Jak spravovat objekty služby Active Directory v systému Windows Server 2003 pomocí nástroje příkazového řádku adresářové služby

Souhrn

Tento článek popisuje použití nástroje příkazového řádku adresářové služby k provedení úloh správy služby Active Directory v systému Windows Server 2003. Následující úkoly jsou rozděleny do skupin úkolů.


Jak lze spravovat uživatele

Vytvoření nového uživatelského účtu

  1. Klepněte na tlačítko Start a potom klepněte na příkaz Spustit.
  2. Do pole Otevřít zadejte příkaz cmd.
  3. Na příkazovém řádku zadejte následující příkaz:
    dsadd user Rozlišující_uživatelské_jméno - samid sam_name
    V tomto příkazu se používají následující hodnoty:
    • Rozlišující_uživatelské_jméno Určuje rozlišující název objektu uživatele, který chcete přidat (označované také jako DN).
    • sam_name určuje správce účtů zabezpečení (SAM) název použit jako jedinečný název účtu SAM pro tohoto uživatele (například Lenka).
  4. Chcete-li určit heslo uživatelského účtu, zadejte následující příkaz, kde heslo je heslo, které má být použita pro uživatelský účet:
    dsadd user Rozlišující_uživatelské_jméno - pwd heslo
Poznámka: Chcete-li zobrazit úplnou syntaxi tohoto příkazu a získat další informace o zadání více údajů o uživatelském účtu na příkazovém řádku zadejte dsadd user /?.

Obnovení hesla uživatele

  1. Klepněte na tlačítko Start a potom klepněte na příkaz Spustit.
  2. Do pole Otevřít zadejte příkaz cmd.
  3. Na příkazovém řádku zadejte následující příkaz:
    dsmod user user_dn - pwd nové_heslo
    Tento příkaz používá následující hodnoty:
    • user_dn Určuje rozlišující název uživatele, pro které se obnovení hesla.
    • nové_heslo Určuje heslo, které nahradí aktuální heslo uživatele
  4. Pokud chcete vyžadují uživatel změnit heslo při příštím přihlášení, zadejte následující příkaz:
    dsmod user user_dn - mustchpwd {Ano | žádné}
Poznámka: Pokud není přiřazeno heslo, při prvním pokusu uživatele o přihlášení (pomocí prázdného hesla), se zobrazí následující zpráva přihlášení:
Je nutné změnit heslo při prvním přihlášení
Poté, co uživatel změnil heslo, přihlašování pokračuje.

Je nutné obnovit služby ověřované pomocí uživatelského účtu, pokud se změní heslo pro účet uživatele daných služeb.

Poznámka: Chcete-li zobrazit úplnou syntaxi tohoto příkazu a získat další informace o zadání více údajů o uživatelském účtu na příkazovém řádku zadejte dsmod user /?.

Zakázání nebo povolení uživatelského účtu

  1. Klepněte na tlačítko Start a potom klepněte na příkaz Spustit.
  2. Do pole Otevřít zadejte příkaz cmd.
  3. Na příkazovém řádku zadejte následující příkaz:
    dsmod user user_dn -zakázáno {Ano | žádné}
    Tento příkaz používá následující hodnoty:
    • user_dn Určuje rozlišující název objektu uživatele, který má být zakázán nebo povolen.
    • {Ano | žádné}Určuje, zda uživatelský účet je zakázáno přihlášení (Ano) nebo není (no).
Poznámka: jako bezpečnostní opatření, místo odstranění účtu tohoto uživatele můžete zakázat uživatelské účty chcete-li zabránit přihlášení určitého uživatele. Pokud zakážete uživatelské účty, které mají společné členství ve skupinách, je zakázaných uživatelských účtů používat jako šablony účtů, což zjednodušuje vytváření uživatelských účtů.


