HOW TO:在 Windows Server 2003 中使用目录服务命令行工具管理 Active Directory 对象

文章翻译 文章翻译
文章编号: 322684 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

本文介绍在 Windows Server 2003 中如何使用目录服务命令行工具为 Active Directory 执行管理任务。下列任务被分为几个任务组。

如何管理用户

创建新用户帐户

  1. 单击开始,然后单击运行
  2. 打开框中,键入 cmd
  3. 在命令提示符处,键入以下命令:
    dsadd user userdn -samid sam_name
    此命令使用以下值:
    • userdn 指定要添加的用户对象的辨别名称(也称为 DN)。
    • sam_name 指定用作该用户的唯一安全帐户管理器 (SAM) 帐户名的 SAM 名称(如 Linda)。
  4. 要指定用户帐户密码,请执行以下命令,其中,password 是要用于用户帐户的密码:
    dsadd user userdn -pwd password
注意:要查看该命令的完整语法并获得有关输入更多用户帐户信息的详细信息,请在命令提示符处键入 dsadd user /?

重置用户密码

  1. 单击开始,然后单击运行
  2. 打开框中,键入 cmd
  3. 在命令提示符处,键入以下命令:
    dsmod user user_dn -pwd new_password
    此命令使用以下值:
    • user_dn 指定要为其重置密码的用户的辨别名称。
    • new_password 指定将替换当前用户密码的密码。
  4. 如果打算要求用户在下次登录过程中更改此密码,请键入以下命令:
    dsmod user user_dn -mustchpwd {yes|no}
注意:如果不指定密码,当用户第一次尝试登录(使用空白密码)时,会显示以下登录消息:
You are required to change your password at first logon
用户更改密码后,登录过程将继续进行。

如果某个用户帐户的密码已更改,则您必须重置通过该用户帐户进行身份验证的服务。

注意:要查看该命令的完整语法并获得有关输入更多用户帐户信息的详细信息,请在命令提示符处键入 dsmod user /?

禁用或启用用户帐户

  1. 单击开始,然后单击运行
  2. 打开框中,键入 cmd
  3. 在命令提示符处,键入以下命令:
    dsmod user user_dn -disabled {yes|no}
    此命令使用以下值:
    • user_dn 指定要禁用或启用的用户对象的辨别名称。
    • {yes|no} 指定是禁止 (yes) 还是允许 (no) 使用该用户帐户登录。
注意:作为一项安全措施,您可以通过禁用用户帐户来阻止特定用户登录,而不是删除该用户帐户。如果禁用具有通用组成员身份的用户帐户,则可以将被禁用的用户帐户作为帐户模板,以简化用户帐户的创建。

删除用户帐户

  1. 单击开始,然后单击运行
  2. 打开框中,键入 cmd
  3. 在命令提示符处键入以下命令,其中 user_dn 指定要删除的用户对象的辨别名称:
    dsrm user_dn
删除某个用户帐户后,与该用户帐户关联的所有权限和成员身份都将被永久删除。由于每个帐户的安全标识符 (SID) 都是唯一的,因此,如果创建的新用户帐户具有和以前删除的用户帐户相同的名称,新帐户不会自动采用以前删除的帐户的权限和成员身份。要复制已删除的用户帐户,您必须手动重新创建所有权限和成员身份。

注意:要查看该命令的完整语法并获得有关输入更多用户帐户信息的详细信息,请在命令提示符处键入 dsrm /?

如何管理组

创建新组

  1. 单击开始,然后单击运行
  2. 打开框中,键入 cmd
  3. 在命令提示符处,键入以下命令:
    dsadd group group_dn -samid sam_name -secgrp yes | no -scope l | g | u
    此命令使用以下值:
    • group_dn 指定要添加的组对象的辨别名称。
    • sam_name 指定用作该组的唯一 SAM 帐户名的 SAM 名称(如 operators)。
    • yes | no 指定要添加的组是安全组 (yes) 还是分发组 (no)。
    • l | g | u 指定要添加的组的作用域(本地域 [l],全局域 [g] 或通用域 [u])。
如果将您在其中创建组的域设置为 Windows 2000 混合模式的域功能级别,则可以只选择具有本地域作用域或全局域作用域的安全组。

要查看该命令的完整语法并获得有关输入更多组信息的详细信息,请在命令提示符处键入 dsadd group /?

