Как упростить создание большого количества пользователей windows

В самом простом варианте создание новой учетной записи пользователя занимает примерно пару минут. Открываем оснастку «Active Directory – Users and Computers», заходим в нужное подразделение (OU), в меню выбираем Создать — Пользователь, вводим имя пользователя и пароль. Все, учетка готова, можно работать.
А теперь представьте, что таким образом вам надо создать не одну, а скажем 50 учетных записей, и делать это регулярно.

Поскольку наврядли кому-то нравится проводить время, тупо набирая учетные данные пользователей, то делаем простой вывод — процесс заведения пользователей надо автоматизировать. И поможет нам в этом PowerShell.

Итак, представим, что нам нужно срочно создать 50 однотипных учетных записей. Пишем вот такой скрипт:

$org=″OU=Students,DC=contoso,DC=com″ 
$username=″student″
$count=1..50
foreach ($i in $count) 
{ New-AdUser -Name $username$i -Path $org -passThru }

Запускаем скрипт, и в подразделении Students создается 50 пользователей с именами student1-student50. По умолчанию учетки создаются отключенными, и пользователи все равно будут вынуждены к вам обращаться для их активации. Попробуем этого избежать:

$org=″OU=Students,DC=contoso,DC=com″
$username=″student″
$count=1..50
foreach ($i in $count)
{ New-AdUser -Name $username$i -Path $org -Enabled $True -ChangePasswordAtLogon $true  `
-AccountPassword (ConvertTo-SecureString «p@$$w0rd» -AsPlainText -force) -passThru }

Здесь создаем учетные записи уже активными и задаем p@$$w0rd как  пароль по умолчанию, а также указываем сменить его при первом входе в систему. Чтобы не передавать пароль в открытом виде, используем командлет ConvertTo-SecureString, который  переводит текстовую строку в защищенный формат

Теперь сделаем наш скрипт чуть более гибким. Используя командлет Read-Host заставим наш скрипт запрашивать имя  и количество пользователей:

$org=″OU=Students,DC=contoso,DC=com″
$username=Read-Host ″Enter name″
$number=Read-Host ″Enter number″
$count=1..$number
foreach ($i in $count)
{ New-AdUser -Name $username$i -Path $org -Enabled $True -ChangePasswordAtLogon $true `
-AccountPassword (ConvertTo-SecureString ″p@$$w0rd″ -AsPlainText -force) -passThru }

Учетные записи созданы, пользователи могут заходить в систему и работать. Теперь их надо настроить — добавить в группы безопасности, прописать домашний каталог, сценарии входа и т.п. Сделать это можно с помощью шаблона. Проще говоря, создаем шаблонную учетную запись, полностью настраиваем ее, а затем делаем с нее нужное количество копий с помощью параметра -Instance :

$template = Get-AdUser -Identity ″student″
$org=″OU=Students,DC=contoso,DC=com″  
$username=Read-Host ″Enter name″
$number=Read-Host ″Enter number″
$count=1..$number
foreach ($i in $count)
{ New-AdUser -Name $username$i -UserPrincipalName $username$i -Path $org -Instance `
$template -Enabled $True -ChangePasswordAtLogon $true `
-AccountPassword (ConvertTo-SecureString ″p@$$w0rd″ -AsPlainText -force) -passThru }

Еще один способ автоматизировать создание учетных записей — импортировать их из CSV-файла. Этот способ подойдет в том случае, если вам предоставили список пользователей, и им надо завести учетные записи в соответствии с этим списком. Как правило, подобные списки создаются в Excel в виде таблицы со столбцами Имя, Должность, Отдел и т.п., примерно такого вида:

Наша задача — сохранить его в формате CSV и затем указать в скрипте с помощью командлета Import-CSV. Если ваш CSV-файл содержит все необходимые столбцы, то New-ADUser автоматически свяжет их с правильными атрибутами пользователя :

$csv = Import-CSV -Path ″C:scriptsusers.csv″
$csv | New-AdUser  -Path $org -Enabled $True -ChangePasswordAtLogon $true `
-AccountPassword (ConvertTo-SecureString ″p@$$w0rd″ -AsPlainText -force) -passThru

Таким образом можно импортировать сотни новых пользователей за несколько секунд, но есть в этом методе и подводные камни:

• Названия столбцов должны полностью совпадать с названиями атрибутов пользователя, например Name (Имя), Organization (Организация), Title (должность), иначе ничего не получиться. Полный список атрибутов можно посмотреть здесь.
• В таблице обязательно нужно указать SamAccountName, в противном случае будет выдана ошибка о том, что учетная запись уже существует.
• Если атрибуты задаватьть в русской раскладке, как в нашем примере, то могут возникнуть проблемы с кодировкой. В решении этой проблемы мне помогло извлечение содержимго CSV-файла с помощью командлета Get-Content и сохранение его в другой CSV-файл: Get-Content users.csv >> users1.csv. После этого все русскоязычные атрибуты стали отображаться нормально.

