如何實(shí)現(xiàn)AD域賬戶導(dǎo)入導(dǎo)出

如何實(shí)現(xiàn)AD域賬戶導(dǎo)入導(dǎo)出作為域管理員，有時(shí)我們需要批量地向AD域中添加用戶帳戶，這些用戶帳戶既有一些相同的屬性，又有一些不同屬性。如果在圖形界面逐個(gè)添加、設(shè)置，那么需要的時(shí)間和人力會(huì)超出能夠承受范圍。一般來說，如果不超過10個(gè)，我們可利用AD用戶帳戶復(fù)制來實(shí)現(xiàn)。如果再多的話，就應(yīng)該考慮使用使用命令行工具，實(shí)現(xiàn)批量導(dǎo)入導(dǎo)出對(duì)象。微軟默認(rèn)提供了兩個(gè)批量導(dǎo)入導(dǎo)出工具，分別是CSVDE(CSV目錄交換)和LDIFDE(LDAP數(shù)據(jù)互換格式目錄交換)。

具體選擇上述哪個(gè)工具取決于需要完成的任務(wù)。如果需要?jiǎng)?chuàng)建對(duì)象，那么既可以使用CSVDE，也可以使用LDIFDE，如果需要修改或刪除對(duì)象，則必須使用LDIFDE。本文不涉及使用CSVDE導(dǎo)入對(duì)象。而是換另一種導(dǎo)入導(dǎo)出AD帳戶思路：使用CSVDE工具導(dǎo)出AD帳戶到CSV格式的文件中，再使用For語句讀取該文件，使用DSADD命令進(jìn)行批量添加。

具體步驟：

一：使用CSVDE導(dǎo)出帳戶

使用CSVDE導(dǎo)出現(xiàn)有對(duì)象的列表相當(dāng)簡(jiǎn)單。

最簡(jiǎn)單的用法是：

csvde–fad.csv

將ActiveDirectory對(duì)象導(dǎo)出到名為ad.csv的文件。–f開關(guān)表示后面為輸出文件的名稱。

但是必須注意，上述的用法是很簡(jiǎn)單，但是導(dǎo)出來的結(jié)果可能存在太多你不希望要的記錄和信息。

如果要實(shí)現(xiàn)更精確的導(dǎo)出記錄，可以使用-d和-r以及-l參數(shù)。

其中：-d用來指定特定的搜索位置和范圍

-r用來指定特定的搜索對(duì)象類型

-l用來指定導(dǎo)出對(duì)象的具體屬性

如：

csvde–fusers.csv–d"ou=Users,dc=contoso,dc=com"–r

"(&(objectcategory=person)(objectclass=user))"–lDN,objectClass,description

注意：如果使用CSVDE導(dǎo)出的帳戶信息中存在中文，會(huì)存在亂碼的可能，可以加-U參數(shù)來解決。

二：批量導(dǎo)入帳戶

首先需要明確的概念是，要實(shí)現(xiàn)批量導(dǎo)入帳戶，必須要存在一個(gè)已包括多個(gè)帳戶信息的文件。沒有文件，無法實(shí)現(xiàn)批量導(dǎo)入。

