2

我有两个域。一生产。一测试。两人之间没有信任。

我可以使用 ldifde 命令成功导入所有用户对象和组对象。当我尝试在我的导出/导入中也包括组成员时,我似乎无法成功导入。

以下是我尝试过的变体:

尝试1:

file format:
dn: CN=Group-name,OU=Groups,OU=Managed,DC=dev,DC=net
changetype: add
member: CN=USER1,OU=Users,OU=Managed,DC=dev,DC=net
member: CN=USER2,OU=Users,OU=Managed,DC=dev,DC=net

ldifde command used:
ldifde -i -k -f groupexp12072012-test.ldf -v

output:
Connecting to "DC"
Logging in as current user using SSPI
Importing directory from file "groupexp12072012-test.ldf"
Loading entries
1: CN=Group-name,OU=Groups,OU=Managed,DC=dev,DC=net

Add error on line 1: Object Class Violation
The server side error is "The object class attribute must be specified."
0 entries modified successfully.
An error has occurred in the program
No log files were written.  In order to generate a log file, please
specify the log file path via the -j option.

尝试 2:将正确的 objectClass 添加到我的 ldifde 导入文件中:

file format:
dn: CN=Group-name,OU=Groups,OU=Managed,DC=dev,DC=net
changetype: add
objectClass: top
objectClass: group
member: CN=USER1,OU=Users,OU=Managed,DC=dev,DC=net
member: CN=USER2,OU=Users,OU=Managed,DC=dev,DC=net

ldifde command used:
ldifde -i -k -f groupexp12072012-test.ldf -v

output:
Connecting to "DC"
Logging in as current user using SSPI
Importing directory from file "groupexp12072012-test.ldf"
Loading entries
1: CN=Group-name,OU=Groups,OU=Managed,DC=dev,DC=net
Entry already exists, entry skipped

0 entries modified successfully.

The command has completed successfully

尝试 3:删除现有组对象并使用与“尝试 2”相同的命令和格式:

Connecting to "DC"
Logging in as current user using SSPI
Importing directory from file "groupexp12072012-test.ldf"
Loading entries
1: CN=Group-name,OU=Groups,OU=Managed,DC=dev,DC=net
Object does not exist, entry skipped

0 entries modified successfully.

所以我被困住了。显然 'ldifde' 可以用来导入组成员——我所有的同事都说它从来没有用过,但我偶然发现 MS 文章中说的不是这样; http://social.technet.microsoft.com/Forums/nl/winserverDS/thread/089a3f3b-617f-4c66-a3fc-be543d97a612

然后我偶然发现“5. LDIFDE 不支持更改组成员资格。您可以使用 CSVDE 或 ADDUSERS.exe 或 DStools for Windows 2003 Editions。” 在这里:http: //support.microsoft.com/kb/555634

我会无缘无故发疯吗?我会成功使用“ldifde”吗?

编辑:是的,我无缘无故地发疯了。我的一个目标用户实际上位于我为“ldifde”指定的不同 OU 中。正因为如此,'ldifde' 只会放弃并且不会将任何成员添加到组中。

4

2 回答 2

2

这是一种将用户添加到现有组 ( ldifde -i -k -f AddGrpMember.ldf -v ) 的方法:

dn: CN=MonGrpSec,OU=MonOu,DC=dom,DC=fr
changeType: Modify
add: member
member: CN=jblanc,OU=MonOu,DC=dom,DC=fr
member: CN=Jean Paul Blanc,OU=MonOu,DC=dom,DC=fr
-

以下是创建包含成员 ( ldifde -i -k -f NewGrpWithMember.ldf -v ) 的新组的方法:

dn: CN=NewGrpSec,OU=MonOu,DC=dom,DC=fr
changeType: Add
objectClass: top
objectClass: group
CN: NewGrpSec
member: CN=jblanc,OU=MonOu,DC=dom,DC=fr
member: CN=Jean Paul Blanc,OU=MonOu,DC=dom,DC=fr
于 2012-07-16T06:17:06.270 回答
0

如果组成员不存在,或者文件中的 dn 与目标组的 dn 不匹配,则组成员的 ldifde 导入失败。

对于我的测试域中的一些重要组,我用整个标题替换“成员:”来修改组。这样,任何单个组成员都不会阻止其他组成员导入。

简单查找和替换查找:member:替换为:-^p^pdn:CN=[groupname],OU=[ou name],OU=Domain Users,DC=TEST,DC=ORG^pchangetype: modify^padd:member ^p会员:

基本上,添加一个“-”,后跟一个空行,然后是标题行。

于 2013-05-15T13:52:58.177 回答