Поделиться через

Использование средств командной строки службы каталогов для управления объектами Active Directory в Windows Server 2003

В этой статье описывается, как использовать средства командной строки службы каталогов для выполнения административных задач для Active Directory в Windows Server 2003. Следующие задачи разбиты на группы задач.

Область применения: поддерживаемые версии Windows Server
Исходный номер базы знаний: 322684

Управление пользователями

В следующих разделах приведены подробные инструкции по управлению группами.

Создание учетной записи пользователя

  1. В меню Пуск выберите пункт Выполнить.

  2. В окне Открыть введите cmd.

  3. В командной строке введите следующую команду:

    dsadd user <user_dn> -samid <sam_name>

    В этой команде используются следующие значения:

    • user_dn указывает различающееся имя (также известное как DN) объекта пользователя, который требуется добавить.
    • sam_name указывает имя диспетчера учетных записей безопасности (SAM), используемое в качестве уникального имени учетной записи SAM для этого пользователя (например, Linda).

  4. Чтобы указать пароль учетной записи пользователя, введите следующую команду, где пароль является паролем , используемым для учетной записи пользователя:

    dsadd user <user_dn> -pwd password

Примечание.

Чтобы просмотреть полный синтаксис для этой команды, и получить дополнительные сведения о вводе дополнительных сведений об учетной записи пользователя в командной строке введите dsadd user /?.

Сброс пароля пользователя

  1. В меню Пуск выберите пункт Выполнить.

  2. В окне Открыть введите cmd.

  3. В командной строке введите следующую команду:

    dsmod user <user_dn> -pwd <new_password>

    Эта команда использует следующие значения:

    • user_dn указывает различающееся имя пользователя, для которого будет сброшен пароль.
    • new_password указывает пароль, который заменит текущий пароль пользователя.

  4. Если вы хотите, чтобы пользователь изменил этот пароль в следующем процессе входа, введите следующую команду:

    dsmod user <user_dn> -mustchpwd {yes|no}

Если пароль не назначен, при первом входе пользователя (с помощью пустого пароля) отображается следующее сообщение входа:

Необходимо сначала изменить пароль при первом входе

После того как пользователь изменил пароль, процесс входа продолжается.

Необходимо сбросить службы, прошедшие проверку подлинности с помощью учетной записи пользователя, если пароль для учетной записи пользователя службы изменен.

Примечание.

Чтобы просмотреть полный синтаксис для этой команды, и получить дополнительные сведения о вводе дополнительных сведений об учетной записи пользователя в командной строке введите dsmod user /?.

Отключение или включение учетной записи пользователя

  1. В меню Пуск выберите пункт Выполнить.

  2. В окне Открыть введите cmd.

  3. В командной строке введите следующую команду:

    dsmod user <user_dn> -disabled {yes|no}

    Эта команда использует следующие значения:

    • user_dn указывает различающееся имя объекта пользователя, которое необходимо отключить или включить.
    • {да|нет} указывает, отключена ли учетная запись пользователя для входа (да) или нет (нет).

Примечание.

В качестве меры безопасности вместо удаления учетной записи этого пользователя можно отключить учетные записи пользователей, чтобы предотвратить вход определенного пользователя. Если вы отключите учетные записи пользователей с общим членством в группах, вы можете использовать отключенные учетные записи пользователей в качестве шаблонов учетных записей для упрощения создания учетных записей пользователей.

Удаление учетной записи пользователя

  1. В меню Пуск выберите пункт Выполнить.
  2. В окне Открыть введите cmd.
  3. В командной строке введите dsrm <user_dn> команду, где user_dn указывает различающееся имя объекта пользователя, который необходимо удалить.

После удаления учетной записи пользователя все разрешения и членства, связанные с этой учетной записью пользователя, окончательно удаляются. Так как идентификатор безопасности для каждой учетной записи является уникальным, при создании новой учетной записи пользователя, которая имеет то же имя, что и ранее удаленная учетная запись пользователя, новая учетная запись автоматически не предполагает разрешения и членство ранее удаленной учетной записи. Чтобы дублировать удаленную учетную запись пользователя, необходимо вручную повторно создать все разрешения и членство.

