Skip Navigation LinksALVAO 11.1ALVAO Asset ManagementImplementace systému v organizaciSpráva uživatelůOvěřování uživatelů v aplikacíchOvěřování Active DirectoryImportAD utility Skip Navigation Links.

Nástroj ImportAD

Popis funkce

Tento nástroj slouží k importu (synchronizaci) uživatelů a skupin z Active Directory pro celý systém Alvao. Nástroj také umožňuje importovat objekty (uživatele, počítače a organizační jednotky) do modulu Asset Management.

Nástroj naleznete v instalační složce konzoly ALVAO Asset Management Console ("%ProgramFiles%\ALVAO\Asset Management Console\ImportUtilities") nebo jej můžete zkopírovat z aplikačního serveru z instalační složky služby ALVAO ("%ProgramFiles%\ALVAO\AlvaoService\utilities")

Účet, pod kterým nástroj spouštíte, musí být členem skupiny Domain Admins nebo mít delegované oprávnění Číst všechny informace o uživatelích

Syntaxe příkazových řádků

ImportAD.exe /adpath "cesta LDAP" {/conn "připojovací řetězec" | /server" název databázového serveru" /db "název databáze"}[/users[remove,outsidegroups]][/usermap "mapování atributů"][/objects{users,computers,ou,flat}][/objectparentid "NodeId"] [/login "login name"][/pswd "password"][/log" file"][/progress][/wait][/help] [/noportraits]

