W przypadku instytucji z dużą liczbą członków obsługiwanych przez magazyny tożsamości Active Directory lub Lightweight Directory Access Protocol (LDAP) może być trudne zidentyfikowanie kont, które nie są już aktywne lub nie mają już pasujących użytkowników domeny. Oprogramowanie ArcGIS Enterprise zawiera narzędzie skryptowe w języku Python, AD_LDAP_Users.py, które skanuje wszystkich członków Active Directory i LDAP oraz identyfikuje tych, którzy nie mają już kont domenowych lub są zdezaktualizowani. Jeśli zostaną znalezieni tacy użytkownicy, skrypt wygeneruje raport HTML wyszczególniający ich razem z liczbą elementów i grup należących do każdego użytkownika i datą ostatniego logowania.
Notatka:
Ten skrypt jest przeznaczony tylko do oszacowania członków z magazynów tożsamości Active Directory lub LDAP. Nie będzie działać w przypadku członków SAML ani OpenID Connect.Jeśli administrator chce usunąć tych członków, najpierw musi przenieść te elementy lub grupy. Aby pomóc w tym procesie, skrypt generuje maksymalnie dwa pliki .txt. W razie potrzeby jest tworzony plik AD_LDAP_Transfer.txt, którego można użyć z narzędziem wiersza polecenia TransferOwnership w celu przeniesienia wszystkich elementów i grup do konta administratora użytego do uruchomienia skryptu. Tworzony jest również plik AD_LDAP_Delete.txt, którego można użyć z narzędziem wiersza polecenia DeleteUsers w celu usunięcia tych użytkowników.
Skrypt AD_LDAP_Users.py znajduje się w katalogu \tools\accountmanagement directory. Uruchom skrypt w wierszu poleceń, używając pliku AD_LDAP_Users.bat, który znajduje się w tym samym katalogu. Dla tego skryptu można określić jeden lub kilka parametrów jego uruchamiania.
Parametry skryptu AD_LDAP_Users.py
W poniższej tabeli opisano parametry skryptu AD_LDAP_Users.py:
| Parametr | Opis |
|---|---|
-n | W pełni kwalifikowana nazwa domeny komputera, na którym jest zainstalowane oprogramowanie Portal for ArcGIS (innymi słowy gisportal.domain.com). Domyślnie jest to nazwa hosta komputera, na którym działa skrypt. |
-u | Nazwa użytkownika konta administratora. |
-p | Hasło konta administratora. |
-o | Katalog, w którym będą zapisywane raport skanowania użytkownika oraz odpowiednie pliki .txt. Domyślnie jest to ten sam katalog, w którym został uruchomiony skrypt. |
-t | Może zostać wygenerowany token, który będzie używany zamiast nazwy użytkownika oraz hasła. Przy generowaniu tokena w polu Webapp URL należy podać wartość userScan. Po dostarczeniu tokena zastępuje on przekazaną nazwę użytkownika i hasło. |
--ignoressl | Wyłączenie weryfikacji certyfikatu SSL. Jeśli środowisko Python nie ufa wystawcy certyfikatu użytego na porcie 7443, wykonanie skryptu zakończy się niepowodzeniem. Jeśli to konieczne, można podać ten parametr, aby ignorować wszystkie certyfikaty. |
-h lub -? | Wyświetla listę dozwolonych parametrów uruchamianego skryptu. |
Przykład: python AD_LDAP_Users.sh -n portal.domain.com -u admin -p my.password -o C:\Temp
Jeśli skrypt AD_LDAP_Users.py zostanie uruchomiony bez żadnych parametrów, pojawi się monit o wprowadzenie ich ręcznie lub wybranie wartości domyślnej. Jeśli ma być używany token, musi on być przekazany jako parametr przy uruchamianiu skryptu.
Jeśli zostaną znalezieni jacyś członkowie, skrypt wygeneruje raport HTML wyszczególniający ich razem z liczbą elementów i grup należących do każdego członka i datą jego ostatniego logowania. Generowany jest również plik .txt zawierający ich nazwy użytkowników oraz drugi plik .txt dla każdego użytkownika, do którego należą elementy lub grupy. Pliki .txt są przeznaczone do użytku przez inne narzędzia wiersza polecenia w celu przeniesienia elementów i usunięcia użytkowników.
Domyślnie raport jest zapisywany w tym samym folderze, w którym został uruchomiony skrypt i ma nazwę AD_LDAP_Users_Scan_Report_[hostname]_[date].html.
Pliki .txt są zapisywane w tym samym folderze co raport skanowania HTML i mają nazwy AD_LDAP_Transfer.txt oraz AD_LDAP_Delete.txt.