В заключение несколько важных моментов:

Для запуска командлета New-ADUser необходимо предварительно импортировать модуль Active Directory для PowerShell. Делается это командой Import-Module ActiveDirectory, можно просто вставить эту строку в скрипт. Исключение составляет случай, когда вы запускаете скрипт из специальной оснастки «Модуль Active Directory для Windows PowerShell».

Модуль ActiveDirectory доступен на серверах под управлением Windows Server 2008R2/2012, а также на рабочих станциях Windows 7/8 c установленным пакетом администрирования RSAT.

Для работы модуля ActiveDirectory необходима веб-служба Active Directory (ADWS), предоставляющая веб-интерфейс для доступа к службе каталогов. По умолчанию эта служба устанавливается автоматически при добавлении ролей сервера AD DS и AD LDS на серверах под управлением Windows Server 2008R2 и выше. Для Windows Server 20032008 эту службу можно установить отдельно, скачав отсюда.

Простой скрипт, или командлет для создания единичных доменных учетных записей пользователей через Powershell я вам показал в одной из прошлых  статей.

Но что делать в том случае, если в Active Directory нужно создать сразу 30, 50, 500 учетных записей пользователей?! — Самый удобный вариант для таких случаев это создать и сохранить список пользователей в формате CSV (Excel) файла, а затем запустить специальный PowerShell скрипт.

Это я вам сейчас и продемонстрирую в рамках данной статьи. Погнали!

Открываем наш любимый Excel, и создаем файл в формате CSV.

В данном файле нужно заполнить все значимые для вас атрибуты пользователей.

В этой статье для примера, я буду использовать Excel файл состоящий из 9 колонок и имеющий следующий формат шапки таблицы:

1. FirstName
2. LastName
3. Initials
4. SamAccountName
5. Phone
6. Department
7. JobTitle
8. Password
9. OU

Нужно заполнить данные пользователей и сохранить файл Excel в формате CSV c запятыми в качестве разделителей.

Кодировка файла при сохранении должна быть строго UTF-8 и никакая другая (иначе скрипт не будет работать)! Кроме того, в значениях столбца OU есть запятые, их нужно взять в двойные кавычки, чтобы все правильно отработало.

Теперь можно импортировать данный CSV-файл (например, new_users_adds.csv) и создать в домене новых пользователей.

Имена пользователей в домене будем заводить на английской языке, из-за того, что мы делаем транслитерацию с кириллицы в латиницу мы добавим в наш скрипт отдельную функцию транслитерации — Translit.
Так же отмечу — если в качестве разделителя CSV файла используется “;”, в командлет Import-Csv нужно добавить аргумент -delimiter «;»

А вот и сам код Powershell-cкрипта для массового создания пользователей из CSV-файла в домене Active Directory:

Import-Module activedirectory
Import-Csv "C:psnew_users_adds.csv" | ForEach-Object {
$upn = $_.SamAccountName + “@contoso.loc”
$uname = $_.LastName + " " + $_.FirstName + " " + $_.Initials
#переводим в транслит фамилию, имя, отчество
$transLastName=Translit($_.LastName)
$transFirstName=Translit($_.FirstName)
$transInitials=Translit($_.Initials)
$transuname = $transLastName + " " + $transFirstName + " " + $transInitials
New-ADUser -Name $transuname `
-DisplayName $uname `
-GivenName $_.FirstName `
-Surname $_.LastName `
-Initials $_.Initials `
-OfficePhone $_.Phone `
-Department $_.Department `
-Title $_.JobTitle `
-UserPrincipalName $upn `
-SamAccountName $_.samAccountName `
-Path $_.OU `
-AccountPassword (ConvertTo-SecureString $_.Password -AsPlainText -force) -Enabled $true
}

#начало функции транслита символов
function global:Translit {
param([string]$inString)
$Translit = @{
[char]'а' = "a"
[char]'А' = "A"
[char]'б' = "b"
[char]'Б' = "B"
[char]'в' = "v"
[char]'В' = "V"
[char]'г' = "g"
[char]'Г' = "G"
[char]'д' = "d"
[char]'Д' = "D"
[char]'е' = "e"
[char]'Е' = "E"
[char]'ё' = "yo"
[char]'Ё' = "Yo"
[char]'ж' = "zh"
[char]'Ж' = "Zh"
[char]'з' = "z"
[char]'З' = "Z"
[char]'и' = "i"
[char]'И' = "I"
[char]'й' = "j"
[char]'Й' = "J"
[char]'к' = "k"
[char]'К' = "K"
[char]'л' = "l"
[char]'Л' = "L"
[char]'м' = "m"
[char]'М' = "M"
[char]'н' = "n"
[char]'Н' = "N"
[char]'о' = "o"
[char]'О' = "O"
[char]'п' = "p"
[char]'П' = "P"
[char]'р' = "r"
[char]'Р' = "R"
[char]'с' = "s"
[char]'С' = "S"
[char]'т' = "t"
[char]'Т' = "T"
[char]'у' = "u"
[char]'У' = "U"
[char]'ф' = "f"
[char]'Ф' = "F"
[char]'х' = "h"
[char]'Х' = "H"
[char]'ц' = "c"
[char]'Ц' = "C"
[char]'ч' = "ch"
[char]'Ч' = "Ch"
[char]'ш' = "sh"
[char]'Ш' = "Sh"
[char]'щ' = "sch"
[char]'Щ' = "Sch"
[char]'ъ' = ""
[char]'Ъ' = ""
[char]'ы' = "y"
[char]'Ы' = "Y"
[char]'ь' = ""
[char]'Ь' = ""
[char]'э' = "e"
[char]'Э' = "E"
[char]'ю' = "yu"
[char]'Ю' = "Yu"
[char]'я' = "ya"
[char]'Я' = "Ya"
}
$outCHR=""
foreach ($CHR in $inCHR = $inString.ToCharArray())
{
if ($Translit[$CHR] -cne $Null )
{$outCHR += $Translit[$CHR]}
else
{$outCHR += $CHR}
}
Write-Output $outCHR
}