Podrobný popis parametrů

Parametr	Popis
/adpath <cesta kLDAP>	Cesta ke službě Active Directory ve formátu LDAP. Podporovány jsou tři varianty Import DC (celý AD) - importují se všichni uživatelé a skupiny včetně nastavení členství ve skupinách a uživatelích ("kopie" celého AD). Import konkrétní OU (organizační jednotky) - importují se všichni uživatelé a skupiny v rámci zadané OU. Je možné použít i outsidegroups, podrobnější popis viz níže. Import konkrétní CN (skupiny) - importují se všichni uživatelé a skupiny, kteří jsou členy konkrétní skupiny (do hloubky - viz poznámka níže). Poznámka: Pokud potřebujete použít LDAPS, musíte před zadáním variant přidat název hostitele a port serveru Active Directory: "LDAP://<název hostitele serveru AD>:636/..." Poznámka: Procházení členství ve skupinách do hloubky zahrnuje procházení všech skupin, které jsou členy určité skupiny, pak procházení jejich členů, opět procházení jejich členů atd. Příklad: Skupina C je členem skupiny B, která je členem skupiny A. Import importuje všechny skupiny A+B+C. Přepínač /objects (import objektů do Asset Managementu) nefunguje s cestou směrovanou z konkrétní skupiny (CN).
/conn <řetězec> /server<název serveru> /db <název databáze>	Tyto parametry slouží k nastavení připojení k databázi Alvao. Je možné použít řetězec připojení (např. /conn "Zdroj dat=.\sqlexpress;Počáteční katalog=test;Integrované zabezpečení = True;TrustServerCertificate=True") nebo jednoduše zadat konkrétní SQL server a DB (např. /server ".\sqlexpress" /db"test"). V případě, že použijete parametry /server a /db, připojení k databázi se provede pomocí integrovaného ověřování systému Windows. Pokud zadáte všechny tyto parametry, použije se pouze parametr /conn, /server a /dbbudou ignorovány.
/users <parametry>	Import uživatelů a skupin do správy. Parametry jsou odděleny čárkou Popis možných parametrů Parametr Význam remove Odebere uživatele, které nemůže najít v AD. Tento příznak funguje pouze při importu skupiny, organizační jednotky, kontejneru nebo celé služby AD (DC) Odstraněny jsou pouze účty, které byly původně importovány z AD. Ručně vytvořené účty se neodstraní. outsidegroups Pokud import probíhá v OU (organizační jednotce), importuje také členy skupin (skupin v rámci OU) ležících mimo vybranou OU. Poznámka: vyhledávání členů skupin jde do libovolné hloubky Příklad Příklad: Importujeme OU "CZ", ve které je skupina "CZA". Členem skupiny "CZA" je skupina "SKA", která se nachází v jiné OU "SK". Členem skupiny "SKA" je osoba "Petr". Použijeme-li tento přepínač, jsou skupiny "SKA" a "Peter" importovány (i když leží mimo importovanou OU "SK"). Případní další členové skupiny "SKA" jsou rovněž importováni do neomezené hloubky (členové skupiny). Pokud přepínač nepoužijete, skupina "SKA" ani osoba "Peter" se nevytvoří.
/usermap <mapping>	Tento přepínač slouží k určení mapování určitých atributů při importu uživatelů a skupin do aplikace Administration. Přepínač funguje pouze v kombinaci s přepínačem /users. Podporované atributy: Atribut Název pole v administraci Společnost Organizace PersonalNumber Osobní číslo @tPersonCust.Column Vlastní položky osoby - viz poznámka Atributy lze namapovat buď na konstantní řetězec v příkazovém řádku (např. chcete, aby všechny osoby měly ručně zadanou stejnou Organizaci), nebo na konkrétní pole z AD. Podrobnější informace naleznete v příkladech použití. Poznámka: Atributy lze také mapovat na jakákoli existující vlastní položky z tabulky tPersonCust (kromě polí typu int, která používají seznam hodnot, a typu users). Název atributu musí být "@"+[tPersonCust] +[název sloupce databáze], např. @tPersonCust.Title Tip: Přepínač lze použít pouze při importu do Správa. Pro mapování atributů AD na vlastnosti objektů ve Správě aktiv použijte článek Mapování atributů Active Directory na vlastnosti objektů
/objects <parametry>	Import objektů do Správy aktiv. Parametry se oddělují čárkami. Popis možných parametrů: . parametr Význam uživatelé Importovat uživatele. počítače Importovat počítače. ou Importovat organizační členění. flat Importovat pouze objekty v zadané cestě a nevyhledávat včetně podsložek Upozornění: Je nutné zadat alespoň jeden z následujících parametrů: uživatelé, počítače, ou Poznámka: Mapování atributů AD na vlastnosti AM se nastavuje pomocí tabulky tblADMap. Importem se ve složce vytvoří nové objekty. Objekty načtené ze služby Active Directory
/objectparentid <NodeId>	Vytvoří nové objekty jako podřazené objekty pod objektem s ID: <NodeId>. Funguje pouze ve spojení s přepínačem /objects. Poznámka: Hodnotu NodeId můžete zjistit v AM Console na kartě Objekty. zobrazením systémového sloupce NodeId nebo v tabulce tblNode. intNodeId
/noportrét	Import bez portrétů.
/wait	Počká na stisknutí klávesy na konci importu.
/progress	Zobrazí průběh importu.
/login <login>	Přihlašovací jméno uživatele. Tento účet bude použit pro přístup k službě AD. Poznámka: Pokud tento parametr není zadán, bude import přistupovat k službě AD pod účtem, pod kterým byl nástroj spuštěn (aktuálně přihlášený uživatel systému Windows)
/pswd <heslo>	Heslo uživatele, jehož účet bude použit pro přístup ke službě Active Directory.
/log <soubor>	Záznam do souboru. Zadejte cestu a název souboru. Poznámka: Při každém spuštění bude protokol přepsán
/datetimeformat	Formát data v textových řetězcích (např. dd/mm/rrrr). Pokud není parametr zadán, formát se při převodu rozpozná automaticky. Podrobný popis možných formátů najdete v MSDN.

