Как использовать средства командной строки для управления объектами Active Directory в Windows Server 2003

Переводы статьи Переводы статьи
Код статьи: 322684 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

В статье описана работа со средствами командной строки службы каталогов при выполнении задач администрирования Active Directory в Windows Server 2003. Выполняемые задачи объединены в следующие группы.

Как управлять пользователями

Создание новой учетной записи пользователя

  1. В меню Пуск выберите пункт Выполнить.
  2. В поле Открыть введите команду cmd.
  3. В командной строке введите следующую команду:
    dsadd user dn_пользователя -samid имя_sam
    В команде используются следующие значения:
    • dn_пользователя обозначает различающееся имя (DN) добавляемого объекта пользователя.
    • имя_sam обозначает имя диспетчера учетных записей безопасности (SAM), являющееся уникальным для данного пользователя (например, Linda).
  4. Чтобы задать пароль учетной записи пользователя, введите следующую команду, где пароль — это пароль для учетной записи:
    dsadd user dn_пользователя -pwd пароль
ПРИМЕЧАНИЕ. Чтобы получить полные сведения о синтаксисе этой команды и дополнительных параметрах учетной записи пользователя, введите в командной строке dsadd user /?.

Сброс пароля пользователя

  1. В меню Пуск выберите пункт Выполнить.
  2. В поле Открыть введите команду cmd.
  3. В командной строке введите следующую команду:
    dsmod user dn_пользователя -pwd новый_пароль
    В этой команде используются следующие значения:
    • dn_пользователя обозначает различающееся имя пользователя, чей пароль будет сброшен.
    • новый_пароль обозначает новый пароль, который будет использоваться вместо текущего пароля
  4. Чтобы при следующем входе в систему пользователю было предложено изменить этот пароль, выполните следующую команду:
    dsmod user dn_пользователя -mustchpwd {yes|no}
ПРИМЕЧАНИЕ. Если пароль не задан, то при попытке ввести пустой пароль при первом входе в систему выведется следующее сообщение:
Необходимо изменить пароль при первом входе в систему
После изменения пароля вход в систему будет продолжен.

Если пароль текущей учетной записи пользователя изменен, необходимо перезапустить службы, доступ к которым предоставлялся по старому паролю.

ПРИМЕЧАНИЕ. Чтобы получить полные сведения о синтаксисе этой команды и дополнительных параметрах учетной записи пользователя, введите в командной строке dsmod user /?.

Отключение и включение учетной записи пользователя

  1. В меню Пуск выберите пункт Выполнить.
  2. В поле Открыть введите команду cmd.
  3. В командной строке введите следующую команду:
    dsmod user dn_пользователя -disabled {yes|no}
    В этой команде используются следующие значения:
    • dn_пользователя обозначает различающееся имя отключаемого или включаемого объекта пользователя.
    • {yes|no}определяет, будет ли для учетной записи пользователя отключен вход в систему (yes) или нет (no).
ПРИМЕЧАНИЕ. В качестве меры безопасности, чтобы запретить пользователю вход в систему, можно отключить учетную запись пользователя вместо ее удаления. При отключении учетных записей пользователей, принадлежащих к общей группе, используйте отключенные учетные записи в качестве шаблонов для создания новых учетных записей.

Удаление учетной записи пользователя

  1. В меню Пуск выберите пункт Выполнить.
  2. В поле Открыть введите команду cmd.
  3. В командной строке введите следующую команду, где dn_пользователя обозначает различающееся имя удаляемого объекта пользователя:
    dsrm dn_пользователя
После удаления учетной записи пользователя все связанные с ней разрешения и сведения о ее принадлежности к группам будут безвозвратно удалены. Идентификатор безопасности для каждой учетной записи уникален, поэтому разрешения удаленных учетных записей и сведения об их принадлежности к группам не передаются новым записям с тем же именем. Чтобы создать копию удаленной учетной записи, восстановите все ее разрешения и принадлежность к группам вручную.

ПРИМЕЧАНИЕ. Чтобы получить полные сведения о синтаксисе этой команды и дополнительных параметрах учетной записи пользователя, введите в командной строке dsrm /?.

