如何实现AD域账户导入导出

如何实现AD域账户导入导出~

　　一：使用CSVDE导出帐户
　　使用 CSVDE 导出现有对象的列表相当简单。
　　最简单的用法是：
　　csvde –f ad.csv 将 Active Directory 对象导出到名为 ad.csv 的文件。–f 开关表示后面为输出文件的名称。
　　但是必须注意，上述的用法是很简单，但是导出来的结果可能存在太多你不希望要的记录和信息。
　　如果要实现更精确的导出记录，可以使用 -d 和 -r 以及 -l 参数。
　　其中：-d 用来指定特定的搜索位置和范围
　　-r 用来指定特定的搜索对象类型
　　-l 用来指定导出对象的具体属性
　　如：
　　csvde –f users.csv –d "ou=Users,dc=contoso,dc=com" –r "(&(objectcategory=person)(objectclass=user))" –l DN,objectClass,description
　　注意：如果使用CSVDE导出的帐户信息中存在中文，会存在乱码的可能，可以加-U参数来解决。
　　二：批量导入帐户
　　首先需要明确的概念是，要实现批量导入帐户，必须要存在一个已包括多个帐户信息的文件。没有文件，无法实现批量导入。
　　假设之前已经通过CSVDE工具导出过这样的一个文件Users.csv，且文件内容如下
　　
　　姓 名 全名 登录名 密码
　　张,三, 张三, three.zhang,pass01
　　李,四, 李四, four.li, passo2
　　王,五, 王五, five.wang, pass03
　　刘,六, 刘六, six.liu, passo4
　　赵,七, 赵七, seven.zhao, pass05
　　
　　有了上述格式的文件后，我们就可以使用For命令来读取文件中的每条信息并利用DSADD实现帐号添加。
　　具体语句如下：
　　C:\>for /f "tokens=1,2,3,4,5 delims=," %a in (uses.csv) do dsadd user "cn=%c,ou=
　　newusers,dc=contoso,dc=com" -samid %d -upn d@contoso.com">%d@contoso.com -fn
　　%b -ln %a -pwd %e -disabled no
　　作用：将上述文件中五个帐户添加到contoso.com域，名为newusers的OU中，且默认已启用用户。
　　其中：-samid为登录名
　　-upn为UPN登录名
　　-fn为 名
　　-ln为 姓
　　-pwd为 密码
　　
　　简单解释一下for语句
　　/f 表示从文件中读取信息
　　tokens表示每行使用的记号，对应于后面的变量具体的值
　　delims表示每个字段之间的分隔符
　　
　　
　　现用记事本程序制作为hellen、lycb、linda、cathy这四个用户在grfwg.local域下的sales组织单位中批量添加的csv格式文件。所添加的属性如上所示，各属性间用半角逗号分隔。这个csv文件如下所下：
　　DN,objectClass,sAMAccountName,displayName
　　"CN=HELLEN,OU=SALES,DC=GRFW,DC=LOCAL",USER,HELLEN,恩伦
　　"CN=LINDA,OU=SALES,DC=GRFW,DC=LOCAL",USER,LINDA,林达
　　"CN=RUTHY,OU=SALES,DC=GRFW,DC=LOCAL",USER,RUTHY,鲁西
　　以上内容在记事本程序中输入格式如图2-26所示。

　　图2-26 csvde命令导入文件的输入格式

　　在输入导入文件中，引号和逗号只能以英文方式输入，否则会出错。千万别在Word文档中输入，再粘贴，这样就会出现许多格式问题，导致Csvde命令不能识别。如发现内容输入没错，而在实际导入时总提示出错，则建议全部重新在记事本程序中以英文模式输入（指英文或字母字符）。另外，DN部分所包括的属性项一定要用英文引号括住（一定不能用中文引号），这样它就会把这些部分当做一个表项，否则也会出现识别错误。
　　Csvde命令可以直接导入txt文本格式文件，但建议转换成csv格式，只需修改文件扩展名为csv即可。转换后的文件可用Excel程序打开，打开后就是一个表格，如图2-27所示。表头就是属性项，下面每行代表一个用户账户的相应属性配置。Csvde命令就是这过这样一个类似表格的模式来识别所添加的用户属性配置的。
　　文件输入和保存好后，在命令提示符下即可直接运行命令，导入用户配置文件，以批量添加用户账户。基本命令与Ldifde类似，为：
　　Csvde –I –f c:\2.csv
　　导入成功后也有相应提示，如图2-28所示。此时也会在相应的“Active Directory用户和计算机”管理单元的相应组织单位中添加了以上这3个用户，


