Cikk azonosítója: 237677 - Utolsó ellenőrzés: 2007. február 21. - Verziószám: 4.1

Az LDIFDE használata címtárobjektumok Active Directoryba való importálásához és a címtárból való exportálásához

A cikkben érintett termékek listájának megtekintése.
RendszertippA jelen cikk az Ön által használttól eltérő operációs rendszerre vonatkozik. A cikk azon tartalmait, amelyek nem relevánsak Önnek, letiltjuk.

A lap tartalma

Az összes kibontása | Az összes összecsukása

Összefoglaló

Az LDAP Data Interchange Format (LDIF) egy internetes szabványjavaslat olyan fájlformátumra, amely az LDAP-szabványoknak megfelelő címtárakon kötegelt műveletek végrehajtására használható. Az LDIF formátum adatok Active Directoryba történő exportálására (vagy abból való importálására) szolgál, lehetővé teszi hozzáadási, létrehozási és módosítási műveletek kötegelt futtatását a címtáron. Az LDIF fáljformátumszabványon alapuló kötegelt műveletek végrehajtására a Windows 2000 rendszerbe épített LDIFDE segédprogram használható. Jelen cikk annak megértését segíti, hogy az LDIFDE segédprogrammal miként lehetséges a címtárak áttelepítése.
A lap tetejére

További információ

Az LDIFDE általános paramétereinek megtekintése

  1. Kattintson a Start gombra, mutasson a Programok, majd a Kellékek pontra, végül kattintson a Parancssor parancsra.
  2. A parancssorba írja be a következő parancsot: ldifde ?. Ekkor az alábbi tartalommal megjelenik a súgófájl.

Általános paraméterek

-i              Importálási mód bekapcsolása (alapértelmezés az exportálás)
-f fájlnév      A kimeneti vagy bemeneti fájl neve
-s kiszolgáló   Kötendő kiszolgáló
-c RégiDN ÚjDN  RégiDN előfordulásainak lecserélése ÚjDN-re
-v              Szöveges mód bekapcsolása
-j              Naplófájl útvonala
-t              Portszám (alapértelmezés = 389)
-?              Súgó

Exportálásra vonatkozó paraméterek

-d GyökérDN     Az LDAP-keresés gyökere (alapérték az elnevezési kontextus)
-r Szűrő        LDAP keresési szűrő (alapérték az „(objectClass=*)” szerint
-p Hatókör      Keresés hatóköre (Base/OneLevel/Subtree)
-l lista        Az LDAP-kereséskor keresendő attribútumok listája
                (vesszővel elválasztva)
-o lista        Bevitelkor kihagyandó attribútumok (vesszővel elválasztva)
-g              Lapozott keresés tiltása
-m              SAM-logika engedélyezése exportáláskor
-n              Bináris értékek ne legyenek exportálva

Importálás

-k      Az importálás a „Megszorításmegsértés” és „Az objektum már létezik” 
        hibák figyelmen kívül hagyásával kerül végrehajtásra

Hitelesítési paraméterek

-a      A parancs futtatása a „megkülönböztető_név jelszó” formában megadott 
        felhasználói fiókkal, a hitelesítéshez a megadott jelszót használva; 
        példa: "cn=sajatnev,dc=cegnev,dc-hu jelszó"	
-b      A parancs futtatása a „felhasználónév tartomány jelszó” alakban megadott 
        tartomány megadott felhasználói fiókja alatt, a hitelesítéshez a megadott 
        jelszót használva. Alapértelmezés szerint az aktuálisan bejelentkezett 
        felhasználó hitelesítő adataival fut.
Megjegyzés: Az eszköz igen rugalmas, számos parancssori kapcsoló és argumentum használatát teszi lehetővé. A Windows 2000 Server rendszer részét képezi, de a Windows 2000 Professional rendszerben nem található meg. Mindazonáltal az LDIFDE segédprogramot átmásolhatja Windows 2000 Professional rendszerű számítógépre, és távolról futtathatja a Windows 2000 Server-alapú Active Directoryn.
A lap tetejére

Címtárobjektumok exportálása és importálása az LDIFDE eszköz segítségével

Az alábbiakban részletesen leírjuk, hogyan importálhat és exportálhat szervezeti egységeket és felhasználói fiókokat egyik Windows 2000 Active Directoryból a másikba. A példában az „Export” annak a tartománynak a neve, amelyből az objektumokat exportáljuk, az „Import” pedig azé, amelybe az objektumokat importáljuk. Az LDIFDE használatával a legtöbb külső fél által létrehozott mappát is importálhatja az Active Directoryba.

