Skip To Content

Identificar contas de domínio inativas

Para organizações com um grande número de membros que são mantidos por meio de armazenamentos de identidade do Active Directory ou Lightweight Directory Access Protocol (LDAP), pode ser difícil identificar quais contas não estão mais ativas ou não têm mais usuários de domínio correspondentes. O ArcGIS Enterprise inclui uma ferramenta de script Python, AD_LDAP_Users.py que verifica todos os membros do Active Directory e LDAP e identifica aqueles que estão obsoletos ou não têm mais contas de domínio. Se algum usuário for encontrado, o script irá gerar um relatório HTML listando os usuários junto com o número de itens e grupos pertencentes ao usuário e a última data de registro.

Anotação:
Este script destina-se apenas a avaliar membros do Active Directory ou armazenamentos de identidade LDAP. Isso não funcionará com membros SAML ou OpenID Connect.

Se um administrador desejar remover esses membros, todos os itens ou grupos deverão ser transferidos primeiro. Para auxiliar nesse processo, o script gera até dois arquivos .txt. Se necessário, um arquivo AD_LDAP_Transfer.txt será criado que poderá ser usado com o utilitário da linha de comando TransferOwnership para transferir todos os itens e grupos para a conta de administrador usada para executar o script. Um arquivo AD_LDAP_Delete.txt também será criado que poderá ser usado com o utilitário da linha de comando DeleteUsers para excluir esses usuários.

O script AD_LDAP_Users.py está em \tools\accountmanagement directory. Execute o script a partir da linha de comando usando AD_LDAP_Users.sh, que está no mesmo diretório. Você tem a opção para especificar um ou mais parâmetros ao executar o script.

Parâmetros AD_LDAP_Users.py

A seguinte tabela descreve os parâmetrosAD_LDAP_Users.py :

ParâmetroDescrição

-n

O nome de domínio completamente qualificado da máquina onde o Portal for ArcGIS está instalado (em outras palavras, gisportal.domain.com). O padrão é o nome de host da máquina onde o script é executado.

-u

O nome do usuário de uma conta do administrador.

-p

A senha de uma conta do administrador.

-o

O diretório onde o relatório de verificação do usuário e os arquivos .txt correspondentes serão salvos. O diretório padrão é a mesma pasta onde você executa o script.

-t

Um token pode ser gerado e utilizado no local do nome de usuário e senha. Ao gerar um token, userScan deverá ser a entrada no campo Webapp URL. Quando um token for fornecido, ele substitui qualquer nome do usuário ou senha que é fornecida.

--ignoressl

Desativar verificação de certificado SSL. Se o Python não confiar no emissor dos certificados usados na porta 7443, o script não será concluído. Se necessário, este parâmetro pode ser especificado para ignorar todos os certificados.

-h ou -?

Gera saídas de uma listagem dos parâmetros que podem ser especificadas ao executar o script.

Exemplo: python AD_LDAP_Users.sh -n portal.domain.com -u admin -p my.password -o C:\Temp

Se o script AD_LDAP_Users.py for executado sem especificar os parâmetros, você será solicitado para inseri-los manualmente ou selecionar o valor padrão. Se deseja utilizar um token, ele deverá ser fornecido como um parâmetro ao executar o script.

Se algum membro for identificado, o script irá gerar um relatório em formato HTML que listará esses membros junto com o número de itens e grupos pertencentes a eles e a última data de registro. Um arquivo .txt também é gerado listando esses nomes de usuário e um segundo arquivo .txt é gerado para todos os usuários com itens ou grupos. Os arquivos .txt devem ser usados com outros utilitários da linha de comando para transferir itens e excluir usuários.

Por padrão, o relatório é salvo na mesma pasta onde você executa o script e é denominado AD_LDAP_Users_Scan_Report_[hostname]_[date].html.

Os arquivos .txt são salvos na mesma pasta que o relatório de verificação de HTML e são denominados AD_LDAP_Transfer.txt e AD_LDAP_Delete.txt.