Per le organizzazioni con un numero elevato di membri mantenuto negli archivi di identità Active Directory o Lightweight Directory Access Protocol (LDAP), può essere difficile identificare gli account non più attivi o che non hanno più utenti del dominio corrispondente.ArcGIS Enterprise include uno strumento di script Python, AD_LDAP_Users.py, che cerca tutti i membri Active Directory e LDAP e identifica quelli obsoleti o che non hanno più account di dominio attivi. Se vengono rilevati utenti, lo script genera un report HTML che elenca gli utenti insieme al numero di elementi e gruppi posseduti dall'utente e alla data dell'ultimo accesso.
Nota:
Lo script mira solo a valutare i membri degli archivi di identità Active Directory o LDAP. Non funzionerà con i membri SAML o OpenID Connect.Se un amministratore desidera rimuovere questi membri, è necessario trasferire prima tutti gli elementi e i gruppi. Per facilitare questo processo, lo script genera fino a due file .txt. Se necessario, viene creato un file AD_LDAP_Transfer.txt che può essere utilizzato con la riga di comando TransferOwnership per trasferire tutti gli elemento e i gruppi nell'account amministratore utilizzato per eseguire lo script. Viene creato anche un file AD_LDAP_Delete.txt che è possibile utilizzare con l'utilità della riga di comando DeleteUsers per eliminare questi utenti.
Lo script AD_LDAP_Users.py è in \tools\accountmanagement directory. Esegui lo script dalla riga di comando utilizzando AD_LDAP_Users.bat, che si trova nella stessa directory. Durante l'esecuzione dello script è possibile specificare uno o più parametri.
parametri AD_LDAP_Users.py
La seguente tabella descrive parametri AD_LDAP_Users.py:
Parametro | Descrizione |
---|---|
-n | Il nome di dominio completamente qualificato della macchina in cui è installato Portal for ArcGIS (in altre parole, gisportal.domain.com). Il valore predefinito è il nome host del computer in cui viene eseguito lo script. |
-u | Nome utente dell'account amministratore. |
-p | Password dell'account amministratore. |
-o | Directory in cui saranno salvati il rapporto di analisi dell'utente e i file .txt corrispondenti. La directory predefinita è la stessa cartella in cui viene eseguito lo script. |
-t | È possibile generare e utilizzare un token anziché nome utente e password. Quando si genera un token, userScan deve essere inserito nel campo Webapp URL. Quando viene immesso un token, tale token sovrascriverà qualsiasi nome utente o password immessi. |
--ignoressl | Disabilita la verifica del certificato SSL. Se Python non ritiene attendibile l'emittente del certificato utilizzato sulla porta 7443, lo script non sarà completato. Se necessario, è possibile specificare questo parametro in modo da ignorare tutti i certificati. |
-h o -? | Visualizza l'elenco di parametri che possono essere specificati durante l'esecuzione dello script. |
Esempio: python AD_LDAP_Users.sh -n portal.domain.com -u admin -p my.password -o C:\Temp
Se lo script AD_LDAP_Users.py viene eseguito senza parametri, verrà richiesto di immetterli manualmente o di selezionare un valore predefinito. Se si desidera utilizzare un token, è necessario specificarlo come parametro durante l'esecuzione dello script.
Se vengono identificati membri, lo script genera un rapporto in formato HTML che elenca tali membri insieme al numero di elementi e gruppi posseduti dai membri e alla data dell'ultimo accesso. Viene generato anche un file .txt che elenca questi nomi utente e un secondo file .txt per eventuali utenti che possiedono elementi o gruppi. I file .txt devono essere utilizzati con altre utilità della riga di comando per trasferire elementi ed eliminare utenti.
Per impostazione predefinita il rapporto viene salvato nella stessa cartella in cui si esegue lo script e viene denominato AD_LDAP_Users_Scan_Report_[hostname]_[date].html.
I file .txt vengono salvati nella stessa cartella del rapporto di analisi HTML e sono denominati AD_LDAP_Transfer.txt e AD_LDAP_Delete.txt.