Szervezeti egységek exportálása a forrástartományból

  1. Jelentkezzen be rendszergazdaként az „Export” tartományba. Ha olyan fiókkal jelentkezik be, amely nem rendelkezik rendszergazdai jogosultságokkal, akkor valószínűleg nem tudja elvégezni az exportálási és importálási műveleteket az Active Directoryn.
  2. Kattintson a Start gombra, mutasson a Programok, majd a Kellékek pontra, végül kattintson a Parancssor parancsra.
  3. Írja be a parancssorba a következő parancsot:
    ldifde -f exportOu.ldf -s Kiszolgalo1 -d "dc=Export,dc=com" -p subtree -r "(objectCategory=organizationalUnit)" -l "cn,objectclass,ou"
    A parancs hatására a program a tartományvezérlők kivételével minden szervezeti egységet exportál az ExportOU.ldf fájlba.

Felhasználói fiókok exportálása a forrástartományból

A parancssorba írja be a következő parancsot:
ldifde -f Exportuser.ldf -s Kiszolgalo1 -d "dc=Export,dc=com" -p subtree -r "(&(objectCategory=person)(objectClass=User)(givenname=*))" -l "cn,givenName,objectclass,samAccountName"
A parancs hatására a program az „Export” tartomány összes felhasználóját az Exportuser.ldf fájlba exportálja. Ha nem áll rendelkezésére az összes szükséges attribútum, akkor az importálási művelet nem működik. Az objectclass és a samAccountName attribútumokat kötelező megadni, de szükség esetén több is megadhat belőlük.

Megjegyzés: A beépített fiókokhoz (például a Rendszergazda fiókhoz) nincs hozzárendelve külön megadott név. Alapértelmezés szerint a fenti LDAP-szűrő nem exportálja ezeket a fiókokat. Az LDIFDE nem támogatja a jelszavak exportálását.

Megjegyzés: Ha kihagyja az -s paramétert, az LDIFDE az exportálási műveletekhez egy globális katalógust választ. A tartományvezérlő elhelyezkedésétől függően ez a kiszolgáló esetleg egy másik tartomány tartományvezérlője lehet, ezért az exportálás meghiúsulhat. Ez az LDIFDE kimenetének tanulmányozásával megállapítható. Ha ez a helyzet áll fent, adja meg az objektumoknak helyet adó tartomány tartományvezérlőjét.

Szervezeti egységek importálása az „Export” tartományból az „Import” tartományba

  1. Jelentkezzen be rendszergazdaként az „Import” tartományba. Ha olyan fiókkal jelentkezik be, amely nem rendelkezik rendszergazdai jogosultságokkal, akkor valószínűleg nem tudja elvégezni az exportálási és importálási műveleteket az Active Directoryn.
  2. A Jegyzettömb segítségével nyissa meg az Exportou.ldf fájlt.
  3. Kattintson a Szerkesztés menü Csere parancsára.
  4. A Keresendő mezőbe írja be a következőt: Export. A Csere erre mezőbe írja be a következőt: Import.
  5. Kattintson Az összes cseréje gombra.
  6. Miután ellenőrizte, hogy a tartománynevek cseréje megtörtént, mentse, majd zárja be a fájlt.
  7. Írja be a parancssorba a következő parancsot:
    ldifde -i -f ExportOU.ldf -s Kiszolgalo2
Megjelenik egy üzenet, amely jelzi a módosított bejegyzések számát, és közli, hogy a parancs sikeresen lefutott.

Megjegyzés: Ez esetben az első lépést a második előtt végre kell hajtani, így biztosítható, hogy a szervezeti egységek rendelkezésre álljanak a felhasználók befogadására.

