English

ADSIReader : Importation à partir d'Active Directory

Modifié: 2012/04/10 16:00 par slevesque - Catégorisé en: Implantation, Technique
English Version
Modifier

Aperçu

Le programme ADSIReader (ESI.Octopus.ADSIReaderApp.exe) permet d'importer les utilisateurs, les ordinateurs (postes de travail et serveurs) et les queues d'impression contenus dans votre Active Directory. L'importation des utilisateurs peut inclure, entre autres, le prénom, le nom, le nom d'utilisateur Windows, le titre, le département, le numéro de téléphone du bureau (avec le poste téléphonique), etc. Alors que l'importation des ordinateurs n'inclut que le nom de l'ordinateur.

Il est possible par la suite d'utiliser le programme WMIUpdater (ESI.Octopus.WMIUpdaterApp.exe) pour obtenir la configuration technique de l'ordinateur (système d'exploitation, mémoire, type de processeur, logiciels installés, etc.).


Quant aux queues d'impressions, nous suggérons de les exclure dans les paramètres lors de l'exécution du programme, pour deux raisons: le nom importé n'est pas toujours significatif, et il peut exister plus d'une queue d'impression pour la même imprimante.

Modifier

Prérequis

Création d'un compte système Octopus pour l'associer à la tâche. Voir l'article Compte système Octopus.


De plus, avant d’exécuter le programme ADSIReader, assurez-vous d'avoir en main le nom de votre domaine ainsi que le nom des organizational unit (OU) (ou unité d'organisation) à importer, si nécessaire.

Note : Il est possible d'importer tout le contenu de votre domaine, donc à partir du nom du domaine, ou simplement une partie dans votre domaine, donc à partir d'un ou de plusieurs OU. Ces particularités sont décrites dans cet article.

Modifier

Description du fonctionnement

Lorsque le programme ADSIReader est exécuté, selon les paramètres utilisés, il importera à partir de votre Active Directory, tous les utilisateurs, Ordinateurs et queues d'impression. Les paramètres à utiliser sont importants puisqu'ils permettent de contrôler les données à importer. De plus, un fichier de correspondance (mapping) entre les champs d'Octopus et ceux de AD est disponible à partir du répertoire de votre client Octopus.

Modifier

Utilisation du programme ADSIReader

ADSIReader est un programme de type "ligne de commande" (DOS). Il est conçu ainsi pour être facile à automatiser (la section Automatisation de l'importation de données provenant de Active Directory vers Octopus décrit comment automatiser l'exécution de ADSIReader).

Le nom complet du programme ADSIReader est : ESI.Octopus.ADSIReaderApp.exe

Il est situé dans le répertoire local d'Octopus (C:\Program Files\Octopus) ou dans (\%homepath%\AppData\Local\Octopus).

Exemple du répertoire où peut se situer Octopus : Pour Windows 7 : C:\Users\slevesque\AppData\Local\Octopus Pour Windows XP : C:\Documents and Settings\Slevesque\Local Settings\Application Data\Octopus

Modifier

Paramètres

Il y a 12 paramètres disponibles dont 4 obligatoires pour exécuter ADSIReader : Modifier

Paramètres obligatoires

  • /Login : Nom d’utilisateur Octopus.

  • /Password : Mot de passe Octopus.

  • /Domain : Ce paramètre correspond au nom de votre domaine. Comme un domaine peut contenir plusieurs unités organisationnelles (OU), vous pouvez décider d'importer un seul ou plusieurs OU, mais pas forcément le nœud principal du domaine.

  • /Protocol : Protocole utilisé pour accéder aux données de AD. Présentement nous supportons seulement LDAP.

Modifier

Paramètres facultatifs

  • /NoUsersDetection : Ajoutez ce paramètre si vous ne voulez pas importer les utilisateurs. Peut être utilisé dans le cas où vous voulez importer seulement les postes de travail.

  • /NoComputersDetection : Ajoutez ce paramètre si vous ne voulez pas importer les ordinateurs d'Active Directory.

  • /NoPrintersDetection : Ajoutez ce paramètre si vous ne voulez pas importer les queues d'impression d'Active Directory.

  • /NoStatusUpdate : Ajoutez ce paramètre si vous ne voulez pas que le système change l'état des CI retirés.

  • /ActiveUsersOnly : Ajouter ce paramètre pour importer seulement les utilisateurs actifs dans Active Directory.

