Importovat nástroj

Popis funkce

Tento nástroj slouží k importu (synchronizaci) uživatelů a skupin ze služby Active Directory pro celý systém Alvao. Nástroj také umožňuje importovat objekty (uživatele, počítače a organizační jednotky) do modulu Asset Management.

Nástroj najdete na aplikačním serveru ve složce s instalací Alvao Service ("%ProgramFiles%\ALVAO\AlvaoService\utilities").

Účet, pod kterým nástroj spouštíte, musí být členem skupiny Domain Admins nebo musí mít delegované oprávnění Číst všechny informace o uživateli.

Poznámka

Pokud se členové z jiných důvěryhodných domén objeví v importovaných skupinách, v některých případech budete muset tyto domény uvést v tabulce AdTrustedDomain.

Poznámka

Jazyk uživatele je nastaven atributem preferuLanguage nebo countryCode při importu z Active Directory.

Syntaxe příkazového řádku

ImportAD.exe /adpath "LDAP path" {/conn "connection string"| /server "database server name" /db "database name"}
  [/users [remove,outsidegroups]]
  [/usermap "attribute mapping"]
  [/objects {users,computers,ou,flat,disabled}]
  [/objectparentid NodeId]
  [/login "login name"]
  [/pswd "password"]
  [/log "file"]
  [/progress]
  [/wait]
  [/help]
  [/noportraits]

