Использование средства LDIFDE для импорта и экспорта объектов каталогов в Active Directory

Код статьи: 237677 - Список продуктов, к которым относится данная статья.
Развернуть все | Свернуть все

На этой странице

Аннотация

Формат обмена данными LDAP (LDIF) — это предварительный веб-стандарт формата файлов, который можно использовать для выполнения пакетных операций над каталогами, соответствующими стандартам LDAP. Формат LDIF поддерживает экспорт и импорт данных, позволяя выполнять с Active Directory пакетные операции добавления, создания и изменения. В ОС Windows 2000 входит программа LDIFDE, служащая для выполнения пакетных операций с использованием формата файлов LDIF. В этой статье описано, как можно использовать программу LDIFDE для миграции каталогов.
Перейти к началу страницы | Отправить отзыв

Дополнительная информация

Просмотр общих параметров LDIFDE

  1. Нажмите кнопку Пуск и последовательно выберите пункты Программы, Стандартные и Командная строка.
  2. Введите в командной строке следующую команду: ldifde ?. Будет выведен встроенный файл справки:

Общие параметры

-i              Включение режима импорта (по умолчанию включен экспорт)
-f filename     Имя входного или выходного файла
-s servername   Сервер для привязки
-c FromDN ToDN  Замена вхождений FromDN на ToDN
-v              Включение режима подробной информации
-j              Расположение файла журнала
-t              Номер порта (по умолчанию = 389)
-?              Справка

Параметры экспорта

-d RootDN       Корень поиска LDAP (по умолчанию — контекст именования)
-r Filter       Фильтр поиска LDAP (по умолчанию — «(objectClass=*)»)
-p SearchScope  Область поиска (Base/OneLevel/Subtree)
-l list         Список атрибутов (разделитель — запятая), для которых выполняется
                поиск LDAP
-o list         Список пропускаемых атрибутов (разделитель — запятая)
-g              Отключение страничного поиска
-m              Включение логики SAM при экспорте
-n              Не экспортировать двоичные значения

Импорт

-k      Продолжать импорт, пропуская ошибки «Нарушение ограничения» и «Объект
        уже существует»

Задание учетных данных

-a      Выполнить команду, используя указанные различающееся имя
        и пароль пользователя. Например: «cn=yourname,dc=yourcompany,dc-com
        password»	
-b      Выполнить команду, используя синтаксис «имя_пользователя домен пароль». По умолчанию команда
        выполняется с использованием учетных данных пользователя, который в настоящее время зарегистрирован в системе.
Примечание. Это средство отличается высокой гибкостью и поддерживает ряд параметров и аргументов командной строки. Оно входит в состав системы Windows 2000 Server, но не Windows 2000 Professional. Программу LDIFDE можно скопировать на компьютер, работающий под управлением ОС Windows 2000 Professional, и запускать в удаленном режиме для службы Windows 2000 Server Active Directory.

Использование средства LDIFDE для импорта и экспорта объектов каталогов

Ниже приведено пошаговое описание импорта и экспорта подразделений и учетных записей пользователей из одного экземпляра Windows 2000 Active Directory в другой. В данном примере домен, из которого экспортируются объекты, называется «Export», а домен, в который они импортируются, — «Import». Программа LDIFDE позволяет также импортировать в службу каталогов Active Directory большинство сторонних папок.

Экспорт подразделений из исходного домена

  1. Войдите в домен Export с учетной записью администратора. При использовании учетной записи, не имеющей привилегий администратора, экспорт и импорт для Active Directory может быть невозможным.
  2. Нажмите кнопку Пуск и последовательно выберите пункты Программы, Стандартные и Командная строка.
  3. Введите в командной строке следующую команду:
    ldifde -f exportOu.ldf -s сервер1 -d "dc=Export,dc=com" -p subtree -r "(objectCategory=organizationalUnit)" -l "cn,objectclass,ou"
    При выполнении этой команды все подразделения за исключением контроллеров домена будут экспортированы в файл ExportOU.ldf.

Экспорт учетных записей пользователей из исходного домена

Введите в командной строке следующую команду:
ldifde -f Exportuser.ldf -s сервер1 -d "dc=Export,dc=com" -p subtree -r "(&(objectCategory=person)(objectClass=User)(givenname=*))" -l "cn,givenName,objectclass,samAccountName"
В результате выполнения этой команды все учетные записи пользователей в домене Export будут экспортированы в файл Exportuser.ldf. При отсутствии каких-либо обязательных атрибутов операцию импорта выполнить не удастся. Атрибуты objectclass и samAccountName являются обязательными; при необходимости можно использовать дополнительные атрибуты.

Примечание. Встроенные учетные записи, например учетная запись администратора, не имеют заданного имени. По умолчанию при использовании фильтра LDAP, указанного выше, эти учетные записи не экспортируются. Программа LDIFDE не поддерживает экспорт паролей.

