Skip To Content

Identifizieren von nicht aktiven Domänenkonten

Für Organisationen mit einer großen Anzahl von Mitgliedern, die über Active Directory- oder LDAP-Identitätsspeicher (Lightweight Directory Access Protocol) verwaltet werden, kann die Ermittlung von Konten schwierig sein, die nicht mehr aktiv sind oder für die keine übereinstimmenden Domänenbenutzer mehr vorhanden sind. ArcGIS Enterprise enthält ein Python-Skriptwerkzeug AD_LDAP_Users.py, das alle Active Directory- und LDAP-Mitglieder überprüft und diejenigen ermittelt, die veraltet sind oder nicht mehr über Domänenkonten verfügen. Wenn Benutzer gefunden werden, generiert das Skript einen HTML-Bericht, in dem die Benutzer zusammen mit der Anzahl der Elemente und Gruppen, die im Besitz des Benutzers sind, und das Datum der letzten Anmeldung aufgeführt werden.

Hinweis:
Dieses Skript ist nur zum Überprüfen von Mitgliedern aus Active Directory- oder LDAP-Identitätsspeichern vorgesehen. Es kann nicht für SAML- oder OpenID Connect-Mitglieder verwendet werden.

Wenn ein Administrator diese Mitglieder entfernen möchte, müssen zunächst die Elemente oder Gruppen übertragen werden. Für diesen Prozess generiert das Skript bis zu zwei .txt-Dateien. Gegebenenfalls wird eine AD_LDAP_Transfer.txt-Datei erstellt. Diese kann verwendet werden, um mit dem TransferOwnership-Befehlszeilendienstprogramm alle Elemente und Gruppen in das Administratorkonto zu übertragen, mit dem das Skript ausgeführt wird. Außerdem wird die Datei AD_LDAP_Delete.txt erstellt, die verwendet werden kann, um mit dem DeleteUsers-Befehlszeilendienstprogramm diese Benutzer zu löschen.

Das Skript AD_LDAP_Users.py befindet sich in \tools\accountmanagement directory. Führen Sie das Skript über die Befehlszeile mit der Datei AD_LDAP_Users.bat aus, die sich in demselben Verzeichnis befindet. Sie haben beim Ausführen des Skripts die Möglichkeit, mindestens einen Parameter festzulegen.

Parameter von AD_LDAP_Users.py

In der folgenden Tabelle werden die Parameter von AD_LDAP_Users.py beschrieben:

ParameterBeschreibung

-n

Der vollständig qualifizierte Domänenname des Computers, auf dem Portal for ArcGIS installiert ist (d. h. gisportal.domain.com). Die Standardeinstellung ist der Hostname des Computers, auf dem das Skript ausgeführt wird.

-u

Der Benutzername eines Administratorkontos.

-p

Das Kennwort eines Administratorkontos.

-o

Das Verzeichnis, in dem der Benutzerüberprüfungsbericht und die entsprechenden .txt-Dateien gespeichert werden. Das Standardverzeichnis entspricht dem Ordner, in dem das Skript ausgeführt wird.

-t

Anstelle des Benutzernamens und Kennworts kann ein Token generiert und verwendet werden. Wenn ein Token generiert wird, sollte userScan in das Feld Webapp URL eingegeben werden. Wird ein Token bereitgestellt, überschreibt es jeden angegebenen Benutzernamen bzw. jedes angegebene Kennwort.

--ignoressl

Deaktivieren Sie die SSL-Zertifikatüberprüfung Wenn Python dem Aussteller des Zertifikats an Port 7443 nicht vertraut, wird das Skript nicht vollständig ausgeführt. Geben Sie bei Bedarf diesen Parameter an, wenn alle Zertifikate ignoriert werden sollen.

-h oder -?

Gibt eine Liste der Parameter aus, die beim Ausführen des Skripts angegeben werden können.

Beispiel: python AD_LDAP_Users.sh -n portal.domain.com -u admin -p my.password -o C:\Temp

Wenn das Skript AD_LDAP_Users.py ohne Angabe von Parametern ausgeführt wird, werden Sie aufgefordert, sie manuell einzugeben oder den Standardwert auszuwählen. Falls Sie ein Token verwenden möchten, muss es beim Ausführen des Skripts als Parameter bereitgestellt werden.

Wenn Mitglieder ermittelt werden, generiert das Skript einen Bericht im HTML-Format. In diesem sind diese Mitglieder zusammen mit der Anzahl der Elemente und Gruppen, die in ihrem Besitz sind, und das Datum ihrer letzten Anmeldung aufgeführt. Außerdem wird eine .txt-Datei, in der diese Benutzernamen aufgeführt sind, und eine weitere .txt-Datei für Benutzer generiert, die Besitzer von Elementen oder Gruppen sind. Die .txt-Dateien sind für die anderen Befehlszeilendienstprogramme zum Übertragen von Elementen und Löschen der Benutzer vorgesehen.

Der Bericht wird standardmäßig in demselben Ordner gespeichert, aus dem Sie das Skript ausgeführt haben, und hat den Namen AD_LDAP_Users_Scan_Report_[hostname]_[date].html.

Die .txt-Dateien werden in demselben Ordner wie der HTML-Überprüfungsbericht gespeichert, und ihre Namen lauten AD_LDAP_Transfer.txt und AD_LDAP_Delete.txt.