Примечание.

Чтобы просмотреть полный синтаксис для этой команды, и получить дополнительные сведения о вводе дополнительных сведений об учетной записи пользователя в командной строке введите dsrm /?.

Управление группами

В следующих разделах приведены подробные инструкции по управлению группами.

Создание группы

  1. В меню Пуск выберите пункт Выполнить.

  2. В окне Открыть введите cmd.

  3. В командной строке введите следующую команду:

    dsadd group <group_dn> -samid <sam_name> -secgrp {yes|no} -scope {l|g|u}

    Эта команда использует следующие значения:

    • group_dn указывает различающееся имя объекта группы, который требуется добавить.
    • sam_name указывает имя SAM, которое является уникальным именем учетной записи SAM для этой группы (например, операторами).
    • {да|нет} Указывает, является ли добавляемая группа группой безопасности (да) или группой рассылки (нет).
    • {l|g|u} указывает область группы, которую вы хотите добавить (домен локальный [l], глобальный [g], или универсальный [u]).

Если в домене, в котором создается группа, задан уровень функциональности домена в Смешанном режиме Windows 2000, можно выбрать только группы безопасности с локальными областями домена или глобальными областями.

Чтобы просмотреть полный синтаксис этой команды, и получить дополнительные сведения о вводе дополнительных сведений о группе в командной строке введите dsadd group /?.

Добавление участника в группу

  1. В меню Пуск выберите пункт Выполнить.

  2. В окне Открыть введите cmd.

  3. В командной строке введите следующую команду:

    dsmod group <group_dn> -addmbr <member_dn>

    Эта команда использует следующие значения:

    • group_dn указывает различающееся имя объекта группы, который требуется добавить.
    • member_dn указывает различающееся имя объекта, который требуется добавить в группу.

Помимо пользователей и компьютеров, группа может содержать контакты и другие группы.

Чтобы просмотреть полный синтаксис для этой команды, и получить дополнительные сведения о вводе дополнительных сведений об учетной записи пользователя и группе в командной строке введите dsmod group /?.

Преобразование группы в другой тип группы

  1. В меню Пуск выберите пункт Выполнить.

  2. В окне Открыть введите cmd.

  3. В командной строке введите следующую команду:

    dsmod group <group_dn> -secgrp {yes|no}

    Эта команда использует следующие значения:

    • group_dn указывает различающееся имя объекта группы, для которого требуется изменить тип группы.
    • {да|нет} указывает, что для типа группы задана группа безопасности (да) или группа распространения (нет).

Чтобы преобразовать группу, функциональность домена должна иметь значение Windows 2000 Native или более поздней версии. Невозможно преобразовать группы, если для функциональных возможностей домена задано значение Windows 2000 Mixed.

Чтобы просмотреть полный синтаксис для этой команды, в командной строке введите dsmod group /?.

Изменение области группы

  1. В меню Пуск выберите пункт Выполнить.

  2. В окне Открыть введите cmd.

  3. В командной строке введите следующую команду:

    dsmod group <group_dn> -scope {l|g|u}

    Эта команда использует следующие значения:

    • group_dn указывает различающиеся имена объекта группы, на который будет изменена область.
    • {l|g|u} указывает область, в которую должна быть задана группа (локальная, глобальная или универсальная). Если домен по-прежнему имеет значение Windows 2000 mixed, универсальная область не поддерживается. Кроме того, невозможно преобразовать локальную группу домена в глобальную группу или наоборот.

Примечание.

Можно изменять только области групп, если для уровня функциональности домена задано значение Windows 2000 native или более поздней версии.

Удаление группы

  1. В меню Пуск выберите пункт Выполнить.

  2. В окне Открыть введите cmd.

  3. В командной строке введите команду dsrm <group_dn>.

    Group_dn указывает различающееся имя объекта группы, который необходимо удалить.

Примечание.

Если удалить группу, группа будет окончательно удалена.