Odstranění uživatelského účtu

  1. Klepněte na tlačítko Start a potom klepněte na příkaz Spustit.
  2. Do pole Otevřít zadejte příkaz cmd.
  3. Na příkazovém řádku zadejte následující příkaz, kde
    user_dn Určuje rozlišující název objektu uživatele, který má být odstraněn:
    režim obnovení adresářových služeb user_dn
Po odstranění uživatelský účet všechna oprávnění a členství související s daným účtem uživatele jsou trvale odstraněny. Protože je identifikátor zabezpečení (SID) pro každý účet jedinečný, je-li vytvořit nový uživatelský účet se stejným názvem jako dříve odstraněný uživatelský účet na nový účet nepřebírá automaticky oprávnění a členství předchozího odstraněného účtu. Chcete-li duplikovat odstraněný uživatelský účet, je nutné ručně znovu vytvořit všechna oprávnění a členství.

Poznámka: Chcete-li zobrazit úplnou syntaxi tohoto příkazu a získat další informace o zadání více údajů o uživatelském účtu na příkazovém řádku zadejte dsrm /?.

Správa skupin

Vytvoření nové skupiny

  1. Klepněte na tlačítko Start a potom klepněte na příkaz Spustit.
  2. Do pole Otevřít zadejte příkaz cmd.
  3. Na příkazovém řádku zadejte následující příkaz:
    dsadd group - samid group_dn sam_name - secgrp Ano | Ne - obor l | g | u
    Tento příkaz používá následující hodnoty:
    • group_dn Určuje rozlišující název objektu skupiny, který chcete přidat.
    • sam_name Určuje název SAM, který je jedinečný název účtu SAM pro tuto skupinu (například operátoři).
    • Ano | č Určuje, zda skupiny, kterou chcete přidat (Ano) je skupina zabezpečení nebo distribuční skupinu (ne).
    • l | g | u určuje rozsah skupiny, kterou chcete přidat (místní domény [l], globální (g) nebo univerzální [u]).
Pokud doména, ve které vytváříte skupinu, nastavena na úroveň funkčnosti domény že Windows 2000 pracující v kombinovaném, můžete vybrat pouze skupiny zabezpečení s rozsahy místní domény nebo globální obory.

Chcete-li zobrazit úplnou syntaxi tohoto příkazu a získat další informace o zadání další informace o skupině, na příkazovém řádku zadejte skupiny dsadd /?.

Přidání člena do skupiny

  1. Klepněte na tlačítko Start a potom klepněte na příkaz Spustit.
  2. Do pole Otevřít zadejte příkaz cmd.
  3. Na příkazovém řádku zadejte následující příkaz:
    dsmod skupiny group_dn - addmbr member_dn
    Tento příkaz používá následující hodnoty:
    • group_dn Určuje rozlišující název objektu skupiny, který chcete přidat.
    • member_dn Určuje rozlišující název objektu, který chcete přidat do skupiny.
Kromě uživatelů a počítačů může skupina obsahovat kontakty a další skupiny.

Chcete-li zobrazit úplnou syntaxi tohoto příkazu a získat další informace o zadávání více účtů a skupiny informace o uživateli na příkazovém řádku zadejte skupiny dsmod /?.

Převedení skupiny na jiný typ skupiny

  1. Klepněte na tlačítko Start a potom klepněte na příkaz Spustit.
  2. Do pole Otevřít zadejte příkaz cmd.
  3. Na příkazovém řádku zadejte následující příkaz:
    dsmod group group_dn - secgrp {Ano | žádné}
    Tento příkaz používá následující hodnoty:
    • group_dn Určuje rozlišující název objektu skupiny, pro který chcete změnit typ skupiny.
    • {Ano | žádné} Určuje, že je nastaven typ skupiny na skupinu zabezpečení (Ano) nebo distribuční skupinu (ne).
Chcete-li převést skupinu, musí být nastavena funkce domény na Nativní režim systému Windows 2000 nebo vyšší. Skupiny nelze převést, pokud je funkčnost domény nastavena na Systém Windows 2000 smíšené.

Chcete-li zobrazit úplnou syntaxi pro tento příkaz na příkazovém řádku, zadejte skupiny dsmod /?.

