域账号管理命令行说明

dsget computer - 显示目录中计算机的属性。
dsget contact - 显示目录中联系人的属性。
dsget subnet - 显示目录中子网的属性。
dsget group - 显示目录中组的属性。
dsget ou - 显示目录中组织单位的属性。
dsget server - 显示目录中服务器的属性。
dsget site - 显示目录中站点的属性。
dsget user - 显示目录中用户的属性。
dsget quota - 显示目录中配额的属性。
dsget partition - 显示目录中分区的属性。

dsget user /?
描述:       显示目录中一个用户的各种属性。此命令有两种用法。第一种用法允许
            您查看多个用户的属性。第二种用法允许您查看一个用户的组成员身份
            信息。
语法:       dsget user <UserDN ...> [-dn] [-samid] [-sid] [-upn] [-fn] [-mi]
            [-ln] [-display] [-empid] [-desc] [-office] [-tel] [-email]
            [-hometel] [-pager] [-mobile] [-fax] [-iptel] [-webpg]
            [-title] [-dept] [-company] [-mgr] [-hmdir] [-hmdrv]
            [-profile] [-loscr] [-mustchpwd] [-canchpwd]
            [-pwdneverexpires] [-disabled] [-acctexpires]
            [-reversiblepwd] [-part <PartitionDN> [-qlimit] [-qused]]
            [{-s <Server> | -d <Domain>}] [-u <UserName>]
            [-p {<Password> | *}] [-c] [-q] [-l] [{-uc | -uco | -uci}]

            dsget user <UserDN> [-memberof [-expand]]
            [{-s <Server> | -d <Domain>}] [-u <UserName>]
            [-p {<Password> | *}] [-c] [-q] [-l]
            [{-uc | -uco | -uci}]
           
参数:

值                      描述
<UserDN ...>            需要项/stdin。要查看的一个或多个用户的可分辨名称(DN)。
                        如果目标对象被省略，会从标准输入(stdin)中取得来
                        支持以管道方式从另一个命令输出输入到该命令的输入。
                        请与以下的 <UserDN> 比较。
-dn                     显示用户的 DN。
-samid                  显示用户的 SAM 帐户名。
-sid                    显示用户的安全 ID。
-upn                    显示用户的用户主体名称。
-fn                     显示用户的名。
-mi                     显示用户的中间名首字母。
-ln                     显示用户的姓。
-display                显示用户的显示名。
-empid                  显示用户的雇员 ID。
-desc                   显示用户的描述。
-office                 显示用户的办公室位置。
-tel                    显示用户的电话号码。
-email                  显示用户的电子邮件地址。
-hometel                显示用户的家庭电话号码。
-pager                  显示用户的寻呼机号码。
-mobile                 显示用户的移动电话号码
-fax                    显示用户的传真号码。
-iptel                  显示用户的 IP 电话号码。
-webpg                  显示用户的网站 URL。
-title                  显示用户的职务。
-dept                   显示用户的部门。
-company                显示用户的公司信息。
-mgr                    显示用户的经理。
-hmdir                  显示用户的主目录。
                        显示已映射的用户主目录驱动器号。
                        (如果主目录路径是 UNC 路径)。
-hmdrv                  显示用户主目录驱动器号。
                        (如果主目录是 UNC 路径)。
-profile                显示用户的配置文件路径。
-loscr                  显示用户的登录脚本路径。
-mustchpwd              显示用户是否在下次登录时必须更改密码。
                        显示: yes 或 no。
-canchpwd               显示用户是否能更改密码。
                        显示: yes 或 no。
-pwdneverexpires        显示用户密码是否从不过期。
                        显示: yes 或 no。
-disabled               显示用户帐户是否被禁止登录。
                        显示: yes 或 no。
-acctexpires            显示用户帐户何时过期。
                        显示值: 帐户过期日期，或如果该帐户从不过期，显示字
                        符串 "never" 。
-reversiblepwd          显示用户密码是否允许使用可逆的加密存储
                        (yes 或 no)。
<UserDN>                需要项。要查看组的 DN。
-memberof               显示用户为其成员的组。
-expand                 显示用户为其成员的组的递归扩展列表。
{-s <Server> | -d <Domain>}
                        -s <Server> 用 <Server> 名称连接到域控制器 (DC)。
                        -d <Domain> 在域 <Domain> 连接到 DC。
                        默认值: 在该登录域的一个 DC。
-u <UserName>           用 <UserName> 连接。默认值: 已登录的用户。
                        用户名可以是: 用户名，域\用户名或
                        用户主体名称 (UPN)。
-p {<Password> | *}     用户 <UserName> 的密码。如果是 *，会提示输入密码。
-c                      连续操作模式: 如果指定了多个目标对象，在报告错误后
                        继续对参数列表的下一个对象操作。没有这个选项，命令
                        将在第一个错误出现时退出。               
-q                      安静模式: 不在标准输出显示任何输出。
-L                      用列表格式显示查询结果集的项目。
                        默认: 表格格式。
{-uc | -uco | -uci} -uc 指定从管道的输入或至管道输出用 Unicode 格式。
   -uco 指定至管道或文件的输出用 Unicode 格式。
   -uci 指定从管道或文件的输入用 Unicode 格式。
-part <PartitionDN>     用可分辨名称 <PartitionDN> 连接到目录分区。
-qlimit                 显示指定目录分区用户的有效配额。
-qused                  显示用户在指定目录分区已经使用其配额的数量。