添加组成员

  1. 单击开始,然后单击运行
  2. 打开框中,键入 cmd
  3. 在命令提示符处,键入以下命令:
    dsmod group group_dn -addmbr member_dn
    此命令使用以下值:
    • group_dn 指定要添加的组对象的辨别名称。
    • member_dn 指定要添加到组中的对象的辨别名称。
除用户和计算机外,组中还可以包含联系人和其他组。

要查看该命令的完整语法并获得有关输入更多用户帐户和组信息的详细信息,请在命令提示符处键入 dsmod group /?

转换组类型

  1. 单击开始,然后单击运行
  2. 打开框中,键入 cmd
  3. 在命令提示符处,键入以下命令:
    dsmod group group_dn -secgrp {yes|no}
    此命令使用以下值:
    • group_dn 指定要更改其组类型的组对象的辨别名称。
    • {yes|no} 指定要将组类型设置为安全组 (yes) 还是分发组 (no)。
要转换组,必须将域功能设置为 Windows 2000 纯模式或更高级别。域功能设置为 Windows 2000 混合模式时无法转换组。

要查看该命令的完整语法,请在命令提示符处键入 dsmod group /?

更改组作用域

  1. 单击开始,然后单击运行
  2. 打开框中,键入 cmd
  3. 在命令提示符处,键入以下命令:
    dsmod group group_dn -scope l|g|u
    此命令使用以下值:
    • group_dn 指定要更改其作用域的组对象的辨别名称。
    • l|g|u 指定要设置的组作用域(本地、全局或通用)。如果仍将域设置为 Windows 2000 混合模式,则不支持通用作用域。另外,也无法将域本地组转换为全局组,反之亦然。
    注意:仅当域功能级别设置为 Windows 2000 纯模式或更高时,才可能更改组作用域。

删除组

  1. 单击开始,然后单击运行
  2. 打开框中,键入 cmd
  3. 在命令提示符处,键入以下命令:
    dsrm group_dn
    此命令使用以下值:
    • group_dn 指定要删除的组对象的辨别名称。
注意:如果删除该组,该组将被永久移除。

默认情况下,运行 Windows Server 2003 的域控制器中自动提供的本地组(如 Administrators 和 Account Operators)位于 Builtin 文件夹中。默认情况下,通用全局组(如 Domain Admins 和 Domain Users)位于 Users 文件夹中。您可以向任一文件夹中添加或移动新组。Microsoft 建议您将组保存在组织单位文件夹中。

要查看该命令的完整语法,请在命令提示符处键入 dsrm /?

查找用户所属的组

  1. 单击开始,然后单击运行
  2. 打开框中,键入 cmd
  3. 在命令提示符处,键入以下命令:
    dsget user user_dn -memberof
    此命令使用以下值:
    • user_dn 指定要显示它的组成员身份的用户对象的辨别名称。
要查看该命令的完整语法,请在命令提示符处键入 dsget user /?

如何管理计算机

创建新的计算机帐户

  1. 单击开始,然后单击运行
  2. 打开框中,键入 cmd
  3. 在命令提示符处,键入以下命令:
    dsadd computer computer_dn
    此命令使用以下值:
    • computer_dn 指定要添加的计算机的辨别名称。此辨别名称指示文件夹位置。
要查看该命令的完整语法,请在命令提示符处键入 dsadd computer /?

要修改计算机帐户的属性,请使用 dsmod computer 命令。

向组中添加计算机帐户

  1. 单击开始,然后单击运行
  2. 打开框中,键入 cmd
  3. 在命令提示符处,键入以下命令:
    dsmod group group_dn -addmbr computer_dn
    此命令使用以下值:
    • group_dn 指定要向其中添加计算机对象的组对象的辨别名称。
    • computer_dn 指定要添加到组中的计算机对象的辨别名称。此辨别名称指示文件夹位置。
向组中添加计算机时,您可以为该组中的所有计算机帐户分配权限,然后筛选该组中所有帐户上的组策略设置。

要查看该命令的完整语法,请在命令提示符处键入 dsmod group /?

重置计算机帐户

  1. 单击开始,然后单击运行
  2. 打开框中,键入 cmd
  3. 在命令提示符处,键入以下命令:
    dsmod computer computer_dn -reset
    此命令使用以下值:
    • computer_dn 指定要重置的一个或多个计算机对象的辨别名称。
注意:重置计算机帐户时,计算机与域的连接会中断。完成重置后,您必须将计算机帐户重新加入域计算机帐户。

要查看该命令的完整语法,请在命令提示符处键入 dsmod computer /?

