Utilita ImportAD
Popis funkce
Utilita slouží k importu (synchronizaci) uživatelů a skupin z Active
Directory pro celý systém Alvao. Utilita také umožňuje importovat
objekty (uživatele, počítače a organizační členění) do modulu Asset
Management.
Utilitu naleznete ve složce s instalací ALVAO Asset Management Console ("%ProgramFiles%\ALVAO\Asset Management Console")
nebo si ji můžete zkopírovat z aplikačního serveru ze složky s instalací ALVAO Service Desk MailboxReader ("%ProgramFiles%\ALVAO\MailboxReader").
Účet, pod kterým utilitu spouštíte, musí být členem skupiny Domain Admins
nebo mít delegované oprávnění Read all user information.
Poznámka:
Pokud se v importovaných skupinách objevují členové z jiných
důvěryhodných domén, v některých případech je třeba tyto domény vyjmenovat v
tabulce
AdTrustedDomain.
Poznámka:
Jazyk uživatele se při importu z Active
Directory nastaví dle atributu
prefferedLanguage, popřípadě
countryCode.
Syntax příkazové řádky
ImportAD.exe /adpath "LDAP cesta" {/conn
"připojovací řetězec" | /server
"jméno databázového serveru" /db
"jméno databáze"} [/users [remove,outsidegroups]]
[/usermap
"mapování atributů"] [/objects
{users,computers,ou,flat}] [/objectparentid "NodeId"] [/login
"přihlašovací jméno"] [/pswd
"heslo"] [/log
"soubor"] [/progress] [/wait]
[/help]
[/noportraits]
Podrobný popis parametrů
| Parametr |
Popis |
| /adpath <LDAP cesta> |
Cesta v Active Directory ve formátu LDAP. Jsou
podporovány tři varianty:
- Import DC (celé AD) - importují se všichni
uživatelé a skupiny včetně nastavení členství skupin
a uživatelů ve skupinách ("kopie" celého AD).
- Import konkrétní OU (organizační složky) -
importují se všichni uživatelé a skupiny uvnitř
zadané OU. Je zde možné použít parametr
outsidegroups, viz detailnější popis níže.
- Import konkrétní CN (skupiny) - importují se
všichni uživatelé a skupiny, kteří jsou členy
konkrétní skupiny (do hloubky - viz pozn. níže).
Poznámka:
Pokud potřebujete použít LDAPS, přidejte Active Directory server hostname a port před zápisem variant: "LDAP:// <AD server hostname>:636/...".
Poznámka:
- Procházení členství skupin do hloubky spočívá v
tom, že se projdou všechny skupiny, které jsou členy
konkrétní skupiny, pak se projdou jejich členové,
opět jejich členové apod.
Př.: Skupina C je členem skupiny B a ta je
členem skupiny A. Import importuje všechny skupiny
A+B+C.
- Přepínač /objects (import
objektů do Asset Management) nepracuje s cestou
směrovanou z konkrétní skupiny (CN).
|
/conn <řetězec>
/server<název serveru>
/db <název databáze> |
Těmito parametry se nastavuje připojení k databázi
Alvao. Je možné použít připojovací řetězec (např.
/conn
"Data source=.\sqlexpress;Initial Catalog=test;Integrated
Security = True"), nebo jednoduše zadat konkrétní SQL
server a DB (např. /server
".\sqlexpress"
/db"test").
V případě, že použijete parametry /server
a /db, připojení do databáze se provede
pomocí integrovaného ověřování systému Windows. Zadáte-li
všechny tyto parametry, použije se pouze /conn
parametr, /server a /db
budou ignorovány.
|
| /users <parametry> |
Importovat uživatele a skupiny do Správy. Parametry se
oddělují čárkou.
Popis možných parametrů:
| Parametr |
Význam |
| remove |
Odstraňovat uživatele, které nenajde v
AD. Příznak funguje pouze při importu
skupiny, organizační jednotky, kontejneru,
nebo celého AD (DC).
Odstraňují se pouze účty, které byly původně
naimportovány z AD. Ručně vytvořené účty se
neodstraňují. |
| outsidegroups |
Pokud je import spuštěn na OU
(organizační složce), importovat i členy
skupin (skupiny uvnitř OU) ležící mimo
vybranou OU.