备注:
如果您在命令提示没有提供目标对象，会从标准输入(stdin)获取目标
对象。可以从键盘、重定向文件或从另一个命令的管道输出接受 Stdin
数据。要从键盘或在重定向文件中标记 stdin 数据的结束，请使用
Control+Z 表示文件结束(EOF)。

配额规定决定一个给定安全主体在一个具体目录分区中能够拥有最大目录
对象的数目。

dsget 命令帮助您在目录中查看一个具体对象的属性: dsget 的输入是
一个对象，输出是该对象的属性列表。
要找出一个匹配所给查询标准的所有对象，请使用 dsquery 命令
(dsquery /?)

如果您提供的值包含空格，请在文字两边使用引号
(例如，"CN=John Smith,CN=Users,DC=microsoft,DC=com")。
如果您输入了多个值，这些值必须用空格隔开
(例如，一个可分辨名称列表)。

示例:
要在所给组织单位中查找以 "jon" 开始的名称并显示他们的描述, 请键入:

    dsquery user ou=Test,dc=microsoft,dc=com -name jon* | dsget user -desc

要以递归扩展方式显示所给用户 "Jon Smith" 所属的组列表，请键入:

    dsget user "cn=Jon Smith,cn=users,dc=microsoft,dc=com" -memberof -expand

要在所给分区 "cn=domain,dc=microsoft,dc=com" 上显示所给用户 "Jon Smith" 的
有效配额和所用配额，请键入:

    dsget user "cn=Jon Smith,cn=users,dc=microsoft,dc=com"
    -part "cn=domain,dc=microsoft,dc=com" -qlimit -qused

另参见:
dsget - 描述应用于所有命令的参数。
dsget computer - 显示目录中计算机的属性。
dsget contact - 显示目录中联系人的属性。
dsget subnet - 显示目录中子网的属性。
dsget group - 显示目录中组的属性。
dsget ou - 显示目录中组织单位的属性。
dsget server - 显示目录中服务器的属性。
dsget site - 显示目录中站点的属性。
dsget user - 显示目录中用户的属性。
dsget quota - 显示目录中配额的属性。
dsget partition - 显示目录中分区的属性。

目录服务命令行工具帮助:
dsadd /? - 添加对象的帮助。
dsget /? - 显示对象的帮助。
dsmod /? - 修改对象的帮助。
dsmove /? - 移动对象的帮助。
dsquery /? - 查找与搜索标准匹配的对象的帮助。
dsrm /? - 删除对象的帮助。