假設(shè)之前已經(jīng)通過CSVDE工具導(dǎo)出過這樣的一個(gè)文件Users.csv，且文件內(nèi)容如下

姓名

全名

登錄名

密碼

張,三,

張三,

three.zhang,pass01

李,四,

李四,

four.li,

passo2

王,五,

王五,

five.wang,

pass03

劉,六,

劉六,

six.liu,

passo4

趙,七,

趙七,

seven.zhao,pass05

有了上述格式的文件后，我們就可以使用For命令來讀取文件中的每條信息并利用DSADD實(shí)現(xiàn)帳號(hào)添加。

具體語句如下：

C:\>for/f"tokens=1,2,3,4,5delims=,"%ain(uses.csv)dodsadduser"cn=%c,ou=

newusers,dc=contoso,dc=com"-samid%d-upn

d@">%d@-fn

%b-ln%a-pwd%e-disabledno

作用：將上述文件中五個(gè)帳戶添加到域，名為newusers的OU中，且默認(rèn)已啟用用戶。

其中：-samid為登錄名

-upn為UPN登錄名

-fn為名

-ln為姓

-pwd為密碼

簡(jiǎn)單解釋一下for語句

/f表示從文件中讀取信息

tokens表示每行使用的記號(hào)，對(duì)應(yīng)于后面的變量具體的值

delims表示每個(gè)字段之間的分隔符

現(xiàn)用記事本程序制作為hellen、lycb、linda、cathy這四個(gè)用戶在grfwg.local域下的sales組織單位中批量添加的csv格式文件。所添加的屬性如上所示，各屬性間用半角逗號(hào)分隔。這個(gè)csv文件如下所下：

DN,objectClass,sAMAccountName,displayName

"CN=HELLEN,OU=SALES,DC=GRFW,DC=LOCAL",USER,HELLEN,恩倫

"CN=LINDA,OU=SALES,DC=GRFW,DC=LOCAL",USER,LINDA,林達(dá)

"CN=RUTHY,OU=SALES,DC=GRFW,DC=LOCAL",USER,RUTHY,魯西

以上內(nèi)容在記事本程序中輸入格式如圖2-26所示。

設(shè)置返回至導(dǎo)出查詢結(jié)果中的屬性列表。屬性可由LDAP按任何順序返回，CSVDE不嘗試進(jìn)行任何列排序。如果省略該參數(shù)，則返回所有屬性。-oLDAPAttributeList設(shè)置要從導(dǎo)出查詢結(jié)果中省略的屬性列表。從Active

Directory中導(dǎo)出對(duì)象然后將對(duì)象導(dǎo)入到另一符合LDAP的目錄中通常使用該方法。如果另一個(gè)目錄不支持屬性，您可以使用該選項(xiàng)從結(jié)果集中忽略屬性。-g忽略分頁搜索。-m忽略僅適用于ActiveDirectory對(duì)象的屬性，如ObjectGUID、objectSID、pwdLastSet和samAccountType屬性。-n忽略二進(jìn)制值導(dǎo)出。-k在導(dǎo)入操作期間忽略錯(cuò)誤并繼續(xù)處理。以下是可忽略錯(cuò)誤的完整列表：“對(duì)象已經(jīng)存在”、“約束沖突”和“屬性或值已經(jīng)存在”。-aUserDistinguishedNamePassword將該命令設(shè)置成使用提供的

UserDistinguishedName

和

Password

來運(yùn)行。默認(rèn)情況下，將使用當(dāng)前登錄到網(wǎng)絡(luò)的用戶的憑據(jù)運(yùn)行該命令。此操作對(duì)用戶名和密碼進(jìn)行了簡(jiǎn)單的LDAP綁定。-bUserNameDomainPassword將命令的運(yùn)行方式設(shè)置為

UsernameDomainPassword。默認(rèn)情況下，將使用當(dāng)前登錄到網(wǎng)絡(luò)的用戶的憑據(jù)運(yùn)行該命令。此操作將LDAP與NEGOTIATE身份驗(yàn)證方法安全地綁定在一起。-?顯示命令菜單。備注不能使用

csvde

導(dǎo)入用戶密碼，因?yàn)槊艽a必須通過加密通道發(fā)送。Csvde

不支持安全套接字層(SSL)或加密LDAP通信。前面的密碼參考與運(yùn)行

csvde

命令的用戶的憑據(jù)相關(guān)。與用戶的設(shè)置密碼無關(guān)。諸如MicrosoftExcel這樣的應(yīng)用程序都可讀取或保存CSV格式的數(shù)據(jù)。您還可以使用記事本創(chuàng)建CSV文件；務(wù)必使用逗號(hào)來分隔添加到文件中的值。此外，與其他許多非Microsoft的工具一樣，MicrosoftExchangeServer管理工具也能使用CSV格式導(dǎo)入和導(dǎo)出數(shù)據(jù)。

CSV格式由一行或多行數(shù)據(jù)組成，每個(gè)值用逗號(hào)分隔，且逗號(hào)與下一條目之間無空格。CSV文件的第一行（有時(shí)指標(biāo)題）必須包含每個(gè)屬性的名稱，其順序與第一行之后的任何一行的數(shù)據(jù)順序相同。例如：

