03域用户帐户导出导入.docxVIP

Windows 2000/03域用户帐户的导出/导入 2007年10月27日03:00 大庆油田高级人才培训中心 张东辉 　　作为网管，有时我们需要批量地向AD域中添加用户帐户，这些用户帐户既有一些相同的属性，又有一些不同属性。如果逐个添加、设置的话，十分地麻烦。一般来说，如果不超 过10个，我们可利用AD用户帐户复制来实现。如果再多的话，我们就应该考虑使用csvde.exe或ldifde.exe来减轻我们的工作量了。　　一、 AD用户帐户复制　　1、在“AD域和计算机”中建一个作为样板的用户，如S1。　　2、设置相关需要的选项，如所属的用户组、登录时间、用户下次登录时需更改密码等。　　3、在S1上/右键/复制，输入名字和口令。说明：　　1、 只有AD域用户帐户才可以复制，对于本地用户帐户无此功能。　　2、 帐户复制可将在样板用户帐户设置的大多数属性带过来。具体如下： 选项卡复制到新用户帐号的属性常规无。地址除了“街道”之外所有帐户除了“用户登录名”之外所有配置文件除“配置文件路径”和“主文件夹”。欲复制它们，应该使用%username%变量，如：\\server\share\%username%电话无单位除了“职务”之外所有。隶属于全部拨入无，将默认值应用于新帐户。环境无，将默认值应用于新帐户。会话无，将默认值应用于新帐户。远程控制无，将默认值应用于新帐户。终端服务配置文件无，将默认值应用于新帐户。二、比较csvde与ldifde　csvde逗号分隔符目录交换ldifde轻型目录访问协议互换格式目录交换功能只能用来添加对象，不能用于删除/修改可用于添加/删除/修改对象格式字段名1,字段名2,字段名3,……记录1此值,记录1此值,记录1此值,……字段名1: 记录1此值字段名2: 记录1此值字段名3: 记录1此值　　　　　……举例Dn,objectclass,samaccountname,userprincipalname,useraccountcontrol“cn=s1,ou=test,dc=mcse,dc=com”,user,s1,s1@,512Dn: cn=s1,ou=test,dc=mcse,dc=comObjectclass:userSamaccountname:s1Userprincipalname:s1@ useraccountcontrol:512共同点用于导入的文本文件必须包含：* 用户帐号的OU，对象的类型以及用户登录名的路径，用户主名* 默认（即不指定时）：用户帐户为禁用。启用：512，禁用：514* 可包含个人信息，但不可包含密码，只能用默认的空口令。* 或通过设pwdLastSet字段值为0，使“用户下次登录时须更改密码”（不设这个字段，默认也是如此）。* 通过设userAccountControl字段值为66048，可使“密码永不过期”。三、以csvde.exe为例说明：域用户帐户的导出/导入　　操作步骤如下：1、 在“AD域和计算机”中建一个用户，如S1。2、 设置相关需要的选项，如所属的用户组、登录时间、用户下次登录时需更改密码等。3、 在DC上，开始/运行：cmd4、 键入：csvde –f demo.csv说明：　　（1）不要试图将这个文件导回，来验证是否好使。因为这个文件中的好多字段在导入时是不允许用的，如：ObjectGUID、objectSID、pwdLastSet 和 samAccountType 等属性。我们导出这个文件目的只是为了查看相应的字段名是什么，其值应该怎么写，出错信息如下：objectGUID:写UNPRINTABLEBINARY(16)由于安全原因不允许修改。objectSid:写UNPRINTABLEBINARY(28)由于该属性处于“安全帐户管理器”(SAM)，不允许访问该属性。　　（2）可通过-d –r参数指定导出范围和对象类型。例如：　　 -d “ou=test,dc=mcse,dc=com” 或 -d “cn=users,dc=mcse,dc=com”　　　-r “ Objectclass=user”5、 以上面的文件为参考基础，创建自己的my.csv，并利用复制、粘贴、修改得到多条记录。例如：dn,objectClass,sAMAccountName,userAccountControl,userPrincipalNameCN=s1,OU=test,DC=mcse,DC=com,user,S1,512,S1@CN=s2,OU=test,DC=mcse,DC=com,user,S2,512,S2@………………其它可用字段，我试了一下，见下表（不全）：用户帐户属性　字符名说明　“常规”标签　姓Sn　　名Givename　　英文缩写Initials　　显示名称di