SO WIRD'S GEMACHT: Verwenden der Verzeichnisdienst-Befehlszeilenprogramme zum Verwalten von Active Directory-Objekten in Windows Server 2003

Dieser Artikel beschreibt, wie Sie mithilfe von Verzeichnisdienst-Befehlszeilenprogrammen Verwaltungsaufgaben für Active Directory in der Windows Server 2003-Umgebung durchführen können. Die folgenden Aufgaben sind in einzelne Gruppen unterteilt.

Verwalten von Benutzern

Erstellen eines neuen Benutzerkontos

1. Klicken Sie auf Start und anschließend auf Ausführen.
2. Geben Sie cmd in das Feld Öffnen ein.
3. Geben Sie an der Eingabeaufforderung folgenden Befehl ein:
   dsadd user Benutzer_DN -samid SAM_Name
   In diesem Befehl werden folgende Werte verwendet:
   • Benutzer_DN gibt den definierten Namen (auch als DN bezeichnet) des Benutzerobjekts an, das hinzugefügt werden soll.
   • SAM_Name gibt den Namen der Sicherheitskontenverwaltung (Security Account Manager, SAM) an, der als eindeutiger SAM-Kontoname für diesen Benutzer verwendet wird (zum Beispiel Linda).
4. Geben Sie folgenden Befehl ein, um das Benutzerkontokennwort anzugeben, wobei Kennwort das für das Benutzerkonto verwendete Kennwort ist:
   dsadd user Benutzer_DN -pwd Kennwort

Hinweis: Geben Sie an einer Eingabeaufforderung dsadd user /? ein, um die vollständige Syntax für diesen Befehl anzuzeigen und weitere Informationen zur Eingabe zusätzlicher Benutzerkontoinformationen zu erhalten.

Ändern eines Benutzerkennworts

1. Klicken Sie auf Start und anschließend auf Ausführen.
2. Geben Sie cmd in das Feld Öffnen ein.
3. Geben Sie an der Eingabeaufforderung folgenden Befehl ein:
   dsmod user Benutzer_DN -pwd Neues_Kennwort
   In diesem Befehl werden folgende Werte verwendet:
   • Benutzer_DN gibt den definierten Namen des Benutzers an, für den das Kennwort geändert wird.
   • Neues_Kennwort gibt das Kennwort an, mit dem das aktuelle Benutzerkennwort ersetzt wird.
4. Geben Sie folgenden Befehl ein, wenn Sie veranlassen wollen, dass der Benutzer dieses Kennwort bei der nächsten Anmeldung ändern muss:
   dsmod user Benutzer_DN -mustchpwd {yes|no}

Hinweis: Wenn kein Kennwort zugewiesen wird, wird beim ersten Anmeldeversuch des Benutzers (mit einem leeren Kennwort) die folgende Anmeldemeldung angezeigt: Der Anmeldevorgang wird fortgesetzt, nachdem der Benutzer das Kennwort geändert hat.

Sie müssen die über ein Benutzerkonto authentifizierten Dienste neu setzen, wenn das Kennwort für das Benutzerkonto des Dienstes geändert wird.

Hinweis: Geben Sie an einer Eingabeaufforderung dsmod user /? ein, um die vollständige Syntax für diesen Befehl anzuzeigen und weitere Informationen zur Eingabe zusätzlicher Benutzerkontoinformationen zu erhalten.

Deaktivieren oder Aktivieren eines Benutzerkontos

1. Klicken Sie auf Start und anschließend auf Ausführen.
2. Geben Sie cmd in das Feld Öffnen ein.
3. Geben Sie an der Eingabeaufforderung folgenden Befehl ein:
   dsmod user Benutzer_DN -disabled {yes|no}
   In diesem Befehl werden folgende Werte verwendet:
   • Benutzer_DN gibt den definierten Namen des Benutzerobjekts an, das deaktiviert oder aktiviert werden soll.
   • {yes|no} gibt an, ob das Benutzerkonto für die Anmeldung deaktiviert wird (yes) oder nicht (no).

Hinweis: Als Sicherheitsmaßnahme können Sie ein Benutzerkonto deaktivieren, um die Anmeldung eines bestimmten Benutzers zu verhindern, statt das Konto des Benutzers zu löschen. Wenn Sie Benutzerkonten deaktivieren, die allgemeine Gruppenmitgliedschaften aufweisen, können Sie deaktivierte Benutzerkonten als Kontovorlagen verwenden, um die Erstellung von Benutzerkonten zu vereinfachen.

