COMMENT FAIRE : Utilisation des outils de ligne de commande du service d'annuaire pour gérer les objets Active Directory dans Windows Server 2003

Traductions disponibles Traductions disponibles
Numéro d'article: 322684 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article décrit comment utiliser les outils de ligne de commande du service d'annuaire pour effectuer des tâches administratives Active Directory dans Windows Server 2003. Les tâches suivantes sont regroupées en groupes.

Gestion des utilisateurs

Création d'un nouveau compte d'utilisateur

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez cmd.
  3. À l'invite de commande, tapez la commande suivante :
    dsadd user dn_utilisateur -samid nom_sam
    Les valeurs suivantes sont utilisées dans cette commande :
    • dn_utilisateur spécifie le nom unique de l'objet utilisateur à ajouter.
    • nom_sam spécifie le nom du gestionnaire de comptes de sécurité (SAM) utilisé en tant que nom de compte SAM unique pour cet utilisateur (par exemple, Linda).
  4. Pour spécifier le mot de passe du compte d'utilisateur, tapez la commande suivante, où mot de passe est le mot de passe à utiliser pour le compte d'utilisateur.
    dsadd user userdn -pwd mot de passe
REMARQUE : Pour afficher la syntaxe de cette commande et obtenir plus d'informations sur la saisie d'informations complémentaires sur le compte d'utilisateur, à une invite de commande, tapez dsadd user /?.

Réinitialisation d'un mot de passe utilisateur

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez cmd.
  3. À l'invite de commande, tapez la commande suivante :
    dsmod user dn_utilisateur -pwd nouveau_mot_de_passe
    Cette commande utilise les valeurs suivantes :
    • dn_utilisateur spécifie le nom unique de l'utilisateur pour lequel le mot de passe sera réinitialisé.
    • nouveau_mot_de_passe spécifie le mot de passe qui remplacera le mot de passe utilisateur en cours.
  4. Si vous souhaitez que l'utilisateur modifie ce mot de passe à l'ouverture de session suivante, tapez la commande suivante :
    dsmod user dn_utilisateur -mustchpwd {yes|no}
REMARQUE : Si aucun mot de passe n'est affecté, lors de la première tentative d'ouverture de session (sans renseigner de mot de passe), le message suivant s'affiche :
Vous êtes prié de modifier votre mot de passe à la première ouverture de session.
Une fois le mot de passe modifié, le processus d'ouverture de session continue.

Vous devez réinitialiser les services authentifiés avec un compte d'utilisateur si le mot de passe du compte d'utilisateur pour le service est modifié.

REMARQUE : Pour afficher la syntaxe de cette commande et obtenir plus d'informations sur la saisie d'informations complémentaires sur le compte d'utilisateur, à une invite de commande, tapez dsmod user /?.

Activation/désactivation d'un compte d'utilisateur

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez cmd.
  3. À l'invite de commande, tapez la commande suivante :
    dsmod user dn_utilisateur -disabled {yes|no}
    . Cette commande utilise les valeurs suivantes :
    • dn_utilisateur spécifie le nom unique de l'objet utilisateur à activer/désactiver.
    • {yes|no} spécifie si le compte d'utilisateur est désactivé pour l'ouverture de session (yes) ou non (no).
REMARQUE : Par mesure de sécurité, plutôt que de supprimer le compte de cet utilisateur, vous pouvez désactiver les comptes d'utilisateurs pour empêcher un utilisateur spécifique d'ouvrir une session. Si vous désactivez des comptes d'utilisateurs dont l'appartenance au groupe est commune, vous pouvez utiliser des comptes d'utilisateurs désactivés comme modèles de compte afin de simplifier la création de compte d'utilisateur.

Suppression d'un compte d'utilisateur

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez cmd.
  3. À l'invite de commande, tapez la commande suivante, où dn_utilisateur spécifie le nom unique de l'objet utilisateur à supprimer :
    dsrm dn_utilisateur
    .
Après avoir supprimé un compte d'utilisateur, toutes les autorisations et appartenances associées à ce compte sont supprimées définitivement. Étant donné que l'ID de sécurité (SID) de chaque compte est unique, si vous créez un nouveau compte d'utilisateur dont le nom est identique à celui du compte supprimé précédemment, le nouveau compte ne dispose pas automatiquement des autorisations et appartenances du compte supprimé précédemment. Pour dupliquer un compte d'utilisateur supprimé, vous devez recréer manuellement toutes les autorisations et appartenances.