CN,FirstName,SurName,Description

FirstUserLogonName,1stUserFirstName,1stUserSurname,Manager

SecondUserLogonName,2ndUserFirstName,2ndUserSurname,President要查看可使用

csvde

進(jìn)行更新的屬性列表，請(qǐng)參閱LDAP的ADSI對(duì)象中相應(yīng)的支持接口(/fwlink/?LinkId=91123)（頁面可能為英文）。例如，要查看可對(duì)Active

Directory用戶對(duì)象設(shè)置的屬性，請(qǐng)單擊IADsUser鏈接(/fwlink/?LinkId=91124)（頁面可能為英文），然后查看“屬性”表?？梢允褂?/p>

csvde-r

為數(shù)據(jù)導(dǎo)出創(chuàng)建LDAP搜索篩選器。例如，以下篩選器將導(dǎo)出具有特定姓名的所有用戶：

csvde-r(&(objectClass=User)(sn=Surname))示例下列示例文件內(nèi)容適用于具有組織單位(OU)SWDev、Acct和AP并且名為C的域。APOU從屬于AcctOU。文件的第一行定義將由文件其余行中的條目創(chuàng)建的用戶帳戶的Active

Directory對(duì)象屬性。其余的行用于創(chuàng)建用戶帳戶。第一個(gè)用戶帳戶在默認(rèn)的“用戶”容器中創(chuàng)建，其余用戶帳戶則分別在SWDev、Acct和APOU中創(chuàng)建。\o"復(fù)制代碼"復(fù)制代碼Note將

userAccountControl

設(shè)置為

514

可禁用用戶帳戶。由于CSVDE不能設(shè)置密碼，因此建議使用此設(shè)置。-d開關(guān)表示特定查詢的根（頂級(jí)）。例如，如果想要將C域的Marketing頂級(jí)OU中的所有對(duì)象導(dǎo)出到名為marketingobjects.csv的文件中，您可以使用下列命令：csvde-d"ou=marketing,dc=contoso,dc=com"-fmarketingobjects.csv-r開關(guān)是用于從目錄中導(dǎo)出信息的篩選器。此開關(guān)篩選出導(dǎo)出請(qǐng)求產(chǎn)生的輸出內(nèi)容。例如，如果只想將域中的用戶帳戶對(duì)象屬性導(dǎo)出到名為usersonly.csv的文件中，您可以使用下列命令：csvde-robjectClass=user-fusersonly.csv下列示例將Active

Directory數(shù)據(jù)導(dǎo)出到名稱為search.txt的文件，將搜索范圍設(shè)置為子樹，并為在搜索中找到的每個(gè)對(duì)象列出了

sAMAccountName、CN

和

distinguishedname

屬性：csvde-fsearch.txt-psubtree-lSamAccountName,CN,Distinguishname下列示例從名稱為input.csv的文件的當(dāng)前域（您登錄到的域）中導(dǎo)入數(shù)據(jù)。csvde-i-finput.csv下列示例從名稱為output.csv的文件的當(dāng)前域（您登錄到的域）中導(dǎo)出數(shù)據(jù)。csvde-foutput.csv有關(guān)使用CSVDE的其他示例，請(qǐng)參閱Microsoft知識(shí)庫文章327620(/fwlink/?LinkId=91125)（頁面可能為英文）。格式圖例

格式意義斜體您提供的信息粗體必須按照顯示準(zhǔn)確鍵入的元素省略號(hào)(...)可在命令行中重復(fù)多次的參數(shù)在括號(hào)([])之間可選項(xiàng)目在大括號(hào)({})之間；將選項(xiàng)用管道符(|)隔開。例如：{even|odd}必須從中只選擇一個(gè)選項(xiàng)的選項(xiàng)組Courierfont代碼或程序輸出

在AD域中用CSVDE批量添加用戶2009-12-2309:12DN,objectClass,sAMAccountName,userPrincipalName,displayName,userAccountControl

"CN=張某某,OU=管理,DC=ceson,DC=co",user,zhang,zhang@ceson.co,張某某,514

"CN=張某,OU=管理,DC=ceson,DC=co",user,lica,lica@ceso