Löschen eines Benutzerkontos

1. Klicken Sie auf Start und anschließend auf Ausführen.
2. Geben Sie cmd in das Feld Öffnen ein.
3. Geben Sie an der Eingabeaufforderung folgenden Befehl ein, wobei Benutzer_DN den definierten Namen des Benutzerobjekts angibt, das gelöscht werden soll:
   dsrm Benutzer_DN

Nachdem Sie ein Benutzerkonto gelöscht haben, sind alle mit diesem Benutzerkonto verbundenen Berechtigungen und Mitgliedschaften permanent gelöscht. Wenn Sie ein neues Benutzerkonto erstellen, das denselben Namen wie ein zuvor gelöschtes Benutzerkonto aufweist, übernimmt das neue Konto nicht automatisch die Berechtigungen und Mitgliedschaften des zuvor gelöschten Kontos, weil der Sicherheitsbezeichner (Security Identifier, SID) für jedes Konto einzigartig ist. Sie müssen alle Berechtigungen und Mitgliedschaften neu erstellen, um ein gelöschtes Benutzerkonto zu duplizieren.

Hinweis: Geben Sie an einer Eingabeaufforderung dsrm /? ein, um die vollständige Syntax für diesen Befehl anzuzeigen und weitere Informationen zur Eingabe zusätzlicher Benutzerkontoinformationen zu erhalten.

Verwalten von Gruppen

Erstellen einer neuen Gruppe

1. Klicken Sie auf Start und anschließend auf Ausführen.
2. Geben Sie cmd in das Feld Öffnen ein.
3. Geben Sie an der Eingabeaufforderung folgenden Befehl ein:
   dsadd group Gruppen_DN -samid SAM_Name -secgrp yes | no -scope l | g | u
   In diesem Befehl werden folgende Werte verwendet:
   • Gruppen_DN gibt den definierten Namen des Gruppenobjekts an, das hinzugefügt werden soll.
   • SAM_Name gibt den SAM-Namen an, der der eindeutige SAM-Kontoname für diese Gruppe ist (zum Beispiel Operatoren).
   • yes | no gibt an, ob die Gruppe, die hinzugefügt werden soll, eine Sicherheitsgruppe (yes) oder eine Verteilergruppe (no) ist.
   • l | g | u gibt den Bereich der Gruppe an, die hinzugefügt werden soll (lokale Domäne [l], global [g] oder universell [u]).

Wenn die Domäne, in der Sie die Gruppe erstellen, auf die Domänen-Funktionsebene Windows 2000 gemischt gesetzt ist, können Sie nur Sicherheitsgruppen mit den Bereichen "lokale Domäne" oder "global" auswählen.

Geben Sie an einer Eingabeaufforderung dsadd group /? ein, um die vollständige Syntax für diesen Befehl anzuzeigen und weitere Informationen zur Eingabe zusätzlicher Gruppeninformationen zu erhalten.

Hinzufügen eines Mitglieds zu einer Gruppe

1. Klicken Sie auf Start und anschließend auf Ausführen.
2. Geben Sie cmd in das Feld Öffnen ein.
3. Geben Sie an der Eingabeaufforderung folgenden Befehl ein:
   dsmod group Gruppen_DN -addmbr Mitglieder_DN
   In diesem Befehl werden folgende Werte verwendet:
   • Gruppen_DN gibt den definierten Namen des Gruppenobjekts an, das hinzugefügt werden soll.
   • Mitglieder_DN gibt den definierten Namen des Objekts an, das zu der Gruppe hinzugefügt werden soll.

Neben Benutzern und Computern kann eine Gruppe Kontakte und andere Gruppen enthalten.

Geben Sie an einer Eingabeaufforderung dsmod group /? ein, um die vollständige Syntax für diesen Befehl anzuzeigen und weitere Informationen zur Eingabe zusätzlicher Benutzerkonto- und Gruppeninformationen zu erhalten.

Umwandeln einer Gruppe in einen anderen Gruppentyp

1. Klicken Sie auf Start und anschließend auf Ausführen.
2. Geben Sie cmd in das Feld Öffnen ein.
3. Geben Sie an der Eingabeaufforderung folgenden Befehl ein:
   dsmod group Gruppen_DN -secgrp {yes|no}
   In diesem Befehl werden folgende Werte verwendet:
   • Gruppen_DN gibt den definierten Namen des Gruppenobjekts an, dessen Gruppentyp geändert werden soll.
   • {yes|no} gibt an, ob der Gruppentyp auf Sicherheitsgruppe (yes) oder Verteilergruppe (no) gesetzt wird.

