Skip To Content

Идентификация неактивных доменных учетных записей

Для организаций с большим количеством участников, которые поддерживаются через хранилища аутентификаций Active Directory или Lightweight Directory Access Protocol (LDAP), может быть трудно определить, какие учетные записи больше не активны или у них больше нет соответствующих пользователей домена. ArcGIS Enterprise включает AD_LDAP_Users.py, инструмент-скрипт,Python, который проверяет всех участников Active Directory и LDAP и идентифицирует тех, которые устарели или больше не имеют доменных учетных записей. Если такие пользователи найдены, скрипт формирует HTML-отчет со списком пользователей и количеством элементов и групп, принадлежащих пользователю, и датой последнего входа в систему.

Примечание:
Этот скрипт предназначен только для оценки участников из Active Directory или хранилищ аутентификаций LDAP. Это не будет работать с участниками SAML или OpenID Connect.

Если администратор хочет удалить этих участников, сначала необходимо перенести любые элементы или группы. Чтобы помочь в этом процессе, скрипт создает до двух файлов .txt. При необходимости создается файл AD_LDAP_Transfer.txt, который можно использовать с помощью утилиты командной строки TransferOwnership для переноса всех элементов и групп в учетную запись администратора, используемую для запуска скрипта. Также создается файл AD_LDAP_Delete.txt, который можно использовать с помощью утилиты командной строки DeleteUsers для удаления этих пользователей.

Скрипт AD_LDAP_Users.py находится в \tools\accountmanagement directory. Запустите скрипт из командной строки, используя AD_LDAP_Users.bat, который находится в той же директории. У вас есть возможность задать один или несколько параметров при запуске скрипта.

Параметры AD_LDAP_Users.py

В таблице ниже описаны параметры AD_LDAP_Users.py:

ПараметрОписание

-n

Полное доменное имя компьютера, на котором установлен Portal for ArcGIS (другими словами, gisportal.domain.com). По умолчанию это имя хоста компьютера, на котором запускается скрипт.

-u

Имя пользователя учетной записи администратора.

-p

Пароль учетной записи администратора.

-o

Директория, где будет сохранен отчет проверки пользователей и соответствующие файлы .txt. По умолчанию это та же директория, где запускается скрипт.

-t

Вместо имени пользователя и пароля можно создать и использовать токен. При создании токена userScan необходимо ввести в полеWebapp URL. При использовании токена он получает приоритет над указанными именем пользователя и паролем.

--ignoressl

Отключите проверку сертификата SSL. Если Python не доверяет эмитенту сертификатов, используемому на порту 7443, скрипт не сможет завершиться. Если надо, можно указать этот параметр, чтобы игнорировать все сертификаты.

-h или -?

Вывод списка параметров, которые можно задать при запуске скрипта.

Пример: python AD_LDAP_Users.sh -n portal.domain.com -u admin -p my.password -o C:\Temp

Если скрипт AD_LDAP_Users.py запускается без параметров, вам будет предложено ввести их вручную или выбрать значения по умолчанию. Если вы хотите использовать токен, его необходимо задать в качестве параметра при запуске скрипта.

Если такие участники идентифицированы, скрипт формирует отчет в формате HTML, в котором перечислены эти участники вместе с количеством принадлежащих им элементов и групп и датой их последнего входа в систему. Также создается файл .txt со списком имен этих пользователей, а второй файл .txt создается для любых пользователей, которым принадлежат элементы или группы. Файлы .txt предназначены для использования с другими утилитами командной строки для переноса элементов и удаления пользователей.

По умолчанию отчет сохраняется в той же папке, где вы запускали скрипт, и называется AD_LDAP_Users_Scan_Report_[hostname]_[date].html.

Файлы .txt сохраняются в той же папке, что и отчет о проверке HTML, и называются AD_LDAP_Transfer.txt и AD_LDAP_Delete.txt.


В этом разделе
  1. Параметры AD_LDAP_Users.py