iTOP导入域账号分为以下几步：

-    待导入的域账号数量如果超过1000个，需要在域控服务器上进行相关设置，步骤如下：
     关于ntdsutil命令的用法参见      

    en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/cc753343(v=ws.11)
     1. 在域控上运行 ntdsutil
     2.ldappolicies
     3.connections
     4.connect to domain x .hk
     5.quit
     6.show values  --显示当前值
     7.set maxpagesize 5000 --设置需要导入账号的最大值
     8.show values --显示将要修改的值 1000（5000）
     9.commit changes --提交修改
     10.show values  --确认修改后的数量是否正确
     11.quit 退出

-    修改 iTOP中的配置文件  管理工具 --> 配置. 主要作用是导入域账号后，能够使用域账号密码直接登陆 iTOP, 大概在240行左右

     'authent-ldap' => array (
        'host' => '1.1.1.1',
        'port' => 389,
        'default_user' => 'domain\\administrator',
        'default_pwd' => 'passowrd',
        'base_dn' => 'dc=domain,dc=COM',
        'user_query' => '(&(samaccountname=%1$s))',
        'options' => array (
          17 => 3,
          8 => 0,
        ),
        'start_tls' => false,
        'debug' => false,
      ),

-   修改附件中的域服务器连接信息
        'host'     => '1.1.1.1', // IP or FQDN of your domain controller
        'port'     => '389', // LDAP port, 398=LDAP, 636= LDAPS
        'dn'       => 'DC=Ronghuafugui,DC=COM', // Domain DN
        'username'    => 'Ronghuafugui\administrator', // username with read access
        'password'    => 'admin#78!pp12', // password for above

-   注意修改附件中的496行，注释掉该行如果导入的Email地址不对的话，修改配置为如下信息。samaccountname一般来说是域用户登陆账号。

        //$aData['mail'] = $aData['userprincipalname'];
        $aData['mail'] = $aData['samaccountname']."@163.com";


-    将附件放在iTOP服务器中的指定位置，一般在 html/webservices/

-   通过浏览器打开该文件，导入域账号
    //itop server IP/webservices/import_adaccount.php

-   在 iTOP服务器中设置自动更新计划, 每天早晨5点自动同步域账号到 iTOP

    0 5 * * *   php /var/www/itop/html/webservices/import_adaccount.php --auth_user=admin --auth_pwd=password

信步 发表于 2021-4-26 14:19
可以导入多个域的用户吗？只查到有多LDAP用户登录的方法。

可以啊， 你的域控不同而已，增加配置信息导入即可

顯示了下面信息
Connected to ip on port 389

Identified as test.local

LDAP Query: '(&(objectCategory=user))'

Nothing found !

LDAP query was: (&(objectCategory=user))

可以query在AD server是能找到user的....

求大神指教

执行import_adaccount.php
显示用户
也提示A new person will be created.

下面错误提示


An error occured while processing 1: No result for the single row query: 'SELECT DISTINCT `Organization`.`id` AS `Organizationid`, `Organization`.`name` AS `Organizationname`, `Organization`.`code` AS `Organizationcode`, `Organization`.`status` AS `Organizationstatus`, `Organization`.`parent_id` AS `Organizationparent_id`, `Organization_parent_id`.`name` AS `Organizationparent_name`, `Organization`.`deliverymodel_id` AS `Organizationdeliverymodel_id`, `DeliveryModel_deliverymodel_id`.`name` AS `Organizationdeliverymodel_name`, CAST(CONCAT(COALESCE(`Organization`.`name`, '')) AS CHAR) AS `Organizationfriendlyname`, COALESCE((`Organization`.`status` = 'inactive'), 0) AS `Organizationobsolescence_flag`, `Organization`.`obsolescence_date` AS `Organizationobsolescence_date`, CAST(CONCAT(COALESCE(`Organization_parent_id`.`name`, '')) AS CHAR) AS `Organizationparent_id_friendlyname`, COALESCE((`Organization_parent_id`.`status` = 'inactive'), 0) AS `Organizationparent_id_obsolescence_flag`, CAST(CONCAT(COALESCE(`DeliveryModel_deliverymodel_id`.`name`, '')) AS CHAR) AS `Organizationdeliverymodel_id_friendlyname` FROM `organization` AS `Organization` LEFT JOIN `organization` AS `Organization_parent_id` ON `Organization`.`parent_id` = `Organization_parent_id`.`id` LEFT JOIN `deliverymodel` AS `DeliveryModel_deliverymodel_id` ON `Organization`.`deliverymodel_id` = `DeliveryModel_deliverymodel_id`.`id` WHERE (`Organization`.`id` = 2) '

可以导入多个域的用户吗？只查到有多LDAP用户登录的方法。