Skip Navigation LinksALVAO 11.2Průvodce administrátoraSpráva uživatelůOvěřování uživatelů v aplikacíchActive Directory authenticationImportAD utility Skip Navigation Links.


Skip Navigation LinksALVAO 11.2 / Průvodce administrátora / Správa uživatelů / Ověřování uživatelů v aplikacích / Active Directory authentication / ImportAD utility

ImportAD utility

  1. Popis funkce/a>
  2. Syntaxe příkazových řádků
  3. Podrobný popis parametrů/a>
  4. Mapování polí na atributy AD u osob
  5. Příklady použití
  6. Klíčové identifikátory pro vytvoření nebo aktualizaci uživatele/PC
  7. Podporované scénáře

Popis funkce

Tento nástroj slouží k importu (synchronizaci) uživatelů a skupin z Active Directory pro celý systém Alvao. Nástroj také umožňuje importovat objekty (uživatele, počítače a organizační jednotky) do modulu Asset Management.

Nástroj najdete v instalační složce Asset Management Console ("%ProgramFiles%\ALVAO\Asset Management Console\ImportUtilities") nebo jej můžete zkopírovat z aplikačního serveru z instalační složky služby Alvao ("%ProgramFiles%\ALVAO\AlvaoService\utilities")

Účet, pod kterým nástroj spouštíte, musí být členem skupiny Domain Admins nebo mít delegované oprávnění Číst všechny informace o uživatelích

Pozn:
Pokud se v importovaných skupinách objeví členové z jiných důvěryhodných domén, bude v některých případech nutné tyto domény uvést v tabulce AdTrustedDomain
Pozn:
Jazyk uživatele je nastaven atributem preferredLanguage nebo countryCode při importu z Active Directory

Syntaxe příkazových řádků

ImportAD.exe /adpath "LDAP path" {/conn "connection string" | /server "database server name" /db "database name"} [/users [remove,outsidegroups]] [/usermap "attribute mapping"] [/objects {users,computers,ou,flat}] [/objectparentid "NodeId"] [/login "login name"] [/pswd "password"] [/log "file"] [/progress] [/wait] [/help] [/noportraits]

Podrobný popis parametrů

Parametr Popis
/adpath <LDAP path> Cesta ke službě Active Directory ve formátu LDAP. Jsou podporovány tři varianty
  1. Import DC (celý AD) - importují se všichni uživatelé a skupiny včetně nastavení členství ve skupinách a uživatelích ("kopie" celého AD).
  2. Import konkrétní OU (organizační jednotky) - importují se všichni uživatelé a skupiny v rámci zadané OU. Je možné použít outsidegroups, podrobnější popis viz níže.
  3. Import konkrétní CN (skupiny) - importují se všichni uživatelé a skupiny, kteří jsou členy konkrétní skupiny (do hloubky - viz poznámka níže).
Pozn:
Pokud potřebujete použít LDAPS, musíte před zadáním variant přidat hostitelské jméno a port serveru Active Directory: "LDAP://<název hostitele serveru AD>:636/..."
Pozn:
  • Procházení členství ve skupinách do hloubky zahrnuje procházení všech skupin, které jsou členy určité skupiny, pak procházení jejich členů, opět procházení jejich členů atd.
    Příklad: Skupina C je členem skupiny B, která je členem skupiny A. Import importuje všechny skupiny A+B+C.
  • Přepínač /objects (import objektů do Asset Management) nefunguje s cestou směrovanou z konkrétní skupiny (CN).
/conn <chain>
/server<server name>
/db <database name>
Tyto parametry slouží k nastavení připojení k databázi Alvao. Je možné použít připojovací řetězec (např. /conn "Data source=.\sqlexpress;Initial Catalog=test;Integrated Security = True;TrustServerCertificate=True" ) nebo jednoduše zadat konkrétní SQL server a DB (např. /server ".\sqlexpress" /db"test").
V případě, že použijete parametry /server a /db, připojení k databázi se uskuteční pomocí integrovaného ověřování systému Windows. Pokud zadáte všechny tyto parametry, použije se pouze parametr /conn, /server a /dbbudou ignorovány.
/users <parameters> Import uživatelů a skupin do správy. Parametry se oddělují čárkou