Примечание. При пропускании параметра -s LDIFDE выбирает для экспорта глобальный каталог. В зависимости от местоположения контроллера домена, этот сервер может являться контроллером другого домена, поэтому экспорт может оказаться невозможным. Это можно обнаружить при проверке выхода LDIFDE. В этом случае определите локальный контроллер домена, на котором находятся объекты.

Импорт подразделений из домена Export в домен Import

  1. Войдите в домен Import с учетной записью администратора. При использовании учетной записи, не имеющей привилегий администратора, экспорт и импорт для Active Directory может быть невозможным.
  2. Откройте файл Exportou.ldf с помощью программы «Блокнот».
  3. Выберите в меню Правка команду Заменить.
  4. В поле Что введите Export. В поле Чем введите Import.
  5. Нажмите кнопку Заменить все.
  6. Убедитесь в том, что имена домена изменены, после чего сохраните файл и закройте его.
  7. Введите в командной строке следующую команду:
    ldifde -i -f ExportOU.ldf -s сервер2
Появится сообщение с информацией о количестве измененных элементов и уведомлением об успешном выполнении команды.

Примечание. В данном случае до выполнения второго действия нужно выполнить первое, чтобы были доступны подразделения для пользователей.

Импорт пользователей из домена Export в домен Import

  1. Откройте файл Exportuser.ldf с помощью программы «Блокнот».
  2. Выберите в меню Правка команду Заменить.

    Примечание. В данном примере домен, из которого экспортируются объекты, называется «Export», а домен, в который они импортируются, — «Import». Необходимо будет заменить значение «Export» именем домена, из которого экспортируются объекты, а значение «Import» именем домена, в который они импортируются.
  3. В поле Что введите Export. В поле Чем введите Import.
  4. Нажмите кнопку Заменить все.
  5. Убедитесь в том, что имена домена изменены, после чего сохраните файл и закройте его.
  6. Введите в командной строке следующую команду:
    ldifde -i -f Exportuser.ldf -s сервер2
  7. Просмотрите созданные контакты, используя оснастку «Active Directory — пользователи и компьютеры» или адресную книгу Windows.
ПРИМЕЧАНИЕ. Программа LDIFDE не экспортирует пароли, поэтому при импорте пользователей в каталог учетная запись блокируется, а паролю присваивается значение NULL. Это выполняется по соображениям безопасности. Кроме того, при этом задается параметр учетной записи «Требовать смену пароля при следующем входе в систему».

Экспорт объектов из всего леса

Если требуется экспортировать подразделения, пользователей и группы из всего леса, можно или выполнить приведенные выше команды экспорта LDIFDE для каждого домена леса, или один раз выполнить запрос для глобального каталога. В таком случае укажите в качестве контроллера домена, заданного параметром -s, глобальный каталог и задайте с помощью параметра -t порт глобального каталога. Номер порта глобального каталога — 3268.

Например, чтобы выполнить экспорт для глобального каталога, команда LDIFDE должна иметь следующий вид:
ldifde -f Exportuser.ldf -s сервер1 -t 3268 -d "dc=Export,dc=com" -p subtree -r "(&(objectCategory=person)(objectClass=User)(givenname=*))" -l "cn,givenName,objectclass,sAMAccountName"
Примечание. При изменении атрибутов Active Directory необходимо соблюдать приведенный ниже формат файла импорта. Обратите особое внимание на дефисы («-») в отдельных строках и следующие за ними пустые строки. Чтобы импортировать этот файл, выполните следующую команду: ldifde -i -f Import.ldf -s сервер.

Пример формата файла импорта или изменений: 
dn: CN=Jane Doe,OU=Staff,DC=microsoft,DC=com
changetype: modify
replace: extensionAttribute1
extensionAttribute1: Staff
-

dn: CN=John Doe,OU=Staff,DC=microsoft,DC=com
changetype: modify
replace: extensionAttribute1
extensionAttribute1: Staff
-

Импорт многозначных атрибутов

Файлы импорта с многозначными атрибутами имеют следующий формат:
dn: различающееся_имя
changetype: modify
replace: attribute
modify replace: атрибут [изменяемый атрибут]
attribute: значение1
attribute: значение2
attribute: значениеN [где N — следующее значение] - [дефис, признак завершения файла ввода]
Пример:
dn: CN=Connector for Lotus Notes (EX1),CN=Connections,CN=First Routing Group,CN=Routing Groups,CN=First Administrative Group,CN=Administrative Groups,CN=VINC,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=vinc,DC=biz changetype: modify replace: msExchExportContainersLinked msExchExportContainersLinked: OU=GroupWise Users,DC=vinc,DC=biz msExchExportContainersLinked: OU=AD Users,DC=vinc,DC=biz msExchExportContainersLinked: CN=Users,DC=vinc,DC=biz
Перейти к началу страницы | Отправить отзыв

Свойства

Код статьи: 237677 - Последнее изменение :: 22 декабря 2006 г. - Редакция: 4.1
Информация в данной статье относится к следующим продуктам.
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Ключевые слова: 
kbhowto KB237677
Перейти к началу страницы | Отправить отзыв

Отправить отзыв

 
Перейти к началу страницыПерейти к началу страницы