Poznámka:
prohledávání členů skupin jde do libovolné
hloubky.
Příklad:
Importujeme OU "CZ", ve které je skupina
"CZA". Členem skupiny "CZA" skupina "SKA",
ležící v jiné OU "SK". Členem skupiny "SKA"
je osoba "Peter".
Pokud použijeme tento přepínač, "SKA" a
"Peter" se importuje (i když leží mimo
importované OU "CZ"). Taktéž se importují
případní další členové skupiny "SKA" do
neomezené hloubky (členové skupin).
Pokud přepínač nepoužijeme, skupina "SKA"
ani osoba "Peter" se nevytvoří. |
|
| /usermap <mapování> |
Pomocí tohoto přepínače je možné určit mapování
některých atributů při importu uživatelů a skupin do Správy.
Přepínač funguje pouze v kombinaci s přepínačem
/users.
Podporované atributy:
| Atribut |
Název pole ve Správě |
| Company |
Organizace |
| PersonalNumber |
Osobní číslo |
| @tPersonCust.Sloupec |
Vlastní položky osoby – viz poznámka |
Atributy je možné mapovat buď na konstantní řetězec na
příkazovém řádku (např. chcete, aby měly všechny osoby
shodnou Organizaci zadanou ručně), nebo na určité pole z AD.
Více viz příklady použití.
Poznámka:
Atributy lze také mapovat na libovolnou existující
vlastní položku z tabulky tPersonCust (kromě
položek typu int), které používají seznam hodnot. Název
atributu musí být
"@"+ [tPersonCust] +[název sloupce v databázi], např.
@tPersonCust.Title.
|
| /objects <parametry> |
Importovat objekty do Asset Management. Parametry se
oddělují čárkami.
Popis možných parametrů:
| Parametr |
Význam |
| users |
Importovat uživatele. |
| computers |
Importovat počítače. |
| ou |
Importovat organizační členění. |
| flat |
Importovat pouze objekty v zadané cestě
a neprohledávat včetně podsložek. |
Upozornění:
Je nutné zadat alespoň jeden z parametrů: users,
computers, ou.
Poznámka:
Mapování atributů AD na vlastnosti AM se
nastavuje pomocí tabulky
tblADMap.
Import vytváří nové objekty ve složce
Načtené objekty z Active Directory.
|
| /objectparentid <NodeId> |
Nové objekty vytvářet jako podřazené objekty pod
objektem s ID: <NodeId>. Funguje pouze ve spojení s
přepínačem /objects.
Poznámka:
Hodnotu NodeId zjistíte v AM Console na záložce Objekty
zobrazením systémového sloupce NodeId, nebo v tabulce
tblNode. intNodeId. |
| /noportraits |
Importovat bez portrétů. |
| /wait |
Na konci importu čekat na stisk klávesy. |
| /progress |
Zobrazovat průběh importu. |
| /login <přihlašovací jméno> |
Přihlašovací jméno uživatele. Tento účet bude použit
k přístupu do AD.
Poznámka: Pokud není zadán tento
parametr, import bude přistupovat do AD pod účtem, pod
kterým byla utilita spuštěna (aktuálně přihlášený uživatel
ve Windows). |
| /pswd <heslo> |
Heslo uživatele, pod jehož účtem se bude přistupovat do
Active Directory. |
| /log <soubor> |
Logovat do souboru.
Zadejte cestu a název souboru.
Poznámka: Log bude při každém
spuštění přepsán. |
| /datetimeformat |
Formát data v textových řetězcích (např. dd/mm/yyyy).
Pokud se parametr nezadá, formát se automaticky při převodu
rozpozná.