一、用户管理
1、新建用户帐户
dsadd user UserDN [-samid SAMName] -pwd {Password|*}

值   描述
UserDN  指定要添加的用户对象的可分辨名称。
SAMName  指定使用安全帐户管理器 (SAM) 名称作为该用户的唯一 SAM 帐户名（例如 Linda）。如果未指定，则 dsadd 将试图使用来自 UserDN 的公用名 (CN) 值的最多前 20 个字符，创建 SAM 帐户名。 
Pwd   指定要用于该用户帐户的密码。如果设置为 *，系统将提示您输入用户密码。 

2、移动用户帐户
dsmov UserDN [-newparent ParentDN] -pwd {Password|*}

值   描述
UserDN  指定要移动的用户对象的可分辨名称。
ParentDN 指定该用户对象要移至的新位置。该新位置被指定为新父节点的可分辨名称。 
Pwd   指定使用密码还是 * 登录到远程服务器。如果键入 *，系统将提示您输入密码。 

3、重设用户密码
dsmod user UserDN -pwd NewPassword

如果想要求用户在下次登录进程中更改此密码，则键入：
dsmod user UserDN -mustchpwd {yes|no}

值   描述
UserDN  指定要为其重设密码的用户的可分辨名称。
NewPassword 指定将替代当前用户密码的密码。

4、禁用或启用用户帐户
dsmod user UserDN -disabled {yes|no}

值   描述
UserDN  指定要禁用或启用的用户对象的可分辨名称。
{yes|no} 指定是否禁止该用户帐户登录（yes 禁止登录，no 允许登录）。

5、删除用户帐户
dsrm ObjectDN

值   描述
ObjectDN 指定要删除的用户对象的可分辨名称。

二、组管理
1、新建组
dsadd group GroupDN -samid SAMName -secgrp yes | no -scope l | g | u

值   描述
GroupDN  指定要添加的组对象的可分辨名称。
SAMName  指定使用安全帐户管理器 (SAM) 名称作为该组的唯一 SAM 帐户名（例如 Operator）。
yes | no 指定要添加的组是安全组 (yes) 还是通讯组 (no)。
l | g | u 指定要添加的组的作用域是本地 (l)、全局 (g)，还是通用 (u)。

2、将成员添加到组
dsmod group GroupDN -addmbr MemberDN

值   描述
GroupDN  指定要在其中添加对象的组对象的可分辨名称。 
MemberDN 指定要添加到组中的对象的可分辨名称。

3、将组转换为另一种组类型
dsmod group GroupDN -secgrp {yes|no}

值   描述
GroupDN  指定想要更改其组类型的组对象的可分辨名称。
{yes|no} 指定将组类型设置为安全组 (yes) 还是通讯组 (no)。

4、更改组作用域
dsmod group GroupDN -scope L|G|U

值   描述
GroupDN  指定作用域将更改到的组对象的可分辨名称 (DN)。
L|G|U  指定组的作用域设置为本地、全局还是通用。如果该域仍然处于 Windows 2000 混合级别，则不支持通用作用域。同时，不可能将本地域组转换为全局组，反之亦然。

5、删除组
dsrm GroupDN

值   描述
GroupDN  指定要删除的组对象的可分辨名称。

6、查找包含某个用户的组
dsget user UserDN -memberof

值   描述
UserDN  指定要显示其组成员身份的用户对象的可分辨名称。

三、管理计算机
1、新建计算机帐户
dsadd computer ComputerDN

值   描述
ComputerDN 指定要添加的计算机的可分辨名称。可分辨名称指定了目录位置。 

2、将计算机帐户添加到组中
dsmod group GroupDN -addmbr ComputerDN

值    描述
GroupDN  指定要将计算机对象添加到其中的组对象的可分辨名称。 
ComputerDN 指定要添加到组中的计算机对象的可分辨名称。可分辨名称指定了目录位置。

