假如您负责处理列有从下周开始工作的 200 名新员工资料的 Excel 电子表格,或者由于技术支持人员点击了某些不应点击的内容而导致用户帐户配置错误,
或者您只是需要除了打开“用户和计算机”之外的一种更加轻松的方法来治理 Active Directory??,则有大量免费治理工具可以提供帮助。有些工具内置于 Windows?? 操作系统中,有些位于资源工具包或 Windows 支持工具中,而有些甚至是免费的第三方工具。这些便捷工具都包括什么,可以从何处获取?让我们来了解一下。
首先介绍 Windows Server?? 2003 中的内置命令行工具,这些工具答应您在 Active Directory 中创建、删除、修改和查找对象。
CSVDE
逗号分隔值数据交换工具(即 CSVDE)答应您使用 CSV 源文件将新对象导入到 Active Directory 中;此外,该工具还提供了将现有对象导出到 CSV 文件的功能。CSVDE 不能用于修改现有对象;在导入模式下使用此工具时,您只能创建全新的对象。
使用 CSVDE 导出现有对象的列表相当简单。将 Active Directory 对象导出到名为 ad.csv 的文件,方法如下:
csvde –f ad.csv
–f 开关表示后面为输出文件的名称。但是您必须注重,根据环境的不同,此基本语法可能会生成不实用的大型输出文件。要将此工具限制为仅导出特定组织单位 (OU) 中的对象,可以将语句修改为如下形式:
csvde –f UsersOU.csv –d ou=Users,dc=contoso,dc=com
进一步假定您只对将用户对象导出到 CSV 文件感爱好。假如是那样的话,您可以添加 –r 开关和 –l 开关,前者答应指定轻型目录访问协议 (LDAP) 筛选器进行搜索,后者可以限制导出的属性的数量(请注重以下所有内容位于一行):
csvde –f UsersOnly.csv –d ou=Users,dc=contoso,dc=com –r "(&(objectcategory=person)(objectclass=user))" –l DN,objectClass,description
通过 –i 开关,您可以将对象从源 CSV 文件导入到 Active Directory.但是,使用 CSVDE 创建用户对象存在一个要害限制:不能使用 CSVDE 设置用户密码。因此,应该避免使用 CSVDE 创建用户对象。
LDIFDE
Active Directory 还提供了另外一个用于执行批量用户操作的内置工具,称为 LDIFDE,与 CSVDE 相比,此工具更强大,更灵活。除了可以创建新对象外,LDIFDE 还可以修改和删除现有对象,甚至扩展 Active Directory 架构。LDIFDE 虽然具有灵活性,但为了实现这种灵活性却必须要使用扩展名为 .ldf 的 LDIF 文件作为输出文件,这种文件与简单的 CSV 文件相比,格式更复杂。(只需少量操作就可以配置好用户密码,我稍后将对此进行介绍。)
我们从一个简单的示例开始,将某个 OU 中的用户导出到 LDF 文件中(请注重以下所有内容位于一行):
ldifde -f users.ldf -s DC1.contoso.com -d "ou=UsersOU,dc=contoso,dc=com" –r "(&(objectcategory=person)(objectclass=user))"
与大多数命令行工具一样,您可以通过运行 LDIFDE /? 命令找到 LDIFDE 开关的完整说明。图 1 介绍了我在此使用过的开关。(注重 CSVDE 和 LDIFDE 命令的开关实际上是相同的。)
LDIFDE 的真正功能在于创建和操作对象。然而,进行此操作之前,您首先需要创建一个输入文件。以下语句创建两个名为 afuller 和 rking 的用户帐户;要创建该输入文件,请在记事本(或者您喜欢的纯文本编辑器)中输入以下文本,然后将其保存为 NewUsers.ldf:
dn: CN=afuller, OU=UsersOU, DC=contoso, DC=com changetype: add cn: afullerobjectClass: user samAccountName: afuller dn: CN=rking, OU=UsersOU, DC=contoso, DC=com changetype: add cn: rkingobjectClass: user samAccountName: rking
创建完该文件后,请运行以下命令:
ldifde –i –f NewUsers.ldf –s DC1.contoso.com
您可能会猜到,此处使用的唯一新开关 -i 表明这是一项导入操作而非导出操作。
假如要修改或删除现有对象,不必更改 LDIFDE 命令的语法;相反,您应该修改 LDF 文件中的内容。要更改用户帐户的说明字段,请创建名为 ModifyUsers.ldf 的文本文件,如图 1 所示。
图 1 ModifyUsers LDF 文件
您可以通过运行与之前相同的 LDIFDE 命令语法,在 -f 开关后面指定新的 LDF 文件名来导入更改。用于删除对象的 LDF 格式更简单;要删除一直使用的用户,请创建一个名为 DeleteUsers.ldf 的文件,然后输入以下内容:
dn: CN=afuller OU=UsersOU, DC=contoso, DC=com changetype: deletedn: CN=rking, OU=UsersOU, DC=contoso, DC=com changetype: delete
注重,与 CSVDE 不同,LDIFDE 能够配置用户密码。不过,在为用户帐户配置 unicodePWD 属性之前,必须在域控制器上配置安全套接字层/传输层安全性 (SSL/TLS) 加密。
而且,LDIFDE 能够创建和修改任何类型的 Active Directory 对象,并不仅限于用户帐户。例如,下面的 LDF 文件可在 contoso.com 林的架构中创建名为 EmployeeID-example 的自定义架构扩展:
dn: cn=EmployeeID-example,cn=Schema,cn=Configuration,dc=contoso,dc=comchangetype: addadminDisplayName: EmployeeID-ExampleattributeID: 1.2.3.4.5.6.6.6.7attributeSyntax: 2.5.5.6cn: Employee-IDinstanceType: 4isSingleValued: TruelDAPDisplayName: employeeID-example
由于 LDIFDE 文件使用工业标准 LDAP 文件格式,因此需要修改 Active Directory 架构的第三方应用程序会经常提供 LDF 文件,您可以在将这些更改应用于生产环境之前使用这些文件检查和批准更改。
除了用于执行批量导入和导出操作的工具外,Windows Server 2003 还包括一个内置工具集,您可以使用它来创建、删除和修改各种 Active Directory 对象,还可以对符合特定条件的对象执行查询。(请注重 Windows 2000 Active Directory 并不支持这些工具,如 dsadd、dsrm、dsget 和 dsquery 等。)
