Использование средств командной строки службы каталогов для управления объектами Active Directory в Windows Server 2003

  • Статья

В этой статье описывается использование средств командной строки службы каталогов для выполнения административных задач для Active Directory в Windows Server 2003. Следующие задачи разбиты на группы задач.

Применимо к: Поддерживаемые версии Windows Server
Исходный номер базы знаний: 322684

Управление пользователями

В следующих разделах приведены подробные инструкции по управлению группами.

Создание учетной записи пользователя

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. В поле Открыть введите cmd.

  3. Введите следующую команду:

    dsadd user <user_dn> -samid <sam_name>

    В этой команде используются следующие значения:

    • user_dn указывает различающееся имя (также известное как DN) объекта пользователя, который требуется добавить.
    • sam_name указывает имя диспетчера учетных записей безопасности (SAM), используемое в качестве уникального имени учетной записи SAM для этого пользователя (например, Linda).

  4. Чтобы указать пароль учетной записи пользователя, введите следующую команду, где password — это пароль, который будет использоваться для учетной записи пользователя:

    dsadd user <user_dn> -pwd password

Примечание.

Чтобы просмотреть полный синтаксис этой команды и получить дополнительные сведения о вводе дополнительных сведений об учетной записи пользователя, в командной строке введите dsadd user /?.

Сброс пароля пользователя

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. В поле Открыть введите cmd.

  3. Введите следующую команду:

    dsmod user <user_dn> -pwd <new_password>

    Эта команда использует следующие значения:

    • user_dn указывает различающееся имя пользователя, для которого будет сброшен пароль.
    • new_password указывает пароль, который заменит текущий пароль пользователя

  4. Если вы хотите потребовать от пользователя изменить этот пароль при следующем входе в систему, введите следующую команду:

    dsmod user <user_dn> -mustchpwd {yes|no}

Если пароль не назначен, при первой попытке пользователя войти в систему (с использованием пустого пароля) отображается следующее сообщение о входе:

Вам необходимо изменить пароль при первом входе в систему

После того как пользователь изменил пароль, процесс входа в систему продолжается.

При изменении пароля учетной записи пользователя необходимо сбросить службы, прошедшие проверку подлинности с помощью учетной записи пользователя.

Примечание.

Чтобы просмотреть полный синтаксис этой команды и получить дополнительные сведения о вводе дополнительных сведений об учетной записи пользователя, в командной строке введите dsmod user /?.

Отключение или включение учетной записи пользователя

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. В поле Открыть введите cmd.

  3. Введите следующую команду:

    dsmod user <user_dn> -disabled {yes|no}

    Эта команда использует следующие значения:

    • user_dn указывает различающееся имя объекта пользователя, который будет отключен или включен.
    • {yes|no} указывает, отключена ли учетная запись пользователя для входа (да) или нет (нет).

Примечание.

В качестве меры безопасности вместо удаления учетной записи этого пользователя можно отключить учетные записи пользователей, чтобы предотвратить вход определенного пользователя. Если отключить учетные записи пользователей с общим членством в группах, вы можете использовать отключенные учетные записи пользователей в качестве шаблонов учетных записей, чтобы упростить создание учетных записей пользователей.

Удаление учетной записи пользователя

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.
  2. В поле Открыть введите cmd.
  3. В командной строке введите dsrm <user_dn> команду , где user_dn указывает различающееся имя удаляемого пользовательского объекта.

После удаления учетной записи пользователя все разрешения и членства, связанные с этой учетной записью пользователя, удаляются без возможности восстановления. Так как идентификатор безопасности (SID) для каждой учетной записи уникален, при создании новой учетной записи пользователя с тем же именем, что и у ранее удаленной учетной записи, новая учетная запись не будет автоматически принимать разрешения и членство для ранее удаленной учетной записи. Чтобы дублировать удаленную учетную запись пользователя, необходимо вручную повторно создать все разрешения и членства.

Примечание.

Чтобы просмотреть полный синтаксис этой команды и получить дополнительные сведения о вводе дополнительных сведений об учетной записи пользователя, в командной строке введите dsrm /?.

Управление группами

В следующих разделах приведены подробные инструкции по управлению группами.

Создание группы

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. В поле Открыть введите cmd.

  3. Введите следующую команду:

    dsadd group <group_dn> -samid <sam_name> -secgrp {yes|no} -scope {l|g|u}

    Эта команда использует следующие значения:

    • group_dn указывает различающееся имя объекта группы, который требуется добавить.
    • sam_name указывает имя SAM, которое является уникальным именем учетной записи SAM для этой группы (например, операторов).
    • {yes|no} указывает, является ли группа, которую вы хотите добавить, группой безопасности (да) или группой рассылки (нет).
    • {l|g|u} указывает область группы, которую вы хотите добавить (локальный домен [l], глобальный [g] или универсальный [u]).

