Usare gli strumenti da riga di comando del servizio directory per gestire gli oggetti active directory in Windows Server 2003

  • Articolo

Questo articolo descrive come usare gli strumenti da riga di comando del servizio directory per eseguire attività amministrative per Active Directory in Windows Server 2003. Le attività seguenti sono suddivise in gruppi di attività.

Si applica a: Versioni supportate di Windows Server
Numero KB originale: 322684

Come gestire gli utenti

Le sezioni seguenti illustrano i passaggi dettagliati per gestire i gruppi.

Creare un nuovo account utente

  1. Fare clic su Start quindi scegliere Esegui.

  2. Nella casella Apri digitare cmd.

  3. Al prompt dei comandi, digitare il seguente comando:

    dsadd user <user_dn> -samid <sam_name>

    In questo comando vengono usati i valori seguenti:

    • user_dn specifica il nome distinto (noto anche come DN) dell'oggetto utente da aggiungere.
    • sam_name specifica il nome sam (Security Account Manager) usato come nome univoco dell'account SAM per l'utente, ad esempio Linda.

  4. Per specificare la password dell'account utente, digitare il comando seguente, dove password è la password da usare per l'account utente:

    dsadd user <user_dn> -pwd password

Nota

Per visualizzare la sintassi completa per questo comando e per ottenere altre informazioni sull'immissione di altre informazioni sull'account utente, al prompt dei comandi digitare dsadd user /?.

Reimpostare una password utente

  1. Fare clic su Start quindi scegliere Esegui.

  2. Nella casella Apri digitare cmd.

  3. Al prompt dei comandi, digitare il seguente comando:

    dsmod user <user_dn> -pwd <new_password>

    Questo comando usa i valori seguenti:

    • user_dn specifica il nome distinto dell'utente per cui verrà reimpostata la password.
    • new_password specifica la password che sostituirà la password utente corrente

  4. Se si vuole richiedere all'utente di modificare questa password al processo di accesso successivo, digitare il comando seguente:

    dsmod user <user_dn> -mustchpwd {yes|no}

Se non viene assegnata una password, la prima volta che l'utente tenta di accedere (usando una password vuota), viene visualizzato il messaggio di accesso seguente:

È necessario modificare la password al primo accesso

Dopo che l'utente ha modificato la password, il processo di accesso continua.

È necessario reimpostare i servizi autenticati con un account utente se la password per l'account utente del servizio viene modificata.

Nota

Per visualizzare la sintassi completa per questo comando e per ottenere altre informazioni sull'immissione di altre informazioni sull'account utente, al prompt dei comandi digitare dsmod user /?.

Disabilitare o abilitare un account utente

  1. Fare clic su Start quindi scegliere Esegui.

  2. Nella casella Apri digitare cmd.

  3. Al prompt dei comandi, digitare il seguente comando:

    dsmod user <user_dn> -disabled {yes|no}

    Questo comando usa i valori seguenti:

    • user_dn specifica il nome distinto dell'oggetto utente da disabilitare o abilitare.
    • {yes|no} specifica se l'account utente è disabilitato per l'accesso (sì) o meno (no).

Nota

Come misura di sicurezza, invece di eliminare l'account dell'utente, è possibile disabilitare gli account utente per impedire a un utente specifico di accedere. Se si disabilitano gli account utente con appartenenze a gruppi comuni, è possibile usare gli account utente disabilitati come modelli di account per semplificare la creazione di account utente.

Eliminare un account utente

  1. Fare clic su Start quindi scegliere Esegui.
  2. Nella casella Apri digitare cmd.
  3. Al prompt dei comandi digitare il dsrm <user_dn> comando , dove user_dn specifica il nome distinto dell'oggetto utente da eliminare.

Dopo aver eliminato un account utente, tutte le autorizzazioni e le appartenenze associate a tale account utente vengono eliminate definitivamente. Poiché l'identificatore di sicurezza (SID) per ogni account è univoco, se si crea un nuovo account utente con lo stesso nome di un account utente eliminato in precedenza, il nuovo account non presuppone automaticamente le autorizzazioni e le appartenenze dell'account eliminato in precedenza. Per duplicare un account utente eliminato, è necessario ricreare manualmente tutte le autorizzazioni e le appartenenze.

Nota

Per visualizzare la sintassi completa per questo comando e per ottenere altre informazioni sull'immissione di altre informazioni sull'account utente, al prompt dei comandi digitare dsrm /?.

Come gestire i gruppi

Le sezioni seguenti illustrano i passaggi dettagliati per gestire i gruppi.

Creare un nuovo gruppo

  1. Fare clic su Start quindi scegliere Esegui.

  2. Nella casella Apri digitare cmd.

  3. Al prompt dei comandi, digitare il seguente comando:

    dsadd group <group_dn> -samid <sam_name> -secgrp {yes|no} -scope {l|g|u}

    Questo comando usa i valori seguenti:

    • group_dn specifica il nome distinto dell'oggetto gruppo da aggiungere.
    • sam_name specifica il nome SAM che corrisponde al nome univoco dell'account SAM per questo gruppo, ad esempio gli operatori.
    • {yes|no} specifica se il gruppo da aggiungere è un gruppo di sicurezza (sì) o un gruppo di distribuzione (no).
    • {l|g|u} specifica l'ambito del gruppo da aggiungere (dominio locale [l], globale [g] o universale [u]).

Se il dominio in cui si sta creando il gruppo è impostato sul livello di funzionalità del dominio di Windows 2000 misto, è possibile selezionare solo i gruppi di sicurezza con ambiti locali del dominio o ambiti globali.

Per visualizzare la sintassi completa per questo comando e per ottenere altre informazioni sull'immissione di altre informazioni sul gruppo, al prompt dei comandi digitare dsadd group /?.

Aggiungere un membro a un gruppo

  1. Fare clic su Start quindi scegliere Esegui.

  2. Nella casella Apri digitare cmd.

  3. Al prompt dei comandi, digitare il seguente comando:

    dsmod group <group_dn> -addmbr <member_dn>

    Questo comando usa i valori seguenti:

    • group_dn specifica il nome distinto dell'oggetto gruppo da aggiungere.
    • member_dn specifica il nome distinto dell'oggetto da aggiungere al gruppo.

Oltre a utenti e computer, un gruppo può contenere contatti e altri gruppi.

Per visualizzare la sintassi completa per questo comando e per ottenere altre informazioni sull'immissione di altre informazioni sull'account utente e sul gruppo, al prompt dei comandi digitare dsmod group /?.

Convertire un gruppo in un altro tipo di gruppo

  1. Fare clic su Start quindi scegliere Esegui.

  2. Nella casella Apri digitare cmd.

  3. Al prompt dei comandi, digitare il seguente comando:

    dsmod group <group_dn> -secgrp {yes|no}

    Questo comando usa i valori seguenti:

    • group_dn specifica il nome distinto dell'oggetto gruppo per cui si desidera modificare il tipo di gruppo.
    • {yes|no} specifica che il tipo di gruppo è impostato su gruppo di sicurezza (sì) o gruppo di distribuzione (no).

Per convertire un gruppo, la funzionalità di dominio deve essere impostata su Windows 2000 Native o versione successiva. Non è possibile convertire i gruppi quando la funzionalità di dominio è impostata su Windows 2000 Mixed.

Per visualizzare la sintassi completa per questo comando, al prompt dei comandi digitare dsmod group /?.

Modificare l'ambito del gruppo

  1. Fare clic su Start quindi scegliere Esegui.

  2. Nella casella Apri digitare cmd.

  3. Al prompt dei comandi, digitare il seguente comando:

    dsmod group <group_dn> -scope {l|g|u}

    Questo comando usa i valori seguenti:

    • group_dn specifica i nomi distinti dell'oggetto gruppo in cui verrà modificato l'ambito.
    • {l|g|u} specifica l'ambito su cui impostare il gruppo (locale, globale o universale). Se il dominio è ancora impostato su Windows 2000 misto, l'ambito universale non è supportato. Inoltre, non è possibile convertire un gruppo locale di dominio in un gruppo globale o viceversa.

Nota

È possibile modificare gli ambiti di gruppo solo quando il livello di funzionalità del dominio è impostato su Windows 2000 nativo o superiore.

Eliminare un gruppo

  1. Fare clic su Start quindi scegliere Esegui.

  2. Nella casella Apri digitare cmd.

  3. Al prompt dei comandi digitare il comando dsrm <group_dn>.

    Il group_dn specifica il nome distinto dell'oggetto gruppo da eliminare.

Nota

Se si elimina il gruppo, il gruppo viene rimosso definitivamente.

Per impostazione predefinita, i gruppi locali forniti automaticamente nei controller di dominio che eseguono Windows Server 2003, ad esempio Amministratori e Operatori account, si trovano nella cartella Builtin. Per impostazione predefinita, i gruppi globali comuni, ad esempio Domain Admins e Domain Users, si trovano nella cartella Utenti. È possibile aggiungere o spostare nuovi gruppi in qualsiasi cartella. Microsoft consiglia di mantenere i gruppi in una cartella dell'unità organizzativa.

Per visualizzare la sintassi completa per questo comando, al prompt dei comandi digitare dsrm /?.

Trovare i gruppi in cui un utente è membro

  1. Fare clic su Start quindi scegliere Esegui.

  2. Nella casella Apri digitare cmd.

  3. Al prompt dei comandi, digitare il seguente comando:

    dsget user <user_dn> -memberof

    Il user_dn specifica il nome distinto dell'oggetto utente per il quale si desidera visualizzare l'appartenenza al gruppo.

Per visualizzare la sintassi completa per questo comando, al prompt dei comandi digitare dsget user /?.

Come gestire i computer

Le sezioni seguenti illustrano i passaggi dettagliati per gestire i computer.

Creare un nuovo account computer

  1. Fare clic su Start quindi scegliere Esegui.

  2. Nella casella Apri digitare cmd.

  3. Al prompt dei comandi, digitare il seguente comando:

    dsadd computer <computer_dn>

    Il computer_dn specifica il nome distinto del computer da aggiungere. Il nome distinto indica il percorso della cartella.

Per visualizzare la sintassi completa per questo comando, al prompt dei comandi digitare dsadd computer /?.

Per modificare le proprietà di un account computer, usare il comando dsmod computer.

Aggiungere un account computer a un gruppo

  1. Fare clic su Start quindi scegliere Esegui.

  2. Nella casella Apri digitare cmd.

  3. Al prompt dei comandi, digitare il seguente comando:

    dsmod group <group_dn> -addmbr <computer_dn>

    Questo comando usa i valori seguenti:

    • group_dn specifica il nome distinto dell'oggetto gruppo a cui si desidera aggiungere l'oggetto computer.
    • computer_dn specifica il nome distinto dell'oggetto computer da aggiungere al gruppo. Il nome distinto indica il percorso della cartella.

Quando si aggiunge un computer a un gruppo, è possibile assegnare le autorizzazioni a tutti gli account computer del gruppo e quindi filtrare Criteri di gruppo impostazioni in tutti gli account del gruppo.

Per visualizzare la sintassi completa per questo comando, al prompt dei comandi digitare dsmod group /?.

Reimpostare un account computer

  1. Fare clic su Start quindi scegliere Esegui.

  2. Nella casella Apri digitare cmd.

  3. Al prompt dei comandi, digitare il seguente comando:

    dsmod computer <computer_dn> -reset

    Il computer_dn specifica i nomi distinti di uno o più oggetti computer da reimpostare.

    Nota

    Quando si reimposta un account computer, si interrompe la connessione del computer al dominio. Dopo la reimpostazione, è necessario ricongiungere l'account computer all'account del computer di dominio.

Per visualizzare la sintassi completa per questo comando, al prompt dei comandi digitare dsmod computer /? .

Disabilitare o abilitare un account computer

  1. Fare clic su Start quindi scegliere Esegui.

  2. Nella casella Apri digitare cmd.

  3. Al prompt dei comandi, digitare il seguente comando:

    dsmod computer <computer_dn> -disabled {yes|no}

    Questo comando usa i valori seguenti:

    • computer_dn specifica il nome distinto dell'oggetto computer che si desidera disabilitare o abilitare.
    • {yes|no} specifica se il computer è disabilitato per l'accesso (sì) o meno (no).

Quando si disabilita un account computer, si interrompe la connessione del computer con il dominio e il computer non può eseguire l'autenticazione al dominio.

Per visualizzare la sintassi completa per questo comando, al prompt dei comandi digitare dsmod computer /?.

Come gestire le unità organizzative

Le sezioni seguenti illustrano i passaggi dettagliati per gestire le unità organizzative.

Creare una nuova unità organizzativa

  1. Fare clic su Start quindi scegliere Esegui.

  2. Nella casella Apri digitare cmd.

  3. Al prompt dei comandi, digitare il seguente comando:

    dsadd ou <organizational_unit_dn>

    Il organizational_unit_dn specifica il nome distinto dell'unità organizzativa da aggiungere.

Per visualizzare la sintassi completa per questo comando, al prompt dei comandi digitare dsadd ou /?.

Nota

Per modificare le proprietà di un'unità organizzativa, usare il dsmod ou comando .

Eliminare un'unità organizzativa

  1. Fare clic su Start quindi scegliere Esegui.

  2. Nella casella Apri digitare cmd.

  3. Al prompt dei comandi digitare il comando dsrm <organizational_unit_dn>.

    Il organizational_unit_dn specifica il nome distinto dell'unità organizzativa da eliminare.

Per visualizzare la sintassi completa per questo comando, al prompt dei comandi digitare dsrm /?.

Nota

Se si elimina un'unità organizzativa, tutti gli oggetti che contiene vengono eliminati.

Come eseguire ricerche in Active Directory

Le sezioni seguenti illustrano i passaggi dettagliati per eseguire ricerche in Active Directory.

Trovare un account utente

  1. Fare clic su Start quindi scegliere Esegui.

  2. Nella casella Apri digitare cmd.

  3. Al prompt dei comandi digitare il comando dsquery user <parameter>.

    Il parametro specifica il parametro da utilizzare. Per l'elenco dei parametri, vedere la Guida online per il comando dsquery user .

Per visualizzare la sintassi completa per questo comando, al prompt dei comandi digitare dsquery user /?.

Trovare un contatto

  1. Fare clic su Start quindi scegliere Esegui.

  2. Nella casella Apri digitare cmd.

  3. Al prompt dei comandi digitare il comando dsquery contact <parameter>.

    Il parametro specifica il parametro da utilizzare. Per l'elenco dei parametri, vedere la Guida online per il comando utente dsquery.

Trovare un gruppo

  1. Fare clic su Start quindi scegliere Esegui.

  2. Nella casella Apri digitare cmd.

  3. Al prompt dei comandi digitare il comando dsquery group <parameter>.

    Il parametro specifica il parametro da utilizzare. Per l'elenco dei parametri, vedere la Guida online per il comando utente dsquery.

Per impostazione predefinita, i gruppi locali forniti automaticamente nei controller di dominio che eseguono Windows Server 2003, ad esempio Amministratori e Operatori account, si trovano nella cartella Builtin. Per impostazione predefinita, i gruppi globali comuni, ad esempio Domain Admins e Domain Users, si trovano nella cartella Utenti. È possibile aggiungere o spostare nuovi gruppi in qualsiasi cartella. Microsoft consiglia di mantenere i gruppi in una cartella dell'unità organizzativa.

Trovare un account computer

  1. Fare clic su Start quindi scegliere Esegui.

  2. Nella casella Apri digitare cmd.

  3. Al prompt dei comandi digitare il comando dsquery computer -name <name>.

    Il nome specifica il nome del computer ricercato dal comando. Questo comando cerca i computer i cui attributi del nome (valore dell'attributo CN) corrispondono al nome.

Per visualizzare la sintassi completa per questo comando, al prompt dei comandi digitare dsquery computer /?.

Trovare un'unità organizzativa

  1. Fare clic su Start quindi scegliere Esegui.

  2. Nella casella Apri digitare cmd.

  3. Al prompt dei comandi digitare il comando dsquery ou <parameter>.

    Il parametro specifica il parametro da utilizzare. Per l'elenco dei parametri, vedere la Guida online per dsquery ou.

Per visualizzare la sintassi completa per questo comando, al prompt dei comandi digitare dsquery ou /?.

Trovare un controller di dominio

  1. Fare clic su Start quindi scegliere Esegui.

  2. Nella casella Apri digitare cmd.

  3. Al prompt dei comandi digitare il comando dsquery server <parameter>.

    Il parametro specifica il parametro da utilizzare. Esistono diversi attributi di un server che è possibile cercare usando questo comando. Per l'elenco dei parametri, vedere la Guida online per dsquery server.

  1. Fare clic su Start quindi scegliere Esegui.

  2. Nella casella Apri digitare cmd.

  3. Al prompt dei comandi digitare il comando dsquery * <parameter>.

    Il parametro specifica il parametro da utilizzare. È possibile eseguire ricerche in diversi attributi usando questo comando. Per altre informazioni sulle ricerche LDAP, vedere Windows Server 2003 Resource Kit.

Riferimenti

Per altre informazioni sugli strumenti da riga di comando di Servizi directory in Windows Server 2003, fare clic su Start, fare clic su Guida e Supporto tecnico e quindi digitare strumenti da riga di comando del servizio directory nella casella Di ricerca .