Как управлять группами

Создание новой группы

  1. В меню Пуск выберите пункт Выполнить.
  2. В поле Открыть введите команду cmd.
  3. В командной строке введите следующую команду:
    dsadd group dn_группы -samid имя_sam -secgrp yes | no -scope l | g | u
    В этой команде используются следующие значения:
    • dn_группы обозначает различающееся имя добавляемого объекта группы.
    • имя_sam обозначает имя диспетчера учетных записей безопасности, уникальное для данной группы (например, operators).
    • yes | no определяет, будет ли добавляемая группа группой безопасности (yes) или группой рассылки (no).
    • l | g | u указывает область действия добавляемой группы (локальная группа домена [l], глобальная [g] или универсальная [u]).
Если домен, в котором создается группа, работает в смешанном режиме Windows 2000, то выбрать можно только группы безопасности с областью действия в пределах домена или глобальной областью действия.

Чтобы получить полные сведения о синтаксисе этой команды и дополнительных параметрах группы, введите в командной строке dsadd group /?.

Добавление члена в группу

  1. В меню Пуск выберите пункт Выполнить.
  2. В поле Открыть введите команду cmd.
  3. В командной строке введите следующую команду:
    dsmod group dn_группы -addmbr dn_члена
    В этой команде используются следующие значения:
    • dn_группы обозначает различающееся имя добавляемого объекта группы.
    • dn_члена обозначает различающееся имя объекта, добавляемого в группу.
Кроме пользователей и компьютеров в состав группы могут быть входить контакты и другие группы.

Чтобы получить полные сведения о синтаксисе этой команды и дополнительных параметрах групп и учетных записей пользователей, выполните из командной строки команду dsmod group /?.

Преобразование типа группы

  1. В меню Пуск выберите пункт Выполнить.
  2. В поле Открыть введите команду cmd.
  3. В командной строке введите следующую команду:
    dsmod group dn_группы -secgrp {yes|no}
    В этой команде используются следующие значения:
    • group_dn обозначает различающееся имя объекта группы, тип которой будет изменен.
    • {yes|no} определяет, будет ли группа отнесена к категории групп безопасности (yes) или групп рассылки (no).
Для преобразования группы домен должен работать в основном режиме Windows 2000 или более поздней версии. Преобразование групп невозможно, если домен работает в смешанном режиме Windows 2000.

Чтобы получить полные сведения о синтаксисе этой команды, введите в командной строке dsmod group /?.

Изменение области действия группы

  1. В меню Пуск выберите пункт Выполнить.
  2. В поле Открыть введите команду cmd.
  3. В командной строке введите следующую команду:
    dsmod group dn_группы -scope l|g|u
    В этой команде используются следующие значения:
    • dn_группы обозначает различающееся имя объекта группы, область действия которого будет изменена.
    • l|g|u обозначает область действия, присваиваемую данной группе (локальную, глобальную или универсальную). В доменах, работающих в смешанном режиме Windows 2000, универсальная область действия не поддерживается. Преобразование локальной группы домена в глобальную или наоборот невозможно.
    ПРИМЕЧАНИЕ. Изменение областей действия групп возможно только для доменов, работающих в основном режиме Windows 2000 или более поздней версии.

Удаление группы

  1. В меню Пуск выберите пункт Выполнить.
  2. В поле Открыть введите команду cmd.
  3. В командной строке введите следующую команду:
    dsrm dn_группы
    В этой команде используется следующее значение:
    • dn_группы обозначает различающееся имя удаляемого объекта группы.
ПРИМЕЧАНИЕ. При удалении группы она удаляется безвозвратно.

По умолчанию локальные группы «Администраторы» и «Операторы учета», автоматически создаваемые на контроллерах доменов Windows Server 2003, помещаются в папку Builtin. По умолчанию общие глобальные группы, например «Администраторы домена» и «Пользователи домена», находятся в папке «Пользователи». Новые группы можно добавлять или перемещать в любую папку. Корпорация Майкрософт рекомендует хранить группы в папках подразделений.

Чтобы получить полные сведения о синтаксисе этой команды, введите в командной строке dsrm /?.