  • /LogFilePath : Remplace l'emplacement du fichier de journalisation. Par défaut, le fichier se nomme ADSIReader.log et sera situé dans le répertoire où se trouve l'exécutable de l'application ADSIReader. Si vous déplacez le fichier dans un autre répertoire que celui d'Octopus, assurez-vous que ce répertoire existe (le système ne peut créer le répertoire).

Ex.:/LogFilePath:C:\LogFiles\JournalWMI.log

  • /NoDbUpdate : Le programme sera exécuté, mais sans mettre à jour la base de donnée d'Octopus. Les informations récoltées se retrouveront dans les fichiers suivants : ADSIEmployees.xml, ADSIComputers.xml et ADSIPrinters.xml. Vous pouvez par la suite importer ce fichier en utilisant le paramètre "NoExtraction".

  • /NoExtraction : Les données ne seront pas actualisées à partir du réseau, mais bien à partir des fichiers XML. Si vous ne voulez importer le fichier ADSIPrinters.xml, ajoutez le paramètre /NoPrintersDection, même chose pour les fichiers ADSIComputers.xml et ADSIEmployees.xml. Sans ces paramètres, le programme va importer les 3 fichiers.

Modifier

Journal des opérations

Fichiers générés à l'exécution du programme ADSIReader :

  • ADSIReader.log : Journal des opérations (LOG) généré automatiquement chaque fois que le programme est exécuté.

  • ADSIEmployees.xml : Fichier contenant l'information sur les utilisateurs qui seront importées dans Octopus, une fois la tâche terminée.

  • ADSIComputers.xml : Fichier contenant l'information sur les ordinateurs qui seront importées dans Octopus, une fois la tâche terminée.

  • ADSIPrinters.xml : Fichier contenant l'information sur les queues d'impression qui seront importées dans Octopus, une fois la tâche terminée.

Ces fichiers seront créés dans le même répertoire que l'exécutable "ESI.Octopus.ADSIReaderApp.exe". De plus, ces fichiers peuvent vous êtes demandés lors de l'analyse d'un problème avec l'utilisation du programme ADSIReader. Modifier

Validation des informations à importer sur les utilisateurs

La correspondance des champs AD-Octopus est contenue dans le fichier XML "ADSIReaderLDAPMappings.xml" situé dans le répertoire du client Octopus.

Voici le contenu du fichier par défaut :

<?xml version="1.0" encoding="utf-8" ?>
<mappings>
  <mapping Name="Employee">
    <attribute LDAPAttribute="sAMAccountName" OctopusAttribute="Name"/>
    <attribute LDAPAttribute="GivenName" OctopusAttribute="FirstName"/>
    <attribute LDAPAttribute="sn" OctopusAttribute="LastName"/>
    <attribute LDAPAttribute="Mail" OctopusAttribute="EMailAddress"/>
    <attribute LDAPAttribute="Title" OctopusAttribute="Title"/>
    <attribute LDAPAttribute="TelephoneNumber" OctopusAttribute="TelephoneNumber" Index="0" Separator="x"/>
    <attribute LDAPAttribute="TelephoneNumber" OctopusAttribute="TelephoneNumberExtension" Index="1" Separator="x"/>
    <attribute LDAPAttribute="Mobile" OctopusAttribute="TelephoneMobile"/>
    <attribute LDAPAttribute="distinguishedName" OctopusAttribute="ActiveDirectoryKey"/>
    <attribute LDAPAttribute="Department" OctopusAttribute="Department"/>
    <attribute LDAPAttribute="EmployeeNumber" OctopusAttribute="EmployeeNumber"/>
    <attribute LDAPAttribute="Pager" OctopusAttribute="Pager"/>
    <attribute LDAPAttribute="physicalDeliveryOfficeName" OctopusAttribute="Local"/>
  </mapping>
  <mapping Name="Computer">
    <attribute LDAPAttribute="distinguishedName" OctopusAttribute="ActiveDirectoryKey"/>
    <attribute LDAPAttribute="Name" OctopusAttribute="Name"/>
  </mapping>
  <mapping Name="Printer">
    <attribute LDAPAttribute="distinguishedName" OctopusAttribute="ActiveDirectoryKey"/>
    <attribute LDAPAttribute="Name" OctopusAttribute="Name"/>
  </mapping>
</mappings>

Vous n'êtes pas tenu de modifier ce fichier pour que le programme de synchronisation fonctionne. Les champs utilisés par défaut sont déjà liés.

