> Tech > L’automatisation à  la rescousse

L’automatisation à  la rescousse

Tech - Par iTPro - Publié le 24 juin 2010
email

Même dans les petites structures, la détermination des relations entre les comptes peut être décourageante. Pour automatiser le processus, j’ai créé le script GBPR.vbs (« group by permissions relationship »). (Pour télécharger ce script, www.itpro.fr Club abonnés) Le script peut s’exécuter sur n’importe quel ordinateur sur lequel est chargé WSH

(Windows Script Host). Copiez le fichier d’export .csv ou le fichier MBInfo.txt dans le même dossier que GBPR.vbs. Le script lie le nom affiché d’une boîte aux lettres individuelle (par exemple, colonne A de la figure 3) et le nom affiché répertorié dans la colonne Folder Permissions (par ex., colonne F de la figure 3), afin de créer une matrice d’associations transitives. Une opération de mappage similaire est réalisée lors du traitement du fichier .csv. La commande servant à exécuter le script est la suivante :

cscript gbpr.vbs mode infile.text outfile.csv

où mode correspond à mbinfo ou exadmin, en fonction du fichier évalué. Infile.txt est le nom du fichier contenant les informations d’autorisation. Outfile.csv est un fichier CSV (Comma-Separated Value) généré par script qui contient les en-têtes Group, Index, Display Name, Directory Name et Distinguished Name. Avant d’exécuter GBPR.vbs, assurezvous que vous exportez des informations pour toutes les boîtes aux lettres, pas seulement pour celles octroyant des autorisations à d’autres. Même les boîtes aux lettres qui n’attribuent pas elles-mêmes des autorisations, comme celle de Kevin à la figure 3, peuvent avoir reçu des autorisations sur d’autres boîtes aux lettres.

La figure 4 montre un exemple de sortie après le traitement du fichier d’autorisations MBInfo. La colonne Group contient un nombre, par ex. 0, 1, 2, qui représente le groupe d’association auquel la boîte aux lettres appartient. Les boîtes aux lettres du groupe 0 ne sont liées à aucun autre groupe. Un numéro de groupe différent de 0 indique que le compte est membre du groupe spécifié.

La colonne Index contient un numéro d’index unique assigné par le script à chaque boîte aux lettres dans le fichier d’entrée ; cette information est incluse aux fins de débogage et de vérification de la sortie. Lorsque le script s’exécute, il affiche des informations d’état générales à l’écran, afin que vous puissiez savoir que le traitement est en cours. Si vous modifiez la variable DebugOn de false en true dans l’en-tête du script, l’écran affiche des informations supplémentaires au cours de l’exécution de GBPR.vbs. Il est possible de rediriger cette sortie vers un fichier texte et de la mettre en référence croisée avec la valeur d’index dans le fichier pour mieux comprendre le fonctionnement du script.

Les colonnes Display Name, Directory Name et Distinguished Name contiennent les informations d’Annuaire Exchange correspondantes. J’utilise souvent le nom complet (DN, Distinguished Name) conjointement à des outils compatibles avec LDAP afin de créer des groupes de distribution ou des fichiers d’entrée utilisables avec les outils de migration.

J’ai généré la figure 4 à partir d’un site Exchange réel contenant plus de 4400 boîtes aux lettres. Le script a identifié 40 groupes liés par des autorisations. Certains contenaient uniquement deux ou trois membres, et plus de 1900 personnes n’avaient aucune association. En revanche, un groupe reliait par association 2531 personnes à un groupe de salles de conférence centrales. Les numéros de groupe fournissent un point de départ en vue de déterminer les boîtes aux lettres de groupe à migrer.

Pour configurer notre planning de migration, mon équipe et moi-même avons utilisé la sortie de GBPR.vbs afin de déterminer qu’il fallait migrer 36 groupes. Nous avons constaté que nous pouvions migrer environ 200 boîtes aux lettres par jour. Hormis pour un groupe extrêmement large, chaque groupe contenait moins de 200 membres. Comme certains groupes étaient extrêmement réduits, nous avons parfois combiné des groupes afin d’atteindre l’objectif de 200 boîtes aux lettres par jour.

Lors de l’affinement du processus de migration en vue d’atteindre notre objectif, nous avons ajouté à d’autres groupes certaines des 1900 boîtes aux lettres dépourvues d’associations. Cela n’affectait pas la possibilité des utilisateurs d’accéder à d’autres boîtes aux lettres.

Le problème épineux portait sur la migration du groupe important, lequel contenait plus de boîtes aux lettres que le nombre migrable en une journée. Nous avons attendu la fin de la migration pour traiter ce groupe. En partant du principe qu’il était plus important de préserver l’accès aux collègues pendant la migration que l’accès aux salles de conférence, nous avons fractionné le groupe en sous-groupes sur la base des divisions opérationnelles et des unités fonctionnelles. Par ailleurs, nous avons fourni à l’Assistance utilisateurs (Help Desk) l’accès aux boîtes aux lettres de ressources afin que le personnel de support technique puisse planifier temporairement ces ressources pour les employés.

Il arrive que GBPR.vbs trouve un groupe d’association contenant presque toutes les boîtes aux lettres. L’encadré « Tout ce qu’il faut savoir à propos de GBPR.vbs » explique comment contourner ce problème et aborde d’autres considérations pour l’utilisation du script.

Téléchargez cette ressource

Guide de réponse aux incidents de cybersécurité

Guide de réponse aux incidents de cybersécurité

Le National Institute of Standards and Technology (NIST) propose un guide complet pour mettre en place un plan de réponse aux incidents de cybersécurité, nous en avons extrait et détaillé les points essentiels dans ce guide. Découvrez les 6 étapes clés d'un plan de réponse efficace aux incidents de cybersécurité.

Tech - Par iTPro - Publié le 24 juin 2010