Popis možných parametrů
Parametr Význam
remove Odebrat uživatele, které nemůže najít v AD. Tento příznak funguje pouze při importu skupiny, organizační jednotky, kontejneru nebo celé služby AD (DC)
Odstraněny jsou pouze účty, které byly původně importovány z AD. Ručně vytvořené účty se neodstraní.
outsidegroups Pokud import probíhá v OU (organizační jednotce), importují se i členové skupin (skupin v rámci OU) ležících mimo vybranou OU.
Poznámka:
vyhledávání členů skupin jde do libovolné hloubky
Příklad
Příklad: Importujeme OU "CZ", ve které je skupina "CZA". Členem skupiny "CZA" je skupina "SKA", která se nachází v jiné OU "SK". Členem skupiny "SKA" je osoba "Petr".
Použijeme-li tento přepínač, jsou skupiny "SKA" a "Peter" importovány (i když leží mimo importovanou OU "SK"). Případní další členové skupiny "SKA" jsou rovněž importováni do neomezené hloubky (členové skupiny).
Pokud přepínač nepoužijete, skupina "SKA" ani osoba "Peter" se nevytvoří.
/usermap <mapping> Tento přepínač použijte k určení mapování určitých atributů při importu uživatelů a skupin do aplikace Administration. Přepínač funguje pouze v kombinaci s přepínačem /users.

Podporované atributy:
Atribut Název pole v administraci
Company Organizace
PersonalNumber Osobní číslo
@tPersonCust.Column Vlastní položky osoby - viz poznámka

Atributy lze namapovat buď na konstantní řetězec v příkazovém řádku (např. chcete, aby všechny osoby měly ručně zadanou stejnou Organizaci), nebo na konkrétní pole z AD. Podrobnější informace naleznete v příkladech použití.
Poznámka:

Atributy lze také mapovat na jakákoli existující vlastní pole z tabulky tPersonCust (kromě polí typu int, která používají seznam hodnot, a typu users). Název atributu musí být "@"+[tPersonCust] +[název sloupce databáze], například @tPersonCust.Title
Tip:
Přepínač lze použít pouze při importu do Administrace. Pro mapování atributů AD na vlastnosti objektů v Asset Management, použijte článek Mapování atributů Active Directory na vlastnosti objektů
/objects <parametry> Import objektů do Asset Management. Parametry se oddělují čárkami.

Popis možných parametrů
Parametr Význam
users Importovat uživatele.
computers Importovat počítače.
ou Importovat organizační členění.
flat Importovat pouze objekty v zadané cestě a nehledat včetně podsložek.
Upozornění:
Musíte zadat alespoň jeden z následujících parametrů: users, computers, ou
Poznámka:
Mapování atributů AD na vlastnosti AM se nastavuje pomocí tabulky tblADMap.
Import vytvoří nové objekty ve složce Objects retrieved from Active Directory
/objectparentid <NodeId> Vytvoří nové objekty jako podřízené objekty pod objektem s ID: <NodeId>. Funguje pouze ve spojení s přepínačem /objects.
Poznámka:
Hodnotu NodeId můžete zjistit na adrese AM Console na kartě Objekty. zobrazením systémového sloupce NodeId nebo v tabulce tblNode. intNodeId
/noportraits Import bez portrétů.
/wait Na konci importu vyčkejte na stisknutí klávesy.
/progress Zobrazení průběhu importu.
/login <login> Přihlašovací jméno uživatele. Tento účet bude použit pro přístup k službě AD.
Poznámka:
Pokud tento parametr není zadán, bude import přistupovat k službě AD pod účtem, pod kterým byl nástroj spuštěn (aktuálně přihlášený uživatel systému Windows)
/pswd <password> Heslo uživatele, jehož účet bude použit pro přístup ke službě Active Directory.
/log <file> Přihlásit se do souboru. Zadejte cestu a název souboru.
Poznámka:
Při každém spuštění bude protokol přepsán
/datetimeformat Formát data v textových řetězcích (např. dd/mm/rrrr). Pokud není parametr zadán, formát se při převodu rozpozná automaticky.
Podrobný popis možných formátů najdete v MSDN.

