로그인

Select the product you need help with

HOWTO: 디렉터리 서비스 명령줄 도구를 사용하여 Windows Server 2003에서 Active Directory 개체 관리

요약

이 문서에서는 Windows Server 2003에서 디렉터리 서비스 명령줄 도구를 사용하여 Active Directory에 대한 관리 작업을 수행하는 방법에 대해 설명합니다. 아래에 나오는 작업들은 작업 그룹별로 구분되어 있습니다.

사용자를 관리하는 방법

사용자 계정 새로 만들기

시작을 누르고 실행을 누릅니다.
열기 상자에 cmd라고 입력합니다.
명령 프롬프트에서 다음 명령을 입력합니다.
dsadd user userdn -samid sam_name
명령에 사용되는 값은 다음과 같습니다.
- userdn은 추가할 사용자 개체의 고유 이름(DN이라고도 함)을 지정합니다.
- sam_name은 해당 사용자의 고유 SAM 계정 이름으로 사용되는 보안 계정 관리자(SAM) 이름을 지정합니다(예: Linda).
사용자 계정 암호를 지정하려면 다음 명령을 입력합니다. 여기서 password는 사용자 계정에 사용할 암호입니다.
dsadd user userdn -pwd password

참고: 이 명령의 전체 구문과 추가 사용자 계정 정보의 입력에 대한 자세한 내용을 보려면 명령 프롬프트에서 dsadd user /?를 입력하십시오.

사용자 암호 다시 설정

시작을 누르고 실행을 누릅니다.
열기 상자에 cmd라고 입력합니다.
명령 프롬프트에서 다음 명령을 입력합니다.
dsmod user user_dn -pwd new_password
이 명령에서 사용하는 값은 다음과 같습니다.
- user_dn은 암호를 다시 설정할 사용자의 고유 이름을 지정합니다.
- new_password는 현재 사용자 암호를 대체할 암호를 지정합니다.
다음에 로그온할 때 사용자가 암호를 변경하도록 하려면 다음 명령을 입력하십시오.
dsmod user user_dn -mustchpwd {yes|no}

참고: 암호가 할당되지 않은 경우 사용자가 빈 암호를 사용하여 처음 로그온하려고 하면 다음 로그온 메시지가 표시됩니다.

처음 로그온할 때 암호를 변경해야 합니다.

사용자가 암호를 변경하면 로그온 프로세스가 계속됩니다.

서비스의 사용자 계정에 대한 암호가 변경되면 사용자 계정으로 인증된 서비스를 다시 설정해야 합니다.

참고: 이 명령의 전체 구문과 추가 사용자 계정 정보의 입력에 대한 자세한 내용을 보려면 명령 프롬프트에서 dsmod user /?를 입력하십시오.

사용자 계정 해제 또는 설정

시작을 누르고 실행을 누릅니다.
열기 상자에 cmd라고 입력합니다.
명령 프롬프트에서 다음 명령을 입력합니다.
dsmod user user_dn -disabled {yes|no}
이 명령에서 사용하는 값은 다음과 같습니다.
- user_dn은 해제하거나 설정할 사용자 개체의 고유 이름을 지정합니다.
- {yes|no}는 사용자 계정의 로그온 불가능(yes) 또는 가능(no) 여부를 지정합니다.

참고: 보안을 위해 사용자의 계정을 삭제하는 대신 사용자 계정을 해제하여 특정 사용자가 로그온하지 못하게 할 수 있습니다. 일반적인 그룹 구성원 자격을 가진 사용자 계정을 해제하는 경우 해제된 사용자 계정을 계정 템플릿으로 사용하여 사용자 계정을 만드는 작업을 단순화할 수 있습니다.

사용자 계정 삭제

시작을 누르고 실행을 누릅니다.
열기 상자에 cmd라고 입력합니다.
명령 프롬프트에서 다음 명령을 입력합니다. 여기서 user_dn은 삭제할 사용자 개체의 고유 이름을 지정합니다.
dsrm user_dn

사용자 계정을 삭제하면 해당 사용자 계정과 관련된 모든 사용 권한과 구성원 자격이 영구적으로 삭제됩니다. 각 계정의 보안 식별자(SID)가 고유하기 때문에, 이전에 삭제한 사용자 계정과 이름이 같은 사용자 계정을 새로 만드는 경우 이전에 삭제한 계정의 사용 권한과 구성원 자격이 새 계정에 자동으로 부여되지 않습니다. 삭제한 사용자 계정과 똑같은 계정을 만들려면 모든 사용 권한과 구성원 자격을 수동으로 다시 만들어야 합니다.

참고: 이 명령의 전체 구문과 추가 사용자 계정 정보의 입력에 대한 자세한 내용을 보려면 명령 프롬프트에서 dsrm user /?를 입력하십시오.

그룹을 관리하는 방법

그룹 새로 만들기

시작을 누르고 실행을 누릅니다.
열기 상자에 cmd라고 입력합니다.
명령 프롬프트에서 다음 명령을 입력합니다.
dsadd group group_dn -samid sam_name -secgrp yes | no -scope l | g | u
이 명령에서 사용하는 값은 다음과 같습니다.
- group_dn은 추가할 그룹 개체의 고유 이름을 지정합니다.
- sam_name은 해당 그룹의 고유 SAM 계정 이름인 SAM 이름을 지정합니다(예: operators).
- yes | no는 추가할 그룹이 보안 그룹(yes) 또는 메일 그룹(no)인지를 지정합니다.
- l | g | u는 추가할 그룹의 범위를 지정합니다(도메인 로컬[l], 글로벌[g] 또는 유니버설[u]).

그룹을 만들고 있는 도메인이 Windows 2000 혼합이라는 도메인 기능 수준으로 설정되어 있으면 도메인 로컬 범위나 글로벌 범위를 가진 보안 그룹만 선택할 수 있습니다.

이 명령의 전체 구문과 추가 그룹 정보의 입력에 대한 자세한 내용을 보려면 명령 프롬프트에서 dsadd group /?를 입력하십시오.

그룹에 구성원 추가

시작을 누르고 실행을 누릅니다.
열기 상자에 cmd라고 입력합니다.
명령 프롬프트에서 다음 명령을 입력합니다.
dsmod group group_dn -addmbr member_dn
이 명령에서 사용하는 값은 다음과 같습니다.
- group_dn은 추가할 그룹 개체의 고유 이름을 지정합니다.
- member_dn은 그룹에 추가할 개체의 고유 이름을 지정합니다.

사용자와 컴퓨터 외에도 그룹에는 연락처와 다른 그룹이 포함될 수 있습니다.

이 명령의 전체 구문과 추가 사용자 계정 및 그룹 정보의 입력에 대한 자세한 내용을 보려면 명령 프롬프트에서 dsmod group /?를 입력하십시오.

다른 그룹 종류로 그룹 변환

시작을 누르고 실행을 누릅니다.
열기 상자에 cmd라고 입력합니다.
명령 프롬프트에서 다음 명령을 입력합니다.
dsmod group group_dn -secgrp {yes|no}
이 명령에서 사용하는 값은 다음과 같습니다.
- group_dn은 그룹 종류를 변경할 그룹 개체의 고유 이름을 지정합니다.
- {yes|no}는 그룹 종류를 보안 그룹(yes) 또는 메일 그룹(no)으로 설정할지를 지정합니다.

그룹을 변환하려면 도메인 기능이 Windows 2000 기본 이상으로 설정되어야 합니다. 도메인 기능이 Windows 2000 혼합으로 설정되어 있으면 그룹을 변환할 수 없습니다.

이 명령의 전체 구문을 보려면 명령 프롬프트에서 dsmod group /?를 입력하십시오.

그룹 범위 변경

시작을 누르고 실행을 누릅니다.
열기 상자에 cmd라고 입력합니다.
명령 프롬프트에서 다음 명령을 입력합니다.
dsmod group group_dn -scope l|g|u
이 명령에서 사용하는 값은 다음과 같습니다.
- group_dn은 범위를 변경할 그룹 개체의 고유 이름을 지정합니다.
- l|g|u는 그룹이 설정될 범위를 지정합니다(로컬, 글로벌 또는 유니버설). 도메인이 계속 Windows 2000 혼합으로 설정되어 있으면 유니버설 범위가 지원되지 않습니다. 또한, 도메인 로컬 그룹을 글로벌 그룹으로 변환할 수 없으며 그 반대의 경우에도 마찬가지입니다.
참고: 도메인 기능 수준이 Windows 2000 기본 이상으로 설정된 경우에만 그룹 범위를 변경할 수 있습니다.

그룹 삭제

시작을 누르고 실행을 누릅니다.
열기 상자에 cmd라고 입력합니다.
명령 프롬프트에서 다음 명령을 입력합니다.
dsrm group_dn
이 명령에서 사용하는 값은 다음과 같습니다.
- group_dn은 삭제할 그룹 개체의 고유 이름을 지정합니다.

참고: 그룹을 삭제하면 그룹이 영구적으로 제거됩니다.

기본적으로 Windows Server 2003을 실행하는 도메인 컨트롤러에서 자동으로 제공되는 Administrators 및 Account Operators 같은 로컬 그룹은 Builtin 폴더에 있고, 기본적으로 Domain Admins 및 Domain Users 같은 일반적인 글로벌 그룹은 Users 폴더에 있습니다. 새 그룹을 어떠한 폴더에라도 추가하거나 이동할 수 있지만 조직 단위 폴더에 그룹을 보관하는 것이 좋습니다.

이 명령의 전체 구문을 보려면 명령 프롬프트에서 dsrm /?를 입력하십시오.

사용자가 속한 그룹 찾기

시작을 누르고 실행을 누릅니다.
열기 상자에 cmd라고 입력합니다.
명령 프롬프트에서 다음 명령을 입력합니다.
dsget user user_dn -memberof
이 명령에서 사용하는 값은 다음과 같습니다.
- user_dn은 그룹 구성원 자격을 표시할 사용자 개체의 고유 이름입니다.

이 명령의 전체 구문을 보려면 명령 프롬프트에서 dsget user /?를 입력하십시오.

컴퓨터를 관리하는 방법

컴퓨터 계정 새로 만들기

시작을 누르고 실행을 누릅니다.
열기 상자에 cmd라고 입력합니다.
명령 프롬프트에서 다음 명령을 입력합니다.
dsadd computer computer_dn
이 명령에서 사용하는 값은 다음과 같습니다.
- computer_dn은 추가할 컴퓨터의 고유 이름을 지정합니다. 고유 이름은 폴더 위치를 나타냅니다.

이 명령의 전체 구문을 보려면 명령 프롬프트에서 dsadd computer /?를 입력하십시오.

컴퓨터 계정의 속성을 수정하려면 dsmod computer 명령을 사용하십시오.

그룹에 컴퓨터 계정 추가

시작을 누르고 실행을 누릅니다.
열기 상자에 cmd라고 입력합니다.
명령 프롬프트에서 다음 명령을 입력합니다.
dsmod group group_dn -addmbr computer_dn
이 명령에서 사용하는 값은 다음과 같습니다.
- group_dn은 컴퓨터 개체를 추가할 그룹 개체의 고유 이름을 지정합니다.
- computer_dn은 그룹에 추가할 컴퓨터 개체의 고유 이름을 지정합니다. 고유 이름은 폴더 위치를 나타냅니다.

그룹에 컴퓨터를 추가하면 그룹의 모든 컴퓨터 계정에 사용 권한을 할당한 다음 그룹의 모든 계정에 대한 그룹 정책 설정을 필터링할 수 있습니다.

이 명령의 전체 구문을 보려면 명령 프롬프트에서 dsmod group /?를 입력하십시오.

컴퓨터 계정 다시 설정

시작을 누르고 실행을 누릅니다.
열기 상자에 cmd라고 입력합니다.
명령 프롬프트에서 다음 명령을 입력합니다.
dsmod computer computer_dn -reset
이 명령에서 사용하는 값은 다음과 같습니다.
- computer_dn은 다시 설정할 하나 이상의 컴퓨터 개체에 대한 고유 이름을 지정합니다.

참고: 컴퓨터 계정을 다시 설정하면 컴퓨터와 도메인의 연결이 끊어집니다. 컴퓨터 계정을 다시 설정한 다음 도메인 컴퓨터 계정에 컴퓨터 계정을 다시 참가시켜야 합니다.

이 명령의 전체 구문을 보려면 명령 프롬프트에서 dsmod computer /?를 입력하십시오.

컴퓨터 계정 해제 또는 설정

시작을 누르고 실행을 누릅니다.
열기 상자에 cmd라고 입력합니다.
명령 프롬프트에서 다음 명령을 입력합니다.
dsmod computer computer_dn -disabled {yes|no}
이 명령에서 사용하는 값은 다음과 같습니다.
- computer_dn은 해제하거나 설정할 컴퓨터 개체의 고유 이름을 지정합니다.
- {yes|no}는 컴퓨터의 로그온 불가능(yes) 또는 가능(no) 여부를 지정합니다.

컴퓨터 계정을 해제하면 도메인과 컴퓨터의 연결이 끊어지고 컴퓨터가 도메인을 인증할 수 없습니다.

이 명령의 전체 구문을 보려면 명령 프롬프트에서 dsmod computer /?를 입력하십시오.

조직 단위를 관리하는 방법

조직 단위 새로 만들기

시작을 누르고 실행을 누릅니다.
열기 상자에 cmd라고 입력합니다.
명령 프롬프트에서 다음 명령을 입력합니다.
dsadd ou organizational_unit_dn
이 명령에서 사용하는 값은 다음과 같습니다.
- organizational_unit_dn은 추가할 조직 단위의 고유 이름을 지정합니다.

이 명령의 전체 구문을 보려면 명령 프롬프트에서 dsadd ou /?를 입력하십시오.

참고: 조직 단위의 속성을 수정하려면 dsmod ou 명령을 사용하십시오.

조직 단위 삭제

시작을 누르고 실행을 누릅니다.
열기 상자에 cmd라고 입력합니다.
명령 프롬프트에서 다음 명령을 입력합니다.
dsrm organizational_unit_dn
이 명령에서 사용하는 값은 다음과 같습니다.
- organizational_unit_dn은 삭제할 조직 단위의 고유 이름을 지정합니다.
이 명령의 전체 구문을 보려면 명령 프롬프트에서 dsrm /?를 입력하십시오.

참고: 조직 단위를 삭제하면 조직 단위에 포함된 개체가 모두 삭제됩니다.

Active Directory를 검색하는 방법

사용자 계정 찾기

시작을 누르고 실행을 누릅니다.
열기 상자에 cmd라고 입력합니다.
명령 프롬프트에서 다음 명령을 입력합니다.
dsquery user parameter
이 명령에서 사용하는 값은 다음과 같습니다.
- parameter는 사용할 매개 변수를 지정합니다. 매개 변수의 목록은 dsquery user 명령에 대한 온라인 도움말을 참조하십시오.

이 명령의 전체 구문을 보려면 명령 프롬프트에서 dsquery user /?를 입력하십시오.

연락처 찾기

시작을 누르고 실행을 누릅니다.
열기 상자에 cmd라고 입력합니다.
명령 프롬프트에서 다음 명령을 입력합니다.
dsquery contact parameter
이 명령에서 사용하는 값은 다음과 같습니다.
- parameter는 사용할 매개 변수를 지정합니다. 매개 변수의 목록은 dsquery user 명령에 대한 온라인 도움말을 참조하십시오.

그룹 찾기

시작을 누르고 실행을 누릅니다.
열기 상자에 cmd라고 입력합니다.
명령 프롬프트에서 다음 명령을 입력합니다.
dsquery group parameter
이 명령에서 사용하는 값은 다음과 같습니다.
- parameter는 사용할 매개 변수를 지정합니다. 매개 변수의 목록은 dsquery user 명령에 대한 온라인 도움말을 참조하십시오.

기본적으로 Windows Server 2003을 실행하는 도메인 컨트롤러에서 자동으로 제공되는 Administrators 및 Account Operators 같은 로컬 그룹은 Builtin 폴더에 있고, Domain Admins 및 Domain Users 같은 일반적인 글로벌 그룹은 Users 폴더에 있습니다. 새 그룹을 어떠한 폴더에라도 추가하거나 이동할 수 있지만 조직 단위 폴더에 그룹을 보관하는 것이 좋습니다.

컴퓨터 계정 찾기

시작을 누르고 실행을 누릅니다.
열기 상자에 cmd라고 입력합니다.
명령 프롬프트에서 다음 명령을 입력합니다.
dsquery computer -name name
이 명령에서 사용하는 값은 다음과 같습니다.
- name은 명령이 검색할 컴퓨터 이름을 지정합니다. 이 명령은 이름 특성(CN 특성의 값)이 name과 일치하는 컴퓨터를 검색합니다.

이 명령의 전체 구문을 보려면 명령 프롬프트에서 dsquery computer /?를 입력하십시오.

조직 단위 찾기

시작을 누르고 실행을 누릅니다.
열기 상자에 cmd라고 입력합니다.
명령 프롬프트에서 다음 명령을 입력합니다.
dsquery ou parameter
이 명령에서 사용하는 값은 다음과 같습니다.
- parameter는 사용할 매개 변수를 지정합니다. 매개 변수의 목록은 dsquery ou에 대한 온라인 도움말을 참조하십시오.

이 명령의 전체 구문을 보려면 명령 프롬프트에서 dsquery ou /?를 입력하십시오.

도메인 컨트롤러 찾기

시작을 누르고 실행을 누릅니다.
열기 상자에 cmd라고 입력합니다.
명령 프롬프트에서 다음 명령을 입력합니다.
dsquery server parameter
이 명령에서 사용하는 값은 다음과 같습니다.
- parameter는 사용할 매개 변수를 지정합니다. 이 명령을 사용하여 검색할 수 있는 몇 가지 서버 특성이 있습니다. 매개 변수의 목록은 dsquery server에 대한 온라인 도움말을 참조하십시오.

사용자 지정 검색 수행

시작을 누르고 실행을 누릅니다.
열기 상자에 cmd라고 입력합니다.
명령 프롬프트에서 다음 명령을 입력합니다.
dsquery * parameter
이 명령에서 사용하는 값은 다음과 같습니다.
- parameter는 사용할 매개 변수를 지정합니다. 이 명령을 사용하여 검색할 수 있는 몇 가지 특성이 있습니다. LDAP 검색에 대한 자세한 내용은 Windows Server 2003 Resource Kit를 참조하십시오.