1、Windows 2000/03域用戶帳戶的導(dǎo)出/導(dǎo)入 HYPERLINK 2007年10月27日03:00大慶油田高級(jí)人才培訓(xùn)中心 張東輝作為網(wǎng)管，有時(shí)我們需要批量地向AD域中添加用戶帳戶，這些用戶帳戶既有一些相同的屬性，又有一些不同屬性。如果逐個(gè)添加、設(shè)置的話，十分地麻煩。一般來(lái)說(shuō)，如果不超過(guò)10個(gè)，我們可利用AD用戶帳戶復(fù)制來(lái)實(shí)現(xiàn)。如果再多的話，我們就應(yīng)該考慮使用csvde.exe或ldifde.exe來(lái)減輕我們的工作量了。一、AD用戶帳戶復(fù)制1、在“AD域和計(jì)算機(jī)”中建一個(gè)作為樣板的用戶，如S1。2、設(shè)置相關(guān)需要的選項(xiàng)，如所屬的用戶組、登錄時(shí)間、用戶下次登錄時(shí)需更改密碼等。3、在S1上/

2、右鍵/復(fù)制，輸入名字和口令。說(shuō)明：1、只有AD域用戶帳戶才可以復(fù)制，對(duì)于本地用戶帳戶無(wú)此功能。2、帳戶復(fù)制可將在樣板用戶帳戶設(shè)置的大多數(shù)屬性帶過(guò)來(lái)。具體如下:1選項(xiàng)卡1復(fù)制到新用戶帳號(hào)的屬性常規(guī)無(wú)。地址除了“街道”之外所有帳戶除了“用戶登錄名”之外所有配置文件除“配置文件路徑”和“主文件夾”。欲復(fù)制它們，應(yīng)該使用%username%變量，如：servershare%username%電話無(wú)單位除了 “職務(wù)”之外所有。隸屬于全部撥入無(wú)，將默認(rèn)值應(yīng)用于新帳戶。環(huán)境無(wú)，將默認(rèn)值應(yīng)用于新帳戶。會(huì)話無(wú)，將默認(rèn)值應(yīng)用于新帳戶。遠(yuǎn)程控制無(wú)，將默認(rèn)值應(yīng)用于新帳戶。終端服務(wù)配置文件無(wú)，將默認(rèn)值應(yīng)用于新帳戶。二、

3、比較 csvde 與 ldifdecsvde逗號(hào)分隔符目錄交換ldifde輕型目錄訪問(wèn)協(xié)議 互換格式目錄交換功能只能用來(lái)添加對(duì)象，不能用于刪除/修改可用于添加/刪除/修改對(duì)象格式字段名1,字段名2,字段名3,記錄1此值，記錄1此值，記錄1此值，字段名1：記錄1此值 字段名2:記錄1此值 字段名3:記錄1此值舉例Dn,objectclass,samaccountname, userprincipalname,useraccountcontrol cn=s1,ou=test,dc=mcse,dc=com ,user,s1,s1,512Dn: cn=s1,ou=test,dc=mcse,dc=com

4、Objectclass:userSamaccountname:s1Userprincipalname: HYPERLINK mailto:s1 s1useraccountcontrol:512共同點(diǎn)用于導(dǎo)入的文本文件必須包含：*用戶帳號(hào)的OU，對(duì)象的類型以及用戶登錄名的路徑，用戶主名*默認(rèn)(即不指定時(shí))：用戶帳戶為禁用。啟用：512,禁用：514*可包含個(gè)人信息，但不可包含密碼，只能用默認(rèn)的空口令。*或通過(guò)設(shè)pwdLastSet字段值為0,使“用戶下次登錄時(shí)須更改密碼”(不設(shè)這個(gè)字段，默認(rèn)也是如此)。*通過(guò)設(shè)userAccountControl字段值為66048，可使密碼永不過(guò)期”。三、以cs