После выполнения скрипта, откройте консоль mmc с оснасткой Active Directory Users and Computers, разверните указанный контейнер и убедитесь, что в Acticve Directory появились свежесозданные учетные записи пользователей. На этом всё.

Подписывайтесь на обновления блога:

Наша Группа ВКонтакте

Наш RSS-канал

Наш Telegram-канал

E-mail подписка

Время прочтения
5 мин

Просмотры 41K

Так уж случилось, что я выбрал профессию системного администратора. И занимаюсь этим порою неблагодарным делом уже без малого около 6 лет.
Однажды, пару лет назад, передо мною встал вопрос, позже переросший в задачу, заключающийся в том, как же относительно быстро завести новые учётные записи пользователей в AD под MS Windows Server 2003?

Я думаю что всем известен способ добавления пользователя в домен, так сказать, «ручками». То есть, для добавления новых учётных записей пользователей AD приходится делать примерно следующие вещи: открыть оснастку «Пользователи и компьютеры» вышеназванной ОС, открыть соответствующую OU (Organization Unite), инициировать любым из известных способов создание пользователя, и затем в открывшемся окне создавать пользователей одного за другим. Согласитесь, это достаточно долго и муторно, особенно если необходимых учётных записей пользователей не 10, а скажем — 300, 500 и более. Особенно это станет рутинным делом тогда, когда нужно будет заполнить не только поля «логин» и «пароль», но и, расположенные во всевозможных вкладках, поля «Фамилия», «Имя Отчество», «Должность», «Отдел», «Организация» и т.д. Конечно, Вы скажете что методы «копипасты» и «слепого набора» еще никто не отменял, но вы попробуйте, и ощутите на каком по счету пользователе вы устанете, а если не устанете, то посчитайте потом количество совершенных ошибок при забивке данных.
В общем, поняв что нужно что-то делать с этим и так как время у меня было ограничено, я обратился к интернет ресурсам с целью поиска скрипта, который должен был существовать и решить эту проблему, как подсказывало мое чутье. Увы, я практически разочаровался в том, что увидел. В интернете было полно всевозможных скриптов для автоматизации различных задач в среде AD, но то, что мне было нужно — отсутствовало напрочь. Пришлось обратиться к англоязычным ресурсам, на одном из которых (увы, сайт-ссылку на момент написания статьи я уже утерял, есть мысли где искать, и если найду, то опубликую) был некий скрипт-«рыба» на VBS в очень «сыром» виде, что выяснилось при попытке его применить на тестовой системе ни к чему не приведшей — он просто, априори, не работал, ввиду наличия в нем множества недоработок и банальных ошибок, как выяснилось мною позже. Пришлось исправлять, дописывать код и стать, вдобавок ко всему, немного программистом на языке VBS
За сим, позвольте представить на суд уважаемой публики скрипт для добавления учетных записей пользователей в AD в предварительно созданные OU (1-го уровня). Если возникнет вопрос почему и OU не создаются автоматически, то отвечу заранее, что не нашел как это осуществить, да и контроль так жестче за производимыми изменениями в AD — все же приходится не в песочнице играться, а вносить ощутимые изменения в мощную и функционирующую в реальном времени систему, так называемую «Active Directory».

Важное замечание!

Заранее нужно создать файл, содержащий через разделитель «;» необходимые параметры:
Логин; Пароль; Имя Отчество; Фамилия; Должность; Отдел; Организация;
Обязательно наличие замыкающего разделителя «;» в каждой строке, например:
sirin-bird1; пароль1; Имя Отчество1; Фамилия1; Должность1; Отдел1; Организация1;
sirin-bird2; пароль2; Имя Отчество2; Фамилия2; Должность2; Отдел2; Организация2;
sirin-bird4; пароль3; Имя2 Отчество3; Фамилия3; Должность3; Отдел3; Организация3;
sirin-bird3; пароль4; Имя Отчество4; Фамилия4; Должность4; Отдел4; Организация4;
sirin-bird5; пароль5; Имя2 Отчество5; Фамилия5; Должность5; Отдел5; Организация5;
… … … … … … …
Создание такого файла можно поручить и неквалифицированному персоналу, умеющему обращаться с элементарным текстовым редактором. А потом всего лишь проверить правильность набора текста и расстановки разделителей, как и поступил Ваш покорный слуга.

