使用目录服务命令行工具管理 Windows Server 2003 中的 Active Directory 对象
09/08/2020
本文内容
本文介绍如何使用目录服务命令行工具在 Windows Server 2003 中执行 Active Directory 的管理任务。 以下任务分为任务组。
适用于: WindowsServer 2003
原始 KB 编号: 322684
如何管理用户
以下各节提供了管理组的详细步骤。
创建新的用户帐户
单击“开始”,然后单击“运行”。
在" 打开" 框中,键入 cmd。
在命令提示符处,键入以下命令:
dsadd user userdn -samid sam_name
此命令使用下列值:
userdn 指定可分辨 (也称为要添加) 的用户对象的 DN 类型。
sam_name 安全帐户管理器 (SAM) 名称,该名称用作此用户帐户的唯一 SAM (,例如,) 。
若要指定用户帐户密码,请键入以下命令,其中 password 是将用于用户帐户的密码:
dsadd user userdn -pwd password
备注
若要查看此命令的完整语法,并获取有关输入更多用户帐户信息的信息,在命令提示符下键入 dsadd user /? 。
重置用户密码
单击“开始”,然后单击“运行”。
在" 打开" 框中,键入 cmd。
在命令提示符处,键入以下命令:
dsmod user user_dn -pwd new_password
此命令使用下列值:
user_dn 指定要重置其密码的用户的可分辨名称。
new_password 指定将替换当前用户密码的密码
如果要要求用户在下次登录过程中更改此密码,请键入以下命令:
dsmod user user_dn -mustchpwd {yes|no}
如果未分配密码,则用户首次尝试使用空密码 (登录) ,将显示以下登录消息:
首次登录时需要更改密码
在用户更改密码后,登录过程将继续。
如果服务用户帐户的密码发生更改,则必须重置使用用户帐户进行身份验证的服务。
备注
若要查看此命令的完整语法,并获取有关输入更多用户帐户信息的信息,在命令提示符下键入 dsmod user /? 。
禁用或启用用户帐户
单击“开始”,然后单击“运行”。
在" 打开" 框中,键入 cmd。
在命令提示符处,键入以下命令:
dsmod user user_dn -disabled {yes|no}
此命令使用下列值:
user_dn 指定要禁用或启用的用户对象的可分辨名称。
{yes|no} 指定是否禁用用户帐户登录 (是) (禁用) 。
备注
作为安全措施,可以禁用用户帐户以防止特定用户登录,而不是删除该用户帐户。 如果禁用具有常见组成员身份的用户帐户,可以使用已禁用的用户帐户作为帐户模板来简化用户帐户创建。
删除用户帐户
单击“开始”,然后单击“运行”。
在" 打开" 框中,键入 cmd。
在命令提示符下,键入命令,user_dn指定要删除的用户 dsrm user_dn 对象的可分辨名称。
删除用户帐户后,将永久删除与该用户帐户关联的所有权限和成员身份。 由于每个帐户的安全标识符 (SID) 是唯一的,因此,如果您创建一个与以前删除的用户帐户同名的新用户帐户,则新帐户不会自动假定以前删除的帐户的权限和成员身份。 若要复制已删除的用户帐户,您必须手动重新创建所有权限和成员身份。
备注
若要查看此命令的完整语法,并获取有关输入更多用户帐户信息的信息,在命令提示符下键入 dsrm /? 。
如何管理组
以下各节提供了管理组的详细步骤。
创建新组
单击“开始”,然后单击“运行”。
在" 打开" 框中,键入 cmd。
在命令提示符处,键入以下命令:
dsadd group group_dn -samid sam_name -secgrp yes | no -scope l | g | u
此命令使用下列值:
group_dn 指定要添加的组对象的可分辨名称。
sam_name 指定作为此组的唯一 SAM 帐户名的 SAM (例如,运算符) 。
yes | no 指定要添加的组是安全组 (是) 还是通讯 (组) 。
l | g | u 指定要添加 (域本地 [l]、全局 [g] 或通用 [u]) 的组) 。
如果要创建组的域设置为 Windows 2000 混合的域功能级别,则只能选择具有域本地作用域或全局作用域的安全组。
若要查看此命令的完整语法,并获取有关输入更多组信息的信息,在命令提示符下键入 dsadd group /? 。
向组添加成员
单击“开始”,然后单击“运行”。
在" 打开" 框中,键入 cmd。
在命令提示符处,键入以下命令:
dsmod group group_dn -addmbr member_dn
此命令使用下列值:
group_dn 指定要添加的组对象的可分辨名称。
