Gestion des objets active directory

en ligne de commande
Organisation des données active directory

• Les données active directory sont structurées dans une arborescence

hiérarchique. Chaque nœud de l'arbre correspond à une entrée de
l'annuaire. au sommet de cette arbre se trouve la racine ou suffixe

SALIM 2
 Organisation des données active
directory
• Chaque entrée est référencée de manière unique dans l’annuaire par son distinguished name (DN).
Le DN représente le nom de l'entrée sous la forme du chemin d'accès à celle-ci depuis le sommet
de l'arbre. On peut comparer le DN au path d'un fichier Unix.

• Le RDN désigne l'entrée depuis une position déterminée de l'arbre.

• Une entrée est définit par un ensemble d’attributs. Les attributs sont des éléments d’information
directement associés à une entrée. Certains attributs sont obligatoires, tandis que d’autres sont
facultatifs.

• les Classe d’objets (objectclass) modélisent des objets réels ou abstraits en les caractérisant par
une liste d'attributs optionnels ou obligatoires.

• Une entrée peut appartenir à un nombre non limité de classes d'objets. Les attributs obligatoires
sont dans ce cas la réunion des attributs obligatoires de chaque classe.

SALIM 3
Organisation des données active directory

Exemple de DN

• Dc=ofppt,dc=org
• Ou=people,dc=ofppt,dc=org
• Cn=tri, Ou=people,dc=ofppt,dc=org
Exemple de RDN
• Dc=ofppt
• Ou=people
• Cn=tri

SALIM 4
SALIM 5
SALIM 6
 Ajout d’objet active directory

• dsadd
 Ajout d’objet active directory

• Ajout d’un ordinateur

Syntaxe
dsadd computer <ComputerDN> …
Exemples:
dsadd computer "cn=PC1,OU=computers,dc=ofppt,dc=org "
• Ajout d’un contact
Syntaxe
dsadd contact <ContactDN> …
Exemples:
dsadd contact "cn=ahmed,OU=contacts,dc=ofppt,dc=org"
 Ajout d’objet active directory
• Ajout d’un groupe

Syntaxe
dsadd group <GroupDN> [-scope {l | g | u}] [-memberof <Group>...] [-membres <Member>...

Exemples:
dsadd group "cn=administrateur, UO=marrakech,dc=ofppt,dc=org " –scope u

Spécifie étendue du groupe :

‒ groupe de domaine local (l),
-scope {l | g | u}
‒ Groupe global (g)
‒ Groupe universelle (u).
Spécifie les groupes dont le nouveau groupe
-memberof <Group>...
est un membre.
Spécifie les membres à ajouter au nouveau
-members <Membre> ...
groupe.
 Ajout d’objet active directory
• Ajouter un utilisateur

Syntaxe
dsadd user <UserDN> [-pwd {<Password>| *] [-memberof <Group>...] [-Tél <PhoneNumber>] [-e-mail <Email>] ….

Exemples:

dsadd user "cn=ali alaoui,ou=marrakech,dc=ofppt,dc=org "

Spécifie que le mot de passe pour l'utilisateur . Si
-pwd {<Password> | *} vous définissez le mot de passe *, dsadd vous
demande un mot de passe utilisateur.
Spécifie les noms uniques des groupes dont vous
-memberof <GroupDN>
souhaitez que l'utilisateur doit être un membre.
Spécifie le numéro de téléphone de l'utilisateur que
-Tél <PhoneNumbe>
vous souhaitez ajouter.
Spécifie l'adresse de messagerie de l'utilisateur que
-e-mail <Email>
vous souhaitez ajouter.
 Ajout d’objet active directory

• Ajouter une unité d’organisation

Syntaxe

dsadd ou <OrganizationalUnitDN>

Exemples:

dsadd ou "ou=ordinateurs, ou= marrakech,dc=ofppt,dc=org"

Ajout d’objet active directory
Ajout d’objet active directory
 Modification d’un objet active directory

• dsmod
 Modification d’un objet active directory
• Modifier un ordinateur

Syntaxe :
dsmod computer <ComputerDN> [-desc <Description>] [-loc <Location>] [-disabled {yes | no}] [-reset]…

Paramètre Description
< ComputerDN> Obligatoire. Spécifie le nom d’ordinateurs que vous souhaitez modifier.

