或者您只是需要除了打開“用戶和計算機(jī)”之外的一種更加輕松的方法來管理 Active Directory??,則有大量免費管理工具可以提供幫助。有些工具內(nèi)置于 Windows?? 操作系統(tǒng)中,有些位于資源工具包或 Windows 支持工具中,而有些甚至是免費的第三方工具。這些便捷工具都包括什么,可以從何處獲取?讓我們來了解一下。
首先介紹 Windows Server?? 2003 中的內(nèi)置命令行工具,這些工具允許您在 Active Directory 中創(chuàng)建、刪除、修改和查找對象。
CSVDE
逗號分隔值數(shù)據(jù)交換工具(即 CSVDE)允許您使用 CSV 源文件將新對象導(dǎo)入到 Active Directory 中;此外,該工具還提供了將現(xiàn)有對象導(dǎo)出到 CSV 文件的功能。CSVDE 不能用于修改現(xiàn)有對象;在導(dǎo)入模式下使用此工具時,您只能創(chuàng)建全新的對象。
使用 CSVDE 導(dǎo)出現(xiàn)有對象的列表相當(dāng)簡單。將 Active Directory 對象導(dǎo)出到名為 ad.csv 的文件,方法如下:
csvde –f ad.csv
–f 開關(guān)表示后面為輸出文件的名稱。但是您必須注意,根據(jù)環(huán)境的不同,此基本語法可能會生成不實用的大型輸出文件。要將此工具限制為僅導(dǎo)出特定組織單位 (OU) 中的對象,可以將語句修改為如下形式:
csvde –f UsersOU.csv –d ou=Users,dc=contoso,dc=com
進(jìn)一步假定您只對將用戶對象導(dǎo)出到 CSV 文件感興趣。如果是那樣的話,您可以添加 –r 開關(guān)和 –l 開關(guān),前者允許指定輕型目錄訪問協(xié)議 (LDAP) 篩選器進(jìn)行搜索,后者可以限制導(dǎo)出的屬性的數(shù)量(請注意以下所有內(nèi)容位于一行):
csvde –f UsersOnly.csv –d ou=Users,dc=contoso,dc=com –r "(&(objectcategory=person)(objectclass=user))" –l DN,objectClass,description
通過 –i 開關(guān),您可以將對象從源 CSV 文件導(dǎo)入到 Active Directory.但是,使用 CSVDE 創(chuàng)建用戶對象存在一個關(guān)鍵限制:不能使用 CSVDE 設(shè)置用戶密碼。因此,應(yīng)該避免使用 CSVDE 創(chuàng)建用戶對象。
LDIFDE
Active Directory 還提供了另外一個用于執(zhí)行批量用戶操作的內(nèi)置工具,稱為 LDIFDE,與 CSVDE 相比,此工具更強(qiáng)大,更靈活。除了可以創(chuàng)建新對象外,LDIFDE 還可以修改和刪除現(xiàn)有對象,甚至擴(kuò)展 Active Directory 架構(gòu)。LDIFDE 雖然具有靈活性,但為了實現(xiàn)這種靈活性卻必須要使用擴(kuò)展名為 .ldf 的 LDIF 文件作為輸出文件,這種文件與簡單的 CSV 文件相比,格式更復(fù)雜。(只需少量操作就可以配置好用戶密碼,我稍后將對此進(jìn)行介紹。)
我們從一個簡單的示例開始,將某個 OU 中的用戶導(dǎo)出到 LDF 文件中(請注意以下所有內(nèi)容位于一行):
ldifde -f users.ldf -s DC1.contoso.com -d "ou=UsersOU,dc=contoso,dc=com" –r "(&(objectcategory=person)(objectclass=user))"
與大多數(shù)命令行工具一樣,您可以通過運行 LDIFDE /? 命令找到 LDIFDE 開關(guān)的完整說明。圖 1 介紹了我在此使用過的開關(guān)。(注意 CSVDE 和 LDIFDE 命令的開關(guān)實際上是相同的。)
LDIFDE 的真正功能在于創(chuàng)建和操作對象。然而,進(jìn)行此操作之前,您首先需要創(chuàng)建一個輸入文件。以下語句創(chuàng)建兩個名為 afuller 和 rking 的用戶帳戶;要創(chuàng)建該輸入文件,請在記事本(或者您喜歡的純文本編輯器)中輸入以下文本,然后將其保存為 NewUsers.ldf:
dn: CN=afuller, OU=UsersOU, DC=contoso, DC=com changetype: add cn: afullerobjectClass: user samAccountName: afuller dn: CN=rking, OU=UsersOU, DC=contoso, DC=com changetype: add cn: rkingobjectClass: user samAccountName: rking
創(chuàng)建完該文件后,請運行以下命令:
ldifde –i –f NewUsers.ldf –s DC1.contoso.com
您可能會猜到,此處使用的唯一新開關(guān) -i 表明這是一項導(dǎo)入操作而非導(dǎo)出操作。
如果要修改或刪除現(xiàn)有對象,不必更改 LDIFDE 命令的語法;相反,您應(yīng)該修改 LDF 文件中的內(nèi)容。要更改用戶帳戶的說明字段,請創(chuàng)建名為 ModifyUsers.ldf 的文本文件,如圖 1 所示。
![]("http://windows.chinaitlab.com/UploadFiles_3263/200710/20071009120957871.gif")
圖 1 ModifyUsers LDF 文件
您可以通過運行與之前相同的 LDIFDE 命令語法,在 -f 開關(guān)后面指定新的 LDF 文件名來導(dǎo)入更改。用于刪除對象的 LDF 格式更簡單;要刪除一直使用的用戶,請創(chuàng)建一個名為 DeleteUsers.ldf 的文件,然后輸入以下內(nèi)容:
dn: CN=afuller OU=UsersOU, DC=contoso, DC=com changetype: deletedn: CN=rking, OU=UsersOU, DC=contoso, DC=com changetype: delete
注意,與 CSVDE 不同,LDIFDE 能夠配置用戶密碼。不過,在為用戶帳戶配置 unicodePWD 屬性之前,必須在域控制器上配置安全套接字層/傳輸層安全性 (SSL/TLS) 加密。
而且,LDIFDE 能夠創(chuàng)建和修改任何類型的 Active Directory 對象,并不僅限于用戶帳戶。例如,下面的 LDF 文件可在 contoso.com 林的架構(gòu)中創(chuàng)建名為 EmployeeID-example 的自定義架構(gòu)擴(kuò)展:
dn: cn=EmployeeID-example,cn=Schema,cn=Configuration,dc=contoso,dc=comchangetype: addadminDisplayName: EmployeeID-ExampleattributeID: 1.2.3.4.5.6.6.6.7attributeSyntax: 2.5.5.6cn: Employee-IDinstanceType: 4isSingleValued: TruelDAPDisplayName: employeeID-example
由于 LDIFDE 文件使用工業(yè)標(biāo)準(zhǔn) LDAP 文件格式,因此需要修改 Active Directory 架構(gòu)的第三方應(yīng)用程序會經(jīng)常提供 LDF 文件,您可以在將這些更改應(yīng)用于生產(chǎn)環(huán)境之前使用這些文件檢查和批準(zhǔn)更改。
除了用于執(zhí)行批量導(dǎo)入和導(dǎo)出操作的工具外,Windows Server 2003 還包括一個內(nèi)置工具集,您可以使用它來創(chuàng)建、刪除和修改各種 Active Directory 對象,還可以對符合特定條件的對象執(zhí)行查詢。(請注意 Windows 2000 Active Directory 并不支持這些工具,如 dsadd、dsrm、dsget 和 dsquery 等。)