member_dn 指定要添加到组的对象的可分辨名称。
除了用户和计算机之外,组还可以包含联系人和其他组。
若要查看此命令的完整语法,并获取有关输入更多用户帐户和组信息的信息,在命令提示符下键入 dsmod group /? 。
将组转换为其他组类型
单击“开始”,然后单击“运行”。
在" 打开" 框中,键入 cmd。
在命令提示符处,键入以下命令:
dsmod group group_dn -secgrp {yes|no}
此命令使用下列值:
group_dn 指定要更改其组类型的组对象的可分辨名称。
{yes|no} 指定组类型设置为安全组, (是) 或通讯组 (设置为) 。
若要转换组,必须将域功能设置为 Windows 2000 Native 或更高版本。 当域功能设置为 2000 Mixed 时,不能Windows组。
若要查看此命令的完整语法,在命令提示符下键入 dsmod group /? 。
更改组作用域
单击“开始”,然后单击“运行”。
在" 打开" 框中,键入 cmd。
在命令提示符处,键入以下命令:
dsmod group **group_dn** -scope l|g|u
此命令使用下列值:
group_dn 指定作用域将更改为的组对象的可分辨名称。
l|g|u 指定要设置为本地、全局或通用 (组) 。 如果域仍设置为 2000 Windows,则不支持通用范围。 此外,无法将域本地组转换为全局组,反之亦然。
备注
只有当域功能级别设置为 2000 本机或更高版本时,才能Windows组作用域。
删除组
单击“开始”,然后单击“运行”。
在" 打开" 框中,键入 cmd。
在命令提示符下,键入命令 dsrm group_dn 。
the group_dn specifies the distinguished name of the group object to be deleted.
备注
如果删除该组,则该组将被永久删除。
默认情况下,在运行 Windows Server 2003 的域控制器(如管理员和帐户操作员)中自动提供的本地组位于 Builtin 文件夹中。 默认情况下,常见的全局组(如 Domain Admins 和 Domain Users)位于 Users 文件夹中。 可以将新组添加或移动到任何文件夹。 Microsoft 建议你在组织单位文件夹中保留组。
若要查看此命令的完整语法,在命令提示符下键入 dsrm /? 。
查找用户是其中一个成员的组
单击“开始”,然后单击“运行”。
在" 打开" 框中,键入 cmd。
在命令提示符处,键入以下命令:
dsget user user_dn -memberof
the user_dn specifies the distinguished name of the user object for which you want to display group membership.
若要查看此命令的完整语法,在命令提示符下键入 dsget user /? 。
如何管理计算机
以下各节提供了管理计算机的详细步骤。
创建新的计算机帐户
单击“开始”,然后单击“运行”。
在" 打开" 框中,键入 cmd。
在命令提示符处,键入以下命令:
dsadd computer computer_dn
computer_dn 指定 要添加的计算机的可分辨名称。 可分辨名称指示文件夹位置。
若要查看此命令的完整语法,在命令提示符下键入 dsadd computer /? 。
若要修改计算机帐户的属性,请使用 dsmod 计算机命令。
向组添加计算机帐户
单击“开始”,然后单击“运行”。
在" 打开" 框中,键入 cmd。
在命令提示符处,键入以下命令:
dsmod group group_dn -addmbr computer_dn
此命令使用下列值:
group_dn 指定要添加计算机对象的组对象的可分辨名称。
computer_dn 指定要添加到组的计算机对象的可分辨名称。 可分辨名称指示文件夹位置。
将计算机添加到组时,可以将权限分配给该组中所有计算机帐户,然后筛选该组中所有帐户的组策略设置。
若要查看此命令的完整语法,在命令提示符下键入 dsmod group /? 。
重置计算机帐户
单击“开始”,然后单击“运行”。
在" 打开" 框中,键入 cmd。
在命令提示符处,键入以下命令:
dsmod computer computer_dn -reset
该 computer_dn 指定要重置的一个或多个计算机对象的可分辨名称。
备注
重置计算机帐户时,会断开计算机与域的连接。 重置后,您必须将计算机帐户重新加入域计算机帐户。
若要查看此命令的完整语法,在命令提示符下,键入 dsmod computer /? .
