|
Domain account managment
| |
| deps | Дата: Четверг, 2007-06-14, 10:51:20 | Сообщение # 1 |
 Генералиссимус
Группа: Администраторы
Сообщений: 64
Статус: Offline
| Исходник
Active Directory and Account Manipulation Tools Management of large numbers of user accounts has always been a challenging task for Windows NT Administrators. Using GUI interface for this purpose is not only error prone but also quickly turns you into another victim of Carpel Tunnel syndrome. What's the alternative? Fortunately, Windows 2000 offers several non-GUI based tools which can be used for querying, creating and modifying multiple accounts. Two of these tools, are provided as a part of the operating system. The first one, CSVDE.exe allows you to export Active Directory information into comma separated value file. It also allows import information from a file in the same format into the Directory, which effectively creates new accounts. For example, you can use the following command to export all objects with the users.swynk.com as part of their Distinguished Name (including both users and groups) into userlist.csv file:
csvde.exe -f userlist.csv -d "cn=users,DC=swynk,DC=com" The following will export all objects of the user object class (user and computer accounts, but not groups):
csvde.exe -f userlist.csv -r "(objectClass=user)" The import is less straightforward. Some of attributes are owned by the system, so when running the import using the same file format, errors will result. Running export with -m switch, excludes them (by using so called SAM logic). Once the list is known, it can be populated with data for new user accounts. For example, the following allows you to create Marcin Policht account in swynk.com domain:
csvde.exe -i -f indata.csv
where the indata.csv contains the following fields
DN,cn,displayName,distinguishedName,objectCategory,objectClass,name,sAMAccountName,givenName,sn,userPrincipalName
"CN=Marcin Policht,CN=Users,DC=swynk,DC=com",Marcin Policht,Marcin Policht,"CN=Marcin Policht,CN=Users,DC=swynk,DC=com","CN=Person,CN=Schema,CN=Configuration,DC=swynk,DC=com",user,Marcin Policht,MarcinPolicht,Marcin,Policht,MarcinPolicht@swynk.com Unfortunately, you cannot use CSVDE for modifying or deleting existing accounts. If that's needed, you can resort to LDIFDE.exe (LDAP Data Interchange Format Directory Synchronization Tool).
You can also use LDIFDE for queries of the Active Directory content The following will send the group membership for Marcin Policht in the swynk.com domain to the console:
ldifde.exe -d "cn=Marcin Policht,cn=users,dc=swynk,dc=com" -l memberOf -f con and this will display all computers in the San Francisco organizational unit of the swynk.com domain:
ldifde.exe -d "ou=san francisco,dc=swynk,dc=com" -r "(objectclass=Computer)" -f con If you are interested more in users, you can type (this will also scan all the subcontainers):
ldifde -s dc01.swynk.com -d "ou=san francisco,dc=swynk,dc=com" -p subtree -r "(objectClass=person)" -f con In order to perform modifications to existing accounts, first export them to a file, listing attributes you want to modify using -l switch. I decided to change area code of the phone number. ldifde -s dc01.swynk.com -d "ou=san francisco,dc=swynk,dc=com" -p subtree -r "(objectClass=person)" -f sfusers.ldf -l "l,telephoneNumber"
this creates the following sfusers.ldf file
dn: CN=Marcin Policht,OU=san francisco,DC=swynk,DC=com
changetype: add
telephoneNumber: (888) 111 2222 which allows you to modify the entries by running:
ldifde -i -f sfusers.ldf -s dc01.swynk.com
where the sfusers.ldf contains the following:
dn: CN=Marcin Policht,OU=san francisco,DC=swynk,DC=com
changetype: modify
replace: telephoneNumber
telephoneNumber: (666) 111 2222
-
Do not forget the hyphen in the last line. To delete this account, use the same syntax for the command line, but modify the content of the file, so it looks like the following
dn: CN=Marcin Policht,OU=san francisco,DC=swynk,DC=com
changetype: delete
подпись
Сообщение отредактировал deps - Четверг, 2007-06-14, 11:03:51 |
| |
| |
| deps | Дата: Четверг, 2007-06-14, 11:01:39 | Сообщение # 2 |
|
Генералиссимус
Группа: Администраторы
Сообщений: 64
Статус: Offline
| Почти тоже самое по русски. но тлько для 2000 винды.
