Il est temps de faire un peu de ménage dans votre Active Directory. Depuis de nombreuses années les comptes utilisateurs et ordinateurs s’accumulent au gré des arrivées et des départs des salariés de votre entreprise et avouez que supprimer des comptes obsolètes s’avère être un vrai casse tête.
Heureusement OldCmp est là … pour notre plus grand plaisir. Cet outil gratuit va transformer une opération laborieuse en simple formalité.
C’est un outil en ligne de commande très simple a utiliser, mais aussi très puissant. Donc attention à ne pas faire une GROSSE bêtise avec … vous êtes prévenu.
Pour connaitre toutes les options disponibles tapez Oldcmp /? dans une invite de commande.
Pour désactiver tous les comptes ordinateurs d’un domaine qui n’ont pas été utilisés depuis plus de 180 jours il suffit d’exécuter la commande suivante:
oldcmp -disable -unsafe -forreal -age 180 -b dc=votredomain,dc=com
Le switch disable permet de désactiver les comptes et l’option age 180 permet de réduire le scope aux comptes n’ayant pas été utilisés depuis plus de 180 jours. J’utilise ensuite le commutateur unsafe pour appliquer la commande à TOUS les comptes concernés. J’aurais pu le remplacer par safety 50 pour n’appliquer ma commande qu’aux 50 premières machines concernées, quitte à la relancer plusieurs fois. Enfin le commutateur forreal permet d’appliquer votre commande “pour de vrai”, lorsque vous êtes sur de votre coup 😉
Une fois les comptes désactivés la commande suivante permettrait de les supprimer. A noter d’ailleurs qu’il n’est possible de ne supprimer que des comptes désactivés préalablement. Une petite sécurité supplémentaire ….
oldcmp -delete -unsafe -forreal -age 180 -b dc=votredomain,dc=com
Vous pouvez également faire du reporting en exportant dans un fichier csv le résultat d’une requête:
oldcmp -report -format csv -append -file export.csv -age 180 -b ou=computers,dc=votredomaine,dc=com
On peut remplacer le switch format csv par format html ou format dhtml pour sortir des rapports plus présentables. Le switch append permet d’ajouter au fichier export.csv s’il existe déja.
Il existe encore d’autres switches utiles comme :
-h pour spécifier un contrôleur de domaine particulier, sachant que par défaut la commande s’applique au domaine de votre machine.
-users pour appliquer les commandes aux comptes utilisateurs au lieu de comptes ordinateurs ! Très utile également et tout aussi dangereux ! J’utilise cette commande uniquement avec l’option -report afin de faire des audits des comptes utilisateurs jugées obsolètes. Ensuite j’envoie les rapports aux services clients de proximités qui seront mieux à même de juger de l’obsolécence d’un compte utilisateurs. Soyez donc très prudent !
Merci pour cet outil en ligne de commande il me sera certainement très utile 😉
Mais c'est juste génial ce petit outil ! 🙂