Felhasználók importálása az „Export” tartományból az „Import” tartományba

  1. A Jegyzettömb segítségével nyissa meg az Exportuser.ldf fájlt.
  2. Kattintson a Szerkesztés menü Csere parancsára.

    Megjegyzés: Ne feledje, a példában az „Export” annak a tartománynak a neve, amelyből az objektumokat exportáljuk, az „Import” pedig azé, amelybe az objektumokat importáljuk. Az „Export” szót annak a tartománynak a nevével kell helyettesíteni, ahonnan az objektumokat exportálja, az „Import” szót pedig annak a tartománynak a nevével kell helyettesíteni, ahová az objektumokat importálja.
  3. A Keresendő mezőbe írja be a következőt: Export. A Csere erre mezőbe írja be a következőt: Import.
  4. Kattintson Az összes cseréje gombra.
  5. Miután ellenőrizte, hogy a tartománynevek cseréje megtörtént, mentse, majd zárja be a fájlt.
  6. Írja be a parancssorba a következő parancsot:
    ldifde -i -f Exportuser.ldf -s Kiszolgalo2
  7. Tekintse meg az újonnan létrehozott névjegyeket az Active Directory – felhasználók és számítógépek beépülő modul vagy a Windows Címjegyzék segítségével.
MEGJEGYZÉS: Mivel az LDIFDE nem exportál jelszavakat, a felhasználóknak a címtárba való importálása során a fiók le van tiltva, és a jelszó „null” értéket kap. Ez biztonsági okokra vezethető vissza. A program „A következő bejelentkezéskor meg kell változtatni a jelszót” fiókbeállítást is aktiválja.

Objektumok exportálása egy egész erdőből

Ha egy teljes erdőből szeretne szervezeti egységeket, felhasználókat és csoportokat exportálni, akkor az LDIFDE fent ismertetett exportálási parancsait futtathatja az erdő egyes tartományain, vagy egyszeri műveletként lekérdezheti a globális katalógust. Ehhez győződjön meg arról, hogy az -s kapcsoló által definiált tartományvezérlő globális katalógus, továbbá a -t kapcsoló segítségével adja meg a globális katalógus portszámát. A globális katalógus portszáma: 3268.

A globális katalóguson végrehajtandó exportálási művelethez például az alábbi LDIFDE-parancsot kell megadni:
ldifde -f Exportuser.ldf -s Kiszolgalo1 -t 3268 -d "dc=Export,dc=com" -p subtree -r "(&(objectCategory=person)(objectClass=User)(givenname=*))" -l "cn,givenName,objectclass,sAMAccountName"
Megjegyzés: Az Active Directory attribútumainak módosítása esetén nagyon fontos, hogy az importálási fájl az alábbi formátumú legyen; különösen ügyeljen arra, hogy a „-” karakter külön sorba kerüljön, és azt egy üres sor kövesse. A fájl importálásához csak a következő parancsot kell futtatni: ldifde -i -f Import.ldf -s Kiszolgalo.

Példa importálási, illetve módosítási fájl formátumára: 
dn: CN=Verebelyi Agnes,OU=Szemelyzet,DC=microsoft,DC=com
changetype: modify
replace: extensionAttribute1
extensionAttribute1: Szemelyzet
-

dn: CN=Gipsz Jakab,OU=Szemelyzet,DC=microsoft,DC=com
changetype: modify
replace: extensionAttribute1
extensionAttribute1: Szemelyzet
-

Többértékű attribútumok importálása

A többértékű attribútumokat tartalmazó importálási fájlok formátuma a következő:
dn: megkulonboztetoNev
changetype: modify
replace: attribute
modify replace: attributum [ez a módosítandó attribútum]
attribute: ertek1
attribute: ertek2
attribute: ertekN [ahol N a következő érték] - [a kötőjel, a bemeneti fájl lezárásához szükséges]
példa:
dn: CN=Connector for Lotus Notes (EX1),CN=Connections,CN=First Routing Group,CN=Routing Groups,CN=First Administrative Group,CN=Administrative Groups,CN=VINC,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=vinc,DC=biz changetype: modify replace: msExchExportContainersLinked msExchExportContainersLinked: OU=GroupWise Users,DC=vinc,DC=biz msExchExportContainersLinked: OU=AD Users,DC=vinc,DC=biz msExchExportContainersLinked: CN=Users,DC=vinc,DC=biz
A lap tetejére
A cikkben található információ a következő(k)re vonatkozik:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
A lap tetejére
Kulcsszavak: 
kbhowto KB237677
A lap tetejére
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.