Benutzerkonten mit LDIFDE verwalten

Man kann mit LDIFDE-Objekte aus Active Directory in eine Textdatei exportieren. Es ist einfacher, mit einem neuen Utility zu arbeiten, wenn man vor dem Import neuer Daten weiß, welches Format die Daten darin haben müssen. Um das zu erfahren, exportiert man am besten alle Default-Objekte einer neu eröffneten Active-Directory-Datenbank in eine Textdatei namens Scott.txt, indem man folgenden Befehl eingibt:

 ldifde -s w2ks -f scott.txt 

Auf den Parameter -s muss der Name des Servers mit der Source folgen, auf den Parameter -f der Name der Datei, in die die Daten geschrieben werden sollen.

Gibt man diese Befehlszeile ein, so werden auf dem ursprünglichen Windows-2000-Server insgesamt 111 Objekte mit insgesamt 2.687 Zeilen exportiert. „Sollte dieses System schon 111 Nutzer im Active Directory haben?“ denkt man. „Irgend etwas muss falsch sein.“ Aber nein, das sind keine Nutzer, sondern 111 Objekte – die LDIFDE-Utility kann mit allen Aspekten eines Objekts umgehen, und für jedes Objekt ist eine Menge Information schon aufgelistet. Zum Beispiel zeigt Listing B den Output eines Benutzerobjekts für den Administrator des Systems.

Wie man sieht, ist diesem Benutzer schon eine riesige Informationsmenge zugeordnet. Jedes Attribut aus Active Directory ist hier enthalten – etwa Gruppenzugehörigkeit, Beschreibung des Kontos, Anzahl von Logins. Diese Informationen werden natürlich nicht alle benötigt, wenn ein neuer Benutzer im Active Directory angelegt wird. Wie das in einer Minute zu bewerkstelligen ist, wird gleich beschrieben.

Am besten versucht man zunächst, eine Outputdatei zu bekommen, die nur die Benutzer und nicht die restlichen Informationen aus Active Directory enthält. Um den Bereich, nach dem LDIFDE suchen soll, einzuengen, kann man beim Zusammenstellen des Befehls zum Export aus der Datenbank ADS in eine Textdatei zusätzliche Parameter verwenden:

 ldifde -v -s w2ks -d
 "dc=slowe,dc=com" -p subtree -r 
 "(objectClass=person)" -f usersonly.txt 

Hier treten eine Anzahl weiterer Parameter auf:

• Mit -v (verbose = weitschweifig) wird ein Modus zur Darstellung der Ergebnisses des Befehls (siehe Listing C) eingeschaltet.
• Mit -d wird der Ausgangspunkt der Suche angegeben. Wird in diesem Beispiel nicht benötigt, ist nur zur Veranschaulichung des Formats mit angegeben.
• Mit -p wird die Suche auf den gewünschten untergeordneten Suchbaum eingeengt. Die anderen Optionen für den Parameter -p sind base und onelevel.
• -r wird in dem Beispiel mit einem Parameter „(objectClass=person)“ angegeben. Dieser Parameter spezifiziert das LDAP-Filter, das für LDIFDE anzuwenden ist. In diesem Fall wird nur nach Leuten gefragt, deshalb wurde die objectClass „person“ gewählt.

In Listing C sind die in der Datei Usersonly.txt erscheinenden Ergebnisse abgedruckt – genau das, was gewünscht war.

Abändern von Informationen in Active Directory
Nun soll der Prozess des Neuanlegens von Benutzern in Active Directory mit Hilfe dieser Utility geschildert werden. Dazu wurde eine neue Organisationseinheit namens newusers eröffnet, die in allen folgenden Beispielen benutzt wird.