批量移动AD用户到指定OU

原文链接：http://blog.51cto.com/shubao/1346469

作为域管理员，在日常工作中使用ADUC（AD用户和计算机）工具在图形界面中进行账号管理操作可谓是家常便饭了。然而一个个增加、移动、删除用户，这样操作有时真的够烦，当管理大批量的账户时，重复操作浪费的时间会很多很对。记得在前两年写过几篇关于如何批量创建组织单位OU、AD域用户账户、邮件通讯组以及启用用户Exchange邮箱的文章，这些特别适用于在企业组织环境中白手起家新建域控、邮件等服务器的IT环境。

而对于企业组织中具有完善的IT基础架构的环境，有时也是需要进行大批量的AD用户操作的，比如AD中基于部门的组织单位OU，当赶上公司组织架构大变动，就需要随之调整，如果一个个手动操作，动辄几千个账户，对于域管理员来说，那将是个很苦逼的重复劳动。。。当然有人会提到整合HR系统和AD系统，这样就不需要重复操作，多次维护了。但是就国内来说，企业信息化建设到这种层度的公司屈指可数啊，并且这种HR系统价格不菲！

拿我所在的公司来说，每年都有组织架构的频繁变动，IT人员除了平时基于HR的信息进行调整外，每年年底还要基于HR信息进行一次彻底的大调整，以满足日常办公中Exchange邮件和Lync通讯簿中呈现出准确的信息。在我到公司之前据说每次调整都是好几个IT人员用花费几周的时间来共同完成。现在俺当然不能再采用这么土鳖的方法来调整了。。。怎么着咱也是MVP啊，O(∩_∩)O哈哈~

下面言归正传吧，来看看如何批量实现移动用户吧？

开始之前还是先要感谢以下两位博主，我这篇文章是在他们基础之上完成的

《一个脚本解决AD用户批量操作问题》

http://lqlaps169.blog.51cto.com/855319/384176

《批量修改AD账户与属性》

http://blog.csdn.net/xuhuojun/article/details/6795648

下面开始具体操作：

1、HR信息获取

前面我们提到，我们的AD架构调整是基于HR的组织架构及人事信息的，所以首先我们会从HR处拿到一张Excel表格，类似下图，包含姓名、公司、部门、邮箱等信息。

其中主要用到一下两项信息：

部门信息 用于我们AD中组织单位OU的划分

邮箱信息 用于和我们AD中的现有用户信息进行匹配

注：之所以不使用姓名是因为涉及到重名，一般来说AD中的姓名和HR的姓名不具有唯一性。

2、AD中用户信息导出

AD中现有用户信息的导出我借鉴的是《批量修改AD账户与属性》一文中的方式，再次感谢作者！http://blog.csdn.net/xuhuojun/article/details/6795648

这是一个vbs脚本，执行后会导出ad中用户的N多属性值，这里我们用不着这么多的属性值，所以对脚本稍加修改，只需导出显示名、邮箱、sAMAccount、DN（distinguishedName）等信息。

执行语句：

cscript C:\exportUserProfile.vbs

注：在64位的Windows Server 2008 R2环境下，需要以管理员权限打开cmd，并进入C:\Windows\SysWOW64\ 目录；命令执行计算机上还需要安装Excel 应用程序；

脚本执行完成后会输出结果到c:\temp\MyExport.xls

3、信息比对及匹配

接下来要做的就是将HR的Excel表格和我们导出的Excel表格（MyExport.xls）信息进行比对及匹配。

我们能够看到HR的Excel表格和导出的Excel表格具有相同的mail邮箱这一列，下面我们要使用Excel强大的VLOOKUP函数，用HR的Excel表格中mail信息去我们导出的Excel表格（MyExport.xls）中查询出对应的DN（distinguishedName）值，并填充到HR的Excel表格中。

DN（distinguishedName）值就是我们后面进行批量操作的关键

关于VLOOKUP函数可以参考下面链接，或者直接Google或者百度一下

http://office.microsoft.com/zh-cn/excel-help/vlookup-HP005209335.aspx

VLOOKUP比对匹配完成后的结果如下：

注：

“#N/A” 表示两张Excel表格中的数据没有相同的，一般是HR提供的邮箱错误或者和我们AD中的邮箱不一致导致的，这种一般我们可以根据其他信息手动查询出正确的DN值并补全。

局部放大截图：

完成后复制表格DN（distinguishedName）值列，并保存为txt文本文件。这里我们保存至D:\user.txt中。

到这里大家应该看明白了，查询到的DN（distinguishedName）值其实就是AD用户现在所在的组织单位OU信息。

4、执行批量移动OU

这里我借鉴的是《一个脚本解决AD用户批量操作问题》一文中的方式，再次感谢作者！

http://lqlaps169.blog.51cto.com/855319/384176

执行语句：

for /f %i in (d:\user.txt) do dsmove %i -newparent ou=xxx,ou=xxx,dc=xxx,dc=com >>d:\log.txt

for的作用就是从user.txt中获取目标信息

Dsmove –newparent 指定对象应移动到的新位置的 DN值

>>d:\log.txt 将命令执行结果输出到d:\log.txt，方便查询命令执行结果及排错

命令执行结果：

查看输出log文件：

ADUC中查看被移动的用户：

这样我们就完成了AD用户的批量移动OU操作。在这里提醒大家，这种操作毕竟涉及线上生产环境，所以尽量按照部门分批次移动操作，并且做好在非工作时间进行。

其实用户组织单位OU的调整只是第一步，接下来还需要进行部门通讯组及成员调整，不过这个完全可以由邮箱地址直接批量添加，简单方便很多。

另外调整OU后，AD用户属性（如：公司、部门、经理等等）的调整也可以按照文章《批量修改AD账户与属性》的方法来批量操作完成。这里就不在重复了