синтаксис команд остался тот же, изменилось только имя утилиты. Аннотация
Формат обмена данными LDAP (LDIF) — это предварительный веб-стандарт формата файлов, который можно использовать для выполнения пакетных операций над каталогами, соответствующими стандартам LDAP. Формат LDIF поддерживает экспорт и импорт данных, позволяя выполнять с Active Directory пакетные операции добавления, создания и изменения. В ОС Windows 2000 входит программа LDIFDE, служащая для выполнения пакетных операций с использованием формата файлов LDIF. В этой статье описано, как можно использовать программу LDIFDE для миграции каталогов. Дополнительная информация Просмотр общих параметров LDIFDE 1. Нажмите кнопку Пуск и последовательно выберите пункты Программы, Стандартные и Командная строка.
2. Введите в командной строке следующую команду: ldifde ?. Будет выведен встроенный файл справки: Общие параметры -i Включение режима импорта (по умолчанию включен экспорт)
-f filename Имя входного или выходного файла
-s servername Сервер для привязки
-c FromDN ToDN Замена вхождений FromDN на ToDN
-v Включение режима подробной информации
-j Расположение файла журнала
-t Номер порта (по умолчанию = 389)
-? Справка
Параметры экспорта -d RootDN Корень поиска LDAP (по умолчанию — контекст именования)
-r Filter Фильтр поиска LDAP (по умолчанию — «(objectClass=*)»)
-p SearchScope Область поиска (Base/OneLevel/Subtree)
-l list Список атрибутов (разделитель — запятая), для которых выполняется
поиск LDAP
-o list Список пропускаемых атрибутов (разделитель — запятая)
-g Отключение страничного поиска
-m Включение логики SAM при экспорте
-n Не экспортировать двоичные значения
Импорт -k Продолжать импорт, пропуская ошибки «Нарушение ограничения» и «Объект
уже существует»
Задание учетных данных -a Выполнить команду, используя указанные различающееся имя
и пароль пользователя. Например: «cn=yourname,dc=yourcompany,dc-com
password»
-b Выполнить команду, используя синтаксис «имя_пользователя домен пароль». По умолчанию команда
выполняется с использованием учетных данных пользователя, который в настоящее время зарегистрирован в системе.
Примечание. Это средство отличается высокой гибкостью и поддерживает ряд параметров и аргументов командной строки. Оно входит в состав системы Windows 2000 Server, но не Windows 2000 Professional. Программу LDIFDE можно скопировать на компьютер, работающий под управлением ОС Windows 2000 Professional, и запускать в удаленном режиме для службы Windows 2000 Server Active Directory. Использование средства LDIFDE для импорта и экспорта объектов каталогов Ниже приведено пошаговое описание импорта и экспорта подразделений и учетных записей пользователей из одного экземпляра Windows 2000 Active Directory в другой. В данном примере домен, из которого экспортируются объекты, называется «Export», а домен, в который они импортируются, — «Import». Программа LDIFDE позволяет также импортировать в службу каталогов Active Directory большинство сторонних папок. Экспорт подразделений из исходного домена 1. Войдите в домен Export с учетной записью администратора. При использовании учетной записи, не имеющей привилегий администратора, экспорт и импорт для Active Directory может быть невозможным.
2. Нажмите кнопку Пуск и последовательно выберите пункты Программы, Стандартные и Командная строка.
3. Введите в командной строке следующую команду:
ldifde -f exportOu.ldf -s сервер1 -d "dc=Export,dc=com" -p subtree -r "(objectCategory=organizationalUnit)" -l "cn,objectclass,ou"
При выполнении этой команды все подразделения за исключением контроллеров домена будут экспортированы в файл ExportOU.ldf.
подпись
|
| |
| |
| deps | Дата: Четверг, 2007-06-14, 11:02:10 | Сообщение # 3 |
|
Генералиссимус
Группа: Администраторы
Сообщений: 64
Статус: Offline
|
Экспорт учетных записей пользователей из исходного домена Введите в командной строке следующую команду: ldifde -f Exportuser.ldf -s сервер1 -d "dc=Export,dc=com" -p subtree -r "(&(objectCategory=person)(objectClass=User)(givenname=*))" -l "cn,givenName,objectclass,samAccountName"
В результате выполнения этой команды все учетные записи пользователей в домене Export будут экспортированы в файл Exportuser.ldf. При отсутствии каких-либо обязательных атрибутов операцию импорта выполнить не удастся. Атрибуты objectclass и samAccountName являются обязательными; при необходимости можно использовать дополнительные атрибуты. Примечание. Встроенные учетные записи, например учетная запись администратора, не имеют заданного имени. По умолчанию при использовании фильтра LDAP, указанного выше, эти учетные записи не экспортируются. Программа LDIFDE не поддерживает экспорт паролей. Примечание. При пропускании параметра -s LDIFDE выбирает для экспорта глобальный каталог. В зависимости от местоположения контроллера домена, этот сервер может являться контроллером другого домена, поэтому экспорт может оказаться невозможным. Это можно обнаружить при проверке выхода LDIFDE. В этом случае определите локальный контроллер домена, на котором находятся объекты. Импорт подразделений из домена Export в домен Import 1. Войдите в домен Import с учетной записью администратора. При использовании учетной записи, не имеющей привилегий администратора, экспорт и импорт для Active Directory может быть невозможным.
