使用 LDIFDE 將目錄對象導入或導出到 Active Directory

查看 LDIFDE 常規參數

1. 單擊開始，指向程序，指向附件，然後單擊“命令提示符”。
2. 在命令提示符下，鍵入：ldifde ?。然後，屏幕上會顯示內置的幫助文件，如下所示。

常規參數

-i              打開 Import 模式 (默認爲 Export)
-f filename     輸入或輸出文件名
-s servername   要綁定到的服務器名稱(默認爲登錄域的 DC)
-c FromDN ToDN  從 FromDN 到 ToDN 發生的取代
-v              打開 Verbose 模式
-j              日誌文件的位置
-t              端口號(默認爲 389)
-u              使用 Unicode 格式
-?              幫助
				

Export 特有的參數

-d RootDN       LDAP 查找的根(默認爲名稱上下文)
-r Filter       LDAP 查找的過濾器(默認爲 "(objectClass=*)")
-p SearchScope  查找作用域 (Base/OneLevel/Subtree)
-l list         LDAP 查找的屬性列表(以逗號分隔)
-o list         輸入時要忽略的屬性列表(以逗號分隔)。
-g              禁用分頁查找。
-m              導出時啓用 SAM 邏輯。
-n              不導出二進制值
				

導入

-k              導入將繼續忽略 ‘約束違規’和‘對象已存在’錯誤
-y              導入將使用惰性提交以獲得更好的性能
				

憑據確立

如果沒有指定憑據，LDIFDE 將綁定爲當前登錄的用戶，使用 SSPI。

-a UserDN [Password | *]          簡單身份驗證
-b UserName Domain [Password | *] SSPI 綁定方法
				

備註：此工具非常靈活，有許多命令行開關和參數。此實用程序是 Windows 2000 Server 中提供的，Windows 2000 Professional 中沒有提供。LDIFDE 程序可以複製到運行 Windows 2000 Professional 的計算機中，並針對 Windows 2000 Server Active Directory 來遠程運行。

使用 LDIFDE 來導出和導入目錄對象

下面逐步介紹怎樣將“組織單元”(OU) 和用戶帳戶從一個 Windows 2000 Active Directory 導入和導出到另一個 Windows 2000 Active Directory。對於本示例，“Export”是從其中導出對象的域的名稱，“Import”是向其中導入對象的域的名稱。還可以使用 LDIFDE 將大多數第三方文件夾導入 Active Directory。 從源域導出組織單元

1. 以 Administrator 身份登錄 Export 域。如果使用沒有管理員特權的帳戶登錄，則可能無法對 Active Directory 執行導出和導入操作。
2. 單擊開始，指向程序，指向附件，然後單擊“命令提示符”。
3. 在命令提示符下，鍵入：
   ldifde -f exportOu.ldf -s 服務器 1 -d "dc=Export,dc=com" -p subtree -r "(objectClass=organizationalUnit)" -l "cn,objectclass,ou"
   運行此命令可將除域控制器之外的所有 OU 都導出到名爲 ExportOU.ldf 的文件中。

從源域導出用戶帳戶

在命令提示符下，鍵入：

ldifde -f Exportuser.ldf -s 服務器 1 -d "dc=Export,dc=com" -p subtree -r "(&(objectCategory=person)(objectClass=User)(givenname=*))" -l "cn,givenName,objectclass,samAccountName"

運行此命令可將 Export 域中的所有用戶導出到名爲 Exportuser.ldf 的文件中。如果您沒有所需的全部屬性，導入操作就會不起作用。屬性objectclass 和samAccountName 是必需的，但可以根據需要添加其他屬性。

備註：內置帳戶（如 Administrator）沒有給定的名稱。默認情況下，上面使用的 LDAP 篩選器不導出這些帳戶。LDIFDE 不支持導出密碼。

將組織單元從 Export 導入到 Import

1. 以 Administrator 身份登錄到 Import 域。如果使用沒有管理特權的帳戶登錄，則可能無法對 Active Directory 執行導出和導入操作。
2. 使用“記事本”打開文件 Exportou.ldf。
3. 在“記事本”中的編輯菜單上，單擊替換。
4. 在“查找內容”框中，鍵入 Export。在“替換爲”框中，鍵入 Import。
5. 單擊“全部替換”。
6. 在確認替換了域名之後，保存並關閉該文件。
7. 在命令提示符下，鍵入：
   ldifde -i -f ExportOU.ldf -s 服務器 2

您應該會看到一條消息，告訴您已經修改的項數以及命令已成功完成。

備註：在這種情況下，您必須先完成第一步，才能完成第二步，這樣，纔能有 OU 來包含用戶。

將用戶從 Export 導入到 Import

1. 使用“記事本”打開文件 Exportuser.ldf。
2. 在“記事本”中，打開編輯菜單，然後單擊替換。
   
   備註：請記住，在本示例中，“Export”是從其中導出對象的域的名稱，“Import”是向其中導入對象的域的名稱。您需要將“Export”替換爲從其導出對象的域的名稱，並將“Import”替換爲向其導入對象的域的名稱。
3. 在“查找內容”框中，鍵入 Export。在“替換爲”框中，鍵入 Import。
4. 單擊“全部替換”。
5. 在確認替換了域名之後，保存並關閉文件。
6. 在命令提示符下，鍵入：
   ldifde -i -f Exportuser.ldf -s 服務器 2
7. 查看使用 Active Directory 用戶和計算機管理單元工具或使用 Windows 通訊簿新創建的聯繫人。

備註：由於 LDIFDE 不導出密碼，因此在將用戶導入到目錄中時，會禁用帳戶並將密碼設置爲空。這樣做是出於安全原因。此外，帳戶選項“用戶下次登錄時須更改密碼”處於選中狀態。

從整個目錄林導出對象

如果您需要從整個目錄林中導出 OU、用戶和組，可以針對目錄林中的每個域運行上面的 LDIFDE 導出命令，或者，也可以針對全局編錄 (GC) 運行一次查詢。爲此，-s 開關指定的域控制器一定要是 GC，另外，要使用 -t 開關指定 GC 端口。GC 端口號是 3268。

例如，要針對 GC 執行所描述的導出操作，LDIFDE 命令就會是：

ldifde -f Exportuser.ldf -s 服務器 1 -t 3268 -d "dc=Export,dc=com" -p subtree -r "(&(objectCategory=person)(objectClass=User)(givenname=*))" -l "cn,givenName,objectclass,sAMAccountName"

備註：爲了修改 AD 中的屬性，遵循導入文件的以下格式（尤其是單行上的“-”，其下一行爲全空行）是非常重要的。要導入此文件，只需運行：ldifde -i -f Import.ldf -s 服務器。

示例導入/修改文件格式：
 

dn: CN=Jane Doe,OU=Staff,DC=microsoft,DC=com
changetype: modify
replace: extensionAttribute1
extensionAttribute1: Staff
-

dn: CN=John Doe,OU=Staff,DC=microsoft,DC=com
changetype: modify
replace: extensionAttribute1
extensionAttribute1: Staff
-

http://support.microsoft.com/kb/237677/zh-cn