使用 LDIFDE 来导出和导入目录对象
下面逐步介绍怎样将“组织单元”(OU) 和用户帐户从一个 Windows 2000 Active Directory 导入和导出到另一个 Windows 2000 Active Directory。对于本示例,“Export”是从其中导出对象的域的名称,“Import”是向其中导入对象的域的名称。还可以使用 LDIFDE 将大多数第三方文件夹导入 Active Directory。 从源域导出组织单元
以 Administrator 身份登录 Export 域。如果使用没有管理员特权的帐户登录,则可能无法对 Active Directory 执行导出和导入 *** 作。
单击开始,指向程序,指向 附件,然后单击“命令提示符”。
在命令提示符下,键入:
ldifde -f exportOuldf -s 服务器 1 -d "dc=Export,dc=com" -p subtree -r "(objectClass=organizationalUnit)" -l "cn,objectclass,ou"
运行此命令可将除域控制器之外的所有 OU 都导出到名为 ExportOUldf 的文件中。
从源域导出用户帐户
在命令提示符下,键入:
ldifde -f Exportuserldf -s 服务器 1 -d "dc=Export,dc=com" -p subtree -r "(&(objectCategory=person)(objectClass=User)(givenname=))" -l "cn,givenName,objectclass,samAccountName"
运行此命令可将 Export 域中的所有用户导出到名为 Exportuserldf 的文件中。如果您没有所需的全部属性,导入 *** 作就会不起作用。属性objectclass 和samAccountName 是必需的,但可以根据需要添加其他属性。
备注:内置帐户(如 Administrator)没有给定的名称。默认情况下,上面使用的 LDAP 筛选器不导出这些帐户。LDIFDE 不支持导出密码。
将组织单元从 Export 导入到 Import
以 Administrator 身份登录到 Import 域。如果使用没有管理特权的帐户登录,则可能无法对 Active Directory 执行导出和导入 *** 作。
使用“记事本”打开文件 Exportouldf。
在“记事本”中的编辑菜单上,单击替换。
在“查找内容”框中,键入 Export。在“替换为”框中,键入 Import。
单击“全部替换”。
在确认替换了域名之后,保存并关闭该文件。
在命令提示符下,键入:
ldifde -i -f ExportOUldf -s 服务器 2
您应该会看到一条消息,告诉您已经修改的项数以及命令已成功完成。
备注:在这种情况下,您必须先完成第一步,才能完成第二步,这样,才能有 OU 来包含用户。
将用户从 Export 导入到 Import
使用“记事本”打开文件 Exportuserldf。
在“记事本”中,打开编辑菜单,然后单击替换。
备注:请记住,在本示例中,“Export”是从其中导出对象的域的名称,“Import”是向其中导入对象的域的名称。您需要将“Export”替换为从其导出对象的域的名称,并将“Import”替换为向其导入对象的域的名称。
在“查找内容”框中,键入 Export。在“替换为”框中,键入 Import。
单击“全部替换”。
在确认替换了域名之后,保存并关闭文件。
在命令提示符下,键入:
ldifde -i -f Exportuserldf -s 服务器 2
查看使用 Active Directory 用户和计算机管理单元工具或使用 Windows 通讯簿新创建的联系人。
备注:由于 LDIFDE 不导出密码,因此在将用户导入到目录中时,会禁用帐户并将密码设置为空。这样做是出于安全原因。此外,帐户选项“用户下次登录时须更改密码”处于选中状态。
从整个目录林导出对象
如果您需要从整个目录林中导出 OU、用户和组,可以针对目录林中的每个域运行上面的 LDIFDE 导出命令,或者,也可以针对全局编录 (GC) 运行一次查询。为此,-s 开关指定的域控制器一定要是 GC,另外,要使用 -t 开关指定 GC 端口。GC 端口号是 3268。
例如,要针对 GC 执行所描述的导出 *** 作,LDIFDE 命令就会是:
ldifde -f Exportuserldf -s 服务器 1 -t 3268 -d "dc=Export,dc=com" -p subtree -r "(&(objectCategory=person)(objectClass=User)(givenname=))" -l "cn,givenName,objectclass,sAMAccountName"
