Active Directory または Lightweight Directory Access Protocol (LDAP) アイデンティティ ストアで管理されているメンバーが多数所属している組織では、有効期限が切れているアカウントや対応するドメイン ユーザーがすでに存在しないアカウントの特定が難しい場合があります。ArcGIS Enterprise には、すべての Active Directory メンバーと LDAP メンバーをスキャンして、ドメイン アカウントの有効期限が切れているメンバーやすでに存在しないメンバーを特定する AD_LDAP_Users.py という Python スクリプト ツールが用意されています。 ユーザーが検出されると、このスクリプトで HTML 形式のレポートが生成されます。このレポートには、これらのユーザーのリストだけでなく、各ユーザーが所有しているアイテムおよびグループの数と、各ユーザーが最後にログインした日付も表示されます。
注意:
このスクリプトは、Active Directory または LDAP アイデンティティ ストアのメンバーを評価することだけを目的としています。 このスクリプトは SAML メンバーと OpenID Connect メンバーには適用されません。管理者は、これらのメンバーを削除する前に、アイテムまたはグループを転送しておく必要があります。 このプロセスを容易にするために、最大で 2 つの .txt ファイルがスクリプトから生成されます。 必要に応じて、スクリプトの実行に使用される管理者アカウントにすべてのアイテムとグループを転送するために TransferOwnership コマンド ライン ユーティリティで使用できる AD_LDAP_Transfer.txt ファイルが作成されます。 また、これらのユーザーを削除するために DeleteUsers コマンド ライン ユーティリティで使用できる AD_LDAP_Delete.txt ファイルも作成されます。
AD_LDAP_Users.py スクリプトは \tools\accountmanagement directory に格納されています。 同じディレクトリにある AD_LDAP_Users.bat を使用してコマンド ラインからスクリプトを実行します。 スクリプトの実行時に、1 つ以上のパラメーターを指定することもできます。
AD_LDAP_Users.py パラメーター
AD_LDAP_Users.py のパラメーターを次の表に示します。
パラメーター | 説明 |
---|---|
-n | Portal for ArcGIS がインストールされているコンピューターの完全修飾ドメイン名 (gisportal.domain.com)。 デフォルトは、スクリプトが実行されているコンピューターのホスト名です。 |
-u | 管理者アカウントのユーザー名。 |
-p | 管理者アカウントのパスワード。 |
-o | ユーザー スキャン レポートとそれに対応する .txt ファイルが保存されるディレクトリ。 デフォルトのディレクトリは、スクリプトを実行するのと同じフォルダーです。 |
-t | ユーザー名とパスワードの代わりに、トークンを生成して使用することができます。 トークンを生成すると、userScan が Webapp URL フィールドに入力されます。 トークンが指定されると、指定されているユーザー名またはパスワードが無効化されます。 |
--ignoressl | SSL 証明書の確認を無効にします。 Python がポート 7443 で使用される証明書の発行元を信頼しない場合は、スクリプトの実行に失敗します。 必要に応じて、このパラメーターですべての証明書を無視するよう指定できます。 |
-h または -? | スクリプトの実行中に指定できるパラメーターのリストを出力します。 |
例: python AD_LDAP_Users.sh -n portal.domain.com -u admin -p my.password -o C:\Temp
パラメーターを指定せずに AD_LDAP_Users.py スクリプトを実行すると、手動で入力するか、デフォルト値を選択するよう求められます。 トークンを使用する場合は、スクリプトを実行中にパラメーターとしてトークンを指定する必要があります。
メンバーが特定されると、このスクリプトで HTML 形式のレポートが生成されます。このレポートには、これらのメンバーのリストだけでなく、各メンバーが所有しているアイテムおよびグループの数と、各メンバーが最後にログインした日付も表示されます。 また、これらのユーザーの名前が表示された 1 つの .txt ファイルと、アイテムまたはグループを所有しているユーザーがすべて表示されたもう 1 つの .txt ファイルも生成されます。 これらの .txt ファイルは、アイテムの転送とユーザーの削除に使用される他のコマンド ライン ユーティリティで使用することを目的としています。
デフォルトで、このレポートは、スクリプトの実行に使用されたフォルダーと同じフォルダーに保存され、AD_LDAP_Users_Scan_Report_[hostname]_[date].html という名前が付けられます。
これらの .txt ファイルは、HTML スキャン レポートと同じフォルダーに保存され、AD_LDAP_Transfer.txt および AD_LDAP_Delete.txt という名前が付けられます。