3、删除计算机帐户
dsrm computer ComputerDN

值   描述
ComputerDN 指定要添加的计算机的可分辨名称。可分辨名称指定目录位置。

4、重设计算机帐户
dsmod computer ComputerDN -reset

值   描述
ComputerDN 指定要重设的一个或多个计算机对象的可分辨名称。

5、禁用或启用计算机帐户
dsmod computer ComputerDN -disabled {yes|no}

值   描述
ComputerDN 指定要禁用或启用的计算机对象的可分辨名称。
{yes|no} 指定是否禁止该计算机登录（yes 禁止登录，no 允许登录）。

Users:
命令：#dsquery user dc=final,dc=com
"CN=Administrator,CN=Users,DC=final,DC=com"
"CN=Guest,CN=Users,DC=final,DC=com"
"CN=SUPPORT_388945a0,CN=Users,DC=final,DC=com"
"CN=krbtgt,CN=Users,DC=final,DC=com"
"CN=wangling,OU=人事部,OU=部门,DC=final,DC=com"
"CN=pxe,CN=Users,DC=final,DC=com"
"CN=lili,OU=工程部,OU=部门,DC=final,DC=com"
"CN=lixiang,OU=市场部,OU=部门,DC=final,DC=com"
"CN=wangli,OU=人事部,OU=部门,DC=final,DC=com"
"CN=__vmware_user__,CN=Users,DC=final,DC=com"
"CN=IUSR_TEST_SERVER,CN=Users,DC=final,DC=com"
"CN=IWAM_TEST_SERVER,CN=Users,DC=final,DC=com"
"CN=wanghua,OU=行政部,OU=部门,DC=final,DC=com"

Groups:
命令：#dsquery group dc=final,dc=com
"CN=HelpServicesGroup,CN=Users,DC=final,DC=com"
"CN=TelnetClients,CN=Users,DC=final,DC=com"
"CN=Debugger Users,CN=Users,DC=final,DC=com"
"CN=DHCP Users,CN=Users,DC=final,DC=com"
"CN=DHCP Administrators,CN=Users,DC=final,DC=com"
"CN=Administrators,CN=Builtin,DC=final,DC=com"
"CN=Users,CN=Builtin,DC=final,DC=com"
"CN=Guests,CN=Builtin,DC=final,DC=com"
"CN=Print Operators,CN=Builtin,DC=final,DC=com"
"CN=Backup Operators,CN=Builtin,DC=final,DC=com"
"CN=Replicator,CN=Builtin,DC=final,DC=com"
"CN=Remote Desktop Users,CN=Builtin,DC=final,DC=com"
"CN=Network Configuration Operators,CN=Builtin,DC=final,DC=com"
"CN=Performance Monitor Users,CN=Builtin,DC=final,DC=com"
"CN=Performance Log Users,CN=Builtin,DC=final,DC=com"
"CN=Distributed COM Users,CN=Builtin,DC=final,DC=com"
"CN=Domain Computers,CN=Users,DC=final,DC=com"
"CN=Domain Controllers,CN=Users,DC=final,DC=com"
"CN=Schema Admins,CN=Users,DC=final,DC=com"
"CN=Enterprise Admins,CN=Users,DC=final,DC=com"
"CN=Cert Publishers,CN=Users,DC=final,DC=com"
"CN=Domain Admins,CN=Users,DC=final,DC=com"
"CN=Domain Users,CN=Users,DC=final,DC=com"
"CN=Domain Guests,CN=Users,DC=final,DC=com"
"CN=Group Policy Creator Owners,CN=Users,DC=final,DC=com"
"CN=RAS and IAS Servers,CN=Users,DC=final,DC=com"
"CN=Server Operators,CN=Builtin,DC=final,DC=com"
"CN=Account Operators,CN=Builtin,DC=final,DC=com"
"CN=Pre-Windows 2000 Compatible Access,CN=Builtin,DC=final,DC=com"
"CN=Incoming Forest Trust Builders,CN=Builtin,DC=final,DC=com"
"CN=Windows Authorization Access Group,CN=Builtin,DC=final,DC=com"
"CN=Terminal Server License Servers,CN=Builtin,DC=final,DC=com"
"CN=DnsAdmins,CN=Users,DC=final,DC=com"
"CN=DnsUpdateProxy,CN=Users,DC=final,DC=com"
"CN=manager,OU=管理员,DC=final,DC=com"
"CN=WINS Users,CN=Users,DC=final,DC=com"
"CN=__vmware__,CN=Users,DC=final,DC=com"
"CN=IIS_WPG,CN=Users,DC=final,DC=com"
"CN=group1,CN=Users,DC=final,DC=com"

