Use as ferramentas de linha de comando do Serviço de Diretório para gerenciar objetos do Active Directory no Windows Server 2003

  • Artigo

Este artigo descreve como usar as ferramentas de linha de comando do Serviço de Diretório para executar tarefas administrativas para o Active Directory no Windows Server 2003. As tarefas a seguir são divididas em grupos de tarefas.

Aplica-se a: Versões com suporte do Windows Server
Número de KB original: 322684

Como gerenciar usuários

As seções a seguir fornecem etapas detalhadas para gerenciar grupos.

Criar uma nova conta de usuário

  1. Clique em Iniciar e em Executar.

  2. Na caixa Abrir , digite cmd.

  3. No prompt de comando, digite o seguinte comando: 

    dsadd user <user_dn> -samid <sam_name>

    Os seguintes valores são usados neste comando:

    • user_dn especifica o nome diferenciado (também conhecido como DN) do objeto de usuário que você deseja adicionar.
    • sam_name especifica o nome sam (gerenciador de contas de segurança) usado como o nome da conta SAM exclusivo para esse usuário (por exemplo, Linda).

  4. Para especificar a senha da conta de usuário, digite o seguinte comando, em que a senha é a senha que deve ser usada para a conta de usuário:

    dsadd user <user_dn> -pwd password

Observação

Para exibir a sintaxe completa para este comando e obter mais informações sobre como inserir mais informações da conta de usuário, em um prompt de comando, digite dsadd user /?.

Redefinir uma senha do usuário

  1. Clique em Iniciar e em Executar.

  2. Na caixa Abrir , digite cmd.

  3. No prompt de comando, digite o seguinte comando: 

    dsmod user <user_dn> -pwd <new_password>

    Este comando usa os seguintes valores:

    • user_dn especifica o nome diferenciado do usuário para o qual a senha será redefinida.
    • new_password especifica a senha que substituirá a senha do usuário atual

  4. Se você quiser exigir que o usuário altere essa senha no próximo processo de logon, digite o seguinte comando:

    dsmod user <user_dn> -mustchpwd {yes|no}

Se uma senha não for atribuída, a primeira vez que o usuário tentar fazer logon (usando uma senha em branco), a seguinte mensagem de logon será exibida:

Você é obrigado a alterar sua senha no primeiro logon

Depois que o usuário tiver alterado a senha, o processo de logon continua.

Você deve redefinir os serviços autenticados com uma conta de usuário se a senha da conta de usuário do serviço for alterada.

Observação

Para exibir a sintaxe completa para este comando e obter mais informações sobre como inserir mais informações da conta de usuário, em um prompt de comando, digite dsmod user /?.

Desabilitar ou habilitar uma conta de usuário

  1. Clique em Iniciar e em Executar.

  2. Na caixa Abrir , digite cmd.

  3. No prompt de comando, digite o seguinte comando: 

    dsmod user <user_dn> -disabled {yes|no}

    Este comando usa os seguintes valores:

    • user_dn especifica o nome distinto do objeto de usuário a ser desabilitado ou habilitado.
    • {yes|no} especifica se a conta de usuário está desabilitada para logon (sim) ou não (não).

Observação

Como medida de segurança, em vez de excluir a conta desse usuário, você pode desabilitar contas de usuário para impedir que um determinado usuário faça logon. Se você desabilitar contas de usuário que têm associações de grupo comuns, poderá usar contas de usuário desabilitadas como modelos de conta para simplificar a criação da conta de usuário.

Excluir uma conta de usuário

  1. Clique em Iniciar e em Executar.
  2. Na caixa Abrir , digite cmd.
  3. No prompt de comando, digite o dsrm <user_dn> comando, em que user_dn especifica o nome distinto do objeto de usuário a ser excluído.

Depois de excluir uma conta de usuário, todas as permissões e associações associadas a essa conta de usuário serão excluídas permanentemente. Como o SID (identificador de segurança) de cada conta é exclusivo, se você criar uma nova conta de usuário que tenha o mesmo nome de uma conta de usuário excluída anteriormente, a nova conta não assumirá automaticamente as permissões e associações da conta excluída anteriormente. Para duplicar uma conta de usuário excluída, você deve recriar manualmente todas as permissões e associações.