Změna rozsahu skupiny

  1. Klepněte na tlačítko Start a potom klepněte na příkaz Spustit.
  2. Do pole Otevřít zadejte příkaz cmd.
  3. Na příkazovém řádku zadejte následující příkaz:
    dsmod skupiny group_dn -obor l | g | u
    Tento příkaz používá následující hodnoty:
    • group_dn Určuje rozlišující názvy objektu skupiny, do které se změnil rozsah.
    • l | g | u Určuje obor, který skupině je třeba nastavit (místní, globální nebo univerzální). Pokud domény je stále nastavena na že kombinovaný režim systému Windows 2000, nebude univerzální rozsah není podporován. Také není možné převést místní doménovou skupinu na globální skupinu nebo naopak.
    Poznámka: rozsahy skupin lze změnit pouze v případě, že úroveň funkčnosti domény nastavena na nativní režim systému Windows 2000 nebo vyšší.

Odstranění skupiny

  1. Klepněte na tlačítko Start a potom klepněte na příkaz Spustit.
  2. Do pole Otevřít zadejte příkaz cmd.
  3. Na příkazovém řádku zadejte následující příkaz:
    režim obnovení adresářových služeb group_dn
    Tento příkaz používá následující hodnotu:
    • group_dn Určuje rozlišující název objektu skupiny, který chcete odstranit.
Poznámka: Pokud odstraníte skupinu, skupina bude trvale odstraněn.


Místní skupiny, které jsou automaticky k dispozici v řadičích domény se systémem Windows Server 2003, například Administrators a Account Operators jsou ve výchozím nastavení umístěny ve složce Builtin. Ve výchozím nastavení společné globální skupiny, jako je například Domain Admins a Domain Users, jsou umístěny ve složce uživatelé. Můžete přidat nebo přesunout nové skupiny do libovolné složky. Společnost Microsoft doporučuje ponechat skupiny do složky organizační jednotky.

Chcete-li zobrazit úplnou syntaxi pro tento příkaz na příkazovém řádku, zadejte dsrm /?.

Vyhledání skupin, jejichž členem je uživatel

  1. Klepněte na tlačítko Start a potom klepněte na příkaz Spustit.
  2. Do pole Otevřít zadejte příkaz cmd.
  3. Na příkazovém řádku zadejte následující příkaz:
    dsget user user_dn - memberof
    Tento příkaz používá následující hodnotu:
    • user_dn Určuje rozlišující název objektu uživatele, pro který chcete zobrazit členství ve skupině.
Chcete-li zobrazit úplnou syntaxi pro tento příkaz na příkazovém řádku, zadejte dsget user /?.

Správa počítačů

Vytvoření nového účtu počítače

  1. Klepněte na tlačítko Start a potom klepněte na příkaz Spustit.
  2. Do pole Otevřít zadejte příkaz cmd.
  3. Na příkazovém řádku zadejte následující příkaz:
    dsadd počítač computer_dn
    Tento příkaz používá následující hodnotu:
    • computer_dn Určuje rozlišující název počítače, který chcete přidat. Rozlišující název určuje umístění složky.
Chcete-li zobrazit úplnou syntaxi pro tento příkaz na příkazovém řádku, zadejte počítač dsadd /?.

Chcete-li upravit vlastnosti účtu počítače, použijte příkaz dsmod computer .

Přidání účtu počítače do skupiny

  1. Klepněte na tlačítko Start a potom klepněte na příkaz Spustit.
  2. Do pole Otevřít zadejte příkaz cmd.
  3. Na příkazovém řádku zadejte následující příkaz:
    dsmod skupiny group_dn - addmbr computer_dn
    Tento příkaz používá následující hodnoty:
    • group_dn Určuje rozlišující název objektu skupiny, do které chcete přidat objekt počítače.
    • computer_dn Určuje rozlišující název objektu počítače, který má být přidán do skupiny. Rozlišující název určuje umístění složky.
Po přidání počítače do skupiny můžete udělit oprávnění všem účtům počítače v dané skupině a potom filtrovat Zásady skupiny nastavení pro všechny účty v dané skupině.

Chcete-li zobrazit úplnou syntaxi pro tento příkaz na příkazovém řádku, zadejte skupiny dsmod /?.