5、vde.exe為例說(shuō)明：域用戶帳戶的導(dǎo)出/導(dǎo)入操作步驟如下：1、在“AD域和計(jì)算機(jī)”中建一個(gè)用戶，如S1。2、設(shè)置相關(guān)需要的選項(xiàng)，如所屬的用戶組、登錄時(shí)間、用戶下次登錄時(shí)需更改密碼等。3、在DC上，開始/運(yùn)行：cmd4、鍵入：csvde - f demo.csv說(shuō)明：(1)不要試圖將這個(gè)文件導(dǎo)回，來(lái)驗(yàn)證是否好使。因?yàn)檫@個(gè)文件中的好多字段在導(dǎo)入 時(shí)是不允許用的，如：ObjectGUID、objectSID、pwdLastSet 和 samAccountType 等屬性。 我們導(dǎo)出這個(gè)文件目的只是為了查看相應(yīng)的字段名是什么，其值應(yīng)該怎么寫，出錯(cuò)信息如下：1objectGUID :寫UNPRINTA

6、BLEBINARY(16) 1由于安全原因不允許修改。objectSid :寫UNPRINTABLEBINARY(28)由于該屬性處于“安全帳戶管理器”(SAM)，不允許訪問(wèn)該屬性。(2)可通過(guò)-d -r參數(shù)指定導(dǎo)出范圍和對(duì)象類型。例如：-d “ou=test,dc=mcse,dc=com” 或-d cn=users,dc=mcse,dc=com”-r “”5、以上面的文件為參考基礎(chǔ)，創(chuàng)建自己的my.csv，并利用復(fù)制、粘貼、修改得到多條記錄。例如：dn,objectClass,sAMAccountName,userAccountControl,userPrincipalNameCN=s1,O

7、U=test,DC=mcse,DC=com,user,S1,512, HYPERLINK mailto:s1 S1CN=s2,OU=test,DC=mcse,DC=com，user,S2,512, HYPERLINK mailto:S2 S2其它可用字段，我試了一下，見下表（不全）：1用戶帳戶屬性字符名1說(shuō)明“常規(guī)”標(biāo)簽姓Sn名Givename英文縮寫Initials顯示名稱displayName描述Description辦公室physicalDeliveryOfficeName電話號(hào)碼telephoneNumber電話號(hào)碼：其它otherTelephone多個(gè)以英文分號(hào)分隔電子郵件Mail網(wǎng)

8、頁(yè)wWWHomePage網(wǎng)頁(yè)：其它url多個(gè)以英文分號(hào)分隔“地址”標(biāo)簽國(guó)家/地區(qū)C如：中國(guó)CN，英國(guó)GB省/自治區(qū)St市/縣L街道streetAddress郵政信箱postOfficeBox郵政編碼postalCode“帳戶”標(biāo)簽用戶登錄名userPrincipalName形如： HYPERLINK mailto:s1 S1用戶登錄名（以前版本）sAMAccountName形如：S1登錄時(shí)間logonHours登錄到userWorkstations多個(gè)以英文逗號(hào)分隔用戶帳戶控制userAccountControl啟用：512,禁用：514, 密碼永不過(guò)期：66048帳戶過(guò)期accountExp

9、ires“配置文件”標(biāo)簽配置文件路徑profilePath登錄腳本scriptPath主文件夾：本地路徑homeDirectory連接homeDrive到homeDirectory“電話”標(biāo)簽家庭電話homePhone若是其它，在前面加other。尋呼機(jī)Pager如：otherhomePhone。移動(dòng)電話mobile若多個(gè)以英文分號(hào)分隔。傳真FacsimileTelephoneNumberIP電話ipPhone注釋Info“單位”標(biāo)簽職務(wù)Title部門Department公司Company“隸屬于”標(biāo)簽隸屬于memberOf用戶組的DN不需使用引號(hào)，多個(gè)用分號(hào)分隔“撥入”標(biāo)簽遠(yuǎn)程訪問(wèn)權(quán)限（撥入

