Category Archives: Windows

大众广泛认为活动目录是不需要维护的，但是VAR还是有机会提供一些清理、优化和其它活动目录管理服务。 活动目录（AD）以活动目录服务数据库为中心。这个数据库在脱离混乱时能更高效地执行。一个已经适当归位一年的AD数据库可能包含不必要的对象。解决方案提供商可以提供活动目录管理服务，包括清理这些不必要的对象和优化AD以获得最大化的性能。 活动目录清理服务 不必要的活动目录对象往往分成两大类：用户帐户和计算机帐户。活动目录管理服务还能清除其它类的对象，但是用户和计算机帐户最普通的（也是最容易识别的）两种。 通常，有些用户已经不在公司工作，还有一些用户不需要帐户，但他们的活动目录用户帐户仍然存在。执行活动目录清理服务时识别这些用户帐户的一个方法就是使用叫做AD Tidy的免费工具来确定用户上一次登入的时间。 提醒一下，你不能仅仅因为某个用户很长时间没有登入就认为删除这个帐户是安全的。在大型企业中，不删除但关闭前员工的帐户是常见现象。这是因为Exchange Server将邮箱内容和用户帐户绑定在一起。因此，如果你删除一个用户账户，你就删除了与这个帐户相关的所有邮件。这种情况下，最好是针对不需要的用户帐户生成一个清单，让你的用户来决定哪些帐户应该删除。当然，在从AD中移除内容前创建一个备份文件就最好不过了。 清除计算机帐户就要安全得多了。在域中添加一个服务器或工作站的过程会为这台机器创建一个计算机帐户。如果一个计算机退役了，但是没有从域中粉碎，那么计算机帐户还保留在AD中，即使这台计算机技术上不再属于这个域了。 说到活动目录清理以及清除计算机帐户，你需要知道的一件事就是清除计算机帐户并没有必要清除对这个计算机帐户的引用。例如，想像一下Exchange服务器崩溃时，你的客户决定用另一台服务器来替代它，这台服务器的名字也不一样了。这样的情况中，你可以安全地在AD中删除老服务器的云计算机帐户，因为这台服务器不会再次使用了。但是，其它留下的服务器还是会把崩溃的服务器当作是Exchange组织的一部分，因为AD数据库仍然包括对这台服务器的引用，即使是它的计算机帐户已经删除了。要除掉不想要的老服务器引用，你会使用ADSI编辑工作来手动地编辑AD。 活动目录优化服务 通常关于活动目录优化你没必要做什么，因为Windows Server执行一个自动的维护周期，按照常规基础清理数据库碎片。但是当AD数据库中有物件删除时，它们由空白区代替。这个碎片整理程序整合所有空白区，但是对缩小数据库并没有帮助。 在多数情况下，你不用担心从AD数据库中回收再利用磁盘空间，但是在有些特殊情形下，这些活动目录优化是有必要的。例如，如果在NTDS.DIT文件的卷上剩余空间不足500MB，有你也许想要试着缩小AD数据库。同样地，如果数据库所在的卷上剩余的可用磁盘空间只有20%或少于NTDS.DIT文件的大小，你应该考虑缩小数据库。 如果日志文件偶然和数据库保留在相同的卷上，那么这个卷至少要包含1GB的可用空间，并且至少应该有足够的可用空间来安置增长率为20%的数据库和日志文件。 整合AD数据库需要重启服务器到活动目录恢复模式，并且使用NTDSUTIL来缩小数据库。相似的程序来可用来重新安置这个数据库。 你必须在域控制器离线前创建一个完整系统状态备份，因为流程执行不当可能毁掉这个域控制器。这个流程也可能因为数据库中未被发现的崩溃而失效。 尽管活动目录优化可以手动地执行，但是还有大量产品专门用来自动化这个过程。如果你决定为客户提供活动目录管理服务，你可以使用这些产品来朝着有利的方向发展。如果客户更青睐于自己维护活动目录，你可以向他们推销你的活动目录清理产品 以上摘自 http://os.51cto.com/art/201203/324371.htm

