Importovat nástroj

Popis funkce

Tento nástroj slouží k importu (synchronizaci) uživatelů a skupin ze služby Active Directory pro celý systém Alvao. Nástroj také umožňuje importovat objekty (uživatele, počítače a organizační jednotky) do modulu Správa majetku.

Nástroj lze nalézt v instalační složce Asset Management Console ("%ProgramFiles%\ALVAO\Asset Management Console\ImportUtilities") nebo jej můžete zkopírovat z aplikačního serveru z instalační složky Alvao Service ("%ProgramFiles%\ALVAO\AlvaoService\utilities").

Účet, pod kterým nástroj spouštíte, musí být členem skupiny Domain Admins nebo musí mít delegované oprávnění Číst všechny informace o uživateli.

Poznámka

Pokud se v importovaných skupinách objeví členové z jiných důvěryhodných domén, bude v některých případech nutné tyto domény uvést v tabulce AdTrustedDomain.

Poznámka

Jazyk uživatele je nastaven atributem preferuLanguage nebo countryCode při importu z Active Directory.

Syntaxe příkazového řádku

ImportAD.exe /adpath "cesta LDAP" {/conn "připojovací řetězec"| /server "název databázového serveru" /db "název databáze"}
  [/users [remove,outsidegroups]]
  [/usermap "mapování atributů"]
  [/objects {users,computers,ou,flat,disabled}]
  [/objectparentid NodeId]
  [/login "login name"]
  [/pswd "password"]
  [/log "file"]
  [/progress]
  [/wait]
  [/help]
  [/noportraits]