Computers:
命令：#dsquery computer dc=final,dc=com
"CN=TEST_SERVER,OU=Domain Controllers,DC=final,DC=com"
"CN=WANGLI,CN=Computers,DC=final,DC=com"

OUs:
命令：#dsquery ou dc=final,dc=com
"OU=Domain Controllers,DC=final,DC=com"
"OU=管理员,DC=final,DC=com"
"OU=人事部,OU=部门,DC=final,DC=com"
"OU=行政部,OU=部门,DC=final,DC=com"
"OU=财务部,OU=部门,DC=final,DC=com"
"OU=工程部,OU=部门,DC=final,DC=com"
"OU=市场部,OU=部门,DC=final,DC=com"
"OU=部门,DC=final,DC=com"
"OU=公司领导,DC=final,DC=com"

命令：#dsquery /?
描述: 该工具命令集允许您根据指定的标准查询目录。除 dsquery * 外 (dsquery
可以查询对象的任何类型)，以下每一个 dsquery 命令查找一个具体的对象类型:

dsquery computer - 查找目录中的计算机。
dsquery contact - 查找目录中的联系人。
dsquery subnet - 查找目录中的子网。
dsquery group - 查找目录中的组。
dsquery ou - 查找目录中的组织单位。
dsquery site - 查找目录中的站点。
dsquery server - 查找目录中的域控制器。
dsquery user - 查找目录中的用户。
dsquery quota - 查找目录中的配额。
dsquery partition - 查找目录中的分区。
dsquery * - 用通用的 LDAP 查询查找目录中的任何对象。

要查找具体命令的帮助，请键入 "dsquery <ObjectType> /?"，这里的
<ObjectType> 是上述受支持的对象类型。
例如，dsquery ou /?。

备注:
dsquery 命令帮助您在目录中查找匹配指定搜索标准的对象: dsquery 的输入是一个
搜索标准，其输出是匹配该搜索的对象列表。要得到指定对象的属性，请用 dsget
命令 (dsget /?)。

dsquery 命令的结果可以以管道方式输出，作为一个其他目录服务命令行工具 (如
dsmod，dsget，dsrm 或 dsmove) 的输入。

可分辨名称中不是用作分隔符的逗号必须用反斜杠 ("\") 字符转义 (例如，
"CN=Company\, Inc.,CN=Users,DC=microsoft,DC=com")。用在可分辨名称中的反斜
杠必须用一个反斜杠转义 (例如，
"CN=Sales\\ Latin America,OU=Distribution Lists,DC=microsoft,DC=com")。

示例:
查找过去四个星期内处于非活动状态的计算机并将其从目录中删除:

 dsquery computer -inactive 4 | dsrm

查找组织单位所有的用户 "ou=Marketing,dc=microsoft,dc=com" 并将他们添加到
Marketing Staff 组:

 dsquery user ou=Marketing,dc=microsoft,dc=com | smod group
 "cn=Marketing Staff,ou=Marketing,dc=microsoft,dc=com" -addmbr

查找姓名以 "John" 开始的所有用户并显示他的办公室号码:

 dsquery user -name John* | dsget user -office

要显示目录中所给对象属性的任意集，请使用 dsquery * 命令。例如，要显示对象
(该对象的 DN 是 ou=Test，dc=microsoft，dc=com) 的 sAMAccountName，
userPrincipalName 和 department 属性:

 dsquery * ou=Test,dc=microsoft,dc=com -scope base
 -attr sAMAccountName userPrincipalName department

要读取对象(该对象的 DN 是 ou=Test，dc=microsoft，dc=com) 的所有属性:

 dsquery * ou=Test,dc=microsoft,dc=com -scope base -attr *

目录服务命令行工具帮助:
dsadd /? - 添加对象的帮助。
dsget /? - 显示对象的帮助。
dsmod /? - 修改对象的帮助。
dsmove /? - 移动对象的帮助。
dsquery /? - 查找与搜索标准匹配对象的帮助。
dsrm /? - 删除对象的帮助。