Еще одно важное замечание!

Параметр «Организация» является OU для соответствующего пользователя и не создается этим скриптом, поэтому чтобы все сработало — предварительно создайте соответствующие OU в корне домена (возле папки OU «Users»). Это объясняется тем, что у меня в домене было несколько организаций-клиентов со своими пользователями-сотрудниками, отсюда и такое разделение.

Итак, сам скрипт:

Set objArgs = WScript.Arguments
if objArgs.Count = 0 then
WScript.Echo «Добавляет пользователей в домен.»
WScript.Echo «add_to_ad.vbs [имя файла]»
WScript.Echo » [имя файла] — файл со списком пользователей»
WScript.Echo » формат файла: Логин; Пароль; Имя-Отчество; Фамилия; Должность; Отдел; Организация;»
WScript.Quit
end if
path = objArgs(0)

Set fso = CreateObject(«Scripting.FileSystemObject»)
Set objFile = fso.OpenTextFile(path, 1)
Do Until objFile.AtEndOfStream
str = objFile.ReadLine
for i = 1 to Len(str) step 1
strCh = Mid (str, i, 1)
if strCh = «;» then
select case Z
case 0
UserName = strRez ‘ *** Логин
case 1
UserPassword = strRez ‘ *** Пароль
case 2
FirstName = strRez ‘ *** Имя-Отчество
case 3
LastName = strRez ‘ *** Фамилия
case 4
Title = strRez ‘ *** Должность
case 5
Department = strRez ‘ *** Отдел
case 6
Company = strRez ‘ *** Организация
‘case 7
‘Manager = strRez’ *** Руководитель
‘case 8
‘OfficeRoom = strRez ‘ *** Комната
end select
strRez = «»
strCh = «»
Z = Z + 1
else
strRez = strRez + strCh
end if
next
strRez = «»
strCh = «»
Z = 0

Set objRoot = GetObject(«LDAP://RootDSE»)
Set objADSystemInfo = CreateObject(«ADSystemInfo»)
DomainDNSName = objADSystemInfo.DomainDNSName
DomainDN = objRoot.Get(«DefaultNamingContext»)
ContainerDN = «ou=» & Company & «,» & DomainDN

pName = UserName & «@» & DomainDNSName ‘»@snb.local»

‘!!! ВАЖНО !!!***Указываем ЗАРАНЕЕ СОЗДАННУЮ OU в которую кидаются новые пользователи *******

Set objOU = GetObject(«LDAP://» & ContainerDN)

‘*************************** Создаем учетку пользователя домена ***********************
Set objUser = objOU.Create(«User», «cn=» + UserName)
‘ **** Login *****
objUser.Put «sAMAccountName», UserName
objUser.SetInfo

‘ ****** пароль *******
Set objUser = GetObject («LDAP://cn=» + UserName + «,» + ContainerDN)
objUser.SetPassword UserPassword

‘ ******* UPN **********
objUser.Put «userPrincipalName», pName

‘****** выключение аккаунта *******
objUser.AccountDisabled = TRUE

‘ ******** Имя *********
objUser.Put «givenName», FirstName

‘ ***** Фамилия *********
objUser.Put «sn», LastName

‘ ***** Выводимое имя ******
objUser.Put «displayName», LastName & » » & FirstName

‘ Инициалы
objUser.Put «initials», left(FirstName,1) & «.» ‘& left(LastName,1)

‘ ***** Должность ******
objUser.Put «title», Title

‘ ***** Отдел ******
objUser.Put «department», Department

‘ Организация
objUser.Put «Company», Company

‘ Руководитель
‘objUser.Put«manager», Manager

‘ комната
‘objUser.Put «physicalDeliveryOfficeName», OfficeRoom

‘ ***** Уст. Требовать смену пароля при следующем входе в систему ***
objUser.Put «pwdLastSet», CLng(0)

objUser.SetInfo

‘ WScript.Echo «Пользователь — » + UserName + » добавлен в AD»

Loop
WScript.Echo «Пользователи добавлены в AD»
objFile.Close

дополнительный код для вставки в скрипт:

‘ Домашний каталог
‘objUser.Put «HomeDirectory», strHomeDirPath

‘ почтовый ящик
‘objUser.Put «mailNickname», strName

‘ сайт
‘objUser.Put «wWWHomePage», «www.test.com»

‘ еще немного примеров:
‘ObjUser.Put «Description», «Year 2»
‘objUser.Put «physicalDeliveryOfficeName», sOfficeName
‘objUser.Put «ProfilePath», sScPath
‘sHDrive objUser.Put «HomeDrive», «Z»
‘objUser.Put «TerminalServicesProfilePath», sTermProf
‘objUser.Put «TerminalServicesHomeDirectory», sTermHDir

Код из текстового редактора сохранить нужно с расширением .vbs
Запуск скрипта осуществляется с передачей параметров из файла.
Например: script.vbs users.txt
, где
script.vbs — сам скрипт
users.txt — файл с входными данными.