Resetování účtu počítače

  1. Klepněte na tlačítko Start a potom klepněte na příkaz Spustit.
  2. Do pole Otevřít zadejte příkaz cmd.
  3. Na příkazovém řádku zadejte následující příkaz:
    dsmod počítač computer_dn -reset
    Tento příkaz používá následující hodnotu:
    • computer_dn Určuje rozlišující názvy jednoho nebo více objektů počítače, které chcete obnovit.
Poznámka: při obnovení účtu počítače můžete zrušit připojení počítače k doméně. Po resetování, musíte se připojit účet počítače do domény účet počítače.

Chcete-li zobrazit úplnou syntaxi pro tento příkaz na příkazovém řádku, zadejte počítač dsmod /?.

Zakázání nebo povolení účtu počítače

  1. Klepněte na tlačítko Start a potom klepněte na příkaz Spustit.
  2. Do pole Otevřít zadejte příkaz cmd.
  3. Na příkazovém řádku zadejte následující příkaz:
    dsmod počítač computer_dn -zakázáno {Ano | žádné}
    Tento příkaz používá následující hodnoty:
    • computer_dn Určuje rozlišující název objektu počítače, který chcete povolit nebo zakázat.
    • {Ano | žádné} Určuje, zda počítač je zakázáno přihlášení (Ano) nebo není (no).
V případě zakázání účtu počítače přerušit připojení počítače k doméně a počítač v doméně nelze ověřit.


Chcete-li zobrazit úplnou syntaxi pro tento příkaz na příkazovém řádku, zadejte počítač dsmod /?.

Správa organizačních jednotek

Vytvoření nové organizační jednotky

  1. Klepněte na tlačítko Start a potom klepněte na příkaz Spustit.
  2. Do pole Otevřít zadejte příkaz cmd.
  3. Na příkazovém řádku zadejte následující příkaz:
    dsadd ou organizational_unit_dn
    Tento příkaz používá následující hodnotu:
    • organizational_unit_dn Určuje rozlišující název přidávané organizační jednotky.
Chcete-li zobrazit úplnou syntaxi pro tento příkaz na příkazovém řádku, zadejte dsadd ou /?.

Poznámka: Chcete-li upravit vlastnosti organizační jednotky, použijte příkaz dsmod ou .

Odstranění organizační jednotky

  1. Klepněte na tlačítko Start a potom klepněte na příkaz Spustit.
  2. Do pole Otevřít zadejte příkaz cmd.
  3. Na příkazovém řádku zadejte následující příkaz:
    režim obnovení adresářových služeb organizational_unit_dn
    Tento příkaz používá následující hodnotu:
    • organizational_unit_dn Určuje rozlišující název organizační jednotky, které mají být odstraněny.
    Chcete-li zobrazit úplnou syntaxi pro tento příkaz na příkazovém řádku, zadejte dsrm /?.

    Poznámka: Při odstranění organizační jednotky, budou odstraněny všechny objekty, které obsahuje.

Vyhledávání služby Active Directory

Hledání uživatelského účtu

  1. Klepněte na tlačítko Start a potom klepněte na příkaz Spustit.
  2. Do pole Otevřít zadejte příkaz cmd.
  3. Na příkazovém řádku zadejte následující příkaz:
    dsquery user parametr
    Tento příkaz používá následující hodnotu:
    • parametr určuje parametr použít. Seznam parametrů naleznete v online nápovědě k příkazu dsquery user .
Chcete-li zobrazit úplnou syntaxi pro tento příkaz na příkazovém řádku, zadejte dsquery user /?.

Vyhledávání kontaktů

  1. Klepněte na tlačítko Start a potom klepněte na příkaz Spustit.
  2. Do pole Otevřít zadejte příkaz cmd.
  3. Na příkazovém řádku zadejte následující příkaz:
    dsquery kontaktní parametr
    Tento příkaz používá následující hodnoty:
    • parametr určuje parametr použít. Seznam parametrů naleznete v online nápovědě k příkazu dsquery user .

Vyhledání skupiny

  1. Klepněte na tlačítko Start a potom klepněte na příkaz Spustit.
  2. Do pole Otevřít zadejte příkaz cmd.
  3. Na příkazovém řádku zadejte následující příkaz:
    dsquery skupiny parametr
    Tento příkaz používá následující hodnoty:
    • parametr určuje parametr použít. Seznam parametrů naleznete v online nápovědě k příkazu dsquery user .
Místní skupiny, které jsou automