Skip Navigation LinksALVAO 8.2ALVAO Asset ManagementImplementace systému v organizaciSpráva uživatelůImportAD Skip Navigation Links. Skip Navigation Links Skip Navigation Links.


Přepnout verzi ALVAO
Change language

ImportAD

Popis funkce

Aplikace slouží k importu (synchronizaci) uživatelů a skupin z Active Directory pro celý systém ALVAO. Utilita také umožňuje importovat objekty (uživatele, počítače a organizační členění) do modulu Asset Management.

Poznámka:
Import členů skupin z jiných trustovaných domén není prozatím podporován.

Syntax příkazové řádky

ImportAD /adpath "LDAP cesta" {/conn "připojovací řetězec" | /server "jméno databázového serveru" /db "jméno databáze"} [/users [remove,outsidegroups]] [/usermap "mapování atributů"] [/objects {users,computers,ou,flat}] [/objectparentid "NodeId"] [/login "přihlašovací jméno"] [/pswd "heslo"] [/log "soubor"] [/progress] [/wait] [/help] [/noportraits]

Podrobný popis parametrů

Parametr Popis
/adpath <LDAP cesta> Cesta v Active Directory ve formátu LDAP. Jsou podporovány tři varianty:
  1. Import DC (celé AD) - importují se všichni uživatelé a skupiny včetně natavení členství skupin a uživatelů ve skupinách ("kopie" celého AD).
  2. Import konkrétní OU (organizační složky) - importují se všichni uživatelé a skupiny uvnitř zadané OU. Je zde možné použít parametr outsidegroups viz detailnější popis níže.
  3. Import konkrétní CN (skupiny) - importují se všichni uživatelé a skupiny, kteří jsou členy konkrétní skupiny (do hloubky - viz pozn. níže).

Pozn.:

  • Procházení členství skupin do hloubky spočívá v tom, že se projdou všechny skupiny, které jsou členy konkrétní skupiny, pak se projdou jejich členové, opět jejich členové apod.
    Př.: Skupina C je členem skupiny B a ta je členem skupiny A. Import importuje všechny skupiny A+B+C.
  • Přepínač /objects (import objektů do Asset Management) nepracuje s cestou směrovanou z konkrétní skupiny (CN).
/conn <řetězec>
/server<název serveru>
/db <název databáze>		 Těmito parametry se nastavuje připojení k databázi ALVAO. Je možné použít připojovací řetězec (např. /conn "Data source=.\sqlexpress;Initial Catalog=test;Integrated Security = True"), nebo jednoduše zadat konkrétní SQL server a DB (např. /server ".\sqlexpress" /db"test").
V případě, že použijete parametry /server a /db, připojení do databáze se provede pomocí integrovaného přihlašování Windows. Zadáte-li všechny tyto parametry, použije se pouze /conn parametr, /server a /db budou ignorovány.
/users <parametry> Importovat uživatele a skupiny do Admina. Parametry se oddělují čárkou.

Popis možných parametrů:
Parametr Význam
remove Odstraňovat uživatele, které nenajde v AD. Příznak funguje pouze při importu celého AD (DC).
outsidegroups Pokud je import spuštěn na OU (organizační složce), importovat i členy skupin (skupiny uvnitř OU) ležící mimo vybranou OU.
Poznámka:
prohledávání členů skupin jde do libovolné hloubky.
Příklad:
Importujeme OU "CZ", ve které je skupina "CZA". Členem skupiny "CZA" skupina "SKA", ležící v jiné OU "SK". Členem skupiny "SKA" je osoba "Peter".
Pokud použijeme tento přepínač, "SKA" a "Peter" se importuje (i když leží mimo importované OU "CZ"). Taktéž se importují případní další členové skupiny "SKA" do neomezené hloubky (členové skupin).
Pokud přepínač nepoužijeme, skupina "SKA" ani osoba "Peter" se nevytvoří.
/usermap <mapování> Pomocí tohoto příkazu je možné určit mapování některých atributů při importu uživatelů a skupin do Admina. Podporované atributy:
Atribut Název pole v programu Admin
Company Organizace
PersonalNumber Osobní číslo
@tPersonCust.Sloupec Vlastní položky osoby – viz poznámka
Atributy je možné mapovat buď na konstantní řetězec na příkazovém řádku (např. chcete, aby měly všechny osoby shodnou Organizaci zadanou ručně), nebo na určité pole z AD.
Poznámka:

Atributy lze také mapovat na libovolnou existující vlastní položku z tabulky tPersonCust, kromě položek typu int, které používají seznam hodnot. Název atributu musí být "@"+ [tPersonCust] +[název sloupce v databázi], např. @tPersonCust.Title.
Více viz příklady použití.
/objects <parametry> Importovat objekty do Asset Management. Parametry se oddělují čárkami.
Popis možných parametrů:
Parametr Význam
users Importovat uživatele.
computers Importovat počítače.
ou Importovat organizační členění.
flat Importovat pouze objekty v zadané cestě a neprohledávat včetně podsložek.
Upozornění:
Je nutné zadat alespoň jeden z parametrů: users, computers, ou.
Poznámka:

Mapování atributů AD na vlastnosti AM se nastavuje pomocí tabulky tblADMap.
Import vytváří nové objekty ve složce Načtené objekty z Active Directory.
/objectparentid <NodeId> Nové objekty vytvářet jako podřazené objekty pod objektem s ID: <NodeId>. Funguje pouze ve spojení s přepínačem /objects.
Pozn.: Hodnotu NodeId zjistíte v Konzoli na záložce Objekty zobrazením systémového sloupce NodeId, nebo v tabulce tblNode.intNodeId.
/noportraits Importovat bez portrétů.
/wait Na konci importu čekat na stisk klávesy.
/progress Zobrazovat průběh importu.
/login <přihlašovací jméno> Přihlašovací jméno uživatele. Tento účet bude použit k přístupu do AD.
Pozn.: Pokud není zadán tento parametr, import bude přistupovat do AD pod účtem, pod kterým byla aplikace spuštěna (aktuálně přihlášený uživatel ve Windows).
/pswd <heslo> Heslo uživatele, pod jehož účtem se bude přistupovat do Active Directory.
/log <soubor> Logovat do souboru. Zadejte cestu a název souboru.
Pozn.: Log bude při každém spuštění přepsán.
/datetimeformat Formát data v textových řetězcích (např. "dd/mm/yyyy"). Pokud se parametr nezadá, formát se automaticky při převodu rozpozná.
Podrobný popis možných formátů lze nalézt v MSDN.

Mapování polí na atributy AD u osob

Název pole Název atributu v AD
Jméno a příjmení cn
Pozn.: Je možné globálně změnit v nastavení importu (viz příkaz "Soubor - Načíst uživatele z LDAP - Možnosti" v programu Admin).
Email mail
Telefon telephoneNumber
Mobil/ mobile
Kancelář physicalDeliveryOfficeName
Organizace company
Oddělení department
Pracovní pozice title
Uživatelské jméno sAMaccountName
Nadřízený manager
Účet je zablokován userAccountControl

Příklady použití

  1. Import všech členů skupiny "mygroup" pomocí zadání jednoduchého přihlášení k SQL serveru:
    ImportAD.exe /adpath "LDAP://CN=mygroup,DC=my,DC=domain" /server "server\sql2005"  /db "alvao" /users

  2. Import celého AD a specifického připojení k SQL serveru, odstraňovat uživatele, které nenajde v AD:
    ImportAD.exe /adpath "LDAP://DC=my,DC=domain" /conn "Data Source=.\sqlexpress;Initial Catalog=alvao;Integrated Security=True" /users remove

  3. Import konkrétní organizační složky a jednoduchého přihlášení k SQL. Do pole "Organizace" bude u všech uživatelů nastaven řetězec "ALVAO". Do pole "PersonalNumber" bude přenesena hodnota z AD atributu "PersonalNumber". Do vlastní položky "Title" bude přenesena hodnota z AD atributu "PersonalTitle".Importují se i skupiny ležící mimo OU, které jsou členy skupin uvnitř OU:
    ImportAD.exe /adpath "LDAP://OU=ou1,DC=my,DC=domain" /server server1 /db alvao /users outsidegroups /usermap "Company='ALVAO'" /usermap "PersonalNumber=AD.PersonalNumber" /usermap "@tPersonCust.Title=AD.PersonalTitle"

  4. Import nově nastupujících zaměstnanců. Nikdo z nich není externista, všichni mají poloviční úvazek, nastupují 15. 8. ve 10 hodin v budově na Nábřežní 12 v místnosti č. 007. Vše se uloží do vlastních položek příslušných typů.
    ImportAD.exe /adpath "LDAP://DC=new,DC=domain" /conn "Data Source=.\sqlexpress;Initial Catalog=alvao;Integrated Security=True" /users /usermap "@tPersonCust.Externist='0'" /usermap "@tPersonCust.Part_time='0,5'" /usermap "@tPersonCust.Date_of_onboard='15.8.2015 10:00:00'" /usermap "@tPersonCust.Building_address='Nábřežní 12'" /usermap "@tPersonCust.Room_number='007'"

  5. Import objektů typu "Počítač" a "Uživatel" do Asset Management:
    ImportAD /adpath "LDAP://OU=ou1,DC=my,DC=domain" /server server1 /db alvao /objects computers,users

  6. Import objektů typu "Počítač" a "Uživatel" do Asset Management a také uživatelů a skupin do programu Admin:
    ImportAD /adpath "LDAP://OU=ou1,DC=my,DC=domain" /server server1 /db alvao /objects computers,users /users

  7. Import počítačů ze standardního kontejneru Computers do Asset Management:
    ImportAD /adpath "LDAP://CN=Computers,DC=my,DC=domain" /server server1 /db alvao /objects computers

Podporované scénáře

Synchronizace s celým AD (včetně odstraňování uživatelů)

Spusťte import na celé AD (LDAP://DC=...) a při importu skupin a uživatelů do programu Admin navíc použijte parametr remove (/users remove).

Import několika vybraných AD skupin do ALVAO

  1. Vytvořte v AD novou skupinu "ALVAO" a jako členy nastavte všechny vybrané skupiny, které chcete importovat do ALVAO systému.
  2. Spusťte import a cestu v parametru /adpath nastavte na tuto skupinu "ALVAO".
    Př.: /adpath "LDAP://CN=alvao,OU=import,DC=domain"
  3. V programu Admin se objeví všechny vybrané skupiny a jejich členové (včetně uživatelů). Členství skupin bude správně nastaveno./li>

Import bez fotek přímo z AD

Při importu uživatelů z AD se standardně načítají i portréty, a to z vlastností thumbnailPhoto a jpegPhoto. Portréty uživatelů se ukládají do ALVAO databáze.
Pokud nechcete načíst portréty z AD, pak spusťte import z příkazové řádky a připište parametr /noportraits.
Např.:

ImportAD /adpath "LDAP://OU=ou1,DC=my,DC=domain" /server server1 /db alvao /objects computers,users /users /noportraits

Poznámka:
Pro automatické načítání naplánovanou úlohou je tedy nezbytné upravit příkaz „ImportAD“ přidáním parametru /noportraits.

Import objektů do Asset Management

Spusťte import na celé AD nebo vybrané OU a pomocí přepínače /objects určete, co se má importovat. Pomocí přepínače /objectparentid definujte, kam se mají objekty importovat (volitelné).

Nalezení zablokovaných uživatelů z Active Directory

  1. Ve stromu v hlavním okně AM Console vyberte celou organizaci a klikněte na záložku Objekty - všechno.
  2. Zobrazte sloupec "Účet je zablokován".
  3. Nastavte filtr ve sloupci "Druh" na "Uživatel" a filtr pro sloupec "Účet je zablokován" na "Ano".
  4. Po vytvoření seznamu zablokovaných uživatelů použijte příkaz "Zobrazit v seznamech objektů" pro jednodušší procházení položek seznamu.
  5. Ve vyfiltrovaném seznamu jsou uživatelé, kteří mají v Active Directory zablokovaný účet. Tyto uživatelé přesuňte do složky pro vyřazené uživatele.

 

Nenašli jste co jste hledali? Zeptejte se našeho týmu technické podpory.