Parametry

Parametr	Popis
/adpath <LDAP path>	Cesta k Active Directory ve formátu LDAP. Podporovány jsou tři varianty: Import DC (celé služby AD) - importují se všichni uživatelé a skupiny včetně nastavení členství ve skupinách a uživatelích ("kopie" celé služby AD). Import konkrétní organizační jednotky (OU) - importují se všichni uživatelé a skupiny v rámci zadané OU. Je možné použít mimoskupiny, podrobnější popis viz níže. Import konkrétního CN (skupiny) - importují se všichni uživatelé a skupiny, které jsou členy konkrétní skupiny (do hloubky - viz poznámka níže). Poznámka Pokud potřebujete použít LDAPS, musíte před určením variant přidat název hostitele serveru Active Directory a port: "LDAP://<AD server hostname>:636/...". Poznámka Hloubkové procházení členství ve skupinách zahrnuje procházení všech skupin, které jsou členy určité skupiny, pak procházení jejich členů, opět procházení jejich členů atd. Příklad: Skupina C je členem skupiny B, která je členem skupiny A. Import importuje všechny skupiny A+B+C. Přepínač /objects (import objektů do Asset Management) nefunguje se cestou směrovanou z konkrétní skupiny (CN).
/conn <chain> /server<server name> /db <database name>	Tyto parametry slouží k nastavení připojení k databázi Alvao. Je možné použít řetězec připojení (např. /conn"Zdroj dat=.\sqlexpress;Počáteční katalog=test;Integrované zabezpečení = True;TrustServerCertificate=True ") nebo jednoduše zadat konkrétní SQL server a DB (např. /server ".\sqlexpress " /db*"test "*). Pokud použijete parametry /server a /db, připojení k databázi se uskuteční pomocí integrovaného ověřování systému Windows. Pokud zadáte všechny tyto parametry, použije se pouze parametr /conn, parametry /server a /db budou ignorovány.
/uživatelé <parameters>	Importujte uživatele a skupiny do Správy. Parametry jsou odděleny čárkou. Popis možných parametrů: Parametr Význam odstranit Odebrat uživatele, které nelze najít v AD. Tento příznak funguje pouze při importu skupiny, organizační jednotky, kontejneru nebo celé služby AD (DC). Odstraněny jsou pouze účty, které byly původně importovány ze služby AD. Ručně vytvořené účty se neodstraňují. outsidegroups Pokud import probíhá na OU (organizační jednotce), importujte také členy skupin (skupiny v rámci OU) ležící mimo vybranou OU. Vyhledávání členů skupiny jde do libovolné hloubky. Příklad: Importujeme OU "CZ" , ve kterém je skupina "CZA". Členem skupiny "CZA" je skupina "SKA", která se nachází v jiném OU "SK". Členem skupiny "SKA" je osoba "Peter". Pokud použijeme tento přepínač, importují se "SKA" a "Peter" (i když leží mimo importovanou OU "SK"). Další členové skupiny "SKA" jsou rovněž importováni do neomezené hloubky (členové skupiny). Pokud přepínač nepoužijete, nebude vytvořena skupina "SKA" ani osoba "Peter" .
/usermapa <mapping>	Tento přepínač slouží k zadání mapování určitých atributů při importu uživatelů a skupin do Správy. Přepínač funguje pouze v kombinaci s /users. Podporované atributy: Atribut Název pole ve správě Článek 2 Organizace Osobní číslo Osobní číslo @tPersonCust.Sloupec Uživatelská pole - viz poznámka Atributy lze namapovat buď na konstantní řetězec v příkazovém řádku (např. chcete, aby všechny osoby měly ručně zadanou stejnou organizaci), nebo na konkrétní pole z AD. Další podrobnosti naleznete v příkladech použití. Poznámka Atributy lze také mapovat na jakákoli existující vlastní pole z tabulky tPersonCust(kromě polí typu int, která používají seznam hodnot, a typu users). Název atributu musí být "@"+[tPersonCust] +[sloupec databáze], např. @tPersonCust.Title. Tip Přepínač lze použít pouze při importu do aplikace Administration. Chcete-li mapovat atributy AD na vlastnosti objektu v Asset Management, použijte článek Mapping Active Directory attributes to object properties.
/objects <parameters>	Importovat objekty do Asset Management. Parametry jsou odděleny čárkami. Popis možných parametrů: Parametr Význam uživatelé Importovat uživatele. Počítače Importovat počítače. Vye Import organizačních jednotek. plochá Importovat pouze objekty v zadané cestě a neprohledávat včetně podsložek. neaktivní Importujte také uživatele se zakázanými účty. Tato možnost je k dispozici od verze 25.2 systému ALVAO. Varování Musíte zadat alespoň jeden z následujících parametrů: users, computers, ou. Poznámka Mapování atributů AD na vlastnosti ALVAO Asset Management je nastaveno pomocí tabulky tblADMap. Import vytvoří nové objekty ve složce Objekty načtené ze služby Active Directory.
/objectparentid NodeId	Vytvořte nové objekty jako podřazené objekty pod objektem s ID: <NodeId>. Funguje pouze ve spojení s přepínačem /objects. Poznámka Hodnotu NodeId najdete v adrese URL stránky Objekt.
/noportréty	Importovat bez portrétů.
/čekat	Počkejte na stisk klávesy na konci importu.
/postup	Zobrazit průběh importu.
/Přihlásit se <login>	Přihlašovací jméno uživatele. Tento účet bude použit pro přístup k AD. Poznámka Pokud tento parametr není zadán, bude import přistupovat k službě AD pod účtem, pod kterým byl nástroj spuštěn (aktuálně přihlášený uživatel systému Windows).
/pswd <password>	Heslo uživatele, jehož účet bude použit pro přístup ke službě Active Directory.
/log <file>	Zadejte cestu a název souboru protokolu. Poznámka Při každém spuštění bude protokol přepsán.
/datetimeformat	Formát data v textových řetězcích (např. dd/mm/rrrr). Pokud není parametr zadán, formát se při převodu rozpozná automaticky. Podrobný popis možných formátů naleznete v MSDN.