禁用或启用计算机帐户

  1. 单击开始,然后单击运行
  2. 打开框中,键入 cmd
  3. 在命令提示符处,键入以下命令:
    dsmod computer computer_dn -disabled {yes|no}
    此命令使用以下值:
    • computer_dn 指定要禁用或启用的计算机对象的辨别名称。
    • {yes|no} 指定是禁止 (yes) 还是允许 (no) 该计算机登录。
当禁用某个计算机帐户时,该计算机与域的连接会中断,因此该计算机无法验证到域。

要查看该命令的完整语法,请在命令提示符处键入 dsmod computer /?

如何管理组织单位

创建新的组织单位

  1. 单击开始,然后单击运行
  2. 打开框中,键入 cmd
  3. 在命令提示符处,键入以下命令:
    dsadd ou organizational_unit_dn
    此命令使用以下值:
    • organizational_unit_dn 指定要添加的组织单位的辨别名称。
要查看该命令的完整语法,请在命令提示符处键入 dsadd ou /?

注意:要修改组织单位的属性,请使用 dsmod ou 命令。

删除组织单位

  1. 单击开始,然后单击运行
  2. 打开框中,键入 cmd
  3. 在命令提示符处,键入以下命令:
    dsrm organizational_unit_dn
    此命令使用以下值:
    • organizational_unit_dn 指定要删除的组织单位的辨别名称。
    要查看该命令的完整语法,请在命令提示符处键入 dsrm /?

    注意:如果删除某个组织单位,则其中包含的所有对象都将被删除。

如何搜索 Active Directory

查找用户帐户

  1. 单击开始,然后单击运行
  2. 打开框中,键入 cmd
  3. 在命令提示符处,键入以下命令:
    dsquery user parameter
    此命令使用以下值:
    • parameter 指定要使用的参数。要获取参数列表,请参阅联机帮助中的 dsquery user 命令。
要查看该命令的完整语法,请在命令提示符处键入 dsquery user /?

查找联系人

  1. 单击开始,然后单击运行
  2. 打开框中,键入 cmd
  3. 在命令提示符处,键入以下命令:
    dsquery contact parameter
    此命令使用以下值:
    • parameter 指定要使用的参数。要获取参数列表,请参阅联机帮助中的 dsquery user 命令。

查找组

  1. 单击开始,然后单击运行
  2. 打开框中,键入 cmd
  3. 在命令提示符处,键入以下命令:
    dsquery group parameter
    此命令使用以下值:
    • parameter 指定要使用的参数。要获取参数列表,请参阅联机帮助中的 dsquery user 命令。
默认情况下,运行 Windows Server 2003 的域控制器中自动提供的本地组(如 Administrators 和 Account Operators)位于 Builtin 文件夹中。默认情况下,通用全局组(如 Domain Admins 和 Domain Users)位于 Users 文件夹中。您可以向任一文件夹中添加或移动新组。Microsoft 建议您将组保存在组织单位文件夹中。

查找计算机帐户

  1. 单击开始,然后单击运行
  2. 打开框中,键入 cmd
  3. 在命令提示符处,键入以下命令:
    dsquery computer -name name
    此命令使用以下值:
    • name 指定该命令要搜索的计算机名称。该命令将搜索其名称属性(CN 属性的值)与 name 相匹配的计算机。
要查看该命令的完整语法,请在命令提示符处键入 dsquery computer /?

查找组织单位

  1. 单击开始,然后单击运行
  2. 打开框中,键入 cmd
  3. 在命令提示符处,键入以下命令:
    dsquery ou parameter
    此命令使用以下值:
    • parameter 指定要使用的参数。要获取参数列表,请参阅联机帮助中的 dsquery ou
要查看该命令的完整语法,请在命令提示符处键入 dsquery ou /?

查找域控制器

  1. 单击开始,然后单击运行
  2. 打开框中,键入 cmd
  3. 在命令提示符处,键入以下命令:
    dsquery server parameter
    此命令使用以下值:
    • parameter 指定要使用的参数。通过使用该命令,您可以搜索多个服务器属性。要获取参数列表,请参阅联机帮助中的 dsquery server

执行自定义搜索

  1. 单击开始,然后单击运行
  2. 打开框中,键入 cmd
  3. 在命令提示符处,键入以下命令:
    dsquery * parameter
    此命令使用以下值:
    • parameter 指定要使用的参数。通过使用该命令,您可以搜索多个属性。有关 LDAP 搜索的更多信息,请参阅 Windows Server 2003 Resource Kit。

参考

有关 Windows Server 2003 中的目录服务命令行工具的其他信息,请单击开始,单击帮助和支持中心,然后在搜索框中键入 "目录服务" "命令行" 工具

属性

文章编号: 322684 - 最后修改: 2007年12月3日 - 修订: 8.2
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
关键字:?
kbhowtomaster kbactivedirectory KB322684
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com