Podrobný popis možných formátů lze nalézt v
MSDN. |
Mapování polí na atributy AD u osob
| Název pole |
Název atributu v AD |
| Jméno a příjmení |
cn
|
| Email |
mail |
| Telefon |
telephoneNumber |
| Mobil |
mobile |
| Kancelář |
physicalDeliveryOfficeName |
| Organizace |
company |
| Oddělení |
department |
| Pracovní pozice |
title |
| Uživatelské jméno |
userPrincipalName |
| Uživatelské jméno (pro starší systémy) |
sAMaccountName |
| Nadřízený |
manager |
| Účet je zablokován |
userAccountControl |
Příklady použití
Import všech členů skupiny mygroup pomocí zadání
jednoduchého přihlášení k SQL serveru:
ImportAD.exe /adpath "LDAP://CN=mygroup,DC=my,DC=domain" /server "server\sql2005"
/db "alvao" /users
Import celého AD a specifického připojení k SQL serveru,
odstraňovat uživatele, které nenajde v AD:
ImportAD.exe /adpath
"LDAP://DC=my,DC=domain" /conn "Data
Source=.\sqlexpress;Initial Catalog=alvao;Integrated Security=True"
/users remove
Import konkrétní organizační složky a jednoduchého přihlášení
k SQL. Do pole Organizace bude u všech uživatelů nastaven
řetězec
ALVAO. Do pole PersonalNumber bude přenesena
hodnota z AD atributu PersonalNumber. Do vlastní položky
Title bude přenesena hodnota z AD atributu
PersonalTitle. Importují se i skupiny ležící mimo OU, které
jsou členy skupin uvnitř OU:
ImportAD.exe /adpath
"LDAP://OU=ou1,DC=my,DC=domain" /server server1
/db alvao
/users outsidegroups /usermap
"Company='ALVAO'" /usermap
"PersonalNumber=AD.EmployeeID" /usermap
"@tPersonCust.Title=AD.PersonalTitle"
Import nově nastupujících zaměstnanců. Nikdo z nich není
externista, všichni mají poloviční úvazek, nastupují 15. 8. ve 10
hodin v budově na Nábřežní 12 v místnosti č. 007. Vše se uloží do
vlastních položek příslušných typů.
ImportAD.exe /adpath
"LDAP://DC=new,DC=domain"
/conn "Data Source=.\sqlexpress;Initial
Catalog=alvao;Integrated Security=True" /users
/usermap "@tPersonCust.Externist='0'"
/usermap "@tPersonCust.Part_time='0,5'" /usermap
"@tPersonCust.Date_of_onboard='15.8.2015 10:00:00'" /usermap
"@tPersonCust.Building_address='Nábřežní 12'" /usermap
"@tPersonCust.Room_number='007'"
Import objektů typu Počítač a Uživatel do
Asset Management:
ImportAD.exe /adpath
"LDAP://OU=ou1,DC=my,DC=domain" /server server1
/db alvao
/objects computers,users
Import objektů typu Počítač a Uživatel do Asset Management a také uživatelů a skupin do Správy:
ImportAD.exe /adpath
"LDAP://OU=ou1,DC=my,DC=domain" /server server1
/db alvao
/objects computers,users /users
Import počítačů ze standardního kontejneru Computers do Asset
Management:
ImportAD.exe /adpath
"LDAP://CN=Computers,DC=my,DC=domain" /server
server1 /db alvao
/objects computers
Klíčové identifikátory pro vytvoření nebo update uživatele/PC
| Entita |
Identifikátor |
| WebApp - Správa - Osoby |
- AD GUID
- přihlašovací jméno bez domény (a AD GIUD osoby je zároveň NULL - tj. ručně vytvořený uživatel)
|
| WebApp - Správa - Skupiny |
|
| AM - Uživatelé/počítače/složky |
- AD GUID
- klíčový atribut dle tblAdMap (a AD GUID objektu je zároveň NULL)
|
Podporované scénáře
Synchronizace s celým AD (včetně odstraňování uživatelů)
Spusťte import na celé AD (LDAP://DC=...) a při importu skupin a
uživatelů do Správy navíc použijte parametr remove
(/users remove).
Import několika vybraných AD skupin do Alvao
- Vytvořte v AD novou skupinu ALVAO a jako členy
nastavte všechny vybrané skupiny, které chcete importovat do
systému Alvao.
- Spusťte import a cestu v parametru /adpath
nastavte na tuto skupinu ALVAO.
Př.: /adpath
"LDAP://CN=alvao,OU=import,DC=domain"
- Ve Správě se objeví všechny vybrané skupiny a jejich
členové (včetně uživatelů). Členství skupin bude správně
nastaveno.