Mapování polí na atributy AD u osob

Název pole	Název atributu v systému AD
Jméno a příjmení	cn Poznámka: Výchozí šablonu uživatelského jména můžete změnit
E-mail	e-mail
Telefon	telefonní číslo
Mobilní telefon	mobilní
Kancelář	physicalDeliveryOfficeName
Organizace	společnost
Divize	oddělení
Pracovní pozice	název
Jméno uživatele	userPrincipalName
UserName (pro starší systémy)	sAMaccountName
Supervisor	manager
Účet je zablokován	userAccountControl

Příklady použití

1. Import všech členů skupiny mygroup zadáním jednoduchého přihlášení k serveru SQL:
   ImportAD.exe /adpath "LDAP://CN=mygroup,DC=my,DC=domain" /server "server\sql2005" /db "alvao" /users

2. Import celého AD a konkrétního připojení k SQL Serveru, odstranění uživatelů, které nemůže v AD najít:
   ImportAD.exe /adpath "LDAP://DC=my,DC=domain" /conn "Data Source=.\sqlexpress;Initial Catalog=alvao;Integrated Security=True;TrustServerCertificate=True" /users remove

3. Import konkrétní organizační složky a jednoduché přihlášení SQL. Pole Organizace bude pro všechny uživatele nastaveno na řetězec ALVAO. Pole PersonalNumber ponese hodnotu z atributu AD PersonalNumber. Vlastní položka Title ponese hodnotu z atributu AD Personal. PersonalTitle. Importovány budou také skupiny mimo organizační jednotku, které jsou členy skupin uvnitř organizační jednotky:
   ImportAD.exe /adpath "LDAP://OU=ou1,DC=my,DC=domain" /server server1 /db alvao /users outsidegroups /usermap"Company='ALVAO'" /usermap"PersonalNumber=AD.EmployeeID" /usermap"@tPersonCust.Title=AD.PersonalTitle"

4. Import nových zaměstnanců. Žádný z nich není na volné noze, všichni pracují na částečný úvazek a nastoupí 15. srpna v 10 hodin v budově na adrese Waterfront 12 v místnosti 007. Všichni budou zařazeni do vlastních položek příslušných typů.
   ImportAD.exe /adpath "LDAP://DC=new,DC=domain" /conn "Data Source=.\sqlexpress;Initial Catalog=alvao;Integrated Security=True;TrustServerCertificate=True" /users /usermap "@tPersonCust.Externist='0'" /usermap "@tPersonCust.Part_time='0,5'" /usermap"@tPersonCust.Date_of_onboard='8/15/2015 10:00:00'" /usermap"@tPersonCust.Building_address='Nábřežní 12'" /usermap"@tPersonCust.Room_number='007'"

5. Import objektů typu Počítač a Uživatel do Správy majetku:
   ImportAD.exe /adpath "LDAP://OU=ou1,DC=my,DC=doména" /server server1 /db alvao /objects computers,users

6. Import objektů typu Počítač a Uživatel do Asset Management a také uživatelů a skupin do Administration:
   ImportAD.exe /adpath "LDAP://OU=ou1,DC=my,DC=doména" /server server1 /db alvao /objects computers,users /users

Klíčové identifikátory pro vytvoření nebo aktualizaci uživatele/PC

Entita	Identifikátor
WebApp - Administration - Persons	GUID AD přihlašovací jméno bez domény (a AD GIUD osoby je také NULL - tj. ručně vytvořený uživatel)
WebApp - Administration - Groups	AD GUID Skupina (název)
AM - Uživatelé/Počítače/Složky	AD GUID klíčový atribut podle tblAdMap (a AD GUID objektu je také NULL)

Podporované scénáře

Synchronizace s celým AD (včetně mazání uživatelů)

Proveďte import celého AD (LDAP://DC=...) a při importu skupin a uživatelů do Administration použijte parametr remove (/users remove)

Import několika vybraných skupin AD do systému Alvao

1. Vytvořte v AD novou skupinu ALVAO a nastavte jako členy všechny vybrané skupiny, které chcete importovat do Alvao.
2. Nastavte import a cestu v parametru /adpath. nastavte ALVAO na tuto skupinu.
   Například: /adpath"LDAP://CN=alvao,OU=import,DC=doména".
3. Všechny vybrané skupiny a jejich členové (včetně uživatelů) se zobrazí v administraci. Členství ve skupinách bude nastaveno správně.