Выполнение скрипта занимает секунды с мгновенным результатом на выходе.
Как видно из кода, если раскомментить еще пару строк и внести дополнения в файл с входными параметрами, то можно «на автомате» внести еще и Руководителя и Номер комнаты. Скрипт можно развивать неограниченно. Например, добавить возможность внесения таким же образом такого поля как «Телефон».
В качестве текстового редактора под Windows могу посоветовать свободный для использования и весьма функциональный Notepad++.
Одна из полезных ссылок, где есть скрипты на VBS: forum.sysadmins.su
Надеюсь приведенная информация окажется для кого-либо весьма полезной и нужной.

Автоматизируем ведение большого количества
пользователей в AD:

Добрый день! В этой статье я бы хотел описать применённое мной
практическое решение по автоматизации одной рутинной задачи второй
линии технической поддержки одного крупного предприятия.

Имеем два территориально распределённых домена AD по 10 000
человек, применённое решение по организации Веб-доступа к удаленным
рабочим столам через приложения RemoteApp с несколькими
интегрированными информационными системами и активно пополняющиеся
база, человек так на 500 в месяц. На ~24 в рабочий день, на ~3
человека в час.

Первая очевидный вывод из входных данных на таком количестве
пользователей один админ не справится, у него должно быть право
заболеть/уйти в отпуск не парализовав предприятие. А практика
показывает, что и два не справляются.

Вторая проблема идентификация личностей, допустим на файловых
ресурсах предприятия, как это часто бывает, имеется информация, не
предназначенная для посторонних глаз, и соответственно необходимо
проверять каждого запросившего доступ на внесение в Active
Directory и предоставления определённых групп доступа. К сожалению, без бюрократии в решении
этого вопроса обойтись не удалось. Процедура сводится к подаче
бумажной заявки в форме максимально стандартизированной, за
подписью (желательно электронной) руководителя заявляющего и
одобрением данного документа лицами знакомыми лично с
подписантом.

После одобрения стандартизированной заявки остается дело за малым,
внести людей в AD, присвоить необходимые группы доступа, и внести в
excel табличку. Последний пункт может показаться немного архаичным,
ведь AD вполне себе поддерживает аудит изменений, но моя практика
показывает, что на таком обороте этот пункт не является лишним, а
даже упрощает процесс поиска граблей в случае разбора полётов,
который не редко возникает, следуя из первого вывода.

Но процесс можно немного автоматизировать, применив пару нехитрых
скриптов. Логика сводится к обратному процессу:
1) Утверждаем стандарт внесения Учётных Записей в AD на
предприятии
2) Запрашиваем у пользователя данные едином формате.

3) Вносим в таблицу основные данные, например:
4) Экспортируем из Excel в CSV файл, автоматически сгенерированную
страницу, пригодную для автоматического занесения в AD при помощи
скриптов
5) Экспортируем и вуаля! Остаётся передать логин и пароль
пользователю.
Возможно описанные мной методы нельзя назвать best practice, однако
они позволяют на практике решить существующую проблему без
написания отдельно информационной системы и создания большого
количества интеграций.

Далее я опишу пару технических моментов и опубликую скрипты
которыми пользуюсь:
Так выглядит таблица пригодная для импорта в AD:

У меня эта таблица генерируется автоматически из предыдущей, пример
прилагаю.
Сохранять таблицу пригодную для импорта необходимо в формате CSV
(разделитель запятые)

Как вы думаете какими будут разделители если открыть
сгенерированный файл блокнотом? Неправильно. Такими ;

Отдельно в моей реализации следует остановиться на столбце
транслит. В утверждённом нами стандарте часть полей заполняется
транслитом по утверждённому образцу и чтобы не делать это каждый
раз я использовал vba скрипт, вот он:

