Администрирование подразделений (OU)

Для администрирования подразделений в домене Samba AD с помощью утилиты samba-tool используется группа подкоманд ou.

При выполнении операций с помощью группы подкоманд ou рекомендуется указывать набор ключей -H (URI LDAP-сервера) и --use-kerberos=required.

В этом случае для успешного выполнения подкоманды:

  • либо пользователь должен работать на сервере под доменной учетной записью;

  • либо предварительно требуется запросить билет Kerberos с помощью стандартной команды kinit.

Добавление подразделения

Для добавления подразделения в домене Samba AD используется следующий формат вызова:

  • с помощью подкоманды add:

    samba-tool ou add <ou_dn> [options]

  • с помощью подкоманды create:

    samba-tool ou create <ou_dn> [options]

Имя нового подразделения (<ou_dn>) может быть указано в формате полного уникального имени (DN) либо без части domainDN.

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;

  • --description=DESCRIPTION — информация о подразделении.

Примеры

Пример добавления нового подразделения с последующим добавлением в него дочернего подразделения:

samba-tool ou add 'OU=OrgUnit'
samba-tool ou add 'OU=SubOU,OU=OrgUnit,DC=samdom,DC=example,DC=com'

Удаление подразделения

Для удаления существующего подразделения в домене Samba AD используется следующий формат вызова:

samba-tool ou delete <ou_dn> [options]

Переданное в команде значение ou_dn интерпретируется как полное уникальное имя (DN) либо имя без части domainDN.

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.

Примеры

Пример удаления в домене подразделения с указанием полного имени (DN):

samba-tool ou delete 'OU=OrgUnit,DC=samdom,DC=example,DC=com'

Пример удаления в домене подразделения с указанием имени без части domainDN:

samba-tool ou delete 'OU=OrgUnit'

Получение списка подразделений

Для получения полного списка подразделений в домене Samba AD используется следующий формат вызова:

samba-tool ou list [options]

По умолчанию выводится список общих имен (CN) подразделений.

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;

  • --full-dn — выводить в списке вместо общих имен подразделений уникальные составные имена (DN);

  • -b BASE_DN|--base-dn=BASE_DN — выводить в списке только подразделения с указанным базовым уникальным именем (DN).

Примеры

Пример получения списка имен подразделений:

samba-tool ou list

Пример получения списка уникальных составных имен подразделений (DN):

samba-tool ou list --full-dn

Получение информации о составе подразделения

Для получения информации о составе подразделения в домене Samba AD используется следующий формат вызова:

samba-tool ou listobjects <ou_dn> [options]

Переданное в команде значение ou_dn интерпретируется как полное уникальное имя (DN) либо имя без части domainDN.

По умолчанию выводится список общих имен (CN) объектов, входящих в состав подразделения.

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;

  • --full-dn — выводить в списке вместо общих имен подразделений уникальные составные имена (DN);

  • -r|--recursive — выводить список объектов рекурсивно.

Примеры

Пример получения объектов, входящих в состав подразделения, с указанием полного имени (DN):

samba-tool ou listobjects 'OU=OrgUnit,DC=samdom,DC=example,DC=com'

Пример получения объектов, входящих в состав подразделения, с указанием имени без domainDN:

samba-tool ou listobjects 'OU=OrgUnit'

Перемещение подразделения в другое подразделение / контейнер

Для перемещения подразделения в домене Samba AD в указанное подразделение (OU) или контейнер используется следующий формат вызова:

samba-tool ou move <old_ou_dn> <new_parent_dn> [options]

Переданные в команде значения интерпретируются как полные уникальные имена (DN) либо имена без части domainDN.

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.

Примеры

Пример перемещения подразделения OrgUnit в подразделение NewParentOfOrgUnit :

samba-tool ou move 'OU=OrgUnit,DC=samdom,DC=example,DC=com' 'OU=NewParentOfOrgUnit,DC=samdom,DC=example,DC=com'

После перемещения подразделение OrgUnit станет дочерним элементом подразделения NewParentOfOrgUnit. Новое полное имя: OU=OrgUnit,OU=NewParentOfOrgUnit,DC=samdom,DC=example,DC=com.

Изменение имени подразделения

Для изменения имени подразделения в домене Samba AD используется следующий формат вызова:

samba-tool ou rename <old_ou_dn> <new_ou_dn> [options]

Переданные в команде значения интерпретируются как полные уникальные имена (DN) либо имена без части domainDN.

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.

Примеры

Пример переименования с указанием полного имени подразделения:

samba-tool ou rename 'OU=OrgUnit,DC=samdom,DC=example,DC=com' 'OU=NewNameOfOrgUnit,DC=samdom,DC=example,DC=com'

Пример переименования с указанием имени подразделения без части domainDN:

samba-tool ou rename 'OU=OrgUnit' 'OU=NewNameOfOrgUnit'