　　

　　


　　尽管Csvde与Ldifde类似，但Csvde有明显的局限性：它只能使用逗号分隔的格式（.csv）导入和导出Active Directory数据。而且配置比较麻烦，经常出错，建议您使用前面介绍的Ldifde实用工具进行“修改”操作或“删除”操作。此外，您尝试导入的项目的目录名必须位于.csv文件的第一列，否则导入操作将不起作用。
　　如果你所添加的用户账户名称在“Active Directory用户和计算机”管理单元相应域中已存在，则会出现错误，提示密码无法更新之类的提示，如图2-30所示。因为原用户已有密码了，现在批量添加的用户是无密码的，而csvde命令又没有更新密码的功能，所以出现这类错误。
　　出现这类错误多数情况下不是因为域组策略中设定了相应的密码策略造成的。笔者经过多次实验，也把密码策略选项进行过多次更改，强制应用，如图2-30所示的错误最终没有解除，而经过仔细比较后发现，原来确实其中有一个用户账户名称在原系统已存在，更正后即没有出现上述错误了。看来还是因为账户重名，密码不能更新的原因。

还可以支持基于 CSV 文件格式标准的批处理操作。语法csvde[-i][-f FileName][-s ServerName][-c String1 String2][-v][-j Path][-t PortNumber][-d BaseDN][-r LDAPFilter][-p Scope][-l LDAPAttributeList][-o LDAPAttributeList][-g][-m][-n][-k][-a UserDistinguishedName Password][-b UserName Domain Password]csvde -f C:\UsersOU.csv -d ou=Users,dc=fosunpharma,dc=com参数-i 指定导入模式。如果没有指定，默认模式为导出。 -f FileName 识别导入或导出文件名。 -s ServerName 指定域控制器执行导入或导出操作。 -c String1 String2 将所有 String1 项替换为 String2。从一个域将数据导入到另一个域以及导出域的可分辨名称 (String1) 需要替换为导入域的可分辨名称 (String2) 时普遍使用该操作。 -v 设置详细模式。 -j Path 设置日志文件位置。默认路径为当前路径。 -t PortNumber 指定LDAP 端口号。默认 LDAP 端口为 389。全局编录端口为 3268。 -d BaseDN 为数据导出设置搜索库的可分辨名称。 -r LDAPFilter 为数据导出创建 LDAP 搜索筛选器。 -p Scope 设置搜索范围。搜索范围选项为 Base、OneLevel 或 SubTree。-l LDAPAttributeList 设置返回至导出查询结果中的属性列表。如果省略该参数，则返回所有属性。 -o LDAPAttributeList 设置要从导出查询结果中省略的属性列表。从 Active Directory 导出对象然后将对象导入到另一 LDAP 兼容目录中通常使用该方法。如果另一个目录不支持属性，您可以使用该选项从结果集中忽略属性。 -g 忽略分页搜索。 -m 去掉仅适用于 Active Directory 对象的属性，如 ObjectGUID、objectSID、pwdLastSet 和 samAccountType 属性。 -n 忽略二进制值导出。 -k 在导入操作期间忽略错误并继续处理。下面是被忽略错误的完整列表：“对象已存在”、“约束冲突”以及“属性或值已经存在”。 -a UserDistinguishedName Password 使用提供的 UserDistinguishedName 和 Password 设置要运行的命令。默认情况下，将使用当前登录到网络的用户的凭据运行该命令。 -b UserName Domain Password 设置该命令以 Username Domain Password 身份运行。默认情况下，将使用当前登录到网络的用户的凭据运行该命令。 -? 显示命令菜单。 注释诸如Microsoft Excel 这样的应用程序都可读取或保存 CSV 格式的数据。此外，与其他许多非 Microsoft 的工具一样，Microsoft Exchange Server 管理工具也善于使用 CSV 格式导入和导出数据。CSV 格式由一行或多行数据组成，每个值用逗号隔开。CSV 文件的第一行（有时指标题）必须包含每个属性的名称，其顺序与第一行之后的任何一行的数据顺序相同。

