以Admodify.NET大批量改變Active Directory資料
在微軟論壇看到一位朋友發問在AD裡突然很多帳號被瑣定,
這篇文章不是要解釋這個現象為什麼會發生, 這只是一個引子…
Active Directory 管理員面對上以千計的使用者或電腦資料時,
最頭痛莫過於需要修改大批量的員工資料, 或是改變設定
Window Server Active Directory 已內建批量修改工具dsmod
有關dsmod指令的資料可以參閱: http://technet.microsoft.com/en-us/library/cc732406(v=ws.10).aspx
這是命令字元工具, 某些情況下的確是很好用, 基本上它也能修改所有AD上的資料
可是人類天性就是懶惰…
有時候就簡單地想把幾個帳號啟用…或是修改一下公司資料
卻要打長長的指令…還要打一堆有的沒的OU..DC..DN… (其實也沒有很煩啦)
很多時候還不是一矢中的 
這時有個很有用的工具 – ADmodify.NET
這個工具在微軟也早有提及過了, 雖然文件是Windows Server 2003年代的
這次乘這個機會介紹給大家, 也正好試試它在最新的Windows Server 2012上的兼容性.
我在一部Windows Server 2012 Essential上試用ADmodify.NET
雖然2012 Essential是比較輕量級的視窗版本, 不過也支援Active Directory噢
下載回來的文件解壓出來就會見到上圖的檔案
其中ADModify就是執行檔, 也有一個ADmodcmd, 是指令版本的, 它就不是研究對象了
但這個工具需要.NET Framework 3.5模組
而Windows Server 2012 Essential只預裝.NET 4.0, 所以要手動安裝一下
以系統管理員身份開啟工具後會見到這個簡單的選單…連按鈕都不明顯 (所以我紅圈起來了)
Modify Attributes - 修改參數
Undo Changes - 光這個就很強大了, 可以把錯誤修改的參數改回來
Import Mailbox Right - 這是用來匯入Exchange設定的, 匯出選項在Modify Attributes裡
事前準備了白老鼠帳號winuser和justinlau
現在示範怎樣把這兩個帳號設定如下
1. 封瑣帳號
2. 密碼永不過期
打開Modify Attribute功能, 會見到如下視窗,
在紅箭位置選出正確的AD及DC, 再按綠色箭頭
再來反勾選不需要的項目, 這裡我只留下 Users,
選擇DC, 再選擇目標OU, 按”Add To List”,就會在右邊展示所有找出來的使用者帳號
把需要的帳號選高量出來,
如果你想先清理選單, 可以按Remove from list, 完成後按Next
再來這個介面應該很熟悉了, 就如我的AD Users and Computers,
只要在這裡填資料, 就會成為修改的材料了…
我需要修改的目標在Account頁面, 如下圖勾選起來
下面有一個很有趣的”GO!”按鈕…
按GO!後立即執行了, 顯示成功更改,
注意它有提及改變的紀錄在一個XML檔裡, 記好了!
建議立即把它的名稱改成有意義的名字
右擊justinlau, 菜單顯示”Enable Account”,證明帳號已經封瑣了
密碼也已勾選成不會過期
是不是很簡單?! 如果我現在後悔也沒問題噢, 還記得我們有Undo功能嗎?
剛剛產生出來的XML檔案就是用來這樣做的
打開UNDO功能, 把剛剛的XML匯入, 按Undo
帳號資料又改過來了! 