Modifier

Modification du fichier de correspondance des champs

  • Si un champ contient des données dans Active Directory et que vous avez une correspondance avec ce champ dans Octopus, les données d'AD auront priorités sur les données d'Octopus. Cependant, si le champ dans AD est vide, mais que celui dans Octopus contient des données, elle ne seront pas effacées.

  • Si vous décidez d'importer les sites, les départements ou les sous-départements, ils seront ajoutés dans Octopus, s'ils n'existent pas déjà dans Octopus.




Voici quelques cas qui peut nécessiter de modifier le fichier de mapping: Modifier

Automatiser le champ site

Par défaut, aucun champ d'Active Directory n'est lié au champ Site dans Octopus. Si vous avez cette information dans un champ d'AD, vous pouvez ajouter la ligne suivante :

<attribute LDAPAttribute="Company" OctopusAttribute="Site"/>

Note : il est possible de relier le site à un OU dans AD. Consulter la section Attribution automatique d'un site aux utilisateurs/ordinateurs contenus dans une unité organisationnelle (OU) Modifier

Certains champs dans AD contiennent des valeurs invalides

Supprimer les champs que vous ne voulez pas synchroniser.
Par exemple, pour ne pas importer le titre de l'utilisateur, supprimer la ligne suivante :

<attribute LDAPAttribute="Title" OctopusAttribute="Title"/>

Modifier

La lettre "p" est utilisée pour indiquer le poste téléphonique

Remplacez le "x", comme séparateur, par un "p" dans les 2 lignes suivantes :

<attribute LDAPAttribute="TelephoneNumber" OctopusAttribute="TelephoneNumber" Index="0" Separator="x"/>
<attribute LDAPAttribute="TelephoneNumber" OctopusAttribute="TelephoneNumberExtension" Index="1" Separator="x"/>

Modifier

Le numéro de téléphone contient seulement le poste téléphonique

Remplacez les 2 lignes suivantes : 

<attribute LDAPAttribute="TelephoneNumber" OctopusAttribute="TelephoneNumber" Index="0" Separator="x"/>
<attribute LDAPAttribute="TelephoneNumber" OctopusAttribute="TelephoneNumberExtension" Index="1" Separator="x"/>
par :

<attribute LDAPAttribute="TelephoneNumber" OctopusAttribute="TelephoneNumberExtension"/>

Modifier

Importation du département ET du sous-département

Vous pouvez ajouter des départements et sous-départements pour représenter votre structure organisationnelle. Dans le fichier ADSIReaderLDAPMappings.xml initial, la correspondance du champ département est déjà dans la liste, mais pas celle du sous-département. Pour ajouter une correspondance entre AD-Octopus pour les sous-départements, vous devez ajouter la ligne suivante : 

   <attribute LDAPAttribute="NomDuChampAD" OctopusAttribute="SubDepartment"/>

Vous devez remplacer l'expression "NomDuChampAD" par le nom du champ que vous utilisez dans AD pour définir un sous-département.

Si vous avez entré vos départements et sous-départements dans le champ département de AD (sous la forme suivante: Département - Sous-département), vous devez modifier les 2 lignes suivantes : 

    <attribute LDAPAttribute="Department" OctopusAttribute="Department" Index="0" Separator="-"/>
    <attribute LDAPAttribute="Department" OctopusAttribute="SubDepartment" Index="1" Separator="-"/>

Note: Même si vous avez des espaces dans le champ AD, vous ne devez pas en mettre dans les guillemets du paramètre "Separator". Modifier

Actualiser la liste des utilisateurs et ordinateurs à partir d'Octopus

Vous pouvez importer vos utilisateurs et ordinateurs AD à partir du menu "Outils > Actualiser la liste des utilisateurs et ordinateurs...". Cependant, sachez que cette action ne vous offre aucune option. Il est préférable de bénéficier du programme ESI.Octopus.ADSIReaderApp.exe et de ses paramètres.

Image      Image
Modifier

Attribution automatique d'un site aux utilisateurs/ordinateurs contenus dans une unité organisationnelle (OU)

Pour attribuer automatiquement un site aux utilisateurs et aux ordinateurs contenus dans un OU, suivez les étapes suivantes :

  • Allez dans le menu Outils > Gestion des données de référence...
  • Ouvrez le noeud Général
  • Repérez et ouvrez la section Sites
    • Ajouter un nouveau site ou sélectionnez-en un existant
    • Cliquez sur l'icône de réseau à droite de la zone de texte "Groupes dans Active Directory" (une fenêtre avec la structure de votre AD s'ouvre)
    • Sélectionnez un OU
    • Cliquez sur Ok
  • Sauvegardez la modification


Lors de la prochaine importation, les utilisateurs et ordinateurs de ce OU seront associés au site que vous aurez défini.

