Assistent für die Active Directory-Bereinigung (ADClean)

ADCLEAN ist ein gesondertes Programm, welches nachträglich das Zusammenführung von Benutzerkonten zu einem Konto erlaubt.

Der Name ist etwas irreführend, da ADClean nicht das Active Directory selbst bereinigt, sondern nur Objekte mit Exchange zusammenführt.

Je nach Migrationsweg kann es passieren oder nicht vermieden werden, dass ein Benutzer doppelt existiert. Dies kann mehrere Ursachen haben. Sie wissen ja schon, dass jeder Empfänger für Exchange 2000 im Windows 2000 AD präsent sein muss. Wenn ihre Exchange 5.5 Umgebung aber umfangreich ist und eine Migration der dazugehörenden Windows NT Domänen zu einem Active Directory nicht abgeschlossen ist, dann bleibt ihnen manchmal nichts anderes übrig, als einige Empfänger als Benutzer in ihrem Active Directory abzubilden. Irgendwann werden aber auch diese Benutzerkonten migriert und dann müssen diese Objekte zusammengefasst werden.

Was macht ADClean ?

Der ADCLEAN versucht Benutzer im gesamten Active Directory über den Globalen Katalog zu finden. Sie können aber auch manuell Benutzerkonten hinzuführen. Hierbei gilt, dass das Quellkonto der per ADC replizierte deaktivierte Benutzer ist und das Zielkonto der aktiver Benutzer mit der aktuell gültigen SID.

Es kann auch umgekehrt sein, dass Sie bei der Einrichtung des ADC durch die Verwendung der falschen Ziel-OU quasi aus Versehen neue Konten angelegt haben, die sie schnell zusammenführen wollen. Auch hierbei hilft der ADCLEAN.

Dies kann auch passieren, wenn ein Benutzer in eine andere OU verschoben wird und ADC-Verbindungsvereinbarungen den Benutzer im anderen Verzeichnisdienst erneut anlegen. Gerade das verschieben von Benutzern zwischen OUs oder Domänen (ADMT) ist besondert zu prüfen, welche Auswirkungen dies auf die Replikation mit Exchange 5.5 hat !!

ADClean kombiniert zwei Benutzerkonten derart, dass das Benutzerkonto mit der korrekten gewünschten SID bzw. SID-History bestehen bleibt (Zielkonto) und die Exchange Eigenschaften und einige andere Felder des Benutzer aus der ADC-Replikation hinzugefügt werden. Der durch den ADC angelegten Benutzer wird am Ende gelöscht. Damit bleiben die NTFS-Rechte, Gruppenzugehörigkeiten  und auch die Identität des Windows Benutzers erhalten (Gleiche SID bzw. SID-History).

Dieser Schritt kann natürlich auch manuell erreicht werden, indem der ADC-Benutzer gelöscht wird und mit dem Exchange Systemmanager die Mailbox mit dem verbliebenen AD-Benutzer "wieder verbunden" wird und die Informationen im AD zum Benutzer aktualisiert werden. Aber Sie sollten wirklich besser aus ADCLEAN vertrauen.

ADClean in Aktion

ADClean wird automatisch mit der Exchange Installation mit installiert und Sie finden es im Startmenü jedes Exchange 2000/2003 Servers.

Um mit ADClean zu arbeiten müssen Sie die später zusammen zu führenden Objekte im Active Directory verändern bzw. löschen können. Als Domänen Administrator können Sie ziemlich sicher sein, dass Sie in der Domäne die erforderlichen Berechtigungen haben.

Nach dem Willkommenschirm können Sie ausgewählte OUs zum durchsuchen angeben. Ohne eine Angabe wird die Domäne komplett durchsucht. Alternativ können Sie eine Textdatei mit den zusammen zu führenden Objekten angeben.

ADClean versucht anhand des Anmeldenamens und Alias und einiger anderer Kriterien die Objekte zu finden, die vermutlich zusammen geführt werden müssen. Kontrollieren Sie die Auflistung genau.

Optional können Sie auch eigene Konten hinzufügen und die automatisch gefundenen Einträge abändern. Beachten Sie dabei immer, dass ADClean die Exchange Eigenschaften des Quellkontos and das Zielkonto überträgt und das Quellkonto danach gelöscht wird.

Mit dem nächsten Schritt müssen Sie dann die Zusammenführung explizit aktivieren, da dieser Schritt danach nicht mehr rückgängig gemacht werden kann. Die Quellobjekte wurden ja gelöscht.

Nach der Zusammenführung zeigt ADClean eine Protokolldatei an

Nach diesem Prozess sollten Sie nun weniger deaktivierte Konten haben, und die Benutzerkonten sind nun Exchange aktiviert.

Weitere Links

  • Active Directory Connector Grundlagen
  • Q253800 XADM: ADC May Create Duplicate Objects in Active Directory
  • Q287995 XADM: Merging Disabled User and Enabled User by using the ADClean Tool Retains Description of Disabled User
  • Q270655 XADM: ADClean Command Line Options
  • Q270652 XADM: Possible uses of the Active Directory Account Cleanup Wizard
  • Q288084 XADM: How to Change the Description Set on Disabled Users by the ADC