批量移动AD用户到指定OU

作为域管理员，在日常工作中使用ADUC（AD用户和计算机）工具在图形界面中进行账号管理操作可谓是家常便饭了。然而一个个增加、移动、删除用户，这样操作有时真的够烦，当管理大批量的账户时，重复操作浪费的时间会很多很对。记得在前两年写过几篇关于如何批量创建组织单位OU、AD域用户账户、邮件通讯组以及启用用户Exchange邮箱的文章，这些特别适用于在企业组织环境中白手起家新建域控、邮件等服务器的IT环境。

而对于企业组织中具有完善的IT基础架构的环境，有时也是需要进行大批量的AD用户操作的，比如AD中基于部门的组织单位OU，当赶上公司组织架构大变动，就需要随之调整，如果一个个手动操作，动辄几千个账户，对于域管理员来说，那将是个很苦逼的重复劳动。。。当然有人会提到整合HR系统和AD系统，这样就不需要重复操作，多次维护了。但是就国内来说，企业信息化建设到这种层度的公司屈指可数啊，并且这种HR系统价格不菲！

拿我所在的公司来说，每年都有组织架构的频繁变动，IT人员除了平时基于HR的信息进行调整外，每年年底还要基于HR信息进行一次彻底的大调整，以满足日常办公中Exchange邮件和Lync通讯簿中呈现出准确的信息。在我到公司之前据说每次调整都是好几个IT人员用花费几周的时间来共同完成。现在俺当然不能再采用这么土鳖的方法来调整了。。。怎么着咱也是MVP啊，O(∩_∩)O哈哈~

下面言归正传吧，来看看如何批量实现移动用户吧？

开始之前还是先要感谢以下两位博主，我这篇文章是在他们基础之上完成的

《一个脚本解决AD用户批量操作问题》

http://lqlaps169.blog.51cto.com/855319/384176

《批量修改AD账户与属性》

http://blog.csdn.net/xuhuojun/article/details/6795648

下面开始具体操作：

1、HR信息获取

前面我们提到，我们的AD架构调整是基于HR的组织架构及人事信息的，所以首先我们会从HR处拿到一张Excel表格，类似下图，包含姓名、公司、部门、邮箱等信息。

其中主要用到一下两项信息：

部门信息用于我们AD中组织单位OU的划分

邮箱信息用于和我们AD中的现有用户信息进行匹配

注：之所以不使用姓名是因为涉及到重名，一般来说AD中的姓名和HR的姓名不具有唯一性。

clip_image002

2、AD中用户信息导出

AD中现有用户信息的导出我借鉴的是《批量修改AD账户与属性》一文中的方式，再次感谢作者！http://blog.csdn.net/xuhuojun/article/details/6795648

clip_image004

这是一个vbs脚本，执行后会导出ad中用户的N多属性值，这里我们用不着这么多的属性值，所以对脚本稍加修改，只需导出显示名、邮箱、sAMAccount、DN（distinguishedName）等信息。

执行语句：

cscript C:\exportUserProfile.vbs

注：在64位的Windows Server 2008 R2环境下，需要以管理员权限打开cmd，并进入C:\Windows\SysWOW64\ 目录；命令执行计算机上还需要安装Excel 应用程序；

clip_image006

脚本执行完成后会输出结果到c:\temp\MyExport.xls

clip_image007

3、信息比对及匹配

接下来要做的就是将HR的Excel表格和我们导出的Excel表格（MyExport.xls）信息进行比对及匹配。

我们能够看到HR的Excel表格和导出的Excel表格具有相同的mail邮箱这一列，下面我们要使用Excel强大的VLOOKUP函数，用HR的Excel表格中mail信息去我们导出的Excel表格（MyExport.xls）中查询出对应的DN（distinguishedName）值，并填充到HR的Excel表格中。

DN（distinguishedName）值就是我们后面进行批量操作的关键

关于VLOOKUP函数可以参考下面链接，或者直接Google或者百度一下

http://office.microsoft.com/zh-cn/excel-help/vlookup-HP005209335.aspx

VLOOKUP比对匹配完成后的结果如下：

clip_image009