L'exemple suivant montre que les utilisateurs contenus dans le OU OU=ST-LAURENT,DC=ESITECHNOLOGIES,DC=com seront associés au site ESI Ville St-Laurent.


Image




Si vos sites ne sont pas séparés par OU, il est possible de les lier avec un champ d'Active Directory. Modifier

Importation ADSI à partir d'une ligne de commande

L'importation d'AD à partir d'une ligne de commande permet d'utiliser différents paramètres qui peuvent éviter de polluer le contenu d'Octopus avec des données non désirées.

Pour lancer l'exécutable ADSIReader, vous devez ouvrir une fenêtre d'invite de commandes (DOS) et vous positionner dans le répertoire d'Octopus. Par la suite, vous devez entrer la ligne de commande suivante :

 ESI.Octopus.ADSIReaderApp.exe /login:system /password:octo /domain:MonDomaine /protocol:LDAP


Important : Le répertoire courant doit être le répertoire où est situé le programme ESI.Octopus.ADSIReaderApp.exe.

Image

Exemple de la ligne de commande dans DOS

Avant de lancer la commande, il est recommandé de valider les paramètres voulus.

ATTENTION, si vous faites une faute de frappe dans le nom d'un paramètre, le système ne donnera pas de message d'erreur et va ignorer le paramètre. Assurez-vous donc de bien écrire les paramètres.

Modifier

Exemples

  • Importation des utilisateurs actifs seulement et des ordinateurs, mais sans les queues d'impressions :

 ESI.Octopus.ADSIReader.exe /login:system /password:octo /Domain:Octopus-itsm /Protocol:LDAP /NoPrintersDetection /ActiveUsersOnly


  • Importation AD sans mettre à jour la base de données et modification du fichier de journalisation :

 ESI.Octopus.ADSIReader.exe /login:system /password:octo /Domain:Octopus-itsm /Protocol:LDAP /NoDbUpdate /OutputFileName:MonFichier.log


Modifier

Automatisation de l'importation de données provenant de Active Directory vers Octopus

Tâches planifiées Windows Modifier

Inactiver les utilisateurs "générique" ou "système"

Le programme ESI.Octopus.ADSIReaderApp.exe importe tous les utilisateurs définis dans AD. Pour restreindre l'importation des utilisateurs à une unité organisationelle (OU), consultez le document suivant : Intégration à Active Directory pour un seul Organizational Unit (OU)

Lors de l'importation AD, tous les utilisateurs ayant un prénom et un nom ont été importés dans Octopus. Cependant, certains parmi eux ne représentent pas un utilisateur (compte générique, ressources, etc.).

Pour les retirer de la liste des utilisateurs actifs, ils doivent être désactivés de la façon suivante :

  • Aller dans le module "Utilisateurs".
  • Cliquer sur la liste de tous les utilisateurs
  • Sélectionner un utilisateur à désactiver
  • Ouvrez la fiche de l'utilisateur
  • Dans le coin droit supérieur, décocher la case "Actif".

Pour consulter les utilisateurs inactifs, sélectionnez la liste "Utilisateurs inactifs" située dans la liste déroulante des listes additionnelles.

Note: Il est important de ne pas effacer ces "faux" utilisateurs, sinon ils seront importés à nouveau lors de la prochaine synchronisation.

Modifier

Identification des postes de travail qui sont des portatifs et des serveurs

Lorsque les ordinateurs sont importés dans Octopus, ils ont tous le type de CI "Station de travail". Il s'agit d'attribuer le bon type de CI aux CI correspondants:

  • Aller dans le module "Configurations"
  • Cliquer sur Station de travail
  • Sélectionner les ordinateurs qui sont des serveur. Il est possible de modifier le type de plusieurs CI à la fois
  • Cliquer sur Changer le CI dans la liste des actions de gauche
  • Sélectionner Serveur dans la liste Type
  • Cliquer OK

Répéter les mêmes étapes pour les portatifs.

Administration | Ce wiki est conçu avec ScrewTurn.