Function TranslitText(RusText As String) As String    Dim RusAlphabet As Variant 'массив из букв русского алфавита    RusAlphabet = Array("-", "а", "б", "в", "г", "д", "е", "ё", "ж", "з", "и", "й", "к", "л", "м", "н", "о", "п", "р", "с", "т", "у", "ф", "х", "ц", "ч", "ш", "щ", "ъ", "ы", "ь", "э", "ю", "я", "А", "Б", "В", "Г", "Д", "Е", "Ё", "Ж", "З", "И", "Й", "К", "Л", "М", "Н", "О", "П", "Р", "С", "Т", "У", "Ф", "Х", "Ц", "Ч", "Ш", "Щ", "Ъ", "", "Ь", "Э", "Ю", "Я")     Dim EngAlphabet As Variant 'массив из букв английского алфавита    EngAlphabet = Array("-", "a", "b", "v", "g", "d", "e", "yo", "zh", "z", "i", "y", "k", "l", "m", "n", "o", "p", "r", "s", "t", "u", "f", "kh", "ts", "ch", "sh", "sch", "", "y", "", "e", "yu", "ya", "A", "B", "V", "G", "D", "E", "Yo", "Zh", "Z", "I", "Y", "K", "L", "M", "N", "O", "P", "R", "S", "T", "U", "F", "Kh", "Ts", "Ch", "Sh", "Sch", "", "Y", "", "E", "Yu", "Ya")         Dim EngText As String, Letter As String, Flag As Boolean                 For i = 1 To Len(RusText) 'цикл по всем символам русского текста        Letter = Mid(RusText, i, 1)        Flag = 0        For j = 0 To 67 'цикл по всем буквам русского алфавита            If RusAlphabet(j) = Letter Then 'если символ из текста совпал с буквой из русского алфавита...                Flag = 1                If RusAlphabet(j) = Letter Then 'проверка на регистр (верхний или нижний)                    EngText = EngText & EngAlphabet(j) '... то добавляем соответствующую букву из английского алфавита                    Exit For                Else                    EngText = EngText & UCase(EngAlphabet(j))                    Exit For                End If            End If        Next j        If Flag = 0 Then EngText = EngText & Letter 'если символа из текста в алфавите нет (например, знаки препинания и т.п.), то добавляем символ без изменения    Next i    TranslitText = EngTextEnd Function

Не делайте как я, пожалуйста, используйте один из существующих
стандартов транслитерации по ссылке
habr.com/ru/post/499574

Следующий же скрипт помещённый в файл с расширением .ps1 позволит
вам в пару кликов закинуть все учётные записи из сгенерированного
на предыдущем шаге файла в AD, как бы много их там не было. А
заодно и навесить на все созданные УЗ группу ad-group.

Import-Module activedirectory Import-Csv "C:generated.csv" -Encoding default -Delimiter ';'| ForEach-Object {New-ADUser -Server DOMEN.RU -Name $_.FirstName `-DisplayName $_.DisplayName `-GivenName $_.GivenName `-Surname $_.LastName `-Initials $_.Initials `-OfficePhone $_.Phone `-Description $_.Description `-UserPrincipalName $_.UserPrincipalName `-SamAccountName $_.samAccountName `-Email $_.mail `-Path "OU=TEST_OU,OU=Guest,OU=Users,OU=DOMEN,DC=DOMEN,DC=RU" `-AccountPassword (ConvertTo-SecureString $_.Password -AsPlainText -force) -Enabled $true Set-ADuser $_.samAccountName -ChangePasswordAtLogon $True Add-AdGroupMember -Identity ad-group  -Members $_.samAccountName} 

Автоматизируем ведение большого количества пользователей в AD +7

1. Утверждаем стандарт внесения Учётных Записей в AD на предприятии
2. Запрашиваем у пользователя данные едином формате.

   

3. Вносим в таблицу основные данные, например:
4. Экспортируем из Excel в CSV файл, автоматически сгенерированную страницу, пригодную для автоматического занесения в AD при помощи скриптов
5. Экспортируем и вуаля! Остаётся передать логин и пароль пользователю.

Возможно описанные мной методы нельзя назвать best practice, однако они позволяют на практике решить существующую проблему без написания отдельно информационной системы и создания большого количества интеграций.

Далее я опишу пару технических моментов и опубликую скрипты которыми пользуюсь:
Так выглядит таблица пригодная для импорта в AD:

У меня эта таблица генерируется автоматически из предыдущей, пример прилагаю.

Сохранять таблицу пригодную для импорта необходимо в формате CSV (разделитель – запятые)

Как вы думаете какими будут разделители если открыть сгенерированный файл блокнотом? Неправильно. Такими – «;»

Отдельно в моей реализации следует остановиться на столбце транслит. В утверждённом нами стандарте часть полей заполняется транслитом по утверждённому образцу и чтобы не делать это каждый раз я использовал vba скрипт, вот он:

Function TranslitText(RusText As String) As String
    Dim RusAlphabet As Variant 'массив из букв русского алфавита
    RusAlphabet = Array("-", "а", "б", "в", "г", "д", "е", "ё", "ж", "з", "и", "й", "к", "л", "м", "н", "о", "п", "р", "с", "т", "у", "ф", "х", "ц", "ч", "ш", "щ", "ъ", "ы", "ь", "э", "ю", "я", "А", "Б", "В", "Г", "Д", "Е", "Ё", "Ж", "З", "И", "Й", "К", "Л", "М", "Н", "О", "П", "Р", "С", "Т", "У", "Ф", "Х", "Ц", "Ч", "Ш", "Щ", "Ъ", "Ы", "Ь", "Э", "Ю", "Я")
 
    Dim EngAlphabet As Variant 'массив из букв английского алфавита
    EngAlphabet = Array("-", "a", "b", "v", "g", "d", "e", "yo", "zh", "z", "i", "y", "k", "l", "m", "n", "o", "p", "r", "s", "t", "u", "f", "kh", "ts", "ch", "sh", "sch", "", "y", "", "e", "yu", "ya", "A", "B", "V", "G", "D", "E", "Yo", "Zh", "Z", "I", "Y", "K", "L", "M", "N", "O", "P", "R", "S", "T", "U", "F", "Kh", "Ts", "Ch", "Sh", "Sch", "", "Y", "", "E", "Yu", "Ya")
     