Определение принадлежности пользователя к группам

  1. В меню Пуск выберите пункт Выполнить.
  2. В поле Открыть введите команду cmd.
  3. В командной строке введите следующую команду:
    dsmod user dn_пользователя -memberof
    В этой команде используются следующие значения:
    • dn_пользователя обозначает различающееся имя объекта пользователя, для которого будет показана принадлежность к группам.
Чтобы получить полные сведения о синтаксисе этой команды, введите в командной строке dsget user /?.

Как управлять компьютерами

Создание новой учетной записи компьютера

  1. В меню Пуск выберите пункт Выполнить.
  2. В поле Открыть введите команду cmd.
  3. В командной строке введите следующую команду:
    dsadd computer dn_компьютера
    В этой команде используются следующие значения:
    • dn_компьютера обозначает различающееся имя добавляемого компьютера Различающимся именем будет путь к папке.
Чтобы получить полные сведения о синтаксисе этой команды, введите в командной строке dsadd computer /?.

Чтобы изменить свойства учетной записи компьютера, пользуйтесь командой dsmod computer .

Добавление учетной записи компьютера в группу

  1. В меню Пуск выберите пункт Выполнить.
  2. В поле Открыть введите команду cmd.
  3. В командной строке введите следующую команду:
    dsmod group dn_группы -addmbr dn_компьютера
    В этой команде используются следующие значения:
    • dn_группы обозначает различающееся имя объекта группы, в которую будет добавлен объект компьютера.
    • dn_компьютера обозначает различающееся имя объекта компьютера, добавляемого в группу. Его различающимся именем будет путь к папке.
При добавлении компьютера к группе можно задать разрешения для всех учетных записей компьютеров этой группы, а затем отфильтровать параметры групповой политики для всех учетных записей этой группы.

Чтобы получить полные сведения о синтаксисе этой команды, введите в командной строке dsmod group /?.

Сброс учетной записи компьютера

  1. В меню Пуск выберите пункт Выполнить.
  2. В поле Открыть введите команду cmd.
  3. В командной строке введите следующую команду:
    dsmod computer dn_компьютера -reset
    В этой команде используется следующее значение:
    • dn_компьютера обозначает различающиеся имена одного или нескольких объектов компьютера, которые будут сброшены.
ПРИМЕЧАНИЕ. При сбросе учетной записи компьютера подключение компьютера к домену разрывается. После сброса учетной записи компьютера свяжите ее с учетной записью компьютера домена.

Чтобы получить полные сведения о синтаксисе этой команды, введите в командной строке dsmod computer /?.

Отключение и включение учетной записи компьютера

  1. В меню Пуск выберите пункт Выполнить.
  2. В поле Открыть введите команду cmd.
  3. В командной строке введите следующую команду:
    dsmod computer dn_компьютера -disabled {yes|no}
    В этой команде используются следующие значения:
    • dn_компьютера обозначает различающееся имя объекта компьютера, который необходимо включить или отключить.
    • {yes|no} показывает, будет ли для компьютера отключен вход в систему (yes) или нет (no).
При отключении учетной записи компьютера подключение компьютера к домену разрывается, и компьютер не может проходить проверку подлинности в домене.

Чтобы получить полные сведения о синтаксисе этой команды, введите в командной строке dsmod computer /?.

Как управлять подразделениями

Создание нового подразделения

  1. В меню Пуск выберите пункт Выполнить.
  2. В поле Открыть введите команду cmd.
  3. В командной строке введите следующую команду:
    dsadd ou dn_подразделения
    В этой команде используется следующее значение:
    • dn_подразделения обозначает различающееся имя добавляемого подразделения.
Чтобы получить полные сведения о синтаксисе этой команды, введите в командной строке dsadd ou /?.

ПРИМЕЧАНИЕ. Чтобы изменить свойства подразделения, выполните команду dsmod ou .

Удаление подразделения

  1. В меню Пуск выберите пункт Выполнить.
  2. В поле Открыть введите команду cmd.
  3. В командной строке введите следующую команду:
    dsrm dn_подразделения
    В этой команде используется следующее значение:
    • dn_подразделения обозначает различающееся имя удаляемого подразделения.
    Чтобы получить полные сведения о синтаксисе этой команды, введите в командной строке команду dsrm /?.