Zum Umwandeln einer Gruppe muss die Domänenfunktionalität auf Windows 2000 pur oder höher gesetzt sein. Wenn die Domänenfunktionalität auf Windows 2000 gemischt gesetzt ist, können keine Gruppen umgewandelt werden.

Geben Sie an einer Eingabeaufforderung dsmod group /? ein, um die vollständige Syntax für diesen Befehl anzuzeigen.

Ändern des Gruppenbereichs

1. Klicken Sie auf Start und anschließend auf Ausführen.
2. Geben Sie cmd in das Feld Öffnen ein.
3. Geben Sie an der Eingabeaufforderung folgenden Befehl ein:
   dsmod group Gruppen_DN -scope l|g|u
   In diesem Befehl werden folgende Werte verwendet:
   • Gruppen_DN gibt den definierten Namen des Gruppenobjekts an, dessen Bereich geändert wird.
   • l|g|u gibt den Bereich an, auf den die Gruppe gesetzt werden soll (lokal, global oder universell). Wenn die Domäne noch auf Windows 2000 gemischt gesetzt ist, wird der universelle Bereich nicht unterstützt. Es ist ebenfalls nicht möglich, eine lokale Domänengruppe in eine globale Gruppe (oder umgekehrt) umzuwandeln.
   Hinweis: Gruppenbereiche können nur geändert werden, wenn die Domänen-Funktionsebene auf Windows 2000 pur oder höher gesetzt ist.

Löschen einer Gruppe

1. Klicken Sie auf Start und anschließend auf Ausführen.
2. Geben Sie cmd in das Feld Öffnen ein.
3. Geben Sie an der Eingabeaufforderung folgenden Befehl ein:
   dsrm Gruppen_DN
   In diesem Befehl wird folgender Wert verwendet:
   • Gruppen_DN gibt den definierten Namen des Gruppenobjekts an, das gelöscht werden soll.

Hinweis: Wenn Sie eine Gruppe löschen, wird die Gruppe permanent entfernt.

Lokale Gruppen, die in Domänencontrollern, die mit der Windows Server 2003 Produktfamilie arbeiten, automatisch bereitgestellt werden (wie Administratoren und Kontenoperatoren), befinden sich standardmäßig im Ordner Vordefiniert. Allgemeine globale Gruppen, wie Domänen-Admins und Domänen-Benutzer, befinden sich standardmäßig im Ordner Benutzer. Sie können neue Gruppen zu jedem Ordner hinzufügen oder in diesen verschieben. Microsoft empfiehlt, Gruppen in einem Organisationseinheiten-Ordner aufzubewahren.

Geben Sie an einer Eingabeaufforderung dsrm /? ein, um die vollständige Syntax für diesen Befehl anzuzeigen.

Finden von Gruppen, in denen ein Benutzer Mitglied ist

1. Klicken Sie auf Start und anschließend auf Ausführen.
2. Geben Sie cmd in das Feld Öffnen ein.
3. Geben Sie an der Eingabeaufforderung folgenden Befehl ein:
   dsget user Benutzer_DN -memberof
   In diesem Befehl wird folgender Wert verwendet:
   • Benutzer_DN gibt den definierten Namen des Benutzerobjekts an, für das die Gruppenmitgliedschaft angezeigt werden soll.

Geben Sie an einer Eingabeaufforderung dsget user /? ein, um die vollständige Syntax für diesen Befehl anzuzeigen.

Verwalten von Computern

Erstellen eines neuen Computerkontos

1. Klicken Sie auf Start und anschließend auf Ausführen.
2. Geben Sie cmd in das Feld Öffnen ein.
3. Geben Sie an der Eingabeaufforderung folgenden Befehl ein:
   dsadd computer Computer_DN
   In diesem Befehl wird folgender Wert verwendet:
   • Computer_DN gibt den definierten Namen des Computers an, der hinzugefügt werden soll. Der definierte Name bezeichnet den Ordnerpfad.

Geben Sie an einer Eingabeaufforderung dsadd computer /? ein, um die vollständige Syntax für diesen Befehl anzuzeigen.

Verwenden Sie den Befehl dsmod computer, um die Eigenschaften eines Computerkontos zu ändern.

Hinzufügen eines Computerkontos zu einer Gruppe

1. Klicken Sie auf Start und anschließend auf Ausführen.
2. Geben Sie cmd in das Feld Öffnen ein.
3. Geben Sie an der Eingabeaufforderung folgenden Befehl ein:
   dsmod group Gruppen_DN -addmbr Computer_DN
   In diesem Befehl werden folgende Werte verwendet:
   • Gruppen_DN gibt den definierten Namen des Gruppenobjekts an, zu dem das Computerobjekt hinzugefügt werden soll.
   • Computer_DN gibt den definierten Namen des Computerobjekts an, das zu der Gruppe hinzugefügt werden soll. Der definierte Name bezeichnet den Ordnerpfad.

