或者您只是需要除了打開“用戶和計算機”之外的一種更加輕松的方法來管理 Active Directory??,則有大量免費管理工具可以提供幫助。有些工具內置于 Windows?? 操作系統中,有些位于資源工具包或 Windows 支持工具中,而有些甚至是免費的第三方工具。這些便捷工具都包括什么,可以從何處獲取?讓我們來了解一下。
首先介紹 Windows Server?? 2003 中的內置命令行工具,這些工具允許您在 Active Directory 中創建、刪除、修改和查找對象。
CSVDE
逗號分隔值數據交換工具(即 CSVDE)允許您使用 CSV 源文件將新對象導入到 Active Directory 中;此外,該工具還提供了將現有對象導出到 CSV 文件的功能。CSVDE 不能用于修改現有對象;在導入模式下使用此工具時,您只能創建全新的對象。
使用 CSVDE 導出現有對象的列表相當簡單。將 Active Directory 對象導出到名為 ad.csv 的文件,方法如下:
csvde –f ad.csv
–f 開關表示后面為輸出文件的名稱。但是您必須注意,根據環境的不同,此基本語法可能會生成不實用的大型輸出文件。要將此工具限制為僅導出特定組織單位 (OU) 中的對象,可以將語句修改為如下形式:
csvde –f UsersOU.csv –d ou=Users,dc=contoso,dc=com
進一步假定您只對將用戶對象導出到 CSV 文件感興趣。如果是那樣的話,您可以添加 –r 開關和 –l 開關,前者允許指定輕型目錄訪問協議 (LDAP) 篩選器進行搜索,后者可以限制導出的屬性的數量(請注意以下所有內容位于一行):
csvde –f UsersOnly.csv –d ou=Users,dc=contoso,dc=com –r "(&(objectcategory=person)(objectclass=user))" –l DN,objectClass,description
通過 –i 開關,您可以將對象從源 CSV 文件導入到 Active Directory.但是,使用 CSVDE 創建用戶對象存在一個關鍵限制:不能使用 CSVDE 設置用戶密碼。因此,應該避免使用 CSVDE 創建用戶對象。
LDIFDE
Active Directory 還提供了另外一個用于執行批量用戶操作的內置工具,稱為 LDIFDE,與 CSVDE 相比,此工具更強大,更靈活。除了可以創建新對象外,LDIFDE 還可以修改和刪除現有對象,甚至擴展 Active Directory 架構。LDIFDE 雖然具有靈活性,但為了實現這種靈活性卻必須要使用擴展名為 .ldf 的 LDIF 文件作為輸出文件,這種文件與簡單的 CSV 文件相比,格式更復雜。(只需少量操作就可以配置好用戶密碼,我稍后將對此進行介紹。)
我們從一個簡單的示例開始,將某個 OU 中的用戶導出到 LDF 文件中(請注意以下所有內容位于一行):
ldifde -f users.ldf -s DC1.contoso.com -d "ou=UsersOU,dc=contoso,dc=com" –r "(&(objectcategory=person)(objectclass=user))"
與大多數命令行工具一樣,您可以通過運行 LDIFDE /? 命令找到 LDIFDE 開關的完整說明。圖 1 介紹了我在此使用過的開關。(注意 CSVDE 和 LDIFDE 命令的開關實際上是相同的。)
LDIFDE 的真正功能在于創建和操作對象。然而,進行此操作之前,您首先需要創建一個輸入文件。以下語句創建兩個名為 afuller 和 rking 的用戶帳戶;要創建該輸入文件,請在記事本(或者您喜歡的純文本編輯器)中輸入以下文本,然后將其保存為 NewUsers.ldf:
dn: CN=afuller, OU=UsersOU, DC=contoso, DC=com changetype: add cn: afullerobjectClass: user samAccountName: afuller dn: CN=rking, OU=UsersOU, DC=contoso, DC=com changetype: add cn: rkingobjectClass: user samAccountName: rking
創建完該文件后,請運行以下命令:
ldifde –i –f NewUsers.ldf –s DC1.contoso.com
您可能會猜到,此處使用的唯一新開關 -i 表明這是一項導入操作而非導出操作。
如果要修改或刪除現有對象,不必更改 LDIFDE 命令的語法;相反,您應該修改 LDF 文件中的內容。要更改用戶帳戶的說明字段,請創建名為 ModifyUsers.ldf 的文本文件,如圖 1 所示。
![]("http://windows.chinaitlab.com/UploadFiles_3263/200710/20071009120957871.gif")
圖 1 ModifyUsers LDF 文件
您可以通過運行與之前相同的 LDIFDE 命令語法,在 -f 開關后面指定新的 LDF 文件名來導入更改。用于刪除對象的 LDF 格式更簡單;要刪除一直使用的用戶,請創建一個名為 DeleteUsers.ldf 的文件,然后輸入以下內容:
dn: CN=afuller OU=UsersOU, DC=contoso, DC=com changetype: deletedn: CN=rking, OU=UsersOU, DC=contoso, DC=com changetype: delete
注意,與 CSVDE 不同,LDIFDE 能夠配置用戶密碼。不過,在為用戶帳戶配置 unicodePWD 屬性之前,必須在域控制器上配置安全套接字層/傳輸層安全性 (SSL/TLS) 加密。
而且,LDIFDE 能夠創建和修改任何類型的 Active Directory 對象,并不僅限于用戶帳戶。例如,下面的 LDF 文件可在 contoso.com 林的架構中創建名為 EmployeeID-example 的自定義架構擴展:
dn: cn=EmployeeID-example,cn=Schema,cn=Configuration,dc=contoso,dc=comchangetype: addadminDisplayName: EmployeeID-ExampleattributeID: 1.2.3.4.5.6.6.6.7attributeSyntax: 2.5.5.6cn: Employee-IDinstanceType: 4isSingleValued: TruelDAPDisplayName: employeeID-example
由于 LDIFDE 文件使用工業標準 LDAP 文件格式,因此需要修改 Active Directory 架構的第三方應用程序會經常提供 LDF 文件,您可以在將這些更改應用于生產環境之前使用這些文件檢查和批準更改。
除了用于執行批量導入和導出操作的工具外,Windows Server 2003 還包括一個內置工具集,您可以使用它來創建、刪除和修改各種 Active Directory 對象,還可以對符合特定條件的對象執行查詢。(請注意 Windows 2000 Active Directory 并不支持這些工具,如 dsadd、dsrm、dsget 和 dsquery 等。)
