé sur l’OU. J’ai donc utilisé AD Modify, pour modifié un attribut de tous les utilisateurs (utilisateurs, groupes et contacts) à l’interieur de l’OU compta et mettre la valeur “CPT”. Ensuite sous Exchange, j’ai fait une query en utilisant ce critère pour filtrer tous les mail-enabled object avec le fameux attribut = “CPT”.

Ce n’est qu’un parmis tous les usages possibles d’AD Modify.NET.

Quelques liens :

Introduction à ADModify.net

You Had Me At EHLO…

Homepage of ADModify.net