По умолчанию локальные группы, предоставляемые автоматически в контроллерах домена, работающих под управлением Windows Server 2003, такие как администраторы и операторы учетных записей, находятся в встроенной папке. По умолчанию общие глобальные группы, такие как администраторы домена и пользователи домена, находятся в папке "Пользователи". Вы можете добавлять или перемещать новые группы в любую папку. Корпорация Майкрософт рекомендует хранить группы в папке подразделения.

Чтобы просмотреть полный синтаксис для этой команды, в командной строке введите dsrm /?.

Поиск групп, в которых пользователь является членом

  1. В меню Пуск выберите пункт Выполнить.

  2. В окне Открыть введите cmd.

  3. В командной строке введите следующую команду:

    dsget user <user_dn> -memberof

    User_dn указывает различающееся имя объекта пользователя, для которого требуется отобразить членство в группах.

Чтобы просмотреть полный синтаксис для этой команды, в командной строке введите dsget user /?.

Управление компьютерами

В следующих разделах приведены подробные инструкции по управлению компьютерами.

Создание учетной записи компьютера

  1. В меню Пуск выберите пункт Выполнить.

  2. В окне Открыть введите cmd.

  3. В командной строке введите следующую команду:

    dsadd computer <computer_dn>

    Computer_dn указывает различающееся имя компьютера, который требуется добавить. Различающееся имя указывает расположение папки.

Чтобы просмотреть полный синтаксис для этой команды, в командной строке введите dsadd computer /?.

Чтобы изменить свойства учетной записи компьютера, используйте команду dsmod computer.

Добавление учетной записи компьютера в группу

  1. В меню Пуск выберите пункт Выполнить.

  2. В окне Открыть введите cmd.

  3. В командной строке введите следующую команду:

    dsmod group <group_dn> -addmbr <computer_dn>

    Эта команда использует следующие значения:

    • group_dn указывает различающееся имя объекта группы, к которому требуется добавить объект компьютера.
    • computer_dn указывает различающееся имя объекта компьютера, добавляемого в группу. Различающееся имя указывает расположение папки.

При добавлении компьютера в группу можно назначать разрешения всем учетным записям компьютеров в этой группе, а затем фильтровать параметры групповой политики на всех учетных записях в этой группе.

Чтобы просмотреть полный синтаксис для этой команды, в командной строке введите dsmod group /?.

Сброс учетной записи компьютера

  1. В меню Пуск выберите пункт Выполнить.

  2. В окне Открыть введите cmd.

  3. В командной строке введите следующую команду:

    dsmod computer <computer_dn> -reset

    Computer_dn задает различающиеся имена одного или нескольких объектов компьютера, которые требуется сбросить.

    Примечание.

    При сбросе учетной записи компьютера вы прерываете подключение компьютера к домену. После сброса учетной записи компьютера необходимо повторно присоединиться к учетной записи компьютера домена.

Чтобы просмотреть полный синтаксис для этой команды, в командной строке введите dsmod-компьютер /? .

Отключение или включение учетной записи компьютера

  1. В меню Пуск выберите пункт Выполнить.

  2. В окне Открыть введите cmd.

  3. В командной строке введите следующую команду:

    dsmod computer <computer_dn> -disabled {yes|no}

    Эта команда использует следующие значения:

    • computer_dn указывает различающееся имя объекта компьютера, который требуется отключить или включить.
    • {да|нет} указывает, отключен ли компьютер для входа (да) или нет (нет).

При отключении учетной записи компьютера вы прерываете подключение компьютера к домену, а компьютер не может пройти проверку подлинности в домене.

Чтобы просмотреть полный синтаксис для этой команды, в командной строке введите dsmod computer /?.

Управление подразделениями

В следующих разделах приведены подробные инструкции по управлению подразделениями.

Создание нового подразделения

  1. В меню Пуск выберите пункт Выполнить.

  2. В окне Открыть введите cmd.

  3. В командной строке введите следующую команду:

    dsadd ou <organizational_unit_dn>

    В organizational_unit_dn указывается различающееся имя добавляемого подразделения.