备注:为了修改 AD 中的属性,遵循导入文件的以下格式(尤其是单行上的“-”,其下一行为全空行)是非常重要的。要导入此文件,只需运行:ldifde -i -f Importldf -s 服务器。
示例导入/修改文件格式:
dn: CN=Jane Doe,OU=Staff,DC=microsoft,DC=com
changetype: modify
replace: extensionAttribute1
extensionAttribute1: Staff
-
dn: CN=John Doe,OU=Staff,DC=microsoft,DC=com
changetype: modify
replace: extensionAttribute1
extensionAttribute1: Staff
-ad server分两种,一种是dc就是域控制器,负责AD所有用户管理和组策略配置;另一种就是ad内单纯的服务器成员而已。ad network就是ad网络架构,区别于工作组网络架构。ad exchange没有这种说法,就是exchange邮件系统而已,部署exchange必须有ad架构,但客户端用户不是必须加入ad,只需ad账户登陆即可。0x01 介绍
在实际生产环境中,由于Windows AD域的限制,桌面对客户端电脑进行软件安装或其他系统配置时,均需要管理员权限,而网内客户端众多,不同客户端电脑密码可能都是不同的,也经常忘记本地管理员密码,所以这时候就需要批量变更客户端的本地管理员密码。
0x02 环境介绍
DC:Windows Server 2012R2 域名:yeahlocal
CLIENT:Windows 7 已经将客户端加入域
0x03 *** 作步骤
1 首先在DC上用于与计算机控制台,新建一个计算机OU,便于管理,将刚加入域的计算机移动到这个OU中。
2 在DC上打开组策略管理工具,新建一条策略,命名自己能看懂即可
3 并对此策略进行设置,依次展开 计算机配置— 策略 — Windows设置 —安全设置 — 安全选项 — 账户:重命名系统管理员账户 将administrator用户重命名其他,此处修改为Local_admin。
4 然后再回到Windows设置 — 脚本(启动/关机),新建一条启动脚本。
#启动脚本内容:意思为新建administrator用户,密码设置为passwd1!,启用此账户
net user administrator passwd1! /active:yes
将脚本内容复制到txt,另存为cmd后缀或者bat后缀文档,然后点开启动属性,点开显示文件,出来路径,将脚本文件粘贴到路径中,再点开编辑浏览到刚才路径,选中写好的开机脚本文件。
另外,有时候还有特殊需求,比如域中客户端用户由于一些特殊原因需要本地管理员权限,有这个需求的时候又不可能每次到跑到客户端 *** 作电脑,因 此可以使用受限制的群组,设定,当域中某些特定用户需要有本机管理员权限的时候就可以直接在AD服务器上 *** 作即可。
5 回到用户和计算机管理工具,在Users中新建一个组,命名为Local-admins并将张三加入到此用户组测试。
6 再回到组策略管理工具中,此处依旧挂载在这条GPO策略上,找到计算机配置 — Windows设置 — 安全设置 — 受限制的组 新建Administrators 组,并将默认需要添加到客户端本地管理员的用户与用户组添加进来。
7 确定后关闭这条GPO编辑页,回到组策略管理工具,找到之前新建的yeah-Computers计算机组的OU,右键链接到现有GPO找到刚新建的GPO,链接确定。
8 此时,到DC服务器中强制刷新组策略。
#强制刷新组策略命令
gpupdate /force
9 找一台客户端验证策略是否生效,以本地管理员用户Local_admin登录,查看策略是否生效,因为应用的是计算机策略,只能在本地管理员账号下看到策略是否应用。
#查看当前用户计算生效gpo
gpresult/r
#如发现策略没应用,可多执行几次强制刷新策略命令
gpupdate /force
10 可以看到策略已经应用,我们再切换用户,以张三登录客户端,右键点击计算机,计算机管理–本地用户和组–组–administrators,可以发现当前已经有我们设定的用户组位于本地管理组中了。
到此已经完成需求的所有 *** 作,即通过GPO统一设置域内计算机本地管理员账户重命名为Local_admin,并在AD上新建一个Local-Admins用户组,将这个组加入到客户端本地管理员组中,后续需要用到本地管理员的域用户只要在AD上将用户加入到这个组即拥有本地管理员权限
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)