Observação

Para exibir a sintaxe completa para este comando e obter mais informações sobre como inserir mais informações da conta de usuário, em um prompt de comando, digite dsrm /?.

Como gerenciar grupos

As seções a seguir fornecem etapas detalhadas para gerenciar grupos.

Criar um novo grupo

  1. Clique em Iniciar e em Executar.

  2. Na caixa Abrir , digite cmd.

  3. No prompt de comando, digite o seguinte comando: 

    dsadd group <group_dn> -samid <sam_name> -secgrp {yes|no} -scope {l|g|u}

    Este comando usa os seguintes valores:

    • group_dn especifica o nome diferenciado do objeto de grupo que você deseja adicionar.
    • sam_name especifica o nome SAM que é o nome da conta SAM exclusivo para esse grupo (por exemplo, operadores).
    • {yes|no} especifica se o grupo que você deseja adicionar é um grupo de segurança (sim) ou um grupo de distribuição (não).
    • {l|g|u} especifica o escopo do grupo que você deseja adicionar (domínio local [l], global [g]ou universal [u]).

Se o domínio no qual você está criando o grupo estiver definido como o nível funcional de domínio do Windows 2000 misto, você poderá selecionar apenas grupos de segurança com escopos locais de domínio ou escopos globais.

Para exibir a sintaxe completa para este comando e obter mais informações sobre como inserir mais informações de grupo, em um prompt de comando, digite dsadd group /?.

Adicionar um membro a um grupo

  1. Clique em Iniciar e em Executar.

  2. Na caixa Abrir , digite cmd.

  3. No prompt de comando, digite o seguinte comando: 

    dsmod group <group_dn> -addmbr <member_dn>

    Este comando usa os seguintes valores:

    • group_dn especifica o nome diferenciado do objeto de grupo que você deseja adicionar.
    • member_dn especifica o nome distinto do objeto que você deseja adicionar ao grupo.

Além de usuários e computadores, um grupo pode conter contatos e outros grupos.

Para exibir a sintaxe completa para este comando e obter mais informações sobre como inserir mais informações de conta de usuário e grupo, em um prompt de comando, digite dsmod group /?.

Converter um grupo em outro tipo de grupo

  1. Clique em Iniciar e em Executar.

  2. Na caixa Abrir , digite cmd.

  3. No prompt de comando, digite o seguinte comando: 

    dsmod group <group_dn> -secgrp {yes|no}

    Este comando usa os seguintes valores:

    • group_dn especifica o nome distinto do objeto de grupo para o qual você deseja alterar o tipo de grupo.
    • {yes|no} especifica que o tipo de grupo está definido como grupo de segurança (sim) ou grupo de distribuição (não).

Para converter um grupo, a funcionalidade de domínio deve ser definida como Nativo do Windows 2000 ou superior. Você não pode converter grupos quando a funcionalidade de domínio é definida como Windows 2000 Mixed.

Para exibir a sintaxe completa para este comando, em um prompt de comando, digite dsmod group /?.

Alterar o escopo do grupo

  1. Clique em Iniciar e em Executar.

  2. Na caixa Abrir , digite cmd.

  3. No prompt de comando, digite o seguinte comando: 

    dsmod group <group_dn> -scope {l|g|u}

    Este comando usa os seguintes valores:

    • group_dn especifica os nomes distintos do objeto de grupo para o qual o escopo será alterado.
    • {l|g|u} especifica o escopo para o qual o grupo deve ser definido (local, global ou universal). Se o domínio ainda estiver definido como Windows 2000 misto, o escopo universal não terá suporte. Além disso, não é possível converter um grupo local de domínio em grupo global ou vice-versa.

Observação

Você só pode alterar escopos de grupo quando o nível funcional do domínio é definido como nativo ou superior do Windows 2000.

Excluir um grupo

  1. Clique em Iniciar e em Executar.

  2. Na caixa Abrir , digite cmd.

  3. No prompt de comando, digite o comando dsrm <group_dn>.

    O group_dn especifica o nome distinto do objeto de grupo a ser excluído.

Observação

Se você excluir o grupo, o grupo será removido permanentemente.

