对于需通过 Active Directory 或轻量级目录访问协议 (LDAP) 身份存储维护大量成员的组织,可能难以确定哪些帐户不再处于活动状态或不再具有匹配的域用户。ArcGIS Enterprise 包含一个 Python 脚本工具 AD_LDAP_Users.py,此工具可扫描所有 Active Directory 和 LDAP 成员,并识别已废弃或不再具有域帐户的成员。 如果找到用户,脚本会生成一个 HTML 报告,报告中将列出这些用户、用户拥有的项目和群组数量以及最后登录日期。
注:
此脚本仅用于评估 Active Directory 或 LDAP 身份存储中的成员。 不适用于 SAML 或 OpenID Connect 成员。如果管理员想要移除这些成员,则必须先转移项目或群组。 为了协助进行此过程,脚本最多会生成两个 .txt 文件。 如果需要,会创建一个 AD_LDAP_Transfer.txt 文件,此文件可与 TransferOwnership 命令行实用程序配合使用,用于将所有项目和群组转移给用于运行脚本的管理员帐户。 还会创建一个 AD_LDAP_Delete.txt 文件,此文件可与 DeleteUsers 命令行实用程序配合使用,用于删除这些用户。
AD_LDAP_Users.py 脚本位于 \tools\accountmanagement directory 中。 可以使用位于同一目录中的 AD_LDAP_Users.bat 从命令行运行该脚本。 运行脚本时可以选择指定一个或多个参数。
AD_LDAP_Users.py 参数
下表将说明 AD_LDAP_Users.py 参数:
| 参数 | 描述 |
|---|---|
-n | 安装了 Portal for ArcGIS 计算机的完全限定域名(也就是说,gisportal.domain.com)。 默认为运行脚本的计算机的主机名。 |
-u | 管理员帐户的用户名。 |
-p | 管理员帐户的密码。 |
-o | 用户扫描报告和相应 .txt 文件的存储目录。 默认目录与从中运行脚本的文件夹相同。 |
-t | 可以生成一个令牌并用其代替用户名和密码。 生成令牌时,应在 Webapp URL 字段中输入 userScan。 提供令牌时,它会覆盖提供的任何用户名或密码。 |
--ignoressl | 禁用 SSL 证书验证。 如果 Python 不信任端口 7443 上使用的证书的发行机构,则脚本将无法完成。 如果需要,可以指定此参数以忽略所有证书。 |
-h 或 -? | 输出一个列表,其中包含在运行脚本时可指定的参数。 |
示例:python AD_LDAP_Users.sh -n portal.domain.com -u admin -p my.password -o C:\Temp
如果在未指定参数的情况下运行 AD_LDAP_Users.py 脚本,则系统将提示您手动输入或选择默认值。 如果您想要使用令牌,则在运行脚本时必须将其作为参数提供。
如果识别到成员,脚本将以 HTML 格式生成一个报告,报告中将列出这些成员、成员拥有的项目和群组数量以及最后登录日期。 还会生成一个列出这些用户名的 .txt 文件,并且为拥有项目或群组的用户生成一个 .txt 文件。 .txt 文件可与其他命令行实用程序配合使用,以便转移项目和删除用户。
默认情况下,该报告将保存在从中运行脚本的文件夹中并命名为 AD_LDAP_Users_Scan_Report_[hostname]_[date].html。
.txt 文件与 HTML 扫描报告保存在同一文件夹中,名为 AD_LDAP_Transfer.txt 和 AD_LDAP_Delete.txt。