CSVDE та LDIFDE - експорт інформації зі знімків (Snapshots) Active Directory у Windows Server 2008

Загалом процес створення та використання знімка AD виглядає наступним чином:

LDIFDE і CSVDE — дві утиліти, які дозволяють експортувати інформацію з Active Directory, а також створювати об'єкти Active Directory з LDIF та CSV файлів певного формату. Інформація, що експортується, може бути відфільтрована на основі розташування об'єкта в каталозі, за членством в OU і за класами об'єкта, таким як користувач, група або комп'ютер. Поряд із багатьма іншими опціями, під час експорту ви можете вибрати, які атрибути об'єктів необхідні для вивантаження.

Оскільки LDIFDE і CSVDE мають в основному схожий синтаксис команд, кілька основних параметрів команд, які ми будемо використовувати в цьому прикладі. Пам'ятайте, що є багато інших параметрів команд, проте про них я не говоритиму в цій статті.

  • -f параметр, задає шлях до файлу, наприклад -f c:/test.csv або -f c:/test.ldf
  • -s параметр, визначає ім'я сервера для з'єднання, наприклад -s WIN2008-dc1
  • -t параметр, вказує номер порту LDAP, наприклад -t 10389
  • -d параметр, що дозволяє відфільтрувати вивантаження по конкретному об'єкту або OU. Наприклад, для вивантаження тільки OU Dev, а не всього вмісту AD параметр буде виглядати так -d "ou=dev,dc=petrilab,dc=local" . А для того, щоб вивантажити тільки користувача James з OU Dev, рядок буде таким -d «cn=james,ou=dev,dc=petrilab,dc=local»
  • -r параметр, що дозволяє фільтрувати вивантаження за класом об'єкта, наприклад -r «(objectClass=user)»
  • -l параметр (англ L, лише маленька), задає атрибут для вивантаження, наприклад -l telephonenumber

CSVDE.exe

CSVDE.exe не працює з паролями, тому її не можна використовувати для експорту паролів з AD. Також CSVDE не дозволяє редагувати абовидаляти наявні об'єкти.

Для використання CSVDE.exe зі знімком AD, зробіть таке:

  1. Зайдіть під користувачем, членом групи Domain Admins на контролер домен Windows Server 2008, на якому у вас змонтований знімок AD.
  2. Пуск - Виконати - CMD

Для початку нам треба вивантажити інформацію з бази AD, для цього виконаємо наступну команду:

C:'Users'Administrator>csvde -d "cn=james,ou=dev,dc=petrilab,dc=local" -r "(objectClass=user)" -l telephonenumber -f c:'test.csv

Connecting to «(null)»

Logging in as current user using SSPI

Exporting directory to file c:'test.csv

Searching for entries…

Writing out entries.

Тепер зробимо те саме зі знімком AD, який у нас працює на LDAP порту 10389:

C:'Users'Administrator>csvde -s WIN2008-dc1 -t 10389 -d "cn=james,ou=dev,dc=petrilab,dc=local" -r "(objectClass=user)" -l telephonenumber -f c: 'testsnap.csv

Connecting to "WIN2008-dc1"

Logging in as current user using SSPI

Exporting directory to file c:'testsnap.csv

Searching for entries…

Writing out entries

Export Completed. Post-processing in progress…

1 entries exported

The command has completed successfully

Подивимося на результати розвантаження двох команд, бачите відмінності?

експорт

LDIFDE.exe

Основна відмінність LDIFDE від CSVDE у тому, що LDIFDE може модифікувати існуючі об'єкти і навіть видаляти їх.

Однак LDIFDE не підтримує зміни членства в групах, так само як і CSVDE не підтримує вивантаження паролів.

Для використання LDIFDE.exe зі знімком AD, зробіть таке:

  1. Зайдіть під користувачем, членом групи DomainAdmins на контролер домен Windows Server 2008, на якому у вас змонтований знімок AD.
  2. Пуск - Виконати - CMD

Для початку нам треба вивантажити інформацію з бази AD, для цього виконаємо наступну команду:

C:'Users'Administrator&ldifde -d cn=james,ou=dev,dc=petrilab,dc=local -r "(objectClass=user)"

Connecting to "WIN2008-DC1.petrilab.local"

Logging in as current user using SSPI

Exporting directory to file c:'test.ldf

Searching for entries…

Writing out entries.

1 entries exported

The command has completed successfully

Тепер зробимо те саме зі знімком AD, який у нас працює на LDAP порту 10389:

C:'Users'Administrator&ldifde -s WIN2008-dc1 -t 10389 -d "cn=james,ou=dev,dc=petrilab,dc=local" -r "(objectClass=user)" -l telephonenumber -f c: 'testsnap.ldf

Connecting to "WIN2008-dc1"

Logging in as current user using SSPI

Exporting directory to file c:'testsnap.ldf

Searching for entries…

Writing out entries.

1 entries exported

The command has completed successfully

Подивимося на результати розвантаження двох команд, бачите відмінності?

експорт

Відновлення інформації

Active Directory, How to Articles, Snapshots, Step-by-Step, Windows Server 2008