Por padrão, os grupos locais fornecidos automaticamente em controladores de domínio que estão executando o Windows Server 2003, como Administradores e Operadores de Conta, estão localizados na pasta Builtin. Por padrão, grupos globais comuns, como administradores de domínio e usuários de domínio, estão localizados na pasta Usuários. Você pode adicionar ou mover novos grupos para qualquer pasta. A Microsoft recomenda que você mantenha grupos em uma pasta de unidade organizacional.

Para exibir a sintaxe completa para este comando, em um prompt de comando, digite dsrm /?.

Localizar grupos em que um usuário é membro

  1. Clique em Iniciar e em Executar.

  2. Na caixa Abrir , digite cmd.

  3. No prompt de comando, digite o seguinte comando: 

    dsget user <user_dn> -memberof

    O user_dn especifica o nome distinto do objeto de usuário para o qual você deseja exibir a associação de grupo.

Para exibir a sintaxe completa para este comando, em um prompt de comando, digite dsget user /?.

Como gerenciar computadores

As seções a seguir fornecem etapas detalhadas para gerenciar computadores.

Criar uma nova conta de computador

  1. Clique em Iniciar e em Executar.

  2. Na caixa Abrir , digite cmd.

  3. No prompt de comando, digite o seguinte comando: 

    dsadd computer <computer_dn>

    O computer_dn especifica o nome diferenciado do computador que você deseja adicionar. O nome diferenciado indica o local da pasta.

Para exibir a sintaxe completa para este comando, em um prompt de comando, digite dsadd computer /?.

Para modificar as propriedades de uma conta de computador, use o comando de computador dsmod.

Adicionar uma conta de computador a um grupo

  1. Clique em Iniciar e em Executar.

  2. Na caixa Abrir , digite cmd.

  3. No prompt de comando, digite o seguinte comando: 

    dsmod group <group_dn> -addmbr <computer_dn>

    Este comando usa os seguintes valores:

    • group_dn especifica o nome distinto do objeto de grupo ao qual você deseja adicionar o objeto do computador.
    • computer_dn especifica o nome distinto do objeto de computador a ser adicionado ao grupo. O nome diferenciado indica o local da pasta.

Ao adicionar um computador a um grupo, você pode atribuir permissões a todas as contas de computador desse grupo e filtrar Política de Grupo configurações em todas as contas desse grupo.

Para exibir a sintaxe completa para este comando, em um prompt de comando, digite dsmod group /?.

Redefinir uma conta de computador

  1. Clique em Iniciar e em Executar.

  2. Na caixa Abrir , digite cmd.

  3. No prompt de comando, digite o seguinte comando: 

    dsmod computer <computer_dn> -reset

    O computer_dn especifica os nomes distintos de um ou mais objetos de computador que você deseja redefinir.

    Observação

    Ao redefinir uma conta de computador, você quebra a conexão do computador com o domínio. Você deve voltar a conta de computador para a conta do computador de domínio depois de redefini-la.

Para exibir a sintaxe completa para este comando, em um prompt de comando, digite o computador dsmod /? .

Desabilitar ou habilitar uma conta de computador

  1. Clique em Iniciar e em Executar.

  2. Na caixa Abrir , digite cmd.

  3. No prompt de comando, digite o seguinte comando: 

    dsmod computer <computer_dn> -disabled {yes|no}

    Este comando usa os seguintes valores:

    • computer_dn especifica o nome distinto do objeto de computador que você deseja desabilitar ou habilitar.
    • {yes|no} especifica se o computador está desabilitado para logon (sim) ou não (não).

Ao desabilitar uma conta de computador, você quebra a conexão do computador com o domínio e o computador não pode se autenticar no domínio.

Para exibir a sintaxe completa para este comando, em um prompt de comando, digite dsmod computer /?.

Como gerenciar unidades organizacionais

As seções a seguir fornecem etapas detalhadas para gerenciar unidades organizacionais.

Criar uma nova unidade organizacional

  1. Clique em Iniciar e em Executar.

  2. Na caixa Abrir , digite cmd.

  3. No prompt de comando, digite o seguinte comando: 

    dsadd ou <organizational_unit_dn>

    O organizational_unit_dn especifica o nome distinto da unidade organizacional a ser adicionada.

Para exibir a sintaxe completa para este comando, em um prompt de comando, digite dsadd ou /?.