Чтобы просмотреть полный синтаксис для этой команды, в командной строке введите dsadd ou /?.

Примечание.

Чтобы изменить свойства подразделения, используйте dsmod ou команду.

Удаление подразделения

  1. В меню Пуск выберите пункт Выполнить.

  2. В окне Открыть введите cmd.

  3. В командной строке введите команду dsrm <organizational_unit_dn>.

    В organizational_unit_dn указывается различающееся имя подразделения, которое необходимо удалить.

Чтобы просмотреть полный синтаксис для этой команды, в командной строке введите dsrm /?.

Примечание.

При удалении подразделения удаляются все объекты, содержащиеся в нем.

Поиск в Active Directory

В следующих разделах приведены подробные инструкции по поиску в Active Directory.

Поиск учетной записи пользователя

  1. В меню Пуск выберите пункт Выполнить.

  2. В окне Открыть введите cmd.

  3. В командной строке введите команду dsquery user <parameter>.

    Параметр задает используемый параметр . Список параметров см. в интерактивной справке по команде dsquery user .

Чтобы просмотреть полный синтаксис для этой команды, в командной строке введите dsquery user /?.

Поиск контакта

  1. В меню Пуск выберите пункт Выполнить.

  2. В окне Открыть введите cmd.

  3. В командной строке введите команду dsquery contact <parameter>.

    Параметр задает используемый параметр . Список параметров см. в интерактивной справке по команде пользователя dsquery.

Найти группу

  1. В меню Пуск выберите пункт Выполнить.

  2. В окне Открыть введите cmd.

  3. В командной строке введите команду dsquery group <parameter>.

    Параметр задает используемый параметр . Список параметров см. в интерактивной справке по команде пользователя dsquery.

По умолчанию локальные группы, предоставляемые автоматически в контроллерах домена, работающих под управлением Windows Server 2003, такие как администраторы и операторы учетных записей, находятся в встроенной папке. По умолчанию общие глобальные группы, такие как администраторы домена и пользователи домена, находятся в папке "Пользователи". Вы можете добавлять или перемещать новые группы в любую папку. Корпорация Майкрософт рекомендует хранить группы в папке подразделения.

Поиск учетной записи компьютера

  1. В меню Пуск выберите пункт Выполнить.

  2. В окне Открыть введите cmd.

  3. В командной строке введите команду dsquery computer -name <name>.

    Имя указывает имя компьютера, для которой выполняется поиск команды. Эта команда ищет компьютеры, имена которых (значение атрибута CN) соответствуют имени.

Чтобы просмотреть полный синтаксис для этой команды, в командной строке введите dsquery computer /?.

Поиск подразделения

  1. В меню Пуск выберите пункт Выполнить.

  2. В окне Открыть введите cmd.

  3. В командной строке введите команду dsquery ou <parameter>.

    Параметр задает используемый параметр . Список параметров см. в справке по dsquery ouсети.

Чтобы просмотреть полный синтаксис для этой команды, в командной строке введите dsquery ou /?.

Поиск контроллера домена

  1. В меню Пуск выберите пункт Выполнить.

  2. В окне Открыть введите cmd.

  3. В командной строке введите команду dsquery server <parameter>.

    Параметр задает используемый параметр . Существует несколько атрибутов сервера, который можно искать с помощью этой команды. Список параметров см. в справке по сети dsquery server.

  1. В меню Пуск выберите пункт Выполнить.

  2. В окне Открыть введите cmd.

  3. В командной строке введите команду dsquery * <parameter>.

    Параметр задает используемый параметр . Существует несколько атрибутов, которые можно выполнить поиск с помощью этой команды. Дополнительные сведения о поисках LDAP см. в комплекте ресурсов Windows Server 2003.

Ссылки

Дополнительные сведения о средствах командной строки служб каталогов в Windows Server 2003 нажмите кнопку "Пуск", щелкните "Справка и центр поддержки", а затем введите средства командной строки службы каталогов в поле поиска.