Parametry

Parametr	L 343, 22.12.2009, s. 1).
/adpath <LDAP path>	Cesta k Active Directory ve formátu LDAP. Podporovány jsou tři varianty: Import DC (celé služby AD) - importují se všichni uživatelé a skupiny včetně nastavení členství ve skupinách a uživatelích ("kopie" celé služby AD). Import konkrétní organizační jednotky (OU) - importují se všichni uživatelé a skupiny v rámci zadané OU. Je možné použít mimoskupiny, podrobnější popis viz níže. Import konkrétního CN (skupiny) - importují se všichni uživatelé a skupiny, které jsou členy konkrétní skupiny (do hloubky - viz poznámka níže). Poznámka Pokud potřebujete použít LDAPS, musíte před zadáním variant přidat název hostitele a port serveru Active Directory: "LDAP://<Hostname serveru AD>:636/...". Poznámka Hloubkové procházení členství ve skupinách zahrnuje procházení všech skupin, které jsou členy určité skupiny, pak procházení jejich členů, opět procházení jejich členů atd. Příklad: Skupina C je členem skupiny B, která je členem skupiny A. Import importuje všechny skupiny A+B+C. Přepínač /objects (import objektů do Správa majetku) nefunguje se cestou směrovanou z konkrétní skupiny (CN).
/conn <chain> /server<server name> /db <database name>	Tyto parametry slouží k nastavení připojení k databázi Alvao. Je možné použít řetězec připojení (např. /conn"Zdroj dat=.\sqlexpress;Počáteční katalog=test;Integrované zabezpečení = True;TrustServerCertificate=True ") nebo jednoduše zadat konkrétní SQL server a DB (např. /server ".\sqlexpress " /db*"test "*). Pokud použijete parametry /server a /db, připojení k databázi se uskuteční pomocí integrovaného ověřování systému Windows. Pokud zadáte všechny tyto parametry, použije se pouze parametr /conn, parametry /server a /db budou ignorovány.
/uživatelé <parameters>	Importovat uživatele a skupiny do administrace. Parametry jsou odděleny čárkou. Popis možných parametrů: Parametr Význam odstranit Odebrat uživatele, které nelze najít v AD. Tento příznak funguje pouze při importu skupiny, organizační jednotky, kontejneru nebo celé služby AD (DC). Odstraněny jsou pouze účty, které byly původně importovány ze služby AD. Ručně vytvořené účty se neodstraňují. outsidegroups Pokud import probíhá na OU (organizační jednotce), importujte také členy skupin (skupiny v rámci OU) ležící mimo vybranou OU. Vyhledávání členů skupiny jde do libovolné hloubky. Příklad: Importujeme OU "CZ" , ve kterém je skupina "CZA". Členem skupiny "CZA" je skupina "SKA", která se nachází v jiném OU "SK". Členem skupiny "SKA" je osoba "Peter". Pokud použijeme tento přepínač, importují se "SKA" a "Peter" (i když leží mimo importovanou OU "SK"). Další členové skupiny "SKA" jsou rovněž importováni do neomezené hloubky (členové skupiny). Pokud přepínač nepoužijete, nebude vytvořena skupina "SKA" ani osoba "Peter" .
/usermapa <mapping>	Tento přepínač slouží k zadání mapování určitých atributů při importu uživatelů a skupin do Správy. Přepínač funguje pouze v kombinaci s /users. Podporované atributy: Atribut Název pole ve správě Článek 2 Organizace Osobní číslo Osobní číslo @tPersonCust.Sloupec Uživatelská pole - viz poznámka Atributy lze namapovat buď na konstantní řetězec v příkazovém řádku (např. chcete, aby všechny osoby měly ručně zadanou stejnou organizaci), nebo na konkrétní pole z AD. Další podrobnosti naleznete v příkladech použití. Poznámka Atributy lze také mapovat na jakákoli existující vlastní pole z tabulky tPersonCust(kromě polí typu int, která používají seznam hodnot, a typu users). Název atributu musí být "@"+[tPersonCust] +[sloupec databáze], např. @tPersonCust.Title. Tip Přepínač lze použít pouze při importu do aplikace Administration. Chcete-li namapovat atributy služby AD na vlastnosti objektu v nástroji Asset Management, použijte článek Mapování atributů služby Active Directory na vlastnosti objektu.
/objects <parameters>	Importovat objekty do Správa aktiv. Parametry jsou odděleny čárkami. Popis možných parametrů: Parametr Význam uživatelé Importovat uživatele. Počítače Importovat počítače. Vye Import organizačních jednotek. plochá Importovat pouze objekty v zadané cestě a neprohledávat včetně podsložek. neaktivní Importujte také uživatele se zakázanými účty. Tato možnost je k dispozici od verze 25.2 systému ALVAO. Varování Musíte zadat alespoň jeden z následujících parametrů: users, computers, ou. Poznámka Mapování atributů AD na vlastnosti AM se nastavuje pomocí tabulky tblADMap. Import vytvoří nové objekty ve složce Objekty načtené ze služby Active Directory.
/objectparentid NodeId	Vytvoření nových objektů jako podřízených objektů pod objektem s ID: <NodeId>. Funguje pouze ve spojení s přepínačem /objects. Poznámka Hodnotu NodeId můžete zjistit v konzole AM na kartě Objekty zobrazením systémového sloupce NodeId nebo v tblNode.intNodeId.
/noportréty	Importovat bez portrétů.
/čekat	Počkejte na stisk klávesy na konci importu.
/postup	Zobrazit průběh importu.
/Přihlásit se <login>	Přihlašovací jméno uživatele. Tento účet bude použit pro přístup k AD. Poznámka Pokud tento parametr není zadán, bude import přistupovat k službě AD pod účtem, pod kterým byl nástroj spuštěn (aktuálně přihlášený uživatel systému Windows).
/pswd <password>	Heslo uživatele, jehož účet bude použit pro přístup ke službě Active Directory.
/log <file>	Zadejte cestu a název souboru protokolu. Poznámka Při každém spuštění bude protokol přepsán.
/datetimeformat	Formát data v textových řetězcích (např. dd/mm/rrrr). Pokud není parametr zadán, formát se při převodu rozpozná automaticky. Podrobný popis možných formátů naleznete v MSDN.