-desc <Description> Spécifie la description de l'objet ordinateur que vous souhaitez modifier.

-loc <Emplacement> Spécifie l'emplacement de l'objet ordinateur que vous souhaitez modifier.

Spécifie si le compte d'ordinateur est désactivé pour l'ouverture de session

-disabled {yes | no}
(Oui) ou pas (no).

-reset Rétablit les comptes d'ordinateur.

 Modification d’un objet active directory

• Modifier un ordinateur

Exemples :
 Modification d’un objet active directory
• Modifier un contact

Syntaxe

dsmod contact <ContactDN> [-fn <FirstName>] [-ln <LastName>] [-desc <Description>]

[-office <Office>] [-Tél <PhoneNumber>] [-email <Email>]…

Paramètre Description
Obligatoire. Spécifie les noms uniques des contacts que vous souhaitez
< ContactDN>
modifier.
-fn <Prénom> Spécifie le prénom du contact que vous souhaitez modifier.
-ln <Nom> Spécifie le nom du contact que vous souhaitez modifier.
Spécifie l'emplacement du bureau du contact que vous souhaitez
-office <Office>
modifier.
-tel <NuméroDeTéléphone> Spécifie le numéro de téléphone du contact que vous souhaitez modifier.
-email <Email> Spécifie l'adresse de messagerie du contact que vous souhaitez modifier.
 Modification d’un objet active directory
• Modifier un groupe

Syntaxe :
dsmod group <GroupDN [-desc <Description>] [-secgrp {yes | no}] [-scope {l | g | u}] [{-addmbr | - rmmbr |
- chmbr} <MemberDN>...]

Paramètre Description
< GroupDN> Obligatoire. Spécifie les noms uniques des groupes que vous souhaitez modifier.
-desc <Description> Spécifie les descriptions des groupes que vous souhaitez modifier.
-secgrp {yes | no} Définit les types de groupe : groupe de sécurité (yes) ou groupe de distribution (no).
-scope {l | g | u} Définit l'étendue des groupes que vous souhaitez modifier local, global ou universel.
-addmbr : ajoute un membre
{-addmbr | - rmmbr |
- chmbr} -rmmbr : supprime un membre
<MemberDN>
- chmbr : change un membre
 Modification d’un objet active directory

• Modifier une unité d’organisation

Syntaxe :

dsmod ou <OrganizationalUnitDN>[-desc <Description>] …

Exemples
 Modification d’un objet active directory
• Modifier un utilisateur
Syntaxe :
dsmod user <UserDN> [-fn <FirstName>] [-ln <LastName>] [-pwd (<Password>| *] [-Tél
<PhoneNumber>] [-email < AdresseMessagerie >]

Exemples :
 Déplacement et renommage d’un objet
active directory
• dsmove
Syntaxe :
dsmove <ObjectDN>[-newname <NewRDN>] [-newparent <ParentDN>]

Paramètre Description
Obligatoire. Spécifie le nom unique de l'objet que vous souhaitez déplacer
< ObjectDN>
ou renommer.
-newname <NewRDN> Renomme l'objet que vous spécifiez avec un nouveau nom unique relatif.
Spécifie un nouvel emplacement pour l'objet que vous souhaitez déplacer.
-newparent <ParentDN> Pour spécifier le nouvel emplacement, vous fournissez le nom unique du
nouveau parent de l'objet.
 Suppression d’un objet active directory

• dsrm

Syntaxe :

dsrm <ObjectDN>... [-subtree ]

Paramètre Description
< ObjectDN> Obligatoire. Spécifie les noms uniques des objets à supprimer.
Spécifie que l'objet et tous les objets contenus dans la sous-arborescence de cet
-subtree
objet doivent être supprimés.
 Les fichiers LDIF
• LDIF : LDAP Data Interchange Format (LDIF) permet de représenter les données LDAP sous format texte
standardisé, il est utilisé pour afficher ou modifier les données de l’annuaire Active directory.

• La forme générale est :

dn: <distinguished name

changetype: <type de changement

objectClass: <object class

objectClass: <object class

...

<attribute type:<attribute value

<attribute type:<attribute value

...