  一，需求提出 工作上有一个需求，需要批量的导入一些账号，并要求有一些属性，比如：部门，职位，分机等！ 其实呢，需求很简单，解决方案也很简单，但在实际的操作过程中，也确实出现了一些问题，GG和BD了一些，也看了一些其他人的博客等内容，但大多都是比较雷同，更有甚者直接照搬微软帮助和支持中心的模板，并没有实际的操作案例的讲解，以及操作注意事项，根据其博客操作，总会出现这样那样的问题！出于此，虽然这篇很简单，但我还是要写出来与大家一起分享，分享的不单单是实际的解决方案，更是用心负责细心的态度， 当我们拿到这个需求，我们可能就要问了，这些属性我应该从哪里得到呢？我也记不住那么多的属性值呀！其实我们也可以变通的，我们可以先导入，然后根据导出的文件来对比这些属性值就可以完成，下面就让我们来看下过程！ 二， 环境描述 1，DC一台（2003系统,安装有office 2007） 2，域名是：TT.Com 3，建立了一个OU：TT，并在TT这个OU下建立了一个用户： 三， 使用csvde导出账号 微软默认提供了两个批量导入导出工具，分别是CSVDE(CSV目录交换)和LDIFDE(LDAP数据互换格式目录交换)，具体选择上述哪个工具取决于需要完成的任务。如果需要创建对象，那么既可以使用CSVDE，也可以使用LDIFDE，如果需要修改或删除对象，则必须使用LDIFDE。我们这里选择csvde！ 1，打开cmd，更换目录到C盘根目录，方便我们查找文件， Csvde –f user.Csv 将AD对象导出到名为user.csv的文件，-f 开关表示后面为输出文件的名字。 2，以上导出的信息量很大，从图中可以看出有200个项目，这样会有太多干扰我们的一些信息，不方便我们来查找我们想要的东西，我们可以适当的加一点参数来导出我们最想要的信息， 说明：TT这个OU和用户alice（这个用户的一些属性被我填写了，比如职位，部门，分机等，需要什么属性就填写相关的项目，但为了更好的效果可以填写英文，因为中文导出后会出现乱码，当然，在导出的时候，后面加一个参数 –u也是可以解决的，但在后期我们编辑的时候不太方便，所以尽量使用英文作为模板）是我为了导出我们需要的属性值而建立的，这个无关紧要，只是要导出一个属性值的模板来让我们参考！从图中我们可以看到这次只导出了2个项目，比上次那个会清晰很多！当然，csvde的参数还有很多，但我们能够用到的确实不是很多，行了解更多的可以打“？”来查看，或者参考官网：http://technet.microsoft.com/zh-cn/lipary/cc732101(v=ws.10) 四， 编辑模板 根据上一步导出的信息，我们就可以找到我们所需要的：职位，部门，分机等这些信息的属性值了，分别是“title，department，telephoneNumber”,其实有一个技巧就是，我们可以直接的修改这个csv文件，不需要再去新建了！我们把其他不需要的删除，只留下我们需要的 五， 导入用户 打开cmd，更换到C盘根目录，使用命令导入 Csvde –I –f user2.csv -i是导入的意思，-f是指定文件的意思 六， 因为工具不能直接导入密码，并且我们在导入的使用使用了514，这是锁定账号的意思，用户的密码是空的，并且是用户下次登录需要更改密码。这显然是不安全的， 七， 启用账号并设定初始密码！ 1， 因为现在的用户是空密码，我们的默认域策略是要求复杂性的，所以暂时还无法启用用户，我们先更改密码，由于用户比较多，手动一个个去改麻烦，工具又不允许导入密码，所以，我们可以使用一个bat文件来对用户进行更改，如图6，建立完成后另存为pwd.bat，打开cmd切换到C根目录进行运行，看到完成的结果！ … Continue reading →