Mapování polí na atributy AD u osob

Název pole Název atributu v systému AD
Jméno a příjmení cn
Poznámka:
Výchozí šablonu uživatelského jména můžete změnit
E-mail email
Telefon telephoneNumber
Mobilní mobile
Kancelář physicalDeliveryOfficeName
Organizace company
Divize department
Pracovní pozice title
Jméno uživatele userPrincipalName
Název uživatele (pro starší systémy) sAMaccountName
Nadřízený manager
Účet je zablokován userAccountControl

Příklady použití

  1. Import všech členů skupiny mygroup zadáním jednoduchého přihlašovacího jména k serveru SQL:
    ImportAD.exe /adpath "LDAP://CN=mygroup,DC=my,DC=domain" /server "server\sql2005" /db "alvao" /users

  2. Import celého AD a konkrétního připojení k SQL Serveru, odstranění uživatelů, které nemůže v AD najít:
    ImportAD.exe /adpath "LDAP://DC=my,DC=domain" /conn "Data Source=.\sqlexpress;Initial Catalog=alvao;Integrated Security=True;TrustServerCertificate=True" /users remove

  3. Import konkrétní organizační složky a jednoduché přihlášení SQL. Pole Organizace bude pro všechny uživatele nastaveno na řetězec ALVAO. Pole PersonalNumber ponese hodnotu z atributu AD PersonalNumber. Vlastní pole Title ponese hodnotu z atributu AD PersonalTitle. Importovány budou také skupiny mimo organizační jednotku, které jsou členy skupin uvnitř organizační jednotky:
    ImportAD.exe /adpath "LDAP://OU=ou1,DC=my,DC=domain" /server server1 /db alvao /users outsidegroups /usermap "Company='ALVAO'" /usermap "PersonalNumber=AD.EmployeeID" /usermap "@tPersonCust.Title=AD.PersonalTitle"

  4. Import nových zaměstnanců. Žádný z nich není na volné noze, všichni pracují na částečný úvazek a nastoupí 15. srpna v 10 hodin v budově na adrese Waterfront 12 v místnosti 007. Všichni budou zařazeni do vlastních položek příslušných typů.
    ImportAD.exe /adpath "LDAP://DC=new,DC=domain" /conn "Data Source=.\sqlexpress;Initial Catalog=alvao;Integrated Security=True;TrustServerCertificate=True" /users /usermap "@tPersonCust.Externist='0'" /usermap "@tPersonCust.Part_time='0,5'" /usermap "@tPersonCust.Date_of_onboard='8/15/2015 10:00:00'" /usermap "@tPersonCust.Building_address='Nábřežní 12'" /usermap "@tPersonCust.Room_number='007'"

  5. Import objektů typu Computer a User do Asset Management:
    ImportAD.exe /adpath "LDAP://OU=ou1,DC=my,DC=domain" /server server1 /db alvao /objects computers, users

  6. Import objektů typu Počítač a Uživatel do Asset Management a také uživatelů a skupin do Administrace:
    ImportAD.exe /adpath "LDAP://OU=ou1,DC=my,DC=domain" /server server1 /db alvao /objects computers, users /users

Klíčové identifikátory pro vytvoření nebo aktualizaci uživatele/PC

Entita Identifikátor
Správa - Osoby
  • GUID AD
  • přihlašovací jméno bez domény (a AD GIUD osoby je také NULL - tj. ručně vytvořený uživatel)
Administrace - Skupiny
  • AD GUID
  • Skupina (název)
AM - Uživatelé/Počítače/Složky
  • AD GUID
  • klíčový atribut podle tblAdMap (a AD GUID objektu je také NULL)

Podporované scénáře

Synchronizace s celým AD (včetně mazání uživatelů)

Proveďte import celého AD (LDAP://DC=...) a při importu skupin a uživatelů do Administration použijte parametr remove (/users remove)

Import několika vybraných skupin AD do systému Alvao

  1. Vytvořte v AD novou skupinu ALVAO a nastavte jako členy všechny vybrané skupiny, které chcete importovat do Alvao.
  2. Nastavte import a cestu v parametru /adpath. nastavte ALVAO na tuto skupinu.
    Například: /adpath "LDAP://CN=alvao,OU=import,DC=domain".
  3. Všechny vybrané skupiny a jejich členové (včetně uživatelů) se zobrazí v administraci. Členství ve skupinách bude nastaveno správně.

