5 outils AD indispensables

AdFind n’est pas vraiment nouveau, mais quelques fonctions intéressantes sont venues l’enrichir récemment. C’est tout simplement le meilleur outil ligne de commande pour interroger AD. Un peu comme la commande Dsquery de Windows 2003, en bien plus puissant.

Joe Richards, un expert AD qui en connaît un bout sur la programmation, a développé AdFind. Il a aussi écrit beaucoup d’autres utilitaires sympas (connus aussi sous le nom de Joeware), dont AdMod et OldCmp. Vous trouverez AdFind, AdMod et OldCmp sur son site Web à http://www.joeware. net. Une fois entré dans le site, cliquez sur le lien Free Win32 C++ Based Tools.

AdFind a de nombreuses options : beaucoup trop pour que nous les couvrions ici. Je m’en tiendrai donc aux plus courantes. Pour en obtenir la liste complète, exécutez la commande

adfind /?

Une option bien connue est l’option -b, qui permet de spécifier le DN (distinguished name) de base d’où démarrera une recherche. Si l’on utilise cette option par ellemême, AdFind affiche les attributs de l’objet représenté par le DN de base plus les attributs des éventuels objets contenus sous le DN de base. AdFind supporte toutes les options de requête LDAP (Lightweight Directory Access Protocol) standard que l’on est en droit d’attendre. Vous pouvez utiliser l’option -f pour spécifier un filtre LDAP conforme à la RFC (Request for Comments) 2254 et l’option -s pour indiquer l’étendue de la recherche. Pour afficher certains attributs d’un objet, on peut les indiquer dans une liste séparée par des espaces à la fin de la commande. (Par défaut, AdFind affiche tous les attributs qui ont des valeurs.) Supposons par exemple que dans l’OU (organizational unit) Workstations, on veuille trouver des objets ordinateur dont le nom commence par rallen. Pour chaque objet ordinateur trouvé, on veut que AdFind affiche les valeurs des attributs name et whenCreated. On utiliserait pour cela la commande adfind -b "ou=workstations,
dc=rallencorp,dc=com" -f
"(&(objectcategory=computer) (name=rallen*))"
name whenCreated

(Bien que cette commande apparaisse sur plusieurs lignes ici, vous ne l’entreriez que sur une ligne dans la fenêtre du shell de commande. Il en est de même pour les autres commandes multilignes de cet article.) La figure 1 montre un exemple des résultats de cette commande.

Vous pouvez utiliser l’option -h pour cibler des DC (domain controllers) spécifiques et l’option -gc pour interroger le GC (Global Catalog). Si vous devez vous authentifier avec des références autres que celles avec lesquelles vous vous êtes connectés, utilisez les options -u et -up pour spécifier le nom et le mot de passe de l’utilisateur, respectivement. Si vous voulez que le DN de base soit le contexte de nommage par défaut du domaine racine, le contexte de nommage par défaut du domaine par défaut, le contexte de nommage de configuration, ou le contexte de nommage de schéma, vous pouvez utiliser les options -root, -default, -config ou -schema, respectivement. Si vous utilisez l’une de ces options, il n’est pas nécessaire d’utiliser l’option –b. Ainsi, la commande suivante interroge le GC sous l’arbre du domaine racine de la forêt pour obtenir tous les groupes dont le nom commence par HR :

adfind -gc -root
-f "(&(objectcategory=group) (name=HR*))" name

Les fonctions évoquées jusqu’ici sont standard sur presque tous les outils de requête LDAP. Mais AdFind ne s’arrête pas là. Voici quelques autres de ses fonctions :

• Trier à l’endroit ou à l’envers la sortie d’après la valeur d’un attribut avec les options -sort, et -rsort, respectivement.
• Afficher les objets supprimés avec l’option -showdel.
• Afficher la durée d’exécution d’une requête avec l’option -elapsed.
• Décoder des valeurs d’attribut basées sur le temps, Large Integer, avec l’option – tdc.

L’une des fonctions d’Ad- Find que je préfère est sa possibilité d’afficher la sortie Search Stats d’une requête. Search Stats est un contrôle LDAP qui renvoie diverses statistiques de performances à propos de la requête. Par exemple, la commande suivante affiche l’information Search Stats concernant ma recherche HR précédente, à cela près que cette fois-ci j’interroge le GC sous le domaine par défaut :

adfind –stats+only –default -gc
-f "(&(objectcategory=group)
(name=HR*))" name

La figure 2 montre l’exemple de sortie SearchStats issue de cette commande. C’est une information précieuse quand il faut déboguer une requête particulière ou juger de son efficacité.

La sortie Search Stats inclura le taux de ciblage de la requête (c’est-à-dire le nombre d’objets trouvés par rapport au nombre d’objets examinés), les index utilisés et le filtre de requêtes étendu. Search Stats ne renvoie l’information de requête que pour des domaines Windows 2003.