Wenn Sie einen Computer zu einer Gruppe hinzufügen, können Sie allen Computerkonten in dieser Gruppe Berechtigungen zuweisen und anschließend Gruppenrichtlinieneinstellungen für alle Konten in dieser Gruppe filtern.

Geben Sie an einer Eingabeaufforderung dsmod group /? ein, um die vollständige Syntax für diesen Befehl anzuzeigen.

Ändern eines Computerkontos

1. Klicken Sie auf Start und anschließend auf Ausführen.
2. Geben Sie cmd in das Feld Öffnen ein.
3. Geben Sie an der Eingabeaufforderung folgenden Befehl ein:
   dsmod computer Computer_DN -reset
   In diesem Befehl wird folgender Wert verwendet:
   • Computer_DN gibt den definierten Namen eines oder mehrerer Computerobjekte an, die geändert werden sollen.

Hinweis: Wenn Sie ein Computerkonto ändern, unterbrechen Sie die Verbindung des Computers zu der Domäne. Sie müssen das Computerkonto nach dem Ändern wieder mit dem Domänen-Computerkonto verbinden.

Geben Sie an einer Eingabeaufforderung dsmod computer /? ein, um die vollständige Syntax für diesen Befehl anzuzeigen.

Deaktivieren oder Aktivieren eines Computerkontos

1. Klicken Sie auf Start und anschließend auf Ausführen.
2. Geben Sie cmd in das Feld Öffnen ein.
3. Geben Sie an der Eingabeaufforderung folgenden Befehl ein:
   dsmod computer Computer_DN -disabled {yes|no}
   In diesem Befehl werden folgende Werte verwendet:
   • Computer_DN gibt den definierten Namen des Computerobjekts an, das deaktiviert oder aktiviert werden soll.
   • {yes|no} gibt an, ob der Computer für die Anmeldung deaktiviert wird (yes) oder nicht (no).

Wenn Sie ein Computerkonto deaktivieren, unterbrechen Sie die Verbindung des Computers zu der Domäne, sodass der Computer die Domäne nicht authentifizieren kann.

Geben Sie an einer Eingabeaufforderung dsmod computer /? ein, um die vollständige Syntax für diesen Befehl anzuzeigen.

Verwalten von Organisationseinheiten

Erstellen einer neuen Organisationseinheit

1. Klicken Sie auf Start und anschließend auf Ausführen.
2. Geben Sie cmd in das Feld Öffnen ein.
3. Geben Sie an der Eingabeaufforderung folgenden Befehl ein:
   dsadd ou Organisationseinheiten_DN
   In diesem Befehl wird folgender Wert verwendet:
   • Organisationseinheiten_DN gibt den definierten Namen der Organisationseinheit an, die hinzugefügt werden soll.

Geben Sie an einer Eingabeaufforderung dsadd ou /? ein, um die vollständige Syntax für diesen Befehl anzuzeigen.

Hinweis: Verwenden Sie den Befehl dsmod ou, um die Eigenschaften einer Organisationseinheit zu ändern.

Löschen einer Organisationseinheit

1. Klicken Sie auf Start und anschließend auf Ausführen.
2. Geben Sie cmd in das Feld Öffnen ein.
3. Geben Sie an der Eingabeaufforderung folgenden Befehl ein:
   dsrm Organisationseinheiten_DN
   In diesem Befehl wird folgender Wert verwendet:
   • Organisationseinheiten_DN gibt den definierten Namen der Organisationseinheit an, die gelöscht werden soll.
   Geben Sie an einer Eingabeaufforderung dsrm /? ein, um die vollständige Syntax für diesen Befehl anzuzeigen.
   
   Hinweis: Wenn Sie eine Organisationseinheit löschen, werden alle darin enthaltenen Objekte gelöscht.

Durchsuchen von Active Directory

Finden eines Benutzerkontos

1. Klicken Sie auf Start und anschließend auf Ausführen.
2. Geben Sie cmd in das Feld Öffnen ein.
3. Geben Sie an der Eingabeaufforderung folgenden Befehl ein:
   dsquery user Parameter
   In diesem Befehl wird folgender Wert verwendet:
   • Parameter gibt den Parameter an, der verwendet werden soll. Eine Liste der Parameter finden Sie in der Onlinehilfe für den Befehl dsquery user.

