디렉터리 서비스 명령줄 도구를 사용하여 Windows Server 2003에서 Active Directory 개체 관리

  • 아티클

이 문서에서는 디렉터리 서비스 명령줄 도구를 사용하여 Windows Server 2003에서 Active Directory에 대한 관리 작업을 수행하는 방법을 설명합니다. 다음 작업은 작업 그룹으로 나뉩니다.

적용 대상: 지원되는 Windows Server 버전
원래 KB 번호: 322684

사용자를 관리하는 방법

다음 섹션에서는 그룹을 관리하는 자세한 단계를 제공합니다.

새 사용자 계정 만들기

  1. 시작을 클릭한 다음 실행을 클릭합니다.

  2. 열기 상자에 cmd를 입력합니다.

  3. 명령 프롬프트에 다음 명령을 입력합니다.

    dsadd user <user_dn> -samid <sam_name>

    이 명령에는 다음 값이 사용됩니다.

    • user_dn 추가할 사용자 개체의 고유 이름(DN이라고도 함)을 지정합니다.
    • sam_name 이 사용자의 고유한 SAM 계정 이름(예: Linda)으로 사용되는 SAM(보안 계정 관리자) 이름을 지정합니다.

  4. 사용자 계정 암호를 지정하려면 다음 명령을 입력합니다. 여기서 암호 는 사용자 계정에 사용할 암호입니다.

    dsadd user <user_dn> -pwd password

참고

이 명령에 대한 전체 구문을 보고 더 많은 사용자 계정 정보를 입력하는 방법에 대한 자세한 정보를 얻으려면 명령 프롬프트에서 를 입력합니다 dsadd user /?.

사용자 암호 재설정

  1. 시작을 클릭한 다음 실행을 클릭합니다.

  2. 열기 상자에 cmd를 입력합니다.

  3. 명령 프롬프트에 다음 명령을 입력합니다.

    dsmod user <user_dn> -pwd <new_password>

    이 명령은 다음 값을 사용합니다.

    • user_dn 암호를 재설정할 사용자의 고유 이름을 지정합니다.
    • new_password 현재 사용자 암호를 바꿀 암호를 지정합니다.

  4. 사용자가 다음 로그온 프로세스에서 이 암호를 변경하도록 요구하려면 다음 명령을 입력합니다.

    dsmod user <user_dn> -mustchpwd {yes|no}

암호가 할당되지 않은 경우 사용자가 빈 암호를 사용하여 처음으로 로그온하려고 하면 다음 로그온 메시지가 표시됩니다.

처음 로그온할 때 암호를 변경해야 합니다.

사용자가 암호를 변경하면 로그온 프로세스가 계속됩니다.

서비스의 사용자 계정에 대한 암호가 변경된 경우 사용자 계정으로 인증된 서비스를 다시 설정해야 합니다.

참고

이 명령에 대한 전체 구문을 보고 더 많은 사용자 계정 정보를 입력하는 방법에 대한 자세한 정보를 얻으려면 명령 프롬프트에서 를 입력합니다 dsmod user /?.

사용자 계정 사용 안 함 또는 사용

  1. 시작을 클릭한 다음 실행을 클릭합니다.

  2. 열기 상자에 cmd를 입력합니다.

  3. 명령 프롬프트에 다음 명령을 입력합니다.

    dsmod user <user_dn> -disabled {yes|no}

    이 명령은 다음 값을 사용합니다.

    • user_dn 사용하지 않도록 설정하거나 사용하도록 설정할 사용자 개체의 고유 이름을 지정합니다.
    • {yes|no} 은(는) 사용자 계정이 로그온(예)에 사용할 수 없는지 여부를 지정합니다(아니요).

참고

보안 조치로 해당 사용자의 계정을 삭제하는 대신 특정 사용자가 로그온하지 못하도록 사용자 계정을 사용하지 않도록 설정할 수 있습니다. 공통 그룹 멤버 자격이 있는 사용자 계정을 사용하지 않도록 설정하는 경우 비활성화된 사용자 계정을 계정 템플릿으로 사용하여 사용자 계정 만들기를 간소화할 수 있습니다.

사용자 계정 삭제

  1. 시작을 클릭한 다음 실행을 클릭합니다.
  2. 열기 상자에 cmd를 입력합니다.
  3. 명령 프롬프트에서 명령을 입력 dsrm <user_dn> 합니다. 여기서 user_dn 삭제할 사용자 개체의 고유 이름을 지정합니다.

사용자 계정을 삭제하면 해당 사용자 계정과 연결된 모든 권한 및 멤버 자격이 영구적으로 삭제됩니다. 각 계정에 대한 SID(보안 식별자)는 고유하기 때문에 이전에 삭제한 사용자 계정과 동일한 이름을 가진 새 사용자 계정을 만드는 경우 새 계정은 이전에 삭제된 계정의 사용 권한과 멤버 자격을 자동으로 가정하지 않습니다. 삭제된 사용자 계정을 복제하려면 모든 권한 및 멤버 자격을 수동으로 다시 만들어야 합니다.

참고

이 명령에 대한 전체 구문을 보고 더 많은 사용자 계정 정보를 입력하는 방법에 대한 자세한 정보를 얻으려면 명령 프롬프트에서 를 입력합니다 dsrm /?.

그룹을 관리하는 방법

다음 섹션에서는 그룹을 관리하는 자세한 단계를 제공합니다.

새 그룹 만들기

  1. 시작을 클릭한 다음 실행을 클릭합니다.

  2. 열기 상자에 cmd를 입력합니다.

  3. 명령 프롬프트에 다음 명령을 입력합니다.

    dsadd group <group_dn> -samid <sam_name> -secgrp {yes|no} -scope {l|g|u}

    이 명령은 다음 값을 사용합니다.

    • group_dn 추가할 그룹 개체의 고유 이름을 지정합니다.
    • sam_name 이 그룹의 고유한 SAM 계정 이름(예: 연산자)인 SAM 이름을 지정합니다.
    • {yes|no} 는 추가하려는 그룹이 보안 그룹(예) 또는 메일 그룹(아니요)인지 여부를 지정합니다.
    • {l|g|u}은(는) 추가할 그룹의 scope 지정합니다(도메인 로컬 [l], 전역 [g], 유니버설 [u]).

그룹을 만드는 도메인이 Windows 2000 혼합의 도메인 기능 수준으로 설정된 경우 도메인 로컬 범위 또는 전역 범위가 있는 보안 그룹만 선택할 수 있습니다.

이 명령에 대한 전체 구문을 보고 더 많은 그룹 정보를 입력하는 방법에 대한 자세한 정보를 얻으려면 명령 프롬프트에서 를 입력합니다 dsadd group /?.

그룹에 멤버 추가

  1. 시작을 클릭한 다음 실행을 클릭합니다.

  2. 열기 상자에 cmd를 입력합니다.

  3. 명령 프롬프트에 다음 명령을 입력합니다.

    dsmod group <group_dn> -addmbr <member_dn>

    이 명령은 다음 값을 사용합니다.

    • group_dn 추가할 그룹 개체의 고유 이름을 지정합니다.
    • member_dn 그룹에 추가할 개체의 고유 이름을 지정합니다.

그룹에는 사용자 및 컴퓨터 외에도 연락처 및 기타 그룹이 포함될 수 있습니다.

이 명령에 대한 전체 구문을 보고 더 많은 사용자 계정 및 그룹 정보를 입력하는 방법에 대한 자세한 정보를 얻으려면 명령 프롬프트에서 를 입력합니다 dsmod group /?.

그룹을 다른 그룹 유형으로 변환

  1. 시작을 클릭한 다음 실행을 클릭합니다.

  2. 열기 상자에 cmd를 입력합니다.

  3. 명령 프롬프트에 다음 명령을 입력합니다.

    dsmod group <group_dn> -secgrp {yes|no}

    이 명령은 다음 값을 사용합니다.

    • group_dn 그룹 형식을 변경할 그룹 개체의 고유 이름을 지정합니다.
    • {yes|no} 는 그룹 유형이 보안 그룹(예) 또는 메일 그룹(아니요)으로 설정되도록 지정합니다.

그룹을 변환하려면 도메인 기능을 Windows 2000 네이티브 이상으로 설정해야 합니다. 도메인 기능이 Windows 2000 Mixed로 설정된 경우 그룹을 변환할 수 없습니다.

이 명령에 대한 전체 구문을 보려면 명령 프롬프트에서 를 입력합니다 dsmod group /?.

그룹 scope 변경

  1. 시작을 클릭한 다음 실행을 클릭합니다.

  2. 열기 상자에 cmd를 입력합니다.

  3. 명령 프롬프트에 다음 명령을 입력합니다.

    dsmod group <group_dn> -scope {l|g|u}

    이 명령은 다음 값을 사용합니다.

    • group_dn scope 변경할 그룹 개체의 고유 이름을 지정합니다.
    • {l|g|u}는 그룹이 (로컬, 전역 또는 범용)으로 설정될 scope 지정합니다. 도메인이 여전히 Windows 2000 혼합으로 설정된 경우 범용 scope 지원되지 않습니다. 또한 도메인 로컬 그룹을 전역 그룹으로 변환하거나 그 반대로 변환할 수 없습니다.

참고

도메인 기능 수준이 Windows 2000 네이티브 이상으로 설정된 경우에만 그룹 범위를 변경할 수 있습니다.

그룹 삭제

  1. 시작을 클릭한 다음 실행을 클릭합니다.

  2. 열기 상자에 cmd를 입력합니다.

  3. 명령 프롬프트에서 명령을 dsrm <group_dn>입력합니다.

    group_dn 삭제할 그룹 개체의 고유 이름을 지정합니다.

참고

그룹을 삭제하면 그룹이 영구적으로 제거됩니다.

기본적으로 관리자 및 계정 운영자와 같이 Windows Server 2003을 실행하는 도메인 컨트롤러에서 자동으로 제공되는 로컬 그룹은 Builtin 폴더에 있습니다. 기본적으로 도메인 관리자 및 도메인 사용자와 같은 일반적인 글로벌 그룹은 Users 폴더에 있습니다. 새 그룹을 추가하거나 폴더로 이동할 수 있습니다. 조직 구성 단위 폴더에 그룹을 유지하는 것이 좋습니다.

이 명령에 대한 전체 구문을 보려면 명령 프롬프트에서 를 입력합니다 dsrm /?.

사용자가 멤버인 그룹 찾기

  1. 시작을 클릭한 다음 실행을 클릭합니다.

  2. 열기 상자에 cmd를 입력합니다.

  3. 명령 프롬프트에 다음 명령을 입력합니다.

    dsget user <user_dn> -memberof

    user_dn 그룹 멤버 자격을 표시할 사용자 개체의 고유 이름을 지정합니다.

이 명령에 대한 전체 구문을 보려면 명령 프롬프트에서 를 입력합니다 dsget user /?.

컴퓨터를 관리하는 방법

다음 섹션에서는 컴퓨터를 관리하는 자세한 단계를 제공합니다.

새 컴퓨터 계정 만들기

  1. 시작을 클릭한 다음 실행을 클릭합니다.

  2. 열기 상자에 cmd를 입력합니다.

  3. 명령 프롬프트에 다음 명령을 입력합니다.

    dsadd computer <computer_dn>

    computer_dn 추가할 컴퓨터의 고유 이름을 지정합니다. 고유 이름은 폴더 위치를 나타냅니다.

이 명령에 대한 전체 구문을 보려면 명령 프롬프트에서 를 입력합니다 dsadd computer /?.

컴퓨터 계정의 속성을 수정하려면 dsmod 컴퓨터 명령을 사용합니다.

그룹에 컴퓨터 계정 추가

  1. 시작을 클릭한 다음 실행을 클릭합니다.

  2. 열기 상자에 cmd를 입력합니다.

  3. 명령 프롬프트에 다음 명령을 입력합니다.

    dsmod group <group_dn> -addmbr <computer_dn>

    이 명령은 다음 값을 사용합니다.

    • group_dn 컴퓨터 개체를 추가할 그룹 개체의 고유 이름을 지정합니다.
    • computer_dn 그룹에 추가할 컴퓨터 개체의 고유 이름을 지정합니다. 고유 이름은 폴더 위치를 나타냅니다.

그룹에 컴퓨터를 추가할 때 해당 그룹의 모든 컴퓨터 계정에 권한을 할당한 다음 해당 그룹의 모든 계정에서 그룹 정책 설정을 필터링할 수 있습니다.

이 명령에 대한 전체 구문을 보려면 명령 프롬프트에서 를 입력합니다 dsmod group /?.

컴퓨터 계정 다시 설정

  1. 시작을 클릭한 다음 실행을 클릭합니다.

  2. 열기 상자에 cmd를 입력합니다.

  3. 명령 프롬프트에 다음 명령을 입력합니다.

    dsmod computer <computer_dn> -reset

    computer_dn 다시 설정할 하나 이상의 컴퓨터 개체의 고유 이름을 지정합니다.

    참고

    컴퓨터 계정을 다시 설정하면 도메인에 대한 컴퓨터의 연결을 끊습니다. 컴퓨터 계정을 다시 설정하면 컴퓨터 계정을 도메인 컴퓨터 계정에 다시 연결해야 합니다.

이 명령에 대한 전체 구문을 보려면 명령 프롬프트에서 dsmod 컴퓨터 /?를 입력합니다. .

컴퓨터 계정 사용 안 함 또는 사용

  1. 시작을 클릭한 다음 실행을 클릭합니다.

  2. 열기 상자에 cmd를 입력합니다.

  3. 명령 프롬프트에 다음 명령을 입력합니다.

    dsmod computer <computer_dn> -disabled {yes|no}

    이 명령은 다음 값을 사용합니다.

    • computer_dn 사용하지 않도록 설정하거나 사용하도록 설정할 컴퓨터 개체의 고유 이름을 지정합니다.
    • {yes|no} 은(는) 컴퓨터가 로그온에 사용할 수 없는지 여부를 지정합니다(예).

컴퓨터 계정을 사용하지 않도록 설정하면 컴퓨터와 도메인의 연결이 끊어지고 컴퓨터가 도메인에 인증할 수 없습니다.

이 명령에 대한 전체 구문을 보려면 명령 프롬프트에서 를 입력합니다 dsmod computer /?.

조직 구성 단위를 관리하는 방법

다음 섹션에서는 조직 구성 단위를 관리하는 자세한 단계를 제공합니다.

새 조직 구성 단위 만들기

  1. 시작을 클릭한 다음 실행을 클릭합니다.

  2. 열기 상자에 cmd를 입력합니다.

  3. 명령 프롬프트에 다음 명령을 입력합니다.

    dsadd ou <organizational_unit_dn>

    organizational_unit_dn 추가할 조직 구성 단위의 고유 이름을 지정합니다.

이 명령에 대한 전체 구문을 보려면 명령 프롬프트에서 를 입력합니다 dsadd ou /?.

참고

조직 구성 단위의 속성을 수정하려면 명령을 사용합니다 dsmod ou .

조직 구성 단위 삭제

  1. 시작을 클릭한 다음 실행을 클릭합니다.

  2. 열기 상자에 cmd를 입력합니다.

  3. 명령 프롬프트에서 명령을 dsrm <organizational_unit_dn>입력합니다.

    organizational_unit_dn 삭제할 조직 구성 단위의 고유 이름을 지정합니다.

이 명령에 대한 전체 구문을 보려면 명령 프롬프트에서 를 입력합니다 dsrm /?.

참고

조직 구성 단위를 삭제하면 포함된 모든 개체가 삭제됩니다.

Active Directory를 검색하는 방법

다음 섹션에서는 Active Directory를 검색하는 자세한 단계를 제공합니다.

사용자 계정 찾기

  1. 시작을 클릭한 다음 실행을 클릭합니다.

  2. 열기 상자에 cmd를 입력합니다.

  3. 명령 프롬프트에서 명령을 dsquery user <parameter>입력합니다.

    매개 변수는 사용할 매개 변수를 지정합니다. 매개 변수 목록은 dsquery user 명령에 대한 온라인 도움말을 참조하세요.

이 명령에 대한 전체 구문을 보려면 명령 프롬프트에서 를 입력합니다 dsquery user /?.

연락처 찾기

  1. 시작을 클릭한 다음 실행을 클릭합니다.

  2. 열기 상자에 cmd를 입력합니다.

  3. 명령 프롬프트에서 명령을 dsquery contact <parameter>입력합니다.

    매개 변수는 사용할 매개 변수를 지정합니다. 매개 변수 목록은 dsquery 사용자 명령에 대한 온라인 도움말을 참조하세요.

그룹 찾기

  1. 시작을 클릭한 다음 실행을 클릭합니다.

  2. 열기 상자에 cmd를 입력합니다.

  3. 명령 프롬프트에서 명령을 dsquery group <parameter>입력합니다.

    매개 변수는 사용할 매개 변수를 지정합니다. 매개 변수 목록은 dsquery 사용자 명령에 대한 온라인 도움말을 참조하세요.

기본적으로 관리자 및 계정 운영자와 같이 Windows Server 2003을 실행하는 도메인 컨트롤러에서 자동으로 제공되는 로컬 그룹은 Builtin 폴더에 있습니다. 기본적으로 도메인 관리자 및 도메인 사용자와 같은 일반적인 글로벌 그룹은 Users 폴더에 있습니다. 새 그룹을 추가하거나 폴더로 이동할 수 있습니다. 조직 구성 단위 폴더에 그룹을 유지하는 것이 좋습니다.

컴퓨터 계정 찾기

  1. 시작을 클릭한 다음 실행을 클릭합니다.

  2. 열기 상자에 cmd를 입력합니다.

  3. 명령 프롬프트에서 명령을 dsquery computer -name <name>입력합니다.

    이름은 명령이 검색하는 컴퓨터 이름을 지정합니다. 이 명령은 이름 특성(CN 특성 값)이 이름과 일치하는 컴퓨터를 검색합니다.

이 명령에 대한 전체 구문을 보려면 명령 프롬프트에서 를 입력합니다 dsquery computer /?.

조직 구성 단위 찾기

  1. 시작을 클릭한 다음 실행을 클릭합니다.

  2. 열기 상자에 cmd를 입력합니다.

  3. 명령 프롬프트에서 명령을 dsquery ou <parameter>입력합니다.

    매개 변수는 사용할 매개 변수를 지정합니다. 매개 변수 목록은 에 대한 온라인 도움말을 dsquery ou참조하세요.

이 명령에 대한 전체 구문을 보려면 명령 프롬프트에서 를 입력합니다 dsquery ou /?.

도메인 컨트롤러 찾기

  1. 시작을 클릭한 다음 실행을 클릭합니다.

  2. 열기 상자에 cmd를 입력합니다.

  3. 명령 프롬프트에서 명령을 dsquery server <parameter>입력합니다.

    매개 변수는 사용할 매개 변수를 지정합니다. 이 명령을 사용하여 검색할 수 있는 서버의 몇 가지 특성이 있습니다. 매개 변수 목록은 에 대한 온라인 도움말을 참조하세요. dsquery server.

  1. 시작을 클릭한 다음 실행을 클릭합니다.

  2. 열기 상자에 cmd를 입력합니다.

  3. 명령 프롬프트에서 명령을 dsquery * <parameter>입력합니다.

    매개 변수는 사용할 매개 변수를 지정합니다. 이 명령을 사용하여 검색할 수 있는 몇 가지 특성이 있습니다. LDAP 검색에 대한 자세한 내용은 Windows Server 2003 리소스 키트를 참조하세요.

참조

Windows Server 2003의 Directory Services 명령줄 도구에 대한 자세한 내용은 시작을 클릭하고 도움말 및 지원 센터를 클릭한 다음 검색 상자에 디렉터리 서비스 명령줄 도구를 입력합니다.