Import bez fotek přímo z AD
Při importu uživatelů z AD se standardně načítají i portréty, a
to z vlastností thumbnailPhoto a jpegPhoto.
Portréty uživatelů se ukládají do databáze Alvao.
Pokud nechcete načíst portréty z AD, pak spusťte import
z příkazové řádky a připište parametr /noportraits.
Např.:
ImportAD.exe /adpath
"LDAP://OU=ou1,DC=my,DC=domain"
/server server1 /db alvao /objects
computers,users /users /noportraits
Poznámka:
Pro automatické načítání naplánovanou úlohou je tedy nezbytné
upravit příkaz
ImportAD přidáním parametru
/noportraits.
Import objektů do Asset Management
Spusťte import na celé AD (nelze importovat zablokované účty) nebo vybrané OU a pomocí přepínače
/objects určete, co se má importovat. Pomocí přepínače
/objectparentid definujte, kam se mají objekty
importovat (volitelné).
Nalezení zablokovaných uživatelů z Active Directory
- Ve stromu v hlavním okně AM Console vyberte celou organizaci
a klikněte na záložku Objekty - Všechno.
- Zobrazte sloupec Účet je zablokován.
- Nastavte filtr ve sloupci Druh na Uživatel
a filtr pro sloupec Účet je zablokován na Ano.
- Po vytvoření seznamu zablokovaných uživatelů použijte příkaz
Zobrazit v seznamech objektů pro jednodušší procházení
položek seznamu.
- Ve vyfiltrovaném seznamu jsou uživatelé, kteří mají v Active
Directory zablokovaný účet. Tyto uživatelé přesuňte do složky
pro vyřazené uživatele.
Odstranění starých uživatelů
Pokud chcete odstranit staré uživatele, kteří nebyli nějakou dobu
nalezeni v Active Directory, postupujte podle následujícího postupu:
- Ve Správě na stránce Uživatelé seřaďte uživatele podle sloupce Naposled
importováno z AD vzestupně.
- Vyberte a odstraňte uživatele, kteří již delší dobu nebyli
nalezeni v AD.
Odstranění starých objektů z Asset Management
Pokud chcete odstranit staré objekty, které nebyly nějakou dobu
nalezeny v Active Directory, postupujte podle následujícího postupu:
- V AM Console vyberte ve stromu objektů celou organizaci a
jděte na záložku
Objekty.
- Zobrazte sloupec Naposled importováno z AD.
- Pomocí filtru ve sloupci Druh zobrazte pouze
počítače nebo uživatele.
- Na sloupci Naposled importováno z AD nastavte
filtr: not "" a tabulku podle něj seřaďte vzestupně.
- Z místní nabídky použijte příkaz Zobrazit v seznamech
objektů.
- V okně Seznamy objektů postupně projděte staré
objekty. Pokud měl uživatel majetek, dořešte jeho navrácení
uživatelem.
- Přesuňte objekty do složky Vyřazený majetek.
Přejmenování počítače
Pokud je počítač načten z Active Directory (AD) a potřebujete ho
přejmenovat:
- Přejmenujte počítač v systému Windows (v AD zůstane
počítači stejný GUID).
Poznámka:
Při dalším importu z AD utilita ImportAD automaticky
přejmenuje počítač i v Asset Management.
Přeinstalace (reimage) počítače se zachováním názvu
Pokud je počítač načten z Active Directory (AD) a potřebujete
přeinstalovat jeho operační systém nebo ho obnovit z image disku a
zachovat jeho název v síti:
- Odstraňte počítač z AD.
- Jděte do AM Console, najděte ve stromu počítač a z místní
nabídky použijte příkaz
Upravit.
Vymažte hodnotu v poli GUID objektu v
Active Directory.
- Přeinstalujte operační systém, resp. ho obnovte z image
disku. Počítači dejte jeho původní název.
- Zaregistrujte počítač znovu do AD (počítač dostane v AD nový
GUID).
Poznámka:
Při dalším importu z AD utilita ImportAD automaticky spáruje
nový počítač z AD s počítačem v Asset Management podle
vlastnosti
Název v síti.
Nenašli jste co jste hledali? Zeptejte se našeho týmu technické podpory.