Если для домена, в котором создается группа, задан уровень работы домена Windows 2000 mixed, можно выбрать только группы безопасности с локальными или глобальными областями домена.

Чтобы просмотреть полный синтаксис этой команды и получить дополнительные сведения о вводе дополнительных сведений о группе, в командной строке введите dsadd group /?.

Добавление участника в группу

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. В поле Открыть введите cmd.

  3. Введите следующую команду:

    dsmod group <group_dn> -addmbr <member_dn>

    Эта команда использует следующие значения:

    • group_dn указывает различающееся имя объекта группы, который требуется добавить.
    • member_dn указывает различающееся имя объекта, который требуется добавить в группу.

Помимо пользователей и компьютеров, группа может содержать контакты и другие группы.

Чтобы просмотреть полный синтаксис этой команды и получить дополнительные сведения о вводе дополнительных сведений об учетной записи пользователя и группе, в командной строке введите dsmod group /?.

Преобразование группы в другой тип группы

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. В поле Открыть введите cmd.

  3. Введите следующую команду:

    dsmod group <group_dn> -secgrp {yes|no}

    Эта команда использует следующие значения:

    • group_dn указывает различающееся имя объекта группы, для которого требуется изменить тип группы.
    • {yes|no} указывает, что для типа группы задано значение группа безопасности (да) или группа рассылки (нет).

Чтобы преобразовать группу, функциональность домена должна иметь значение Windows 2000 Native или более поздней версии. Невозможно преобразовать группы, если для функциональных возможностей домена задано значение Windows 2000 Mixed.

Чтобы просмотреть полный синтаксис этой команды, в командной строке введите dsmod group /?.

Изменение область группы

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. В поле Открыть введите cmd.

  3. Введите следующую команду:

    dsmod group <group_dn> -scope {l|g|u}

    Эта команда использует следующие значения:

    • group_dn указывает различающиеся имена объекта группы, на который будет изменен область.
    • {l|g|u} указывает область, которым должна быть присвоена группа (локальная, глобальная или универсальная). Если для домена по-прежнему задано смешанное значение Windows 2000, универсальное область не поддерживается. Кроме того, невозможно преобразовать локальную группу домена в глобальную группу или наоборот.

Примечание.

Области групп можно изменять только в том случае, если для уровня работы домена задано значение Windows 2000 native или выше.

Удаление группы

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. В поле Открыть введите cmd.

  3. В командной строке введите команду dsrm <group_dn>.

    Group_dn указывает различающееся имя удаляемого объекта группы.

Примечание.

При удалении группы группа удаляется без возможности восстановления.

По умолчанию локальные группы, автоматически предоставляемые в контроллерах домена под управлением Windows Server 2003, например Администраторы и Операторы учетных записей, находятся в папке Builtin. По умолчанию общие глобальные группы, такие как "Администраторы домена" и "Пользователи домена", находятся в папке Пользователи. Вы можете добавлять или перемещать новые группы в любую папку. Корпорация Майкрософт рекомендует хранить группы в папке подразделения.

Чтобы просмотреть полный синтаксис этой команды, в командной строке введите dsrm /?.

Поиск групп, участником которых является пользователь

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. В поле Открыть введите cmd.

  3. Введите следующую команду:

    dsget user <user_dn> -memberof

    User_dn указывает различающееся имя объекта пользователя, для которого требуется отобразить членство в группе.

Чтобы просмотреть полный синтаксис этой команды, в командной строке введите dsget user /?.

Управление компьютерами

В следующих разделах приведены подробные инструкции по управлению компьютерами.

Создание учетной записи компьютера

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. В поле Открыть введите cmd.

  3. Введите следующую команду:

    dsadd computer <computer_dn>

    Computer_dn указывает различающееся имя компьютера, который требуется добавить. Различающееся имя указывает расположение папки.

Чтобы просмотреть полный синтаксис этой команды, в командной строке введите dsadd computer /?.

Чтобы изменить свойства учетной записи компьютера, используйте команду dsmod computer.

Добавление учетной записи компьютера в группу

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. В поле Открыть введите cmd.

  3. Введите следующую команду:

    dsmod group <group_dn> -addmbr <computer_dn>

    Эта команда использует следующие значения:

    • group_dn указывает различающееся имя объекта группы, в который требуется добавить объект computer.
    • computer_dn указывает различающееся имя объекта-компьютера, добавляемого в группу. Различающееся имя указывает расположение папки.

При добавлении компьютера в группу можно назначить разрешения всем учетным записям компьютеров в этой группе, а затем отфильтровать параметры групповая политика для всех учетных записей в этой группе.

Чтобы просмотреть полный синтаксис этой команды, в командной строке введите dsmod group /?.

Сброс учетной записи компьютера

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. В поле Открыть введите cmd.