2. Откройте файл Exportou.ldf с помощью программы «Блокнот».
3. Выберите в меню Правка команду Заменить.
4. В поле Что введите Export. В поле Чем введите Import.
5. Нажмите кнопку Заменить все.
6. Убедитесь в том, что имена домена изменены, после чего сохраните файл и закройте его.
7. Введите в командной строке следующую команду:
ldifde -i -f ExportOU.ldf -s сервер2
Появится сообщение с информацией о количестве измененных элементов и уведомлением об успешном выполнении команды. Примечание. В данном случае до выполнения второго действия нужно выполнить первое, чтобы были доступны подразделения для пользователей. Импорт пользователей из домена Export в домен Import 1. Откройте файл Exportuser.ldf с помощью программы «Блокнот».
2. Выберите в меню Правка команду Заменить. Примечание. В данном примере домен, из которого экспортируются объекты, называется «Export», а домен, в который они импортируются, — «Import». Необходимо будет заменить значение «Export» именем домена, из которого экспортируются объекты, а значение «Import» именем домена, в который они импортируются. 3. В поле Что введите Export. В поле Чем введите Import.
4. Нажмите кнопку Заменить все.
5. Убедитесь в том, что имена домена изменены, после чего сохраните файл и закройте его.
6. Введите в командной строке следующую команду:
ldifde -i -f Exportuser.ldf -s сервер2
7. Просмотрите созданные контакты, используя оснастку «Active Directory — пользователи и компьютеры» или адресную книгу Windows. ПРИМЕЧАНИЕ. Программа LDIFDE не экспортирует пароли, поэтому при импорте пользователей в каталог учетная запись блокируется, а паролю присваивается значение NULL. Это выполняется по соображениям безопасности. Кроме того, при этом задается параметр учетной записи «Требовать смену пароля при следующем входе в систему».
подпись
|
| |
| |
| deps | Дата: Четверг, 2007-06-14, 11:02:21 | Сообщение # 4 |
|
Генералиссимус
Группа: Администраторы
Сообщений: 64
Статус: Offline
| Экспорт объектов из всего леса Если требуется экспортировать подразделения, пользователей и группы из всего леса, можно или выполнить приведенные выше команды экспорта LDIFDE для каждого домена леса, или один раз выполнить запрос для глобального каталога. В таком случае укажите в качестве контроллера домена, заданного параметром -s, глобальный каталог и задайте с помощью параметра -t порт глобального каталога. Номер порта глобального каталога — 3268. Например, чтобы выполнить экспорт для глобального каталога, команда LDIFDE должна иметь следующий вид:
ldifde -f Exportuser.ldf -s сервер1 -t 3268 -d "dc=Export,dc=com" -p subtree -r "(&(objectCategory=person)(objectClass=User)(givenname=*))" -l "cn,givenName,objectclass,sAMAccountName"
Примечание. При изменении атрибутов Active Directory необходимо соблюдать приведенный ниже формат файла импорта. Обратите особое внимание на дефисы («-») в отдельных строках и следующие за ними пустые строки. Чтобы импортировать этот файл, выполните следующую команду: ldifde -i -f Import.ldf -s сервер. Пример формата файла импорта или изменений: dn: CN=Jane Doe,OU=Staff,DC=microsoft,DC=com
changetype: modify
replace: extensionAttribute1
extensionAttribute1: Staff
- dn: CN=John Doe,OU=Staff,DC=microsoft,DC=com
changetype: modify
replace: extensionAttribute1
extensionAttribute1: Staff
-
Импорт многозначных атрибутов Файлы импорта с многозначными атрибутами имеют следующий формат:
dn: различающееся_имя
changetype: modify
replace: attribute
modify replace: атрибут [изменяемый атрибут]
attribute: значение1
attribute: значение2
attribute: значениеN [где N — следующее значение] - [дефис, признак завершения файла ввода] Пример:
dn: CN=Connector for Lotus Notes (EX1),CN=Connections,CN=First Routing Group,CN=Routing Groups,CN=First Administrative Group,CN=Administrative Groups,CN=VINC,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=vinc,DC=biz changetype: modify replace: msExchExportContainersLinked msExchExportContainersLinked: OU=GroupWise Users,DC=vinc,DC=biz msExchExportContainersLinked: OU=AD Users,DC=vinc,DC=biz msExchExportContainersLinked: CN=Users,DC=vinc,DC=biz Информация в данной статье относится к следующим продуктам.
