批量导出与导入AD目录树

步骤说明：

一、导出指定的组织单元信息,192.168.73.10为域控制器的IP

ldifde -f e:/exportOu.ldf -s 192.168.73.10 -d "dc=beijing,dc=corp,dc=9you,dc=com" -p subtree -r "(objectClass=organizationalUnit)" -l "cn,objectclass,ou"

运行此命令可将除域控制器之外的所有 OU 都导出到名为 ExportOU.ldf 的文件中

二、导出指定的域(组织单元)中用户信息,192.168.73.10为域控制器的IP

ldifde -f e:/Exportuser.ldf -s 192.168.73.10 -d "dc=beijing,dc=corp,dc=9you,dc=com" -p subtree -r "(&(objectCategory=person)(objectClass=User)(givenname=*))" -l "cn,givenName,objectclass,samAccountName"

运行此命令可将 Export 域中的所有用户导出到名为 Exportuser.ldf 的文件中。如果您没有所需的全部属性，导入操作就会不起作用。属性objectclass 和samAccountName 是必需的，但可以根据需要添加其他属性。

备注：内置帐户（如 Administrator）没有给定的名称。默认情况下，上面使用的 LDAP 筛选器不导出这些帐户。LDIFDE 不支持导出密码。

您应该会看到一条消息，告诉您已经修改的项数以及命令已成功完成。

备注：在这种情况下，您必须先完成第一步，才能完成第二步，这样，才能有 OU 来包含用户。
三、导入域组织单元信息,192.168.73.11为域控制器的IP

ldifde -i -f c:/exportOu.ldf -s 192.168.73.11

1. 以 Administrator 身份登录到 域。如果使用没有管理特权的帐户登录，则可能无法对 Active Directory 执行导出和导入操作。
2. 使用“记事本”打开文件 Exportou.ldf。
3. 在“记事本”中的编辑菜单上，单击替换。
4. 在“查找内容”框中，键入 Export。在“替换为”框中，键入 Import。
5. 单击“全部替换”。
6. 在确认替换了域名之后，保存并关闭该文件。
7. 在命令提示符下，键入：
ldifde -i -f ExportOU.ldf -s 192.168.73.11

四、导入域中用户信息,192.168.73.11为域控制器的IP
ldifde -i -f c:/exportUser.ldf -s 192.168.73.11

五、导出域用户密码【不能在远程中执行这个命令，只能在本机使用这个命令，运行的同时注意关闭防火墙软件,不能修改命令中的文

件名copypwd.txt】

copypwd dump > copypwd.txt

六、导入域用户密码，自动查找同目录的copypwd.txt文件
copypwd set

七、启用账户【导入用户之后账户是禁用状态】

八、修改账户的密码策略为【密码永远不过期】

九、使用AD的账号SID同步域的内容数据库的【UserInfo】中的【tp_SystemID】列的对应值,使用开始工具中介绍的用到的sql【同

步域的用户SID，和AD的用户SID保持一致】，因为在MOSS网站的内容数据库的UserInfo表中存储了登录网站的用户信息，其中的

tp_SystemID列存储的是AD的域用户的SID值，所以我们在新建用户之后可以使用这段SQL来更新UserInfo表中的tp_SystemID列，使其

和新添加的用户的SID保持一致，这样新添加的用户在域的权限就可以不用重新配置了。