    Dim EngText As String, Letter As String, Flag As Boolean
             
    For i = 1 To Len(RusText) 'цикл по всем символам русского текста
        Letter = Mid(RusText, i, 1)
        Flag = 0
        For j = 0 To 67 'цикл по всем буквам русского алфавита
            If RusAlphabet(j) = Letter Then 'если символ из текста совпал с буквой из русского алфавита...
                Flag = 1
                If RusAlphabet(j) = Letter Then 'проверка на регистр (верхний или нижний)
                    EngText = EngText & EngAlphabet(j) '... то добавляем соответствующую букву из английского алфавита
                    Exit For
                Else
                    EngText = EngText & UCase(EngAlphabet(j))
                    Exit For
                End If
            End If
        Next j
        If Flag = 0 Then EngText = EngText & Letter 'если символа из текста в алфавите нет (например, знаки препинания и т.п.), то добавляем символ без изменения
    Next i
    TranslitText = EngText
End Function

Не делайте как я, пожалуйста, используйте один из существующих стандартов транслитерации по ссылке.

Следующий же скрипт помещённый в файл с расширением .ps1 позволит вам в пару кликов закинуть все учётные записи из сгенерированного на предыдущем шаге файла в AD, как бы много их там не было. А заодно и навесить на все созданные УЗ группу ad-group.

Import-Module activedirectory 
Import-Csv "C:generated.csv" -Encoding default -Delimiter ';'| ForEach-Object {
New-ADUser -Server DOMEN.RU -Name $_.FirstName `
-DisplayName $_.DisplayName `
-GivenName $_.GivenName `
-Surname $_.LastName `
-Initials $_.Initials `
-OfficePhone $_.Phone `
-Description $_.Description `
-UserPrincipalName $_.UserPrincipalName `
-SamAccountName $_.samAccountName `
-Email $_.mail `
-Path "OU=TEST_OU,OU=Guest,OU=Users,OU=DOMEN,DC=DOMEN,DC=RU" `
-AccountPassword (ConvertTo-SecureString $_.Password -AsPlainText -force) -Enabled $true 
Set-ADuser $_.samAccountName -ChangePasswordAtLogon $True 
Add-AdGroupMember -Identity ad-group  -Members $_.samAccountName
} 

CSVDE не заменит Addusers

В рейтинге нелюбимых заданий для администраторов уверенно лидирует следующее: «Быстро создать много учетных записей пользователей». Нередко приходится слышать жалобы типа: «Шеф опять требует к контрольному сроку завести кучу пользователей в домене Windows 2003! Наверное, снова сломается мышь от щелканья в Active Directory Users and Computers. Да есть ли приемлемый способ решить эту нудную задачу?!» К счастью, эта проблема действительно имеет простое решение.

Строго говоря, приемлемых способов существует множество. Например, и в Windows 2003, и в Windows XP имеется утилита Dsadd Users, предназначенная для создания учетных записей пользователей из командной строки. Небольшое упражнение на копирование и вставку — и пакетный файл для любого количества пользователей готов в считанные минуты. В Windows 2000 Server и более поздних версиях имеется createusers.vbs — сценарий на VBScript для создания учетных записей пользователей, единичных или по указанному списку. По крайней мере, со времен Windows NT 4.0, а может, даже раньше, можно было применить команду Net Users имя_пользователя /Add для добавления одного пользователя, теперь снова нужно добавить немного Notepad — и вот вам пакетный файл для добавления группы пользователей.

Лично я предпочитал использовать утилиту Addusers (addusers.exe) из набора инструментов Microsoft Windows NT Server 4.0 Resource Kit . Эта утилита позволяет экспортировать базы данных SAM и AD в текстовые файлы в формате CSV (comma separated values, данные, разделенные запятыми) и импортировать такие файлы для массового создания пользовательских учетных записей. К сожалению, впоследствии Microsoft исключила из поставки Addusers, предоставив взамен две другие утилиты — Comma Separated Value Data Exchange (CSVDE) и Lightweight Data Interchange Format, Data Exchange (LDIFDE). Они, конечно, имеют свои достоинства и недостатки. В данной статье мы остановимся подробнее на использовании утилиты CSVDE.

Как работает CSVDE

Подобно Addusers, CSVDE позволяет экспортировать содержимое базы AD домена в текстовый файл CSV, который может использоваться в дальнейшем для пакетного создания учетных записей пользователей в целевом домене создания путем импортирования. Недостаток Addusers заключается в том, что данная утилита воспринимает только те атрибуты учетных записей, которые использовались в Windows NT 4.0. Пришедшая ей на смену утилита CSVDE позволяет переносить почти полный набор свойственных AD характеристик пользовательских учетных записей. Например, в отличие от Addusers, утилита CSVDE позволяет переносить такие атрибуты пользователя, как имя руководителя (principal name), адрес электронной почты и многие другие.

