Labo IT

A lot of experiences on new technologies.

Gestion des objets Active Directory

23 juillet 2009 par Alexandre VIOT Leave a reply »

Lorsque l’on souhaite créer ou modifier un compte utilisateur Active Directory, on utilise généralement la console Active Directory Users and Computers.

Cependant, une deuxième solution s’offre à nous : les outils en ligne de commande. Ces utilitaires souvent passés sous silence sont plus puissants que la console graphique.

Ces outils en ligne de commande sont généralement plus rapides et modulables quand ils nous sont familiers. Il est également possible de les utiliser en script, ce qui facilite l’administration.

Les outils disponibles

Active Directory contient de nombreuses commandes. Nous allons nous intéresser à trois d’entre elles qui permettent de gérer des objets Active Directory :

Dsadd

Dsmod

Dsrm

Le distinguished name

Ces outils utilisent le distinguished name. Il faut donc bien comprendre à quoi il correspond.

Chaque objet, que cela soit un utilisateur, une OU, un ordinateur ou un groupe, est identifié par un unique chemin dans le schéma. Il s’agit du distinguished name (dn). Il contient le nom de domaine, toutes les OU et le commun name (cn) de l’objet.

Schema Active Directory

Pour un utilisateur Alexandre VIOT situé dans l’unité d’organisation Administrateurs, son dn sera alors :

«CN=Alexandre VIOT, OU=Administrateurs, OU=Microsoft, DC=laboit, DC=lan »

Dsadd

La commande dsadd permet d’ajouter un objet dans la base de données Active Directory. Il faut lui préciser son type ainsi que son dn.

Les différents types disponibles :

Computer

Contact

Group

Ou

User

Par exemple, pour créer l’OU Formation dans laboit.lan, nous utiliserons :

dsadd ou « OU=Formation, DC=laboit, DC=lan »

Pour créer un utilisateur:

dsadd user  «CN= Alexandre VIOT,  OU=Microsoft, DC=laboit, DC=lan » -samid alexv –fn Alexandre -ln VIOT  –pwd myPassw0rd

Dsmod

Dsmod permet quant à lui de modifier un objet déjà existant dans l’AD.

Pour ajouter un utilisateur au groupe LaboIT_Admins:

dsmod group « cn=LaboIT_Admins, OU=Microsoft, DC=laboit, DC=lan »  -addmr  «CN= Alexandre VIOT,  OU=Microsoft, DC=laboit, DC=lan »

Voici l’option qui permet de désactiver un compte. Cela peut vous être utile lorsque vous voulez en désactiver par script.

dsmod user «CN= Alexandre VIOT,  OU=Microsoft, DC=laboit, DC=lan »   -disabled yes

Dsrm

Dsrm a pour effet de supprimer l’objet de la base Active Directory.

Il prend juste en argument le dn de l’objet.

dsrm  «CN= Alexandre VIOT,  OU=Microsoft, DC=laboit, DC=lan »

Pour aller plus loin

Vous trouverez sur la page ci-dessous tous les options disponibles lors de la création / modification d’objets.

http://technet.microsoft.com/fr-fr/library/cc731279(WS.10).aspx

Posted in Microsoft

Tags: Active directory dsadd dsmod dsrm server windows

You can follow any responses to this entry through the RSS 2.0 Feed feed. You can leave a response, or trackback from your own site.