Для организаций с большим количеством участников, которые поддерживаются через хранилища аутентификаций Active Directory или Lightweight Directory Access Protocol (LDAP), может быть трудно определить, какие учетные записи больше не активны или у них больше нет соответствующих пользователей домена. ArcGIS Enterprise включает AD_LDAP_Users.py, инструмент-скрипт,Python, который проверяет всех участников Active Directory и LDAP и идентифицирует тех, которые устарели или больше не имеют доменных учетных записей. Если такие пользователи найдены, скрипт формирует HTML-отчет со списком пользователей и количеством элементов и групп, принадлежащих пользователю, и датой последнего входа в систему.
Примечание:
Этот скрипт предназначен только для оценки участников из Active Directory или хранилищ аутентификаций LDAP. Это не будет работать с участниками SAML или OpenID Connect.Если администратор хочет удалить этих участников, сначала необходимо перенести любые элементы или группы. Чтобы помочь в этом процессе, скрипт создает до двух файлов .txt. При необходимости создается файл AD_LDAP_Transfer.txt, который можно использовать с помощью утилиты командной строки TransferOwnership для переноса всех элементов и групп в учетную запись администратора, используемую для запуска скрипта. Также создается файл AD_LDAP_Delete.txt, который можно использовать с помощью утилиты командной строки DeleteUsers для удаления этих пользователей.
Скрипт AD_LDAP_Users.py находится в \tools\accountmanagement directory. Запустите скрипт из командной строки, используя AD_LDAP_Users.bat, который находится в той же директории. У вас есть возможность задать один или несколько параметров при запуске скрипта.
Параметры AD_LDAP_Users.py
В таблице ниже описаны параметры AD_LDAP_Users.py:
| Параметр | Описание |
|---|---|
-n | Полное доменное имя компьютера, на котором установлен Portal for ArcGIS (другими словами, gisportal.domain.com). По умолчанию это имя хоста компьютера, на котором запускается скрипт. |
-u | Имя пользователя учетной записи администратора. |
-p | Пароль учетной записи администратора. |
-o | Директория, где будет сохранен отчет проверки пользователей и соответствующие файлы .txt. По умолчанию это та же директория, где запускается скрипт. |
-t | Вместо имени пользователя и пароля можно создать и использовать токен. При создании токена userScan необходимо ввести в полеWebapp URL. При использовании токена он получает приоритет над указанными именем пользователя и паролем. |
--ignoressl | Отключите проверку сертификата SSL. Если Python не доверяет эмитенту сертификатов, используемому на порту 7443, скрипт не сможет завершиться. Если надо, можно указать этот параметр, чтобы игнорировать все сертификаты. |
-h или -? | Вывод списка параметров, которые можно задать при запуске скрипта. |
Пример: python AD_LDAP_Users.sh -n portal.domain.com -u admin -p my.password -o C:\Temp
Если скрипт AD_LDAP_Users.py запускается без параметров, вам будет предложено ввести их вручную или выбрать значения по умолчанию. Если вы хотите использовать токен, его необходимо задать в качестве параметра при запуске скрипта.
Если такие участники идентифицированы, скрипт формирует отчет в формате HTML, в котором перечислены эти участники вместе с количеством принадлежащих им элементов и групп и датой их последнего входа в систему. Также создается файл .txt со списком имен этих пользователей, а второй файл .txt создается для любых пользователей, которым принадлежат элементы или группы. Файлы .txt предназначены для использования с другими утилитами командной строки для переноса элементов и удаления пользователей.
По умолчанию отчет сохраняется в той же папке, где вы запускали скрипт, и называется AD_LDAP_Users_Scan_Report_[hostname]_[date].html.
Файлы .txt сохраняются в той же папке, что и отчет о проверке HTML, и называются AD_LDAP_Transfer.txt и AD_LDAP_Delete.txt.