Mapování polí na atributy AD pro osoby

Název pole	Název atributu v reklamě
Křestní a příjmení	cn Poznámka Můžete změnit výchozí šablonu uživatelského jména.
E-mailová adresa	E-mail
Telefon	telephoneNumber
Mobil	mobilní
Kancelář	physicalDeliveryOfficeName
Organizace	společnost
Divize	oddělení
Pracovní pozice	titulek
Uživatelské jméno	userPrincipalName
Uživatelské jméno (pro starší systémy)	sAMaccountName
Manažer	manažer
Účet je zablokován	kontrola uživatelského účtu

Příklady použití

1. Importovat všechny členy skupiny mygroup zadáním jednoduchého přihlášení k SQL serveru:

Importovat AD.exe /adpath "LDAP://CN=mygroup,DC=my,DC=domain" /server "server\sql2005" /db "alvao" /users

2. Importovat celé AD a specifické připojení k SQL serveru, odstranění uživatelů, které nelze najít v AD:

ImportAD.exe /adpath "LDAP://DC=my,DC=domain" /conn "Data Source=.\sqlexpress;Initial Catalog=alvao;Integrated Security=True;TrustServerCertificate=True" /users remove

3. Importovat specifickou organizační složku a jednoduché přihlášení SQL. Pole Organizace bude nastaveno na řetězec Contoso pro všechny uživatele. Pole PersonalNumber bude obsahovat hodnotu z atributu AD PersonalNumber. Vlastní pole Title bude obsahovat hodnotu z atributu PersonalTitle AD. Skupiny mimo ODE, které jsou členy skupin uvnitř ODE, jsou také importovány:

ImportAD.exe /adpath "LDAP://OU=ou1,DC=my,DC=doména" /server "server1" /db alvao /users outsidegroups /usermap "Company='Contoso'" /usermap "PersonalNumber=AD.ZaměstnancieID" /usermapa "@tPersonCust.Title=AD.PersonalTitle"

4. Import nových uzlů. Žádný z nich není strážci, všichni jsou na částečný úvazek a začínají 15. srpna v 10:00. v budově 12 Waterfront St. v místnosti 007. Všechny budou umístěny do vlastních řádkových položek jejich příslušných typů.

ImportAD.exe /adpath "LDAP://DC=new,DC=domain" /conn "Data Source=.\sqlexpress;Initial Catalog=alvao;Integrated Security=True;TrustServerCertificate=True" /users /usermap "@tPersonCust.Externist='0'" /usermap "@tPersonCust.Part_time='0,5'" /usermap "@tPersonCust.Date_of_onboard='8/15/2015 10:00:00'" /usermap "@tPersonCust.Building_address='12 Waterfront St.'" /usermap "@tPersonCust.Room_number='007'"

5. Importovat objekty typu Computer a User do Asset Management:

Importovat AD.exe /adpath "LDAP://OU=ou1,DC=my,DC=domain" /server "server1" /db "alvao" /objects "počítače,uživatelé"

6. Importovat objekty typu Computer a User do Asset Management a také uživatele a skupiny do Správy:

Importovat AD.exe /adpath "LDAP://OU=ou1,DC=my,DC=domain" /server "server1" /db "alvao" /objects "počítače,uživatelé" /uživatelé

Identifikátory klíče pro vytvoření nebo aktualizaci uživatele/PC

Subjekt	Identifier
Správa – Osoby	AD GUID přihlašovací jméno bez domény (a AD GIUD osoby je také NULL - tj. ručně vytvořený uživatel)
Správa - Skupiny	AD GUID Skupina (název)
AM - Uživatelé/Počítače/Složky	AD GUID klíčový atribut podle tblAdMap (a AD GUID objektu je také NULL)

Podporované scénáře

Synchronizace s celou reklamou (včetně odstranění uživatelů)

Proveďte import v celém AD (LDAP://DC=...) a použijte parametr remove při importu skupin a uživatelů do Správy. (/user remove).

Importuji několik vybraných AD skupin do Alvao

1. Vytvořte novou skupinu Alvao v AD. Nastavte všechny vybrané skupiny, které chcete importovat do Alvao jako členové.

2. Nastaven import a cesta v parametru /adpath. nastavit Alvao do této skupiny.

   Např.: /adpath "LDAP://CN=alvao,OU=import,DC=doména"

3. Všechny vybrané skupiny a jejich členové (včetně uživatelů) se objeví v administraci. Členství ve skupinách bude nastaveno správně.