Observação

Para modificar as propriedades de uma unidade organizacional, use o dsmod ou comando.

Excluir uma unidade organizacional

  1. Clique em Iniciar e em Executar.

  2. Na caixa Abrir , digite cmd.

  3. No prompt de comando, digite o comando dsrm <organizational_unit_dn>.

    O organizational_unit_dn especifica o nome distinto da unidade organizacional a ser excluída.

Para exibir a sintaxe completa para este comando, em um prompt de comando, digite dsrm /?.

Observação

Se você excluir uma unidade organizacional, todos os objetos que ele contém serão excluídos.

Como pesquisar o Active Directory

As seções a seguir fornecem etapas detalhadas para pesquisar o Active Directory.

Localizar uma conta de usuário

  1. Clique em Iniciar e em Executar.

  2. Na caixa Abrir , digite cmd.

  3. No prompt de comando, digite o comando dsquery user <parameter>.

    O parâmetro especifica o parâmetro a ser usado. Para obter a lista de parâmetros, consulte a ajuda online para o comando dsquery user .

Para exibir a sintaxe completa para este comando, em um prompt de comando, digite dsquery user /?.

Localizar um contato

  1. Clique em Iniciar e em Executar.

  2. Na caixa Abrir , digite cmd.

  3. No prompt de comando, digite o comando dsquery contact <parameter>.

    O parâmetro especifica o parâmetro a ser usado. Para obter a lista de parâmetros, consulte a ajuda online para o comando de usuário dsquery.

Localizar um grupo

  1. Clique em Iniciar e em Executar.

  2. Na caixa Abrir , digite cmd.

  3. No prompt de comando, digite o comando dsquery group <parameter>.

    O parâmetro especifica o parâmetro a ser usado. Para obter a lista de parâmetros, consulte a ajuda online para o comando de usuário dsquery.

Por padrão, os grupos locais fornecidos automaticamente em controladores de domínio que estão executando o Windows Server 2003, como Administradores e Operadores de Conta, estão localizados na pasta Builtin. Por padrão, grupos globais comuns, como administradores de domínio e usuários de domínio, estão localizados na pasta Usuários. Você pode adicionar ou mover novos grupos para qualquer pasta. A Microsoft recomenda que você mantenha grupos em uma pasta de unidade organizacional.

Localizar uma conta de computador

  1. Clique em Iniciar e em Executar.

  2. Na caixa Abrir , digite cmd.

  3. No prompt de comando, digite o comando dsquery computer -name <name>.

    O nome especifica o nome do computador que o comando pesquisa. Este comando pesquisa computadores cujos atributos de nome (valor do atributo CN) correspondem ao nome.

Para exibir a sintaxe completa para este comando, em um prompt de comando, digite dsquery computer /?.

Localizar uma unidade organizacional

  1. Clique em Iniciar e em Executar.

  2. Na caixa Abrir , digite cmd.

  3. No prompt de comando, digite o comando dsquery ou <parameter>.

    O parâmetro especifica o parâmetro a ser usado. Para obter a lista de parâmetros, consulte a ajuda online para dsquery ou.

Para exibir a sintaxe completa para este comando, em um prompt de comando, digite dsquery ou /?.

Localizar um controlador de domínio

  1. Clique em Iniciar e em Executar.

  2. Na caixa Abrir , digite cmd.

  3. No prompt de comando, digite o comando dsquery server <parameter>.

    O parâmetro especifica o parâmetro a ser usado. Há vários atributos de um servidor que você pode pesquisar usando esse comando. Para obter a lista de parâmetros, consulte ajuda online para dsquery server.

  1. Clique em Iniciar e em Executar.

  2. Na caixa Abrir , digite cmd.

  3. No prompt de comando, digite o comando dsquery * <parameter>.

    O parâmetro especifica o parâmetro a ser usado. Há vários atributos que você pode pesquisar usando este comando. Para obter mais informações sobre pesquisas LDAP, consulte o Kit de Recursos do Windows Server 2003.

Referências

Para obter mais informações sobre as ferramentas de linha de comando dos Serviços de Diretório no Windows Server 2003, clique em Iniciar, clique em Ajuda e Centro de Suporte e digite ferramentas de linha de comando do serviço de diretório na caixa Pesquisar .