Para organizaciones con un gran número de miembros que se mantienen a través de almacenes de entidades Active Directory o Lightweight Directory Access Protocol (LDAP), puede resultar difícil identificar qué cuentas ya no están activas o que ya no tienen usuarios de dominio coincidentes.ArcGIS Enterprise incluye una herramienta de script de Python, AD_LDAP_Users.py, que analiza todos los miembros de Active Directory y LDAP e identifica a los que están obsoletos o que ya no tienen cuentas de dominio. Si se encuentra algún usuario, el script genera un informe HTML que enumera los usuarios junto con el número de elementos y grupos de su propiedad y la última fecha de inicio de sesión.
Nota:
Este script solo está destinado a evaluar miembros desde los almacenes de identidades Active Directory o LDAP. Es algo que no funcionará con miembros de SAML ni OpenID Connect.Si un administrador desea eliminar estos miembros, primero se debe transferir cualquier elemento o grupo. Para ayudar con este proceso, el script genera hasta dos archivos .txt. Si es necesario, se crea un archivo AD_LDAP_Transfer.txt que se puede utilizar con la utilidad de línea de comandos TransferOwnership para transferir todos los elementos y grupos a la cuenta de administrador utilizada para ejecutar el script. También se crea un archivo AD_LDAP_Delete.txt que se puede utilizar con la utilidad de línea de comandos DeleteUsers para eliminar estos usuarios.
El script AD_LDAP_Users.py está en \tools\accountmanagement directory. Ejecute el script desde la línea de comandos con AD_LDAP_Users.bat, que se encuentra en el mismo directorio. Tiene la opción de especificar uno o varios parámetros al ejecutar la secuencia de comandos.
Parámetros AD_LDAP_Users.py
En la siguiente tabla se describen los parámetros de AD_LDAP_Users.py:
| Parámetro | Descripción |
|---|---|
-n | El nombre de dominio totalmente calificado del equipo donde está instalado Portal for ArcGIS (en otras palabras, gisportal.domain.com). El valor predeterminado es el nombre de host del equipo donde se ejecuta el script. |
-u | El nombre de usuario de una cuenta de administrador. |
-p | La contraseña de una cuenta de administrador. |
-o | El directorio donde se guardarán el informe de escaneado de usuarios y los correspondientes archivos .txt. El directorio predeterminado es la misma carpeta donde ejecuta la secuencia de comandos. |
-t | Se puede generar un token y utilizarlo en lugar del nombre de usuario y la contraseña. Al generar un token, se debe introducir userScan en el campo Webapp URL. Cuando se proporciona un token, este invalida cualquier nombre de usuario o contraseña proporcionados. |
--ignoressl | Deshabilite la verificación del certificado SSL. Si Python no confía en el emisor del certificado utilizado en el puerto 7443, el script no se completará. Si lo necesita, puede especificar este parámetro para ignorar todos los certificados. |
-h o -? | Genera una lista de los parámetros que se pueden especificar al ejecutar la secuencia de comandos. |
Ejemplo: python AD_LDAP_Users.sh -n portal.domain.com -u admin -p my.password -o C:\Temp
Si el script AD_LDAP_Users.py se ejecuta sin especificar parámetros, se le pedirá que los introduzca manualmente o que seleccione un valor predeterminado. Si desea utilizar un token, este se debe proporcionar como un parámetro al ejecutar el script.
Si se identifica algún miembro, el script genera un informe en formato HTML que enumera a estos miembros junto con el número de elementos y grupos de su propiedad y su última fecha de inicio de sesión. También se genera un archivo .txt que enumera estos nombres de usuario y se genera un segundo archivo .txt para cualquier usuario que posea elementos o grupos. Los archivos .txt están destinados a utilizarse con las otras utilidades de línea de comandos para transferir elementos y eliminar los usuarios.
De forma predeterminada, el informe se guarda en la misma carpeta donde ejecutó el script y se llama AD_LDAP_Users_Scan_Report_[hostname]_[date].html.
Los archivos .txt se guardan en la misma carpeta que el informe de escaneado HTML y se denominan AD_LDAP_Transfer.txt y AD_LDAP_Delete.txt.