Mapování polí na atributy AD pro osoby

Název pole	Název atributu v reklamě
Křestní a příjmení	cn Poznámka Výchozí šablonu uživatelské jméno můžete změnit.
E-mailová adresa	E-mail
Telefon	telephoneNumber
Mobil	mobilní
Kancelář	physicalDeliveryOfficeName
Organizace	společnost
Divize	oddělení
Pracovní pozice	titulek
Uživatelské jméno	userPrincipalName
Uživatelské jméno (pro starší systémy)	sAMaccountName
Dozor	manažer
Účet je zablokován	kontrola uživatelského účtu

Příklady použití

1. Importovat všechny členy skupiny mygroup zadáním jednoduchého přihlášení k SQL serveru:

Importovat AD.exe /adpath "LDAP://CN=mygroup,DC=my,DC=domain" /server "server\sql2005" /db "alvao" /users

2. Importovat celé AD a specifické připojení k SQL serveru, odstranění uživatelů, které nelze najít v AD:

ImportAD.exe /adpath "LDAP://DC=my,DC=domain" /conn "Data Source=.\sqlexpress;Initial Catalog=alvao;Integrated Security=True;TrustServerCertificate=True" /users remove

3. Importovat specifickou organizační složku a jednoduché přihlášení SQL. Pole Organizace bude nastaveno na řetězec Contoso pro všechny uživatele. Pole PersonalNumber bude obsahovat hodnotu z atributu AD PersonalNumber. Vlastní pole Title bude obsahovat hodnotu z atributu PersonalTitle AD. Skupiny mimo ODE, které jsou členy skupin uvnitř ODE, jsou také importovány:

ImportAD.exe /adpath "LDAP://OU=ou1,DC=my,DC=doména" /server "server1" /db alvao /users outsidegroups /usermap "Company='Contoso'" /usermap "PersonalNumber=AD.ZaměstnancieID" /usermapa "@tPersonCust.Title=AD.PersonalTitle"

4. Import nových uzlů. Žádný z nich není strážci, všichni jsou na částečný úvazek a začínají 15. srpna v 10:00. v budově 12 Waterfront St. v místnosti 007. Všechny budou umístěny do vlastních řádkových položek jejich příslušných typů.

ImportAD.exe /adpath "LDAP://DC=new,DC=domain" /conn "Data Source=.\sqlexpress;Initial Catalog=alvao;Integrated Security=True;TrustServerCertificate=True" /users /usermap "@tPersonCust.Externist='0'" /usermap "@tPersonCust.Part_time='0,5'" /usermap "@tPersonCust.Date_of_onboard='8/15/2015 10:00:00'" /usermap "@tPersonCust.Building_address='12 Waterfront St.'" /usermap "@tPersonCust.Room_number='007'"

5. Importovat objekty typu Computer a User do Asset Management:

Importovat AD.exe /adpath "LDAP://OU=ou1,DC=my,DC=domain" /server "server1" /db "alvao" /objects "počítače,uživatelé"

6. Importovat objekty typu Computer a User do Asset Management a také uživatele a skupiny do administrace:

Importovat AD.exe /adpath "LDAP://OU=ou1,DC=my,DC=domain" /server "server1" /db "alvao" /objects "počítače,uživatelé" /uživatelé

Identifikátory klíče pro vytvoření nebo aktualizaci uživatele/PC

Subjekt	Identifier
Administrace – Osoby	AD GUID přihlašovací jméno bez domény (a AD GIUD osoby je také NULL - tj. ručně vytvořený uživatel)
Administrace - Skupiny	AD GUID Skupina (název)
AM - Uživatelé/Počítače/Složky	AD GUID atribut klíče podle tblAdMap (a AD GUID objektu je také NULL)

Podporované scénáře

Synchronizace s celou reklamou (včetně odstranění uživatelů)

Provést ADT import (LDAP://DC=...) a používejte parametr odstranit při importu skupin a uživatelů do administrace. (/user remove).

Importuji několik vybraných AD skupin do Alvao

1. Vytvořte novou skupinu Alvao v AD. Nastavte všechny vybrané skupiny, které chcete importovat do Alvao jako členové.

2. Nastaven import a cesta v parametru /adpath. nastavit Alvao do této skupiny.

Např.: /adpath "LDAP://CN=alvao,OU=import,DC=doména"

3. Všechny vybrané skupiny a jejich členové (včetně uživatelů) se objeví v administraci. Členství ve skupinách bude nastaveno správně.