10、或VPN）msNPAllowDialin允許訪問(wèn)值：TRUE拒絕訪問(wèn)值：FALSE回?fù)苓x項(xiàng)msRADIUSServiceType由呼叫方設(shè)置或回?fù)艿街担?總是回?fù)艿絤sRADIUSCallbackNumber1 1“環(huán)境”、“會(huì)話”、“遠(yuǎn)程控制”、“終端服務(wù)配置文件”、“COM+”標(biāo)簽說(shuō)明：這些標(biāo)簽，平常極少用到，我也沒(méi)試。如果需要可以自己導(dǎo)出來(lái)看一下，像一些復(fù)雜的字段，如： userParameters，還是用粘貼吧6、導(dǎo)入到入。，鍵入 csvde - i - f my.csv - j c:說(shuō)明：-j用于設(shè)置日志文件位置，默認(rèn)為當(dāng)前路徑。此選項(xiàng)可幫助用戶在導(dǎo)入不成功時(shí)排 錯(cuò)。有一點(diǎn)大家必須明

11、確的是：我們?cè)谶@里做AD域用戶帳戶復(fù)制、做AD域用戶帳戶的導(dǎo)出 /導(dǎo)入，并不能代替“AD備份和恢復(fù)”。我們只是在批量創(chuàng)建用戶帳號(hào)，帳號(hào)的SID都是重 新生成的，權(quán)利權(quán)限都得重新設(shè)才行。（當(dāng)然我們可以把導(dǎo)入的用戶，通過(guò)memberof字段 設(shè)到一些用戶組中去，使它有權(quán)利權(quán)限。但這與利用“ AD備份和恢復(fù)”到原狀，完全是兩 回事）。追加：利用Idifde修改域用戶帳號(hào)屬性開始/運(yùn)行：ldifde -i -f modify.txt修改域用戶帳號(hào)user 1的“部門”為Info，示例modify.txt的內(nèi)容如下:dn: CN=user1,CN=Users,DC=mcse,DC=comchangety

12、pe:modifyreplace: departmentdepartment: info最后的“-” 一定要加上，不然是會(huì)報(bào)錯(cuò)的，切記!冒號(hào)后有沒(méi)有空一格沒(méi)有關(guān)系。中文的問(wèn)題，可以先通過(guò)導(dǎo)出，查看某個(gè)文字的編碼。編輯文件時(shí)，一粘過(guò)來(lái)就可以了。 如：“測(cè)”字編碼為“5rWL”，“試”字編碼為“6K+V” 下面為用于導(dǎo)入的文章內(nèi)容: dn: CN=user1,CN=users,DC=mcse,DC=com changetype: modify replace:department department:5rWL6K+V注意：必須兩個(gè)冒號(hào)追加：利用腳本創(chuàng)建批量用戶帳戶1、利用腳本創(chuàng)建用戶帳號(hào)（用戶可

13、參考下例）。Set objDomain = GetObject(LDAP:/dc=fabrikam,dc=com)Set objOU = objDomain.Create(organizationalUnit， ou=Management)objOU.SetInfo說(shuō)明：在域創(chuàng)建一個(gè)名叫Management的OU。Set objOU = GetObject(LDAP:/OU=Management,dc=fabrikam,dc=com)Set objUser = objOU.Create(User， cn= AckermanPila)objUser.Put sAMAccountName, Ack

14、ermanPilaobjUser.SetInfoobjUser.SetPassword i5A2sj*!”objUser.AccountDisabled = FALSEobjUser.SetInfo說(shuō)明：在Management OU下創(chuàng)建一個(gè)名叫AckermanPila的用戶，口令為i5A2sj*!，啟用。 Set objOU = GetObject(LDAP:/OU=Management,dc=fabrikam,dc=com)Set objGroup = objOU.Create(Group， cn=atl-users)objGroup.Put sAMAccountName”, atl-us

15、ersobjGroup.SetInfoobjGroup.Add objUser.ADSPathobjGroup.SetInfo說(shuō)明：在Management OU下創(chuàng)建一個(gè)名叫atl-users的用戶組，將用戶AckermanPila加入到這個(gè)組中。Wscript.echo Script ended successfully說(shuō)明：顯示“腳本成功結(jié)束”信息2、利用腳本中的循環(huán)功能實(shí)現(xiàn)批量創(chuàng)建用戶帳號(hào)Set objRootDSE = GetObject(LDAP:/rootDSE)Set objContainer = GetObject(LDAP:/cn=Users, & _objRootDSE.Get(defaultNamingContext)For i = 1 To 1000Set objUser = objContainer