一，需求提出
工作上有一个需求，需要批量的导入一些账号，并要求有一些属性，比如：部门，职位，分机等！
其实呢，需求很简单，解决方案也很简单，但在实际的操作过程中，也确实出现了一些问题，GG和BD了一些，也看了一些其他人的博客等内容，但大多都是比较雷同，更有甚者直接照搬微软帮助和支持中心的模板，并没有实际的操作案例的讲解，以及操作注意事项，根据其博客操作，总会出现这样那样的问题！出于此，虽然这篇很简单，但我还是要写出来与大家一起分享，分享的不单单是实际的解决方案，更是用心负责细心的态度，
当我们拿到这个需求，我们可能就要问了，这些属性我应该从哪里得到呢？我也记不住那么多的属性值呀！其实我们也可以变通的，我们可以先导入，然后根据导出的文件来对比这些属性值就可以完成，下面就让我们来看下过程！
二， 环境描述
1，DC一台（2003系统,安装有office 2007）
2，域名是：TT.Com
3，建立了一个OU：TT，并在TT这个OU下建立了一个用户：
三， 使用csvde导出账号
微软默认提供了两个批量导入导出工具，分别是CSVDE(CSV目录交换)和LDIFDE(LDAP数据互换格式目录交换)，具体选择上述哪个工具取决于需要完成的任务。如果需要创建对象，那么既可以使用CSVDE，也可以使用LDIFDE，如果需要修改或删除对象，则必须使用LDIFDE。我们这里选择csvde！
1，打开cmd，更换目录到C盘根目录，方便我们查找文件，如图1，
Csvde –f user.Csv 将AD对象导出到名为user.csv的文件，-f 开关表示后面为输出文件的名字。

图1
2，以上导出的信息量很大，从图中可以看出有200个项目，这样会有太多干扰我们的一些信息，不方便我们来查找我们想要的东西，我们可以适当的加一点参数来导出我们最想要的信息，如图2，
说明：TT这个OU和用户alice（这个用户的一些属性被我填写了，比如职位，部门，分机等，需要什么属性就填写相关的项目，但为了更好的效果可以填写英文，因为中文导出后会出现乱码，当然，在导出的时候，后面加一个参数 –u也是可以解决的，但在后期我们编辑的时候不太方便，所以尽量使用英文作为模板）是我为了导出我们需要的属性值而建立的，这个无关紧要，只是要导出一个属性值的模板来让我们参考！从图中我们可以看到这次只导出了2个项目，比上次那个会清晰很多！当然，csvde的参数还有很多，但我们能够用到的确实不是很多，行了解更多的可以打“？”来查看，或者参考官网：http://technet.microsoft.com/zh-cn/lipary/cc732101(v=ws.10)
1 u+ z- @4 q) l* l9 G- J
图2
四， 编辑模板
根据上一步导出的信息，我们就可以找到我们所需要的：职位，部门，分机等这些信息的属性值了，分别是“title，department，telephoneNumber”,其实有一个技巧就是，我们可以直接的修改这个csv文件，不需要再去新建了！我们把其他不需要的删除，只留下我们需要的，如图3，

图3
五， 导入用户
打开cmd，更换到C盘根目录，使用命令导入，如图4
Csvde –I –f user2.csv -i是导入的意思，-f是指定文件的意思

图4
六， 因为工具不能直接导入密码，并且我们在导入的使用使用了514，这是锁定账号的意思，用户的密码是空的，并且是用户下次登录需要更改密码。这显然是不安全的，如图5，

图5
七， 启用账号并设定初始密码！
1， 因为现在的用户是空密码，我们的默认域策略是要求复杂性的，所以暂时还无法启用用户，我们先更改密码，由于用户比较多，手动一个个去改麻烦，工具又不允许导入密码，所以，我们可以使用一个.bat文件" highlight="true">bat文件来对用户进行更改，如图6，建立完成后另存为pwd.bat，打开cmd切换到C根目录进行运行，看到完成的结果！