Importovat bez fotografií přímo z AD

Při importu uživatelů z AD, jsou portréty ve výchozím nastavení načteny z vlastností thumbnailPhoto a jpegPhoto. Uživatelské portréty jsou uloženy v databázi Alvao. Pokud nechcete načíst portréty z AD, spusťte import z příkazového řádku a přidejte /noportraits.

Například:

Importovat AD.exe /adpath"LDAP://OU=ou1,DC=my,DC=domain" /server server1 /db počítače alvao /objektů, uživatelé, /uživatelé /portraity

Poznámka

Pro automatické načtení naplánované zakázky je nutné upravit příkaz ImportAD přidáním parametru /noportrét.

Importovat objekty do správy majetku

Spusťte import na celém reklam (nemůže importovat blokované účty) nebo vybrané OU a použijte přepínač 'Přepnout /objects pro upřesnění co importovat. Použij přepínač /objectparentid pro definování, kde importovat objekty (nepovinné).

Najít blokované uživatele z Active Directory

1. Na stránce Objekty vyberte celou organizaci a přejděte na záložku Podřazené objekty.

2. Zobrazit Účet je blokovaný sloupec.

3. Nastavte filtr ve sloupci Typ na Uživatele a nastavte filtr pro Účet je zablokován na Ano.

4. Po vytvoření seznamu blokovaných uživatelů, použijte příkaz Zobrazit v seznamech objektů pro snadnější navigaci přes seznam položek.

5. Filtrovaný seznam obsahuje uživatele, kteří mají blokovaný účet v Active Directory. Přesunout tyto uživatele do složky pro vyloučené uživatele.

Odstranění starých uživatelů

Pokud chcete odstranit staré uživatele, kteří již nějakou dobu nebyli nalezeni v Active Directory, dodržte tento postup:

1. Na stránce Správa na stránce Uživatelé seřaďte uživatele vzestupně podle sloupce Posledně importováno z AD.

2. Vyberte a odstraňte uživatele, kteří nebyli již dlouho nalezeni v reklamě.

Odstranit staré objekty ze správy majetku

Chcete-li odstranit staré objekty, které se již nějakou dobu nenacházejí ve službě Active Directory, postupujte podle tohoto postupu:

1. Na stránce Objekty vyberte ve stromu objektů celou organizaci a přejděte na záložku Podřazené objekty.

2. Zobrazit Naposledy importované z AD sloupce.

3. Použijte filtr ve sloupci Typ k zobrazení pouze počítačů nebo uživatelů.

4. Nastavte filtr na Aktualizujte importovaný z AD sloupce na ne "" a seřaďte tabulku vzestupně.

5. Z místní nabídky použijte příkaz Zobrazit v seznamech objektů.

6. V okně Seznamy objektů krok přes staré objekty. Pokud uživatel měl majetek, vyplňte jeho vrácení.

7. Přesunout objekty do složky Klasifikovaných aktiva.

Přejmenovat počítač

Pokud je počítač načten z Active Directory (AD) a musíte jej přejmenovat:

1. Přejmenujte počítač ve Windows (počítač zůstane ve stejném GUID v AD).

Poznámka

Při příštím importu z AD, nástroj ImportAD automaticky přejmenuje počítač i v Asset Management.

Znovu nainstalovat (znovu zobrazit) počítač s uchováním názvu

Pokud je počítač načten z Active Directory (AD) a musíte přeinstalovat jeho operační systém nebo jej obnovit z obrázku na disku a zachovat jeho název v síti:

1. Odstranit počítač z AD.

2. Přejděte do Vlastnosti objektu a odstraňte vlastnost objektu GUID objektu Active Directory objektu.

3. Přeinstalujte operační systém nebo jej obnovte z obrazového disku. Dejte počítači jeho původní název.

4. Znovu zaregistrujte počítač v AD (počítač dostane nové GUID v AD).

Poznámka

Při příštím importu z AD, utilita ImportAD automaticky spáruje nový AD počítač s počítačem v Asset Management podle vlastnosti Síťového jména.