Следующая элементарная команда используется для полного экспорта содержимого базы данных AD:

csvde -f export.csv

При вызове этой команды будет создан файл с именем export.csv, содержащий объекты из базы данных текущего домена AD. Эти данные могут понадобиться в нашем примере как образец формата файла CSV для дальнейшего импорта с помощью CSVDE, а также для отладки на случай возникновения проблем. Достаточно часто возникают проблемы с созданными вручную файлами, когда CSVDE отказывается воспринимать предлагаемый файл и сообщает об ошибках формата. Файлы CSV можно просматривать и редактировать в Notepad, но гораздо больше для этой цели подходит Microsoft Excel, позволяющий просматривать данные в виде таблицы и предоставляющий богатые возможности редактирования.

Для более удобного просмотра файла в Excel нужно выделить весь лист (Ctrl+A) и выбрать в меню «Формат», «Столбец», «Автоподбор ширины» (Format, Column, Autofit) для отображения скрытой информации и сокращения пустых столбцов. Полученный таким образом файл CSV обычно имеет очень большой размер. В результате ввода этой команды CSVDE выдаст полную информацию обо всех объектах AD — учетных записях компьютеров, объектах групповых политик (GPO), организационных единицах (OU) и многом другом. Поскольку нас интересуют только учетные записи пользователей, следует ограничить экспортируемую информацию только данными о пользователях. Для этого требуется ограничить класс выдаваемых объектов с помощью ключа -r (restrict):

csvde -f export.csv -r «(objectClass=User)»

Полученный файл тоже будет содержать множество столбцов, большинство из которых в процессе создания файла CSV для импорта не пригодятся. Скорее всего, понадобятся следующие столбцы: DN (distinguished name, отличительное имя пользователя), objectClass (принимает значение user), name (полное имя пользователя), cn (то же, что и полное имя), displayName (то же, что и полное имя), givenName, sn (фамилия), profilePath, mail, sAMAccountName (имя пользователя, как было принято до Windows 2000) и userPrincipalName (имя руководителя данного пользователя. Если в организации принято заполнять дополнительные информационные поля (Manager, Office и т. п.) в оснастке Active Directory Users and Computers, то, возможно, понадобится использовать и эти дополнительные поля, помимо перечисленных выше.

Ограничения CSVDE

Складывается впечатление, что теперь файл CSV можно загрузить с помощью CSVDE обратно в AD и получить новые учетные записи, как это происходило в случае использования утилиты Addusers. К сожалению, сделать это не удастся по нескольким причинам. В частности, CSVDE экспортирует такие уникальные идентификаторы SID (objectSID), которые невозможно импортировать. При попытке импортировать файл, содержащий поля objectSID, система выдаст сообщение: Add error on line 2: Unwilling To Perform (ошибка добавления в строке 2: выполнение невозможно). Со стороны сервера будет получено сообщение об ошибке: Access to the attribute is not permitted because the attribute is owned by the Security Accounts Manager (SAM) (доступ к атрибуту запрещен, так как владельцем атрибута является Security Accounts Manager, SAM).

Не стоит и пытаться разгадать точный смысл этого сообщения об ошибке. Достаточно понять, что некоторые вещи CSVDE просто не может делать. Если ограничить поля в импортируемом файле CSV только теми, которые были перечислены ранее, то импорт будет выполнен нормально, без каких-либо сообщений об ошибках. Нужно иметь в виду, что если файл CSV создается вручную без использования шаблонов, столбцы должны называться именно так, как указано выше, поскольку утилита CSVDE чувствительна к регистру символов. Впрочем, можно дать CSVDE инструкцию игнорировать те поля, которые мешают выполнению, для этого достаточно при запуске указать ключ -m:

csvde -f export.csv -m -r «(objectClass=User)»

Сформировав пригодный для импорта файл, можно импортировать его в AD командой

csvde -f filetoimport.csv -i

где ключ -i указывает на операцию импорта.

CSVDE имеет и ряд других ограничений. Во-первых, CSVDE не устанавливает пароли для созданных учетных записей пользователей. Поэтому после создания набора учетных записей для них необходимо установить пароли каким-то другим способом (в следующей статье будет рассказано, как это сделать с помощью сценария VBScript). Во-вторых, все созданные таким образом учетные записи не имеют пароля и заблокированы, поскольку доменные политики Windows 2003 по умолчанию требуют сложных паролей. И самое главное, CSVDE не позволяет включать пользователей в группы безопасности. Можно создать множество пользователей, но если попытаться задействовать атрибут Member Of для включения пользователей в какие-нибудь группы, ответом будет сообщение об ошибке SAM.

В целом я не могу назвать CSVDE полноценной заменой утилите Addusers. Некоторые из его недостатков CSVDE можно обойти с помощью сценариев, но об этом мы поговорим в следующем выпуске.

Редактоp Windows NT Magazine MCSE и автор книги «Mastering Windows NT Server 4.0» (издательство Sybex). С ним можно связаться по адресу: mark@minasi.com