Importovat bez fotografií přímo z AD

Při importu uživatelů z AD, jsou portréty ve výchozím nastavení načteny z vlastností thumbnailPhoto a jpegPhoto. Uživatelské portréty jsou uloženy v databázi Alvao. Pokud nechcete načíst portréty z AD, spusťte import z příkazového řádku a přidejte /noportraits.

Například:

Importovat AD.exe /adpath"LDAP://OU=ou1,DC=my,DC=domain" /server server1 /db počítače alvao /objektů, uživatelé, /uživatelé /portraity

Poznámka

Pro automatické načtení naplánované zakázky je nutné upravit příkaz ImportAD přidáním parametru /noportrét.

Importovat objekty do správy majetku

Spusťte import na celém reklam (nemůže importovat blokované účty) nebo vybrané OU a použijte přepínač 'Přepnout /objects pro upřesnění co importovat. Použij přepínač /objectparentid pro definování, kde importovat objekty (nepovinné).

Najít blokované uživatele z Active Directory

1. Ve stromu v hlavním okně AM konzole vyberte celou organizaci a klepněte na záložku Objekty - Vše.

2. Zobrazit Účet je blokovaný sloupec.

3. Nastavte filtr ve sloupci Typ na Uživatele a nastavte filtr pro Účet je zablokován na Ano.

4. Po vytvoření seznamu blokovaných uživatelů, použijte příkaz Zobrazit v seznamech objektů pro snadnější navigaci přes seznam položek.

5. Filtrovaný seznam obsahuje uživatele, kteří mají blokovaný účet v Active Directory. Přesunout tyto uživatele do složky pro vyloučené uživatele.

Odstranění starých uživatelů

Pokud chcete odstranit staré uživatele, kteří již nějakou dobu nebyli nalezeni v Active Directory, dodržte tento postup:

1. Na stránce Administrace na stránce Uživatelé seřaďte uživatele vzestupně podle sloupce Posledně importováno z AD.

2. Vyberte a odstraňte uživatele, kteří nebyli již dlouho nalezeni v reklamě.

Odstranit staré objekty ze správy majetku

Chcete-li odstranit staré objekty, které se již nějakou dobu nenacházejí ve službě Active Directory, postupujte podle tohoto postupu:

1. V AM konzolevyberte celou organizaci ve stromu objektů a přejděte na záložku objekty.

2. Zobrazit Naposledy importované z AD sloupce.

3. Použijte filtr ve sloupci Typ k zobrazení pouze počítačů nebo uživatelů.

4. Nastavte filtr na Aktualizujte importovaný z AD sloupce na ne "" a seřaďte tabulku vzestupně.

5. Z místní nabídky použijte příkaz Zobrazit v seznamech objektů.

6. V okně Seznamy objektů krok přes staré objekty. Pokud uživatel měl majetek, vyplňte jeho vrácení.

7. Přesunout objekty do složky Klasifikovaných aktiva.

Přejmenovat počítač

Pokud je počítač načten z Active Directory (AD) a musíte jej přejmenovat:

1. Přejmenujte počítač ve Windows (počítač zůstane ve stejném GUID v AD).

Poznámka

Při příštím importu z AD, nástroj ImportAD automaticky přejmenuje počítač i v Asset Management.

Znovu nainstalovat (znovu zobrazit) počítač s uchováním názvu

Pokud je počítač načten z Active Directory (AD) a musíte přeinstalovat jeho operační systém nebo jej obnovit z obrázku na disku a zachovat jeho název v síti:

1. Odstranit počítač z AD.

2. Přejděte k vlastnostem objektu a odstraňte vlastnost objektu Active Directory GUID objektu.

3. Přeinstalujte operační systém nebo jej obnovte z obrazového disku. Dejte počítači jeho původní název.

4. Znovu zaregistrujte počítač v AD (počítač dostane nové GUID v AD).

Poznámka

Při příštím importu z AD, utilita ImportAD automaticky spáruje nový AD počítač s počítačem v Asset Management podle vlastnosti Síťového jména.