Geben Sie an einer Eingabeaufforderung dsquery user /? ein, um die vollständige Syntax für diesen Befehl anzuzeigen.

Finden eines Kontakts

1. Klicken Sie auf Start und anschließend auf Ausführen.
2. Geben Sie cmd in das Feld Öffnen ein.
3. Geben Sie an der Eingabeaufforderung folgenden Befehl ein:
   dsquery contact Parameter
   In diesem Befehl wird folgender Wert verwendet:
   • Parameter gibt den Parameter an, der verwendet werden soll. Eine Liste der Parameter finden Sie in der Onlinehilfe für den Befehl dsquery user.

Finden einer Gruppe

1. Klicken Sie auf Start und anschließend auf Ausführen.
2. Geben Sie cmd in das Feld Öffnen ein.
3. Geben Sie an der Eingabeaufforderung folgenden Befehl ein:
   dsquery group Parameter
   In diesem Befehl wird folgender Wert verwendet:
   • Parameter gibt den Parameter an, der verwendet werden soll. Eine Liste der Parameter finden Sie in der Onlinehilfe für den Befehl dsquery user.

Lokale Gruppen, die in Domänencontrollern, die mit der Windows Server 2003 Produktfamilie arbeiten, automatisch bereitgestellt werden (wie Administratoren und Kontenoperatoren), befinden sich standardmäßig im Ordner Vordefiniert. Allgemeine globale Gruppen, wie Domänen-Admins und Domänen-Benutzer, befinden sich standardmäßig im Ordner Benutzer. Sie können neue Gruppen zu jedem Ordner hinzufügen oder in diesen verschieben. Es wird empfohlen, Gruppen in einem Organisationseinheiten-Ordner aufzubewahren.

Finden eines Computerkontos

1. Klicken Sie auf Start und anschließend auf Ausführen.
2. Geben Sie cmd in das Feld Öffnen ein.
3. Geben Sie an der Eingabeaufforderung folgenden Befehl ein:
   dsquery computer -name Name
   In diesem Befehl wird folgender Wert verwendet:
   • Name gibt den Computernamen an, nach dem mit dem Befehl gesucht wird. Mit diesem Befehl wird nach Computern gesucht, deren Namensattribute (Wert von CN-Attribut) mit Name übereinstimmt.

Geben Sie an einer Eingabeaufforderung dsquery computer /? ein, um die vollständige Syntax für diesen Befehl anzuzeigen.

Finden einer Organisationseinheit

1. Klicken Sie auf Start und anschließend auf Ausführen.
2. Geben Sie cmd in das Feld Öffnen ein.
3. Geben Sie an der Eingabeaufforderung folgenden Befehl ein:
   dsquery ou Parameter
   In diesem Befehl wird folgender Wert verwendet:
   • Parameter gibt den Parameter an, der verwendet werden soll. Eine Liste der Parameter finden Sie in der Onlinehilfe für den Befehl dsquery ou.

Geben Sie an einer Eingabeaufforderung dsquery ou /? ein, um die vollständige Syntax für diesen Befehl anzuzeigen.

Finden eines Domänencontrollers

1. Klicken Sie auf Start und anschließend auf Ausführen.
2. Geben Sie cmd in das Feld Öffnen ein.
3. Geben Sie an der Eingabeaufforderung folgenden Befehl ein:
   dsquery server Parameter
   In diesem Befehl wird folgender Wert verwendet:
   • Parameter gibt den Parameter an, der verwendet werden soll. Es gibt verschiedene Attribute eines Servers, die mit diesem Befehl gesucht werden können. Eine Liste der Parameter finden Sie in der Onlinehilfe für den Befehl dsquery server.

Durchführen einer benutzerdefinierten Suche

1. Klicken Sie auf Start und anschließend auf Ausführen.
2. Geben Sie cmd in das Feld Öffnen ein.
3. Geben Sie an der Eingabeaufforderung folgenden Befehl ein:
   dsquery * Parameter
   In diesem Befehl wird folgender Wert verwendet:
   • Parameter gibt den Parameter an, der verwendet werden soll. Es gibt verschiedene Attribute, die mit diesem Befehl gesucht werden können. Weitere Informationen zu LDAP-Suchen finden Sie im Windows Server 2003 Resource Kit.

Weitere Informationen zu den Verzeichnisdienst-Befehlszeilenprogrammen in Windows Server 2003 finden Sie in der Onlinehilfe. Klicken Sie auf Start, klicken Sie auf Hilfe- und Supportcenter und geben Sie "Verzeichnisdienst" "Befehlszeilen"-Programme in das Feld Suchen ein.