    ПРИМЕЧАНИЕ. При удалении подразделения происходит удаление всех входящих в него объектов.

Как выполнять поиск в Active Directory

Поиск учетной записи пользователя

  1. В меню Пуск выберите пункт Выполнить.
  2. В поле Открыть введите команду cmd.
  3. В командной строке введите следующую команду:
    dsquery user параметр
    В этой команде используются следующие значения:
    • параметр обозначает используемый параметр. Список параметров команды dsquery user см. в справочной системе программы.
Чтобы получить полные сведения о синтаксисе этой команды, введите в командной строке dsquery user /?.

Поиск контакта

  1. В меню Пуск выберите пункт Выполнить.
  2. В поле Открыть введите команду cmd.
  3. В командной строке введите следующую команду:
    dsquery contact параметр
    В этой команде используются следующие значения:
    • параметр обозначает используемый параметр. Список параметров команды dsquery user см. в справочной системе программы.

Поиск группы

  1. В меню Пуск выберите пункт Выполнить.
  2. В поле Открыть введите команду cmd.
  3. В командной строке введите следующую команду:
    dsquery group параметр
    В этой команде используются следующие значения:
    • параметр обозначает используемый параметр. Список параметров команды dsquery user см. в справочной системе программы.
По умолчанию локальные группы «Администраторы» и «Операторы учета», автоматически создаваемые на контроллерах доменов Windows Server 2003, помещаются в папку Builtin. По умолчанию общие глобальные группы, например «Администраторы домена» и «Пользователи домена», находятся в папке «Пользователи». Новые группы можно добавлять или перемещать в любую папку. Корпорация Майкрософт рекомендует хранить группы в папках подразделений.

Поиск учетной записи компьютера

  1. В меню Пуск выберите пункт Выполнить.
  2. В поле Открыть введите команду cmd.
  3. В командной строке введите следующую команду:
    dsquery computer -name имя
    В этой команде используется следующее значение:
    • имя обозначает имя искомого компьютера. Данная команда выполняет поиск компьютеров, атрибуты имени (значения атрибута CN) которых совпадают со значением имя.
Чтобы получить полные сведения о синтаксисе этой команды, введите в командной строке dsquery computer /?.

Поиск подразделения

  1. В меню Пуск выберите пункт Выполнить.
  2. В поле Открыть введите команду cmd.
  3. В командной строке введите следующую команду:
    dsquery ou параметр
    В этой команде используется следующее значение:
    • параметр обозначает используемый параметр. Список параметров команды dsquery ou см. в справке программы.
Чтобы получить полные сведения о синтаксисе этой команды, введите в командной строке dsquery ou /?.

Поиск контроллера домена

  1. В меню Пуск выберите пункт Выполнить.
  2. В поле Открыть введите команду cmd.
  3. В командной строке введите следующую команду:
    dsquery server параметр
    В этой команде используются следующие значения:
    • параметр обозначает используемый параметр. С помощью этой команды можно находить различные атрибуты сервера. Список параметров для команды dsquery server см. в справке программы.

Настраиваемый поиск

  1. В меню Пуск выберите пункт Выполнить.
  2. В поле Открыть введите команду cmd.
  3. В командной строке введите следующую команду:
    dsquery * параметр
    В этой команде используется следующее значение:
    • параметр обозначает используемый параметр. Эта команда позволяет выполнять поиск по нескольким атрибутам. Дополнительные сведения об операциях поиска LDAP см. в описании Windows Server 2003 Resource Kit.

Ссылки

Чтобы получить дополнительные сведения о средствах командной строки служб каталогов Windows Server 2003, нажмите кнопку Пуск, выберите команду Центр справки и поддержки и введите текст «служба каталогов» «командная строка» в поле Найти.

Свойства

Код статьи: 322684 - Последний отзыв: 3 декабря 2007 г. - Revision: 8.3
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Ключевые слова: 
kbhowtomaster kbactivedirectory KB322684

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com