禁用或启用计算机帐户
单击“开始”,然后单击“运行”。
在" 打开" 框中,键入 cmd。
在命令提示符处,键入以下命令:
dsmod computer computer_dn -disabled {yes|no}
此命令使用下列值:
computer_dn 指定要禁用或启用的计算机对象的可分辨名称。
{yes|no} 指定是否禁用计算机登录 (是) 或 (禁用) 。
禁用计算机帐户时,会断开计算机与域的连接,并且计算机无法对域进行身份验证。
若要查看此命令的完整语法,在命令提示符下键入 dsmod computer /? 。
如何管理组织单位
以下各节提供管理组织单位的详细步骤。
创建新的组织单位
单击“开始”,然后单击“运行”。
在" 打开" 框中,键入 cmd。
在命令提示符处,键入以下命令:
dsadd ou organizational_unit_dn
该 organizational_unit_dn 指定要添加的组织单位的可分辨名称。
若要查看此命令的完整语法,在命令提示符下键入 dsadd ou /? 。
备注
若要修改组织单位的属性,请使用 dsmod ou 命令。
删除组织单位
单击“开始”,然后单击“运行”。
在" 打开" 框中,键入 cmd。
在命令提示符下,键入命令 dsrm organizational_unit_dn 。
该 organizational_unit_dn 指定要删除的组织单位的可分辨名称。
若要查看此命令的完整语法,在命令提示符下键入 dsrm /? 。
备注
如果删除组织单位,将删除组织单位包含的所有对象。
如何搜索 Active Directory
以下各节提供了搜索 Active Directory 的详细步骤。
查找用户帐户
单击“开始”,然后单击“运行”。
在" 打开" 框中,键入 cmd。
在命令提示符下,键入命令 dsquery user parameter 。
参数 指定要使用的参数。 有关参数列表,请参阅 d 命令的联机 squery user 帮助。
若要查看此命令的完整语法,在命令提示符下键入 dsquery user /? 。
查找联系人
单击“开始”,然后单击“运行”。
在" 打开" 框中,键入 cmd。
在命令提示符下,键入命令 dsquery contact parameter 。
参数 指定要使用的参数。 有关参数列表,请参阅 dsquery 用户命令的联机帮助。
查找组
单击“开始”,然后单击“运行”。
在" 打开" 框中,键入 cmd。
在命令提示符下,键入命令 dsquery group parameter 。
参数 指定要使用的参数。 有关参数列表,请参阅 dsquery 用户命令的联机帮助。
默认情况下,在运行 Windows Server 2003 的域控制器(如管理员和帐户操作员)中自动提供的本地组位于 Builtin 文件夹中。 默认情况下,常见的全局组(如 Domain Admins 和 Domain Users)位于 Users 文件夹中。 可以将新组添加或移动到任何文件夹。 Microsoft 建议你在组织单位文件夹中保留组。
查找计算机帐户
单击“开始”,然后单击“运行”。
在" 打开" 框中,键入 cmd。
在命令提示符下,键入命令 dsquery computer -name name 。
该 名称指定命令搜索的计算机名称。 此命令搜索其名称属性为 CN (值的计算机 ) 名称 匹配。
若要查看此命令的完整语法,在命令提示符下键入 dsquery computer /? 。
查找组织单位
单击“开始”,然后单击“运行”。
在" 打开" 框中,键入 cmd。
在命令提示符下,键入命令 dsquery ou parameter 。
参数 指定要使用的参数。 有关参数列表,请参阅 的联机帮助 dsquery ou 。
若要查看此命令的完整语法,在命令提示符下键入 dsquery ou /? 。
查找域控制器
单击“开始”,然后单击“运行”。
在" 打开" 框中,键入 cmd。
在命令提示符下,键入命令 dsquery server parameter 。
参数 指定要使用的参数。 可以使用此命令搜索服务器的几个属性。 有关参数列表,请参阅联机帮助 dsquery server.
执行自定义搜索
单击“开始”,然后单击“运行”。
在" 打开" 框中,键入 cmd。
在命令提示符下,键入命令 dsquery * parameter 。
参数 指定要使用的参数。 可以使用此命令搜索多个属性。 有关 LDAP 搜索详细信息,请参阅 Windows Server 2003 资源工具包。
参考
有关 Windows Server 2003 中的目录服务命令行工具详细信息,请单击"开始",再单击"帮助和支持中心",然后在"搜索"框中键入目录服务 命令行 工具。
扫一扫
185
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
