Utilisation de LDIFDE pour importer et exporter des objets d'annuaire vers Active Directory

Numéro d'article: 237677 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Résumé

Le format d'échange de données LDAP (LDIF) est une norme Internet préliminaire pour un format de fichier pouvant être utilisé pour effectuer des opérations de traitement par lots sur des annuaires conformes aux normes LDAP. LDIF peut être utilisé pour exporter et importer des données, en autorisant le traitement par lots d'ajouts, de créations et de modifications sur l'annuaire Active Directory. Un utilitaire appelé LDIFDE est fourni avec Windows 2000 pour prendre en charge les opérations par lots basées sur la norme du format de fichier LDIF. Cet article est conçu pour vous aider à mieux comprendre comment l'utilitaire LDIFDE peut être utilisé pour faire migrer des annuaires.
Retour au début | Envoyer des commentaires

Plus d'informations

Affichage des paramètres généraux LDIFDE

  1. Cliquez sur Démarrer, pointez sur Programmes, sur Accessoires, puis cliquez sur Invite de commandes.
  2. À l'invite de commandes, tapez : ldifde ?. Le fichier d'aide intégré s'affiche alors comme ci-dessous.

Paramètres généraux

-i              Active l'importation (l'exportation est activée par défaut)
-f NomFichier     Nom de fichier d'entrée ou de sortie
-s NomServeur   Serveur avec lequel effectuer la liaison
-c NDsrc NDcib  Remplace les occurrences de NDsrc par NDcib
-v              Affiche les commentaires
-j              Emplacement du fichier journal
-t              Numéro de port (par défaut = 389)
-?              Affiche l'aide

Paramètres spécifiques à l'exportation

-d NDRacine       Racine de la recherche LDAP (Utilise le contexte de nommage par défaut)
-r Filtre       Filtre de recherche LDAP (par défaut, "(objectClass=*)")
-p ÉtendueRech  Étendue de recherche (Base/Un niveau/Sous-arborescence)
-l liste         Liste d'attributs (séparée par des virgules) à rechercher lors d'une recherche
                LDAP.
-o liste         Liste d'attributs (séparée par des virgules) à omettre de l'entrée
-g              Désactive la recherche paginée
-m              Active la logique SAM pour l'exportation
-n              N'exporte pas les valeurs binaires

Paramètre spécifique à l'importation

-k      Ignore les erreurs 'Non-respect de contrainte' et 'Objet
        existant' lors de l'importation

Paramètres des informations d'identification

-a      Définit la commande pour qu'elle s'exécute avec le nom unique et le mot de passe
        utilisateur fournis. Par exemple : "cn=nom,dc=société,dc=com
        mot_de_passe"	
-b      Définit la commande pour qu'elle s'exécute avec le nom d'utilisateur, le domaine et le mot de passe fournis. Par défaut, elle
        s'exécute avec les informations d'identification de l'utilisateur déjà connecté.
Remarque Cet outil est très souple et propose plusieurs paramètres de ligne de commande et arguments. L'utilitaire est fourni avec Windows 2000 Server, mais pas avec Windows 2000 Professionnel. Le programme LDIFDE peut être copié sur un ordinateur qui exécute Windows 2000 Professionnel et être exécuté à distance sur Windows 2000 Server Active Directory.

Utilisation de LDIFDE pour exporter et importer des objets d'annuaire

La procédure ci-dessous explique étape par étape comment importer et exporter des unités d'organisation et des comptes d'utilisateurs d'un annuaire Windows 2000 Active Directory à un autre. Dans cet exemple, « Export » est le nom du domaine à partir duquel les objets sont exportés et « Import » est le nom du domaine dans lequel les objets sont importés. LDIFDE peut également être utilisé pour importer la plupart des dossiers tiers vers Active Directory.

Exporter les unités d'organisation du domaine source

  1. Ouvrez une session en tant qu'administrateur dans le domaine Export. Si vous ouvrez une session en utilisant un compte qui n'a pas de privilèges d'administration, il est possible que vous ne soyez pas en mesure d'effectuer les opérations d'exportation et d'importation sur l'annuaire Active Directory.
  2. Cliquez sur Démarrer, pointez sur Programmes, sur Accessoires, puis cliquez sur Invite de commandes.
  3. À l'invite de commandes, tapez :
    ldifde -f exportOu.ldf -s Server1 -d "dc=Export,dc=com" -p subtree -r "(objectCategory=organizationalUnit)" -l "cn,objectclass,ou"
    Cette commande exporte toutes les unités d'organisation à l'exception des contrôleurs de domaine dans un fichier nommé ExportOU.ldf.

Exporter les comptes d'utilisateurs du domaine source

À l'invite de commandes, tapez :
ldifde -f Exportuser.ldf -s Serveur1 -d "dc=Export,dc=com" -p subtree -r "(&(objectCategory=person)(objectClass=User)(givenname=*))" -l "cn,givenName,objectclass,samAccountName"
Cette commande exporte tous les utilisateurs du domaine Export dans un fichier nommé Exportuser.ldf. Si vous ne disposez pas de tous les attributs requis, l'opération d'importation échoue. Les attributs objectclass et samAccountName sont obligatoires, mais vous pouvez en ajouter autant que nécessaire.

Remarque Les comptes intégrés, tels que le compte Administrateur, n'ont pas de prénom. Par défaut, le filtre LDAP utilisé ci-dessus n'exporte pas ces comptes. LDIFDE ne prend pas en charge l'exportation des mots de passe.