Code • операционная система Microsoft Windows 2000 Server
• Microsoft Windows 2000 Advanced Server
• Microsoft Windows 2000 Datacenter Server Исходник
подпись
|
| |
| |
| deps | Дата: Среда, 2012-01-18, 17:59:54 | Сообщение # 5 |
|
Генералиссимус
Группа: Администраторы
Сообщений: 64
Статус: Offline
| Программа Ldifde
Обновлено: Декабрь 2008 г.
Назначение: Windows Server 2008, Windows Server 2008 R2
Программа Ldifde
Используется для создания, изменения и удаления объектов каталога. Кроме того, команду ldifde можно использовать для расширения схемы, экспорта сведений о пользователях и группах в другие приложения или службы, а также для заполнения служб AD LDS (Active Directory Lightweight Directory Services) данными из других служб каталогов.
Синтаксис
ldifde [-i] [-f имя_файла] [-s имя_сервера] [-c строка1 строка2] [-v] [-j путь] [-t номер_порта] [-d различающееся_имя_базы] [-r фильтр_LDAP] [-p область] [-l список_атрибутов_LDAP] [-o список_атрибутов_LDAP] [-g] [-m] [-n] [-k] [-a различающееся_имя_пользователя пароль] [-b имя_пользователя домен пароль] [-?]
Параметры
-i
Определяет режим импорта. Если режим импорта не определен, по умолчанию используется режим экспорта.
-f имя_файла
Указывает имя файла импорта или экспорта.
-s имя_сервера
Указывает компьютер, на котором должна выполняться операция импорта или экспорта. По умолчанию ldifde будет выполняться на том компьютере, на котором ldifde установлена.
-c строка1 строка2
Заменяет все вхождения строки1 содержимым строки2. Обычно это параметр используется при импорте данных из одного домена в другой для замены различающегося имени домена, выполняющего экспорт (строка1), на имя импортирующего домена (строка2).
-v
Включает режим подробного протоколирования.
-j путь
Задает расположение файла журнала. По умолчанию используется текущий путь.
-t номер_порта
Указывает номер порта протокола LDAP (Lightweight Directory Access Protocol). По умолчанию используется порт LDAP 389. Портом глобального каталога является 3268.
-d различающееся_имя_базы
Задает различающееся имя базы поиска для экспорта данных.
-r фильтр_LDAP
Создает фильтр поиска LDAP для экспорта данных. Например, с помощью следующего фильтра выполняется экспорт всех пользователей с определенным отчеством: -r(and(objectClass=пользователь)(sn=фамилия))
-p область
Задает область поиска. Допустимые значения: Base, OneLevel или SubTree.
-l список_атрибутов_LDAP
Задает список атрибутов, возвращаемых в результатах запроса экспорта. Если данный параметр пропущен, возвращаются все атрибуты.
-o список_атрибутов_LDAP
Задает список атрибутов, не отображаемых в результатах запроса экспорта. Этот параметр обычно используется для экспорта объектов доменных служб Active Directory и их последующего импорта в другой каталог, совместимый с LDAP. Если какие-либо атрибуты не поддерживаются другим каталогом, их можно исключить из набора результатов с помощью данного параметра.
-g
Исключает постраничные представления поиска.
-m
Скрывает атрибуты, которые не могут быть записаны, такие как ObjectGUID и objectSID.
-n
Пропускает экспорт двоичных значений.
-k
Игнорирует ошибки во время операции импорта и продолжает обработку. Ниже приводится полный список игнорируемых ошибок.
Объект уже является членом группы.
Нарушение класса объекта (означающее, что указанный класс объекта не существует) при условии, что импортируемый объект не имеет других атрибутов.
Объект уже существует.
Нарушение ограничения.
Атрибут или значение уже существует.
Такого объекта не существует.
-a различающееся_имя_пользователя пароль
Задает выполнение команды с использованием указанного различающегося_имени_пользователя и пароля. По умолчанию команда будет выполнена с использованием учетных данных текущего пользователя сети. Этот параметр не может использоваться вместе с -b.
-b имя_пользователя домен пароль
Задает команду, выполняемую с использованием указанных имени_пользователя, домена и пароля. По умолчанию команда будет выполнена с использованием учетных данных текущего пользователя сети. Этот параметр не может использоваться вместе с -a.
-?
Отображает меню команд.
Примечания
С параметром -c вместо различающихся имен раздела каталога схемы и раздела каталога конфигурации можно использовать константы #schemaNamingContext и #configurationNamingContext.
При создании файла импорта для команды ldifde используйте значение changeType, чтобы определить тип изменений, содержащихся в файле импорта. В таблице ниже приведены доступные значения changeType.
Значение Описание
add
Указывает, что в файле импорта имеется новое содержимое.
modify
Указывает, что существующее содержимое было изменено в файле импорта.
delete
Указывает, что содержимое было удалено в файле импорта.
Далее приведен пример файла импорта LDAP формата LDIF, в котором используется значение add.
DN: CN=выбранный_пользователь,DC=имя_домена
changetype: add
CN: выбранный_пользователь
description: описание_файла
objectClass: пользователь
userPrincipalName: выбранный_пользователь
Примеры
Чтобы извлечь только различающееся имя, общее имя, имя, фамилию и номер телефона возвращенных объектов, введите:
-l различающееся_имя, CN, имя, SN, телефон
Чтобы исключить глобальный уникальный идентификатор (GUID) для объекта, введите:
-o когда_создан, когда_изменен, GUID_объекта
подпись
|
| |
| |
| deps | Дата: Среда, 2012-01-18, 18:00:15 | Сообщение # 6 |
|
Генералиссимус
Группа: Администраторы
Сообщений: 64
Статус: Offline
| Импорт данных в экземпляр AD LDS
Обновлено: Декабрь 2008 г.
Назначение: Windows Server 2008, Windows Server 2008 R2
Средство ldifde создает, изменяет и удаляет объекты каталога. ldifde может использоваться для наполнения службы облегченного доступа к каталогам (AD LDS) данными из других служб каталогов. ldifde также может применяться для расширения схемы и экспорта сведений о пользователях и группах в другие службы и приложения. Например, используйте ldifde для экспорта объектов каталога из других служб каталогов и затем - для импорта объектов в экземпляр AD LDS.
Минимальным требованием для выполнения этой процедуры является членство в группе экземпляра AD LDS Администраторы. По умолчанию субъект безопасности, указанный во время настройки AD LDS как администратор AD LDS, становится членом группы «Администраторы» в разделе конфигурации. Дополнительные сведения о группах AD LDS см. в разделе Общее представление о пользователях и группах AD LDS.
Чтобы импортировать или экспортировать объекты каталога с помощью команды ldifde
Откройте окно командной строки.
Выполните одно из следующих действий.
Чтобы импортировать объекты каталога, введите в командной строке указанный ниже текст и нажмите клавишу ВВОД.
ldifde-i-fимя_файла-sимя_сервера:порт-m-aимя_пользователя домен пароль
Чтобы экспортировать объекты каталога, введите в командной строке указанный ниже текст и нажмите клавишу ВВОД.
ldifde-e-fимя_файла-sимя_сервера:порт-m-aимя_пользователя домен пароль
Параметр Описание
-i
Выполняет импорт.
-e
Выполняет экспорт.
-f
Указывает файл, который требуется импортировать или экспортировать.
имя_файла
Имя экспортируемого или импортируемого файла.
-s
Указывает имя узла и номер порта для экземпляра AD LDS или другой службы каталогов.
имя_сервера
Имя узла экземпляра AD LDS или другой службы каталогов.
порт
Порт экземпляра AD LDS или другой службы каталогов.
-m
Пропускает (то есть, не импортирует и не экспортирует) атрибуты, которые используются только доменными службами Active Directory (AD DS).
Этот параметр можно использовать при экспорте объектов каталога из существующего леса AD DS и их последующем импорте в AD LDS.
-a
Указывает учетные данные записи. Если учетные данные не предоставляются, средством ldifde используются учетные данные текущего пользователя.
имя_пользователя
Имя пользователя учетной записи, которая используется для привязки к существующей службе каталогов.
домен
Имя домена учетной записи, которая используется для привязки к существующей службе каталогов.
пароль
Пароль учетной записи, которая используется для привязки к существующей службе каталогов.
-h
Разрешает импорт паролей с использованием простой проверки подлинности и шифрования по уровню безопасности SASL.
-c строка1 строка2
Заменяет все вхождения строки1 содержимым строки2. В службах AD LDS при замене строк в LDF-файлах вместо различающихся имен разделов каталога схемы и разделов каталога конфигурации можно использовать константы #schemaNamingContext и #configurationNamingContext.
Чтобы просмотреть полный синтаксис этой команды, введите следующий текст в командной строке, а затем нажмите клавишу ВВОД:
Ldifde /?
подпись
|
| |
| |
|