Import bez fotografií přímo z AD

Při importu uživatelů z AD se ve výchozím nastavení načítají také portréty z vlastností thumbnailPhoto a jpegPhoto. Portréty uživatelů jsou uloženy v databázi Alvao.
Pokud nechcete načítat portréty z AD, spusťte import z příkazového řádku a přidejte příkaz /noportraits.
Příklad: V seznamu portrétů je uveden příkaz portrétů

ImportAD.exe /adpath"LDAP://OU=ou1,DC=my,DC=doména" /server server1 /db alvao /objectscomputers,users /users /portraits

Import objektů do správy aktiv

Spusťte import v celé službě AD (nelze importovat blokované účty) nebo ve vybrané organizační jednotce a pomocí přepínače Switch/objects určete, co se má importovat. Pomocí přepínače /objectparentid určete, kam se mají objekty importovat (volitelné)

Vyhledání blokovaných uživatelů ze služby Active Directory

1. Ve stromu v hlavním okně konzoly AM vyberte celou organizaci a klikněte na kartu Objekty - vše.
2. Zobrazte sloupec Účet je blokován.
3. Nastavte filtr ve sloupci Typ na hodnotu Uživatela filtr ve sloupci Účet je blokován na hodnotu Ano.
4. Po vytvoření seznamu blokovaných uživatelů použijte příkaz Zobrazit v seznamech objektů pro snadnější navigaci v položkách seznamu.
5. Filtrovaný seznam obsahuje uživatele, kteří mají ve službě Active Directory zablokovaný účet. Přesuňte tyto uživatele do složky pro vyloučené uživatele.

Odstranění starých uživatelů

Pokud chcete odstranit staré uživatele, kteří se již nějakou dobu nenacházejí v adresáři Active Directory, postupujte podle tohoto postupu:

1. Na stránce Správa na stránce Uživatelé seřaďte uživatele podle sloupce Naposledy importováno z AD vzestupně.
2. Vyberte a odstraňte uživatele, kteří již delší dobu nebyli nalezeni ve službě AD.

Odstranění starých objektů ze správy aktiv

Chcete-li odstranit staré objekty, které již delší dobu nebyly nalezeny ve službě Active Directory, postupujte podle tohoto postupu:

1. V AM Console vyberte ve stromu objektů celou organizaci a přejděte na kartu Objekty.
2. Zobrazte sloupec Naposledy importováno z AD.
3. Pomocí filtru ve sloupci Typ zobrazte pouze počítače nebo uživatele.
4. Nastavte filtr ve sloupci Aktualizovat importované z AD na hodnotu ne "" a seřaďte tabulku vzestupně.
5. V místní nabídce použijte příkaz Zobrazit v seznamech objektů.
6. V okně Seznamy objektů postupně procházejte staré objekty. Pokud měl uživatel nějaký objekt, doplňte jeho návrat.
7. Přesuňte objekty do složky Utajovaný majetek.

Přejmenujte počítač

Pokud je počítač načten ze služby Active Directory (AD) a je třeba jej přejmenovat:

1. Přejmenujte počítač v systému Windows (počítač bude mít v systému AD stejný GUID).

Přeinstalování (reimage) počítače se zachováním názvu

Pokud je počítač načten ze služby Active Directory (AD) a vy potřebujete přeinstalovat jeho operační systém nebo jej obnovit z obrazu disku a zachovat jeho název v síti:

1. Odeberte počítač ze služby AD.
2. Přejděte do konzoly AM, vyhledejte počítač ve stromu a použijte příkaz Upravit z místní nabídky
   Odstraňte hodnotu v poli GUID objektu ve službě Active Directory.
3. Znovu nainstalujte operační systém nebo jej obnovte z image disku. Dejte počítači jeho původní název.
4. Znovu zaregistrujte počítač ve službě AD (počítač získá nový identifikátor GUID ve službě AD).

 

Nenašli jste co jste hledali? Zeptejte se našeho týmu technické podpory.