  3. Введите следующую команду:

    dsmod computer <computer_dn> -reset

    В computer_dn указываются различающиеся имена одного или нескольких объектов-компьютеров, которые требуется сбросить.

    Примечание.

    При сбросе учетной записи компьютера подключение компьютера к домену прерывается. После сброса учетной записи компьютера необходимо повторно присоединиться к учетной записи компьютера домена.

Чтобы просмотреть полный синтаксис этой команды, в командной строке введите dsmod computer /? .

Отключение или включение учетной записи компьютера

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. В поле Открыть введите cmd.

  3. Введите следующую команду:

    dsmod computer <computer_dn> -disabled {yes|no}

    Эта команда использует следующие значения:

    • computer_dn указывает различающееся имя объекта-компьютера, который требуется отключить или включить.
    • {yes|no} указывает, отключен ли компьютер для входа (да) или нет (нет).

При отключении учетной записи компьютера подключение компьютера к домену прерывается, и компьютер не сможет пройти проверку подлинности в домене.

Чтобы просмотреть полный синтаксис этой команды, в командной строке введите dsmod computer /?.

Управление подразделениями

В следующих разделах приведены подробные инструкции по управлению подразделениями.

Создание подразделения

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. В поле Открыть введите cmd.

  3. Введите следующую команду:

    dsadd ou <organizational_unit_dn>

    В organizational_unit_dn указывается различающееся имя добавляемого подразделения.

Чтобы просмотреть полный синтаксис этой команды, в командной строке введите dsadd ou /?.

Примечание.

Чтобы изменить свойства подразделения, используйте dsmod ou команду .

Удаление подразделения

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. В поле Открыть введите cmd.

  3. В командной строке введите команду dsrm <organizational_unit_dn>.

    Organizational_unit_dn указывает различающееся имя удаляемого подразделения.

Чтобы просмотреть полный синтаксис этой команды, в командной строке введите dsrm /?.

Примечание.

При удалении подразделения все содержащиеся в нем объекты удаляются.

Поиск в Active Directory

В следующих разделах приведены подробные инструкции по поиску в Active Directory.

Поиск учетной записи пользователя

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. В поле Открыть введите cmd.

  3. В командной строке введите команду dsquery user <parameter>.

    Параметр указывает используемый параметр. Список параметров см. в справке по команде dsquery user в Интернете.

Чтобы просмотреть полный синтаксис этой команды, в командной строке введите dsquery user /?.

Поиск контакта

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. В поле Открыть введите cmd.

  3. В командной строке введите команду dsquery contact <parameter>.

    Параметр указывает используемый параметр. Список параметров см. в интерактивной справке по команде dsquery user.

Поиск группы

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. В поле Открыть введите cmd.

  3. В командной строке введите команду dsquery group <parameter>.

    Параметр указывает используемый параметр. Список параметров см. в интерактивной справке по команде dsquery user.

По умолчанию локальные группы, автоматически предоставляемые в контроллерах домена под управлением Windows Server 2003, например Администраторы и Операторы учетных записей, находятся в папке Builtin. По умолчанию общие глобальные группы, такие как "Администраторы домена" и "Пользователи домена", находятся в папке Пользователи. Вы можете добавлять или перемещать новые группы в любую папку. Корпорация Майкрософт рекомендует хранить группы в папке подразделения.

Поиск учетной записи компьютера

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. В поле Открыть введите cmd.

  3. В командной строке введите команду dsquery computer -name <name>.

    Имя указывает имя компьютера, по которому выполняется поиск команды. Эта команда выполняет поиск компьютеров, атрибуты имени которых (значение атрибута CN) соответствуют имени.

Чтобы просмотреть полный синтаксис этой команды, в командной строке введите dsquery computer /?.

Поиск подразделения

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. В поле Открыть введите cmd.

  3. В командной строке введите команду dsquery ou <parameter>.

    Параметр указывает используемый параметр. Список параметров см. в интерактивной справке по .dsquery ou

Чтобы просмотреть полный синтаксис этой команды, в командной строке введите dsquery ou /?.

Поиск контроллера домена

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. В поле Открыть введите cmd.

  3. В командной строке введите команду dsquery server <parameter>.

    Параметр указывает используемый параметр. Существует несколько атрибутов сервера, которые можно найти с помощью этой команды. Список параметров см. в интерактивной справке по dsquery server.

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. В поле Открыть введите cmd.

  3. В командной строке введите команду dsquery * <parameter>.

    Параметр указывает используемый параметр. С помощью этой команды можно выполнить поиск по нескольким атрибутам. Дополнительные сведения о поиске LDAP см. в разделе Комплект ресурсов Windows Server 2003.

Ссылки

Для получения дополнительных сведений о средствах командной строки служб каталогов в Windows Server 2003 нажмите кнопку Пуск, щелкните Центр справки и поддержки, а затем в поле Поиска введите средства командной строки службы каталогов.