Sie wollten schon immer mal bei 400 Benutzern das Login-Skript ändern? Oder ihre Benutzer sollen eine neue Telefonnummer abhängig von der Zimmernummer erhalten? Der Vorteil von ADModify gegenüber der Konsole ist, das ein beliebiger LDAP-Filter verwendet werden kann um Objekte vorzusortieren und für die Änderungen Variablen verwendet werden können.
Um Massenänderungen am Active Directory durchzuführen kann auf Scripte zurückgegriffen werden. Eine gute Auswahl an Skripten gibt es im englischen Technet von Microsoft unter www.microsoft.com/technet/scriptcenter. Für viele Änderungen eignet sich auch ADModify von Microsoft PSS. Die aktuelle Version kann vom FTP-Server von Microsoft bezogen werden: ftp://ftp.microsoft.com/PSS/Tools/Exchange%20Support%20Tools/ADModify/
Update: Der obige Link funktioniert nicht mehr. Zum Download siehe unseren Artikel.
Seit der ersten .Net-Version werden die Änderungen in einer XML-Datei gespeichert und können auf den vorherigen Wert, welcher unter „Old value“ gespeichert wird, zurückgesetzt werden.
Bitte beachten: Für die Änderungen im AD braucht man ausreichende Berechtigungen!
Admodify präsentiert sich mit drei Schaltflächen zur Auswahl:
- Modify Attributes
- Undo changes
- Import Mailbox Rights
Ändern von Attributen mit ADModify
Auswahl von Objekten
ADModify wählt nicht selbständig die Verbindung zu Active Directory aus. Die Domäne aus der aktuellen Anmeldung ist allerdings hinterlegt. Die Bindung erfolgt an einen beliebigen Domänencontroller. Der Button „Show Containers Only“ lässt die Objekte als Container erscheinen. „Traverse Subcontainer Search“ sollte ausgewählt sein.
Ein Druck auf den grünen Pfeil bindet an die ausgewählte Domäne. Mit „Add to List“ können Objekte zur Auswahl hinzugefügt werden und erscheinen dort mit ihrem DN. Mehrere Objekte können Windows-üblich mit Strg zur weiteren Bearbeitung ausgewählt werden, für alle bietet sich die Auswahl „select all“ an.
Ändern des Loginskripts bei den Mitgliedern der Gruppe EDV
Die Änderung von Loginskripten kann auch über die Konsole „Active Directory Users und Computers“ erfolgen. Das Suchen in mehreren untergeordneten OUs gestaltet sich jedoch schwieriger, und nach Gruppenmitgliedschaften kann ebenfalls nicht sortiert werden. Um die Mitglieder der Gruppe EDV aus mehreren OUs auszuwählen, gebe ich die Gruppe als LDAP-Filter an („Custom LDAP Query“):
Die Suche gibt mir alle Benutzer innerhalb der Gruppe EDV ab der OU Munich zurück:
Ich wähle diese alle aus. Mit „next“ kommt man in das nächste Bearbeitungsfenster, welches den Eigenschaften der Benutzer in „Active Directory Benutzer und Computer“ nachempfunden ist. Unter Profile trage ich nun das neue Loginskript ein:
„Go!“ erledigt die Änderungen und gibt am Ende eine Meldung aus:
Im Fehlerfall (so wie oben) kann ich aus der XML-Datei, die im Pfad von ADModify liegt, den Grund des Fehlers herauslesen.
Änderung von Attributen mithilfe von Variablen in ADModify
ADModify kann auch mit Variablen (Feldnamen) eingesetzt werden, um Daten zu ändern. Angenommen, eine neue Firmenrichtlinie schreibt eindeutige Displaynamen bestehend aus dem Nachnamen und dem ersten Buchstaben des Vornamens getrennt durch ein Leerzeichen vor, dann kann das relativ schnell mit AD-Modify erledigt werden.
Folgendes gibt es zu beachten:
- Der SamAccountname ist nicht änderbar über ADModify!
- Variablen werden in Hochkommas eingeschlossen (‚).
- Die Trennung einzelner Variablen erfolgt durch %.
Die Auswahl der User erfolgt wie gehabt. Bei der Änderung des Displaynamens wird nun folgendes eingegeben:
Über „Go!“ starten Sie wieder die Änderung.
Rückgängigmachen von Änderungen
Drei Tage später wird erkannt, dass die Änderung des Displaynamens wohl doch nicht so gut war. Man möchte wieder die alten Werte haben. Beim Starten von ADModify wird jetzt einfach „Undo Changes“ ausgewählt:
Mit Browse wird die XML-Datei ausgewählt, in der die Änderungen stehen. Die Angabe eines bestimmten DC ist optional. Mit Undo werden die Änderungen in der XML-Datei auf den vorherigen Wert zurückgesetzt:
http://faq-o-matic.net/?p=491