图6
2， 然后，使用shift进行多选，右键选择启用用户即可！如图7

图7
八， 查看结果是否满足需求
我们打开一个用户，看职位，部门，分机是否存在，如图8

九， 总结
在我们进行 导入的时候，不是说所有的账号有属于一个OU里，那么，我们在导入前是需要先加你相应的OU的，这是一个前提条件，不然在导入的时候会报错！

---

蒙城县13627665221： 如何实现AD域账户导入导出 - ？
宜尚丽珠： 一,需求提出 工作上有一个需求,需要批量的导入一些账号,并要求有一些属性,比如:部门,职位,分机等!其实呢,需求很简单,解决方案也很简单,但在实际的操作过程中,也确实出现了一些问题,GG和BD了一些,也看了一些其他人的...

蒙城县13627665221： 如何导出windows 2003 32位ad域用户和hash - ？
宜尚丽珠： 两台域控制器实现ad迁移的方法如下: AD用户账号、密码迁移步骤 前言利用Microsoft Active Directory Migration Tool可以在两个独立的AD域之间迁移用户、组、计算机等账号,其中2.0版可以实现迁移用户账号密码,本文档描述了如何在两...

蒙城县13627665221： 怎样将AD域控制器服务器搬迁到不同服务器上? - ？
宜尚丽珠： 1 可以采用两种方式.你的意思应该是替换原有的域控,建议采用方法12 方法1:是首先把现有域控备份,然后把数据拷贝到新机器上恢复.注意一定要确认两台机器分区是相同的,比如c:盘内容不能恢复到d:盘.备份步骤可以参考 http://...

蒙城县13627665221： 如何批量导入用户 - ？
宜尚丽珠： 一、 AD用户帐户复制 1、在“AD域和计算机”中建一个作为样板的用户,如S1. 2、设置相关需要的选项,如所属的用户组、登录时间、用户下次登录时需更改密码等. 3、在S1上/右键/复制,输入名字和口令. 说明: 1、 只有AD域用户帐户才可以复制,对于本地用户帐户无此功能. 2、 帐户复制可将在样板用户帐户设置的大多数属性带过来.

蒙城县13627665221： 怎样导出域中的用户名,因为要重做域控,用作备份 - ？
宜尚丽珠： 用作备份的AD信息,不需要导出具体的用户名. 使用下述方法备份后,在新机器上恢复备份用户名即可 方法是:

蒙城县13627665221： 如何导出ad域中计算机账号密码 - ？
宜尚丽珠： 域账号要在服务器上设置 密码可以直接登录域后 进系统 按ctrl+alt+del 有个更改密码!

蒙城县13627665221： 如何批量导出某个ou下的域用户名 - ？
宜尚丽珠： 一,需求提出 工作上有一个需求,需要批量的导入一些账号,并要求有一些属性,比如:部门,职位,分机等!其实呢,需求很简单,解决方案也很简单,但在实际的操作过程中,也确实出现了一些问题,GG和BD了一些,也看了一些其他人的...

蒙城县13627665221： java 同步用户信息到AD域 - ？
宜尚丽珠： 一般大企业都会用域环境,目的是统一管理计算机、账号.域环境能大大减少网络管理者的工作强度,通过在OU上设置策略可以达到批量设置属性、权限等的目的.微软的建议是多余10太PC就考虑域环境.域的搭建很简单,2003系统直接运行dcpromo就能启动向导.

蒙城县13627665221： 我想将Linux ldap帐户同步到Windows里面的AD域,怎么做啊?急啊 - ？
宜尚丽珠： 简单回答是没有的 你说问的问题设计到了 操作系统原理,如果有时间,而且也有兴趣,可以去看看这方面的书.其实,操作系统 例如 windows 或者说linux 他们是针对 操作而设计的系统. 而什么是数据库,简单的说就是存储 用户的资料或则信...

蒙城县13627665221： 如何自动把域帐户加到本地管理员组|ad活动目录域组策略登录脚本 - ？
宜尚丽珠： ---洛洛根据我的研究,在Windows系统中暂时不提供工具直接实现这种功能.您可以先将需要加入到本地管理员组的域用户放入一个OU中,然后通过组策略执行脚本来完成.下面我提供一些方法,供您参考:1.使用域管理员登陆到DC.活动目...