Skip Navigation LinksALVAO 10.4ALVAO Asset ManagementImplementace systému v organizaciSpráva uživatelůUtilita ImportAD Skip Navigation Links.


Přepnout verzi ALVAO
Změnit jazyk

Utilita ImportAD

Popis funkce

Aplikace slouží k importu (synchronizaci) uživatelů a skupin z Active Directory pro celý systém ALVAO. Utilita také umožňuje importovat objekty (uživatele, počítače a organizační členění) do modulu Asset Management.

Aplikaci naleznete ve složce s instalací ALVAO Asset Management Console ("%ProgramFiles%\ALVAO\Asset Management Console") nebo si ji můžete zkopírovat z aplikačního serveru ze složky s instalací ALVAO Service Desk MailboxReader ("%ProgramFiles%\ALVAO\MailboxReader").

Poznámka:
Pokud se v importovaných skupinách objevují členové z jiných důvěryhodných domén, v některých případech je třeba tyto domény vyjmenovat v tabulce AdTrustedDomain.
Poznámka:
Jazyk uživatele se při importu z Active Directory nastaví dle atributu prefferedLanguage, popřípadě countryCode.

Syntax příkazové řádky

ImportAD.exe /adpath "LDAP cesta" {/conn "připojovací řetězec" | /server "jméno databázového serveru" /db "jméno databáze"} [/users [remove,outsidegroups]] [/usermap "mapování atributů"] [/objects {users,computers,ou,flat}] [/objectparentid "NodeId"] [/login "přihlašovací jméno"] [/pswd "heslo"] [/log "soubor"] [/progress] [/wait] [/help] [/noportraits]

Podrobný popis parametrů

Parametr Popis
/adpath <LDAP cesta> Cesta v Active Directory ve formátu LDAP. Jsou podporovány tři varianty:
  1. Import DC (celé AD) - importují se všichni uživatelé a skupiny včetně nastavení členství skupin a uživatelů ve skupinách ("kopie" celého AD).
  2. Import konkrétní OU (organizační složky) - importují se všichni uživatelé a skupiny uvnitř zadané OU. Je zde možné použít parametr outsidegroups, viz detailnější popis níže.
  3. Import konkrétní CN (skupiny) - importují se všichni uživatelé a skupiny, kteří jsou členy konkrétní skupiny (do hloubky - viz pozn. níže).
Poznámka:
  • Procházení členství skupin do hloubky spočívá v tom, že se projdou všechny skupiny, které jsou členy konkrétní skupiny, pak se projdou jejich členové, opět jejich členové apod.
    Př.: Skupina C je členem skupiny B a ta je členem skupiny A. Import importuje všechny skupiny A+B+C.
  • Přepínač /objects (import objektů do Asset Management) nepracuje s cestou směrovanou z konkrétní skupiny (CN).
/conn <řetězec>
/server<název serveru>
/db <název databáze>		 Těmito parametry se nastavuje připojení k databázi ALVAO. Je možné použít připojovací řetězec (např. /conn "Data source=.\sqlexpress;Initial Catalog=test;Integrated Security = True"), nebo jednoduše zadat konkrétní SQL server a DB (např. /server ".\sqlexpress" /db"test").
V případě, že použijete parametry /server a /db, připojení do databáze se provede pomocí integrovaného ověřování systému Windows. Zadáte-li všechny tyto parametry, použije se pouze /conn parametr, /server a /db budou ignorovány.
/users <parametry> Importovat uživatele a skupiny do Správy. Parametry se oddělují čárkou.