Import bez fotografií přímo z AD

Při importu uživatelů z AD se ve výchozím nastavení načítají také portréty z vlastností thumbnailPhoto a jpegPhoto. Portréty uživatelů jsou uloženy v databázi Alvao.
Pokud nechcete načítat portréty z AD, spusťte import z příkazového řádku a přidejte příkaz /noportraits.
Příklad: V seznamu portrétů je uveden příkaz portrétů

ImportAD.exe /adpath" LDAP://OU=ou1,DC=my,DC=domain" /server server1 /db alvao /objectscomputers,users /users /portraits

Pozn:
Pro automatické načtení naplánované úlohy je tedy nutné upravit příkaz ImportAD přidáním parametru /noportraits

Import objektů do správy aktiv

Spusťte import v celé službě AD (nelze importovat blokované účty) nebo ve vybrané organizační jednotce a pomocí přepínače Switch /objects určete, co se má importovat. Pomocí přepínače /objectparentid určete, kam se mají objekty importovat (volitelné)

Vyhledání blokovaných uživatelů ze služby Active Directory

  1. Ve stromu v hlavním okně AM Console vyberte celou organizaci a klikněte na kartu Objekty - vše.
  2. Zobrazte sloupec Účet je blokován.
  3. Nastavte filtr ve sloupci Druh na hodnotu Uživatela filtr pro sloupec Účet je blokován na hodnotu Ano.
  4. Po vytvoření seznamu blokovaných uživatelů použijte příkaz Zobrazit v seznamech objektů, abyste se mohli snadněji pohybovat v položkách seznamu.
  5. Filtrovaný seznam obsahuje uživatele, kteří mají ve službě Active Directory zablokovaný účet. Přesuňte tyto uživatele do složky pro vyloučené uživatele.

Odstranění starých uživatelů

Chcete-li odstranit staré uživatele, kteří se již nějakou dobu nenacházejí v adresáři Active Directory, postupujte podle tohoto návodu:

  1. Na stránce Administrace na stránce Uživatelé seřaďte uživatele podle sloupce Naposledy importováno z AD vzestupně.
  2. Vyberte a odstraňte uživatele, kteří již delší dobu nebyli nalezeni ve službě AD.

Odstranění starých objektů ze správy aktiv

Chcete-li odstranit staré objekty, které již delší dobu nebyly nalezeny ve službě Active Directory, postupujte podle tohoto postupu:

  1. V okně AM Console, ve stromu objektů vyberte celou organizaci a přejděte na kartu Objekty.
  2. Zobrazte sloupec Naposledy importováno z AD.
  3. Pomocí filtru ve sloupci Druh zobrazte pouze počítače nebo uživatele.
  4. Nastavte filtr ve sloupci Naposledy importováno z AD na hodnotu not "" a seřaďte tabulku vzestupně.
  5. V místní nabídce použijte příkaz Zobrazit v seznamech objektů.
  6. V okně Seznamy objektů postupně procházejte staré objekty. Pokud měl uživatel nějaký objekt, doplňte jeho návrat.
  7. Přesuňte objekty do složky Vyřazený majetek.

Přejmenujte počítač

Pokud je počítač načten ze služby Active Directory (AD) a potřebujete jej přejmenovat:

  1. Přejmenujte počítač v systému Windows (počítač bude mít v systému AD stejný GUID).
Poznámka:
Při příštím importu z AD nástroj ImportAD automaticky přejmenuje počítač také na adrese Asset Management

Přeinstalování (reimage) počítače se zachováním názvu

Pokud je počítač načten ze služby Active Directory (AD) a vy potřebujete přeinstalovat jeho operační systém nebo jej obnovit z obrazu disku a zachovat jeho název v síti:

  1. Odeberte počítač ze služby AD.
  2. Přejděte na stránku AM Console, vyhledejte počítač ve stromu a použijte příkaz Upravit z místní nabídky
    Odstraňte hodnotu v poli GUID objektu ve službě Active Directory.
  3. Znovu nainstalujte operační systém nebo jej obnovte z image disku. Dejte počítači jeho původní název.
  4. Znovu zaregistrujte počítač ve službě AD (počítač získá nový identifikátor GUID ve službě AD).
Poznámka:
Při příštím importu ze služby AD nástroj ImportAD automaticky spáruje nový počítač ve službě AD s počítačem na adrese Asset Management podle vlastnosti Network Name

 

Nenašli jste co jste hledali? Zeptejte se našeho týmu technické podpory.