REMARQUE : Pour afficher la syntaxe de cette commande et obtenir plus d'informations sur la saisie d'informations complémentaires sur le compte d'utilisateur, à une invite de commande, tapez dsrm /?.

Gestion des groupes

Création d'un nouveau compte d'utilisateur

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez cmd.
  3. À l'invite de commande, tapez la commande suivante :
    dsadd group dn_groupe -samid nom_sam -secgrp yes | no -scope l | g | u
    . Cette commande utilise les valeurs suivantes :
    • dn_groupe spécifie le nom unique de l'objet groupe à ajouter.
    • nom_sam spécifie l'unique nom du gestionnaire de comptes de sécurité (SAM) pour ce groupe (par exemple, opérateurs).
    • yes | no spécifie si le groupe à ajouter est un groupe de sécurité (yes) ou un groupe de distribution (no).
    • l | g | u spécifie l'étendue du groupe à ajouter (domaine local [l], global [g] ou universel [u]).
Si le domaine dans lequel vous créez le groupe est défini sur le niveau fonctionnel de domaine Windows 2000 mixte, vous pouvez sélectionner uniquement des groupes de sécurité dont l'étendue est locale ou globale.

Pour afficher la syntaxe de cette commande et obtenir plus d'informations sur la saisie d'informations complémentaires sur le compte d'utilisateur, à une invite de commande, tapez dsadd group /?.

Ajout d'un membre à un groupe

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez cmd.
  3. À l'invite de commande, tapez la commande suivante :
    dsmod group dn_groupe -addmbr dn_membre
    Cette commande utilise les valeurs suivantes :
    • dn_groupe spécifie le nom unique de l'objet groupe à ajouter.
    • dn_membre spécifie le nom unique de l'objet à ajouter au groupe.
Outre des utilisateurs et des ordinateurs, un groupe peut contenir des contacts et d'autres groupes.

Pour afficher la syntaxe de cette commande et obtenir plus d'informations sur la saisie d'informations complémentaires sur le compte d'utilisateur et le groupe, à une invite de commande, tapez dsmod group /?.

Conversion d'un groupe en un autre type de groupe

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez cmd.
  3. À l'invite de commande, tapez la commande suivante :
    dsmod group dn_groupe -secgrp {yes|no}
    . Cette commande utilise les valeurs suivantes :
    • dn_groupe spécifie le nom unique de l'objet groupe pour lequel vous voulez modifier le type.
    • {yes|no} spécifie que le type de groupe est défini sur groupe de sécurité (yes) ou groupe de distribution (no).
Pour convertir un groupe, le niveau fonctionnel du domaine doit être défini sur Windows 2000 natif ou supérieur. Vous ne pouvez pas convertir de groupes si le niveau fonctionnel du domaine est défini sur Windows 2000 mixte.

Pour afficher la syntaxe de cette commande, tapez dsmod group /? à une invite de commande.

Modification de l'étendue d'un groupe

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez cmd.
  3. À l'invite de commande, tapez la commande suivante :
    dsmod group dn_groupe -scope l|g|u
    . Cette commande utilise les valeurs suivantes :
    • dn_groupe spécifie le nom unique de l'objet groupe pour lequel vous voulez modifier l'étendue.
    • l|g|u spécifie l'étendue du groupe (locale, globale ou universelle). Si le domaine est défini sur Windows 2000 mixte, l'étendue universelle n'est pas prise en charge. Il n'est pas non plus possible de convertir un groupe local en groupe global et vice versa.
    REMARQUE : Vous pouvez uniquement modifier l'étendue d'un groupe lorsque le niveau fonctionnel est défini sur Windows 2000 natif ou supérieur.

Suppression d'un groupe

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez cmd.
  3. À l'invite de commande, tapez la commande suivante :
    dsrm dn_groupe
    Cette commande utilise la valeur suivante :
    • dn_groupe spécifie le nom unique de l'objet groupe à supprimer.
REMARQUE : Si vous supprimez le groupe, sa suppression est définitive.

Par défaut, les groupes locaux prédéfinis dans les contrôleurs de domaine fonctionnant sous Windows Server 2003, notamment le groupe des administrateurs et des opérateurs de compte, se trouvent dans le dossier Builtin. Par défaut, les groupes globaux communs, notamment des administrateurs de domaine et des utilisateurs du domaine, se trouvent dans le dossier Users. Vous pouvez ajouter ou déplacer de nouveaux groupes vers tout dossier. Microsoft recommande de conserver les groupes dans un dossier d'unités organisationnelles.

Pour afficher la syntaxe de cette commande, tapez dsrm /? à une invite de commande.

Recherche de groupes dont un utilisateur est membre

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez cmd.
  3. À l'invite de commande, tapez la commande suivante :
    dsget user dn_utilisateur -memberof
    . Cette commande utilise les valeurs suivantes :
    • dn_utilisateur spécifie le nom unique de l'objet utilisateur pour lequel vous voulez afficher l'appartenance au groupe.
Pour afficher la syntaxe de cette commande, tapez dsget user /? à une invite de commande.

Gestion des ordinateurs

Création d'un nouveau compte d'ordinateur

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez cmd.
  3. À l'invite de commande, tapez la commande suivante :
    dsadd computer dn_ordinateur
    . Cette commande utilise la valeur suivante :
    • dn_ordinateur spécifie le nom unique de l'ordinateur à ajouter. Le nom unique indique l'emplacement du dossier.
Pour afficher la syntaxe de cette commande, tapez dsadd computer /? à une invite de commande.

Pour modifier les propriétés d'un compte d'ordinateur, utilisez la commande dsmod computer.

Ajout d'un compte d'ordinateur à un groupe

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez cmd.
  3. À l'invite de commande, tapez la commande suivante :
    dsmod group dn_groupe -addmbr dn_ordinateur
    Cette commande utilise les valeurs suivantes :
    • dn_groupe spécifie le nom unique de l'objet groupe auquel vous voulez ajouter l'objet ordinateur.
    • dn_ordinateur spécifie le nom unique de l'objet ordinateur à ajouter au groupe. Le nom unique indique l'emplacement du dossier.
Lorsque vous ajoutez un ordinateur à un groupe, vous pouvez affecter des autorisations à tous les comptes d'ordinateurs de ce groupe, puis filtrer les paramètres de stratégie de groupe dans tous les comptes de ce groupe.

Pour afficher la syntaxe de cette commande, tapez dsmod group /? à une invite de commande.

Réinitialisation d'un compte d'ordinateur

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez cmd.
  3. À l'invite de commande, tapez la commande suivante :
    dsmod computer dn_ordinateur -reset
    Cette commande utilise la valeur suivante :
    • dn_ordinateur spécifie le nom unique d'un ou plusieurs objets ordinateur à réinitialiser.
REMARQUE : Lorsque vous réinitialisez un compte d'ordinateur, vous interrompez la connexion de l'ordinateur au domaine. Vous devez rejoindre le compte d'ordinateur au compte d'ordinateur du domaine après l'avoir réinitialisé.

Pour afficher la syntaxe de cette commande, tapez dsmod computer /? à une invite de commande.

Activation/désactivation d'un compte d'ordinateur

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez cmd.
  3. À l'invite de commande, tapez la commande suivante :
    dsmod computer dn_ordinateur -disabled {yes|no}
    . Cette commande utilise les valeurs suivantes :
    • dn_ordinateur spécifie le nom unique de l'objet ordinateur à activer/désactiver.
    • {yes|no} spécifie si l'ordinateur est désactivé pour l'ouverture de session (yes) ou non (no).
Lorsque vous désactivez un compte d'ordinateur, vous interrompez la connexion de l'ordinateur au domaine et l'ordinateur ne peut pas être authentifié dans le domaine.

Pour afficher la syntaxe de cette commande, tapez dsmod computer /? à une invite de commande.

Gestion des unités organisationnelles

Création d'une nouvelle unité organisationnelle

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez cmd.
  3. À l'invite de commande, tapez la commande suivante :
    dsadd ou dn_unité_organisationnelle
    . Cette commande utilise la valeur suivante :
    • dn_unité_organisationnelle spécifie le nom unique de l'unité organisationnelle à ajouter.
Pour afficher la syntaxe de cette commande, tapez dsadd ou /? à une invite de commande.

REMARQUE : Pour modifier les propriétés d'une unité organisationnelle, utilisez la commande dsmod ou.

Suppression d'une unité organisationnelle

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez cmd.
  3. À l'invite de commande, tapez la commande suivante :
    dsrm dn_unité_organisationnelle
    . Cette commande utilise la valeur suivante :
    • dn_unité_organisationnelle spécifie le nom unique de l'unité organisationnelle à supprimer.
    Pour afficher la syntaxe de cette commande, tapez dsrm /? à une invite de commande.

    REMARQUE : Si vous supprimez une unité organisationnelle, tous les objets qu'elle contient sont supprimés.

Recherche dans Active Directory

Recherche d'un compte d'utilisateur

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez cmd.
  3. À l'invite de commande, tapez la commande suivante :
    dsquery user paramètre
    . Cette commande utilise la valeur suivante :
    • paramètre spécifie le paramètre à utiliser. Pour obtenir la liste des paramètres, consultez l'aide en ligne relative à la commande dsquery user.
Pour afficher la syntaxe de cette commande, tapez dsquery user /? à une invite de commande.

Recherche d'un contact

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez cmd.
  3. À l'invite de commande, tapez la commande suivante :
    dsquery contact paramètre
    . Cette commande utilise le valeur suivante :
    • paramètre spécifie le paramètre à utiliser. Pour obtenir la liste des paramètres, consultez l'aide en ligne relative à la commande dsquery user.

Recherche d'un groupe

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez cmd.
  3. À l'invite de commande, tapez la commande suivante :
    dsquery group paramètre
    Cette commande utilise la valeur suivante :
    • paramètre spécifie le paramètre à utiliser. Pour obtenir la liste des paramètres, consultez l'aide en ligne relative à la commande dsquery user.
Par défaut, les groupes locaux prédéfinis dans les contrôleurs de domaine fonctionnant sous Windows Server 2003, notamment le groupe des administrateurs et des opérateurs de compte, se trouvent dans le dossier Builtin. Par défaut, les groupes globaux communs, notamment des administrateurs de domaine et des utilisateurs du domaine, se trouvent dans le dossier Users. Vous pouvez ajouter ou déplacer de nouveaux groupes vers tout dossier. Microsoft recommande de conserver les groupes dans un dossier d'unités organisationnelles.

Recherche d'un compte d'ordinateur

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez cmd.
  3. À l'invite de commande, tapez la commande suivante :
    dsquery computer -name nom
    Cette commande utilise la valeur suivante :
    • nom spécifie le nom d'ordinateur recherché. Cette commande recherche les ordinateurs dont les attributs nom (valeur de l'attribut CN) correspondent à nom.
Pour afficher la syntaxe de cette commande, tapez dsquery computer /? à une invite de commande.

Recherche d'une unité organisationnelle

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez cmd.
  3. À l'invite de commande, tapez la commande suivante :
    dsquery ou paramètre
    . Cette commande utilise la valeur suivante :
    • paramètre spécifie le paramètre à utiliser. Pour obtenir la liste des paramètres, consultez l'aide en ligne relative à la commande dsquery ou.
Pour afficher la syntaxe de cette commande, tapez dsquery ou /? à une invite de commande.

Recherche d'un contrôleur de domaine

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez cmd.
  3. À l'invite de commande, tapez la commande suivante :
    dsquery server paramètre
    . Cette commande utilise la valeur suivante :
    • paramètre spécifie le paramètre à utiliser. Cette commande permet de rechercher plusieurs attributs de serveur. Pour obtenir la liste des paramètres, consultez l'aide en ligne relative à la commande dsquery server.

Recherche personnalisée

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez cmd.
  3. À l'invite de commande, tapez la commande suivante :
    dsquery * paramètre
    . Cette commande utilise la valeur suivante :
    • paramètre spécifie le paramètre à utiliser. Cette commande permet de rechercher plusieurs attributs. Pour plus d'informations sur les recherches LDAP, consultez le kit de ressources Windows Server 2003.

Références

Pour plus d'informations sur les outils de ligne de commande des services d'annuaire dans Windows Server 2003, cliquez sur Démarrer, sur Centre d'aide et de support, puis tapez outils "ligne de commande" "service d'annuaire" dans la zone Recherche.

Propriétés

Numéro d'article: 322684 - Dernière mise à jour: lundi 16 février 2004 - Version: 8.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Mots-clés : 
kbhowtomaster kbactivedirectory KB322684
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com