Popis možných parametrů:
Parametr Význam
remove Odstraňovat uživatele, které nenajde v AD. Příznak funguje pouze při importu skupiny, organizační jednotky, kontejneru, nebo celého AD (DC).
Odstraňují se pouze účty, které byly původně naimportovány z AD. Ručně vytvořené účty se neodstraňují.
outsidegroups Pokud je import spuštěn na OU (organizační složce), importovat i členy skupin (skupiny uvnitř OU) ležící mimo vybranou OU.
Poznámka:
prohledávání členů skupin jde do libovolné hloubky.
Příklad:
Importujeme OU "CZ", ve které je skupina "CZA". Členem skupiny "CZA" skupina "SKA", ležící v jiné OU "SK". Členem skupiny "SKA" je osoba "Peter".
Pokud použijeme tento přepínač, "SKA" a "Peter" se importuje (i když leží mimo importované OU "CZ"). Taktéž se importují případní další členové skupiny "SKA" do neomezené hloubky (členové skupin).
Pokud přepínač nepoužijeme, skupina "SKA" ani osoba "Peter" se nevytvoří.
/usermap <mapování> Pomocí tohoto přepínače je možné určit mapování některých atributů při importu uživatelů a skupin do Správy. Přepínač funguje pouze v kombinaci s přepínačem /users.

Podporované atributy:
Atribut Název pole ve Správě
Company Organizace
PersonalNumber Osobní číslo
@tPersonCust.Sloupec Vlastní položky osoby – viz poznámka

Atributy je možné mapovat buď na konstantní řetězec na příkazovém řádku (např. chcete, aby měly všechny osoby shodnou Organizaci zadanou ručně), nebo na určité pole z AD. Více viz příklady použití.
Poznámka:

Atributy lze také mapovat na libovolnou existující vlastní položku z tabulky tPersonCust (kromě položek typu int), které používají seznam hodnot. Název atributu musí být "@"+ [tPersonCust] +[název sloupce v databázi], např. @tPersonCust.Title.
Tip:
Přepínač je možné použít pouze při importu do Správy. Pro mapování AD atributů na vlastnosti objektů v Asset Management použijte článek Mapování atributů v Active Directory na vlastnosti objektů.
/objects <parametry> Importovat objekty do Asset Management. Parametry se oddělují čárkami.

Popis možných parametrů:
Parametr Význam
users Importovat uživatele.
computers Importovat počítače.
ou Importovat organizační členění.
flat Importovat pouze objekty v zadané cestě a neprohledávat včetně podsložek.
Upozornění:
Je nutné zadat alespoň jeden z parametrů: users, computers, ou.
Poznámka:
Mapování atributů AD na vlastnosti AM se nastavuje pomocí tabulky tblADMap.
Import vytváří nové objekty ve složce Načtené objekty z Active Directory.
/objectparentid <NodeId> Nové objekty vytvářet jako podřazené objekty pod objektem s ID: <NodeId>. Funguje pouze ve spojení s přepínačem /objects.
Poznámka:
Hodnotu NodeId zjistíte v AM Console na záložce Objekty zobrazením systémového sloupce NodeId, nebo v tabulce tblNode. intNodeId.
/noportraits Importovat bez portrétů.
/wait Na konci importu čekat na stisk klávesy.
/progress Zobrazovat průběh importu.
/login <přihlašovací jméno> Přihlašovací jméno uživatele. Tento účet bude použit k přístupu do AD.
Poznámka:
Pokud není zadán tento parametr, import bude přistupovat do AD pod účtem, pod kterým byla aplikace spuštěna (aktuálně přihlášený uživatel ve Windows).
/pswd <heslo> Heslo uživatele, pod jehož účtem se bude přistupovat do Active Directory.
/log <soubor> Logovat do souboru. Zadejte cestu a název souboru.
Poznámka:
Log bude při každém spuštění přepsán.
/datetimeformat Formát data v textových řetězcích (např. dd/mm/yyyy). Pokud se parametr nezadá, formát se automaticky při převodu rozpozná.
Podrobný popis možných formátů lze nalézt v MSDN.