Remarque Si vous omettez le paramètre -s, LDIFDE choisit un catalogue global pour les exportations. Selon le placement du contrôleur de domaine, ce serveur peut être le contrôleur d'un autre domaine et l'exportation peut échouer. Vous pouvez constater cela en examinant la sortie de LDIFDE. Dans ce cas, spécifiez un contrôleur de domaine local du domaine dans lequel les objets sont hébergés.

Importer les unités d'organisation d'Export vers Import

  1. Ouvrez une session en tant qu'administrateur dans le domaine Import. Si vous ouvrez une session en utilisant un compte qui n'a pas de privilèges d'administration, il est possible que vous ne soyez pas en mesure d'effectuer les opérations d'exportation et d'importation sur l'annuaire Active Directory.
  2. Ouvrez le fichier Exportou.ldf à l'aide du Bloc-notes.
  3. Dans le Bloc-notes, ouvrez le menu Edition et cliquez sur Remplacer.
  4. Dans la zone Rechercher, tapez Export. Dans la zone Remplacer par, tapez Import.
  5. Cliquez sur Remplacer tout.
  6. Après avoir vérifié que les noms de domaines ont bien été remplacés, enregistrez, puis fermez le fichier.
  7. À l'invite de commandes, tapez :
    ldifde -i -f ExportOU.ldf -s Serveur2
Un message indiquant le nombre d'entrées modifiées et le succès de la commande doit s'afficher.

Remarque Dans ce cas, vous devez effectuer la première étape avant la deuxième pour que les unités d'organisation soient prêtes à accueillir les utilisateurs.

Importer les utilisateurs d'Export vers Import

  1. Ouvrez le fichier Exportuser.ldf à l'aide du Bloc-notes.
  2. Dans le Bloc-notes, ouvrez le menu Edition et cliquez sur Remplacer.

    Remarque N'oubliez pas que dans cet exemple, « Export » est le nom du domaine à partir duquel les objets sont exportés et « Import » celui du domaine dans lequel les objets sont importés. Vous remplacerez « Export » par le nom du domaine à partir duquel vous avez exporté, et « Import » par celui du domaine dans lequel vous importez.
  3. Dans la zone Rechercher, tapez Export. Dans la zone Remplacer par, tapez Import.
  4. Cliquez sur Remplacer tout.
  5. Après avoir vérifié que les noms de domaines ont bien été remplacés, enregistrez, puis fermez le fichier.
  6. À l'invite de commandes, tapez :
    ldifde -i -f Exportuser.ldf -s Serveur2
  7. Affichez les contacts récemment créés en utilisant soit le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, soit le Carnet d'adresses Windows.
REMARQUE : dans la mesure où LDIFDE n'exporte pas de mots de passe, lorsque les utilisateurs sont importés dans l'annuaire, le compte est désactivé et le mot de passe se voit affecter une valeur nulle, pour des raisons de sécurité. De même, l'option de compte « L'utilisateur doit changer de mot de passe à la prochaine ouverture de session » est sélectionnée.

Exportation d'objets d'une forêt entière

Si vous devez exporter des unités d'organisation, des utilisateurs et des groupes d'une forêt entière, vous pouvez soit exécuter les commandes d'exportation indiquées plus haut sur chaque domaine de la forêt, soit exécuter une fois la requête sur le catalogue global. Pour ce faire, vérifiez que le contrôleur de domaine spécifié par le commutateur -s est un catalogue global, et spécifiez en outre le port de catalogue global à l'aide du commutateur -t. Le port de catalogue global est 3268.

Par exemple, pour effectuer l'opération d'exportation indiquée sur un catalogue global, la commande LDIFDE serait :
ldifde -f Exportuser.ldf -s Serveur1 -t 3268 -d "dc=Export,dc=com" -p subtree -r "(&(objectCategory=person)(objectClass=User)(givenname=*))" -l "cn,givenName,objectclass,sAMAccountName"
Remarque Pour modifier des attributs dans Active Directory, il est très important que le format ci-dessous soit respecté pour le fichier d'importation, en particulier le « - » sur une seule ligne immédiatement suivie d'une ligne entièrement vide. Pour importer ce fichier, il vous suffit d'exécuter : ldifde -i -f Import.ldf -s Serveur.

Exemple de format d'importation/de modification de fichier : 
dn: CN=Jane Doe,OU=Staff,DC=microsoft,DC=com
changetype: modify
replace: extensionAttribute1
extensionAttribute1: Staff
-

dn: CN=John Doe,OU=Staff,DC=microsoft,DC=com
changetype: modify
remplacer : extensionAttribute1
extensionAttribute1: Staff
-

Importation d'attributs à valeurs multiples

Les fichiers d'importation avec des attributs à valeurs multiples suivent la forme suivante :
dn: nom_unique
changetype: modify
replace: attribute
modify replace: attribut [l'attribut à modifier]
attribute: valeur1
attribute: valeur2
attribute: valeurN [où N est la valeur suivante] - [tiret requis pour terminer le fichier d'entrée]
example:
dn: CN=Connector for Lotus Notes (EX1),CN=Connections,CN=First Routing Group,CN=Routing Groups,CN=First Administrative Group,CN=Administrative Groups,CN=VINC,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=vinc,DC=biz changetype: modify replace: msExchExportContainersLinked msExchExportContainersLinked: OU=GroupWise Users,DC=vinc,DC=biz msExchExportContainersLinked: OU=AD Users,DC=vinc,DC=biz msExchExportContainersLinked: CN=Users,DC=vinc,DC=biz
Retour au début | Envoyer des commentaires

Propriétés

Numéro d'article: 237677 - Dernière mise à jour: lundi 18 décembre 2006 - Version: 4.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Mots-clés : 
kbhowto KB237677
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Retour au début | Envoyer des commentaires

Envoyer des commentaires

 
Retour au débutRetour au début