SALIM 23
 Exemples de fichier LDIF

• Ajout d’une entrée de type domaine :

dn: dc=ofppt,dc=org
changetype: add
objectclass: dcObject
objectclass: organization
o: Ma première organisation
dc: ofppt
• Ajout d’une entrée de type unité d’organisation :
dn: OU=tanger,DC=ofppt,DC=org
changetype: add
objectClass: organizationalUnit
ou: tanger

SALIM 24
 Exemples de fichier LDIF
• Ajout d’une entrée de type personne :
dn: cn=ali,ou=tanger,dc=ofppt,dc=org
CahngeType: add
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
cn: ali
sn: alaoui
mail: alaoui@ofppt.org
telephoneNumber: 2616

SALIM 25
 Exemples de fichier LDIF

• Ajout d’une entrée de type ordinateur :

dn: CN=PC2,OU=rabat,DC=ofppt,DC=org
changetype: add
objectClass: computer
cn: DC1
 Exemples de fichier LDIF
• Les commandes de modification ont la syntaxe suivante :
dn: distinguished name
changetype <identifier
change operation identifier
list of attributes...
...
-
change operation identifier
list of attributes
...
<identifier :
add (ajout d'une entrée),
delete (suppression),
modrdn (modification du RDN),
modify (modification : add, replace, delete d'un attribut)
• Le caractère - spécifie le séparateur entre 2 instructions

SALIM 27
 Exemples de fichier LDIF
• Ajouter le numéro de téléphone et le nom du manager pour la personne ali
alaoui :
dn: cn=ali, ou=users, dc=ofppt, dc= org
changetype: modify
add: telephonenumber
telephonenumber: (+212) 0524102315
-
add: manager
manager: cn= amine ahmadi, ou= manager, dc= ofppt, dc= org
• Pour détruire l'entrée
dn: cn=ali, ou=users, dc=ofppt, dc= org
changetype: delete

SALIM 28
 Exemples de fichier LDIF
• Modifier le numéro de téléphone pour la personne ali alaoui :

dn: cn=ali, ou=users, dc=ofppt, dc= org

changetype: modify
replace: telephonenumber
telephonenumber: (+212) 0556155910
• Supprimer le manager pour la personne ali alaoui :

dn: cn=ali, ou=users, dc=ofppt, dc= org

changetype: modify
delete: manager

SALIM 29
 ldifde
LDIFDE est un utilitaire robuste. Cet utilitaire vous permet d'importer/exporter des
informations à partir d'Active Directory.

• Paramètres généraux

-i Active l'importation (l'exportation est activée par défaut)

-f NomFichier Nom de fichier d'entrée ou de sortie

-s NomServeur Serveur avec lequel effectuer la liaison

• Paramètres spécifiques à l'exportation

-d NDRacine Racine de la recherche LDAP (Utilise le contexte de nommage par défaut)

-r Filtre Filtre de recherche LDAP

-p ÉtendueRech Étendue de recherche (Base/Un niveau/Sous-arborescence)

-l liste Liste d'attributs (séparée par des virgules) à rechercher lors d'une recherche LDAP.
 Exporter des objets avec ldifde

• Exportation de tous les objets active directory dans le fichier AD.ldf

ldifde -f AD.ldf

• Exportation de tous les objets active directory ayant comme classe

d’objet user dans le fichier utilisateurs.ldf

Ldifde –f utilisateurs.ldf –d "dc=ofppt,dc=org " –r "(objectclass=user)"

• Exportation de tous les objets active directory ayant comme classe

d’objet computer dans le fichier ordinateurs.ldf
Ldifde –f ordinateurs.ldf –d "dc=ofppt,dc=org " –r "(objectclass=computer)"
 Importer des objets avec ldifde
• Importer un utilisateur en utilisant ldifde
‒ Demarez Notepad, et créez un nouveau fichier nommé Newuser.ldf.
(enregistez le fichier avec l’extention .ldf )
‒ Ajoutez les lignes suivantes au fichier Newuser.ldf :
dn: CN=amine, OU=rabat, DC=ofppt, DC=org
changetype: add
cn: amine
objectClass: user
samAccountName: amine
‒ Enregistrez le fichier LDIF.
‒ Executez la commande LDIFDE afin d’importer le nouveau utilisateur à
Active Directory.
ldifde -i -f newuser.ldf