Mapování polí na atributy AD u osob

Název pole Název atributu v AD
Jméno a příjmení cn
Poznámka:
Výchozí šablonu jmen uživatelů můžete změnit.
Email mail
Telefon telephoneNumber
Mobil mobile
Kancelář physicalDeliveryOfficeName
Organizace company
Oddělení department
Pracovní pozice title
Uživatelské jméno userPrincipalName
Uživatelské jméno (pro starší systémy) sAMaccountName
Nadřízený manager
Účet je zablokován userAccountControl

Příklady použití

  1. Import všech členů skupiny mygroup pomocí zadání jednoduchého přihlášení k SQL serveru:
    ImportAD.exe /adpath "LDAP://CN=mygroup,DC=my,DC=domain" /server "server\sql2005" /db "alvao" /users

  2. Import celého AD a specifického připojení k SQL serveru, odstraňovat uživatele, které nenajde v AD:
    ImportAD.exe /adpath "LDAP://DC=my,DC=domain" /conn "Data Source=.\sqlexpress;Initial Catalog=alvao;Integrated Security=True" /users remove

  3. Import konkrétní organizační složky a jednoduchého přihlášení k SQL. Do pole Organizace bude u všech uživatelů nastaven řetězec ALVAO. Do pole PersonalNumber bude přenesena hodnota z AD atributu PersonalNumber. Do vlastní položky Title bude přenesena hodnota z AD atributu PersonalTitle. Importují se i skupiny ležící mimo OU, které jsou členy skupin uvnitř OU:
    ImportAD.exe /adpath "LDAP://OU=ou1,DC=my,DC=domain" /server server1 /db alvao /users outsidegroups /usermap "Company='ALVAO'" /usermap "PersonalNumber=AD.EmployeeID" /usermap "@tPersonCust.Title=AD.PersonalTitle"

  4. Import nově nastupujících zaměstnanců. Nikdo z nich není externista, všichni mají poloviční úvazek, nastupují 15. 8. ve 10 hodin v budově na Nábřežní 12 v místnosti č. 007. Vše se uloží do vlastních položek příslušných typů.
    ImportAD.exe /adpath "LDAP://DC=new,DC=domain" /conn "Data Source=.\sqlexpress;Initial Catalog=alvao;Integrated Security=True" /users /usermap "@tPersonCust.Externist='0'" /usermap "@tPersonCust.Part_time='0,5'" /usermap "@tPersonCust.Date_of_onboard='15.8.2015 10:00:00'" /usermap "@tPersonCust.Building_address='Nábřežní 12'" /usermap "@tPersonCust.Room_number='007'"

  5. Import objektů typu Počítač a Uživatel do Asset Management:
    ImportAD.exe /adpath "LDAP://OU=ou1,DC=my,DC=domain" /server server1 /db alvao /objects computers,users

  6. Import objektů typu Počítač a Uživatel do Asset Management a také uživatelů a skupin do Správy:
    ImportAD.exe /adpath "LDAP://OU=ou1,DC=my,DC=domain" /server server1 /db alvao /objects computers,users /users

  7. Import počítačů ze standardního kontejneru Computers do Asset Management:
    ImportAD.exe /adpath "LDAP://CN=Computers,DC=my,DC=domain" /server server1 /db alvao /objects computers

Klíčové identifikátory pro vytvoření nebo update uživatele/PC

Entita Identifikátor
WA - Správa - Osoby
  • AD GUID
  • přihlašovací jméno bez domény (a AD GIUD osoby je zároveň NULL - tj. ručně vytvořený uživatel)
WA - Správa - Skupiny
  • AD GUID
  • Skupina (název)
AM - Uživatelé/počítače/složky
  • AD GUID
  • klíčový atribut dle tblAdMap (a AD GUID objektu je zároveň NULL)

Podporované scénáře

Synchronizace s celým AD (včetně odstraňování uživatelů)

Spusťte import na celé AD (LDAP://DC=...) a při importu skupin a uživatelů do Správy navíc použijte parametr remove (/users remove).

Import několika vybraných AD skupin do ALVAO

  1. Vytvořte v AD novou skupinu ALVAO a jako členy nastavte všechny vybrané skupiny, které chcete importovat do ALVAO systému.
  2. Spusťte import a cestu v parametru /adpath nastavte na tuto skupinu ALVAO.
    Př.: /adpath "LDAP://CN=alvao,OU=import,DC=domain"
  3. Ve Správě se objeví všechny vybrané skupiny a jejich členové (včetně uživatelů). Členství skupin bude správně nastaveno.

Import bez fotek přímo z AD

Při importu uživatelů z AD se standardně načítají i portréty, a to z vlastností thumbnailPhoto a jpegPhoto. Portréty uživatelů se ukládají do ALVAO databáze.
Pokud nechcete načíst portréty z AD, pak spusťte import z příkazové řádky a připište parametr /noportraits.
Např.:

ImportAD.exe /adpath "LDAP://OU=ou1,DC=my,DC=domain" /server server1 /db alvao /objects computers,users /users /noportraits

Poznámka:
Pro automatické načítání naplánovanou úlohou je tedy nezbytné upravit příkaz ImportAD přidáním parametru /noportraits.

Import objektů do Asset Management

Spusťte import na celé AD nebo vybrané OU a pomocí přepínače /objects určete, co se má importovat. Pomocí přepínače /objectparentid definujte, kam se mají objekty importovat (volitelné).

Nalezení zablokovaných uživatelů z Active Directory

  1. Ve stromu v hlavním okně AM Console vyberte celou organizaci a klikněte na záložku Objekty - Všechno.
  2. Zobrazte sloupec Účet je zablokován.
  3. Nastavte filtr ve sloupci Druh na Uživatel a filtr pro sloupec Účet je zablokován na Ano.
  4. Po vytvoření seznamu zablokovaných uživatelů použijte příkaz Zobrazit v seznamech objektů pro jednodušší procházení položek seznamu.
  5. Ve vyfiltrovaném seznamu jsou uživatelé, kteří mají v Active Directory zablokovaný účet. Tyto uživatelé přesuňte do složky pro vyřazené uživatele.

Odstranění starých uživatelů

Pokud chcete odstranit staré uživatele, kteří nebyli nějakou dobu nalezeni v Active Directory, postupujte podle následujícího postupu:

  1. Ve Správě na stránce Uživatelé seřaďte uživatele podle sloupce Naposled importováno z AD vzestupně.
  2. Vyberte a odstraňte uživatele, kteří již delší dobu nebyli nalezeni v AD.

Odstranění starých objektů z Asset Management

Pokud chcete odstranit staré objekty, které nebyly nějakou dobu nalezeny v Active Directory, postupujte podle následujícího postupu:

  1. V AM Console vyberte ve stromu objektů celou organizaci a jděte na záložku Objekty.
  2. Zobrazte sloupec Naposled importováno z AD.
  3. Pomocí filtru ve sloupci Druh zobrazte pouze počítače nebo uživatele.
  4. Na sloupci Naposled importováno z AD nastavte filtr: not "" a tabulku podle něj seřaďte vzestupně.
  5. Z místní nabídky použijte příkaz Zobrazit v seznamech objektů.
  6. V okně Seznamy objektů postupně projděte staré objekty. Pokud měl uživatel majetek, dořešte jeho navrácení uživatelem.
  7. Přesuňte objekty do složky Vyřazený majetek.

Přejmenování počítače

Pokud je počítač načten z Active Directory (AD) a potřebujete ho přejmenovat:

  1. Přejmenujte počítač v systému Windows (v AD zůstane počítači stejný GUID).
Poznámka:
Při dalším importu z AD utilita ImportAD automaticky přejmenuje počítač i v Asset Management.

Přeinstalace (reimage) počítače se zachováním názvu

Pokud je počítač načten z Active Directory (AD) a potřebujete přeinstalovat jeho operační systém nebo ho obnovit z image disku a zachovat jeho název v síti:

  1. Odstraňte počítač z AD.
  2. Jděte do AM Console, najděte ve stromu počítač a z místní nabídky použijte příkaz Upravit.
    Vymažte hodnotu v poli GUID objektu v Active Directory.
  3. Přeinstalujte operační systém, resp. ho obnovte z image disku. Počítači dejte jeho původní název.
  4. Zaregistrujte počítač znovu do AD (počítač dostane v AD nový GUID).
Poznámka:
Při dalším importu z AD utilita ImportAD automaticky spáruje nový počítač z AD s počítačem v Asset Management podle vlastnosti Název v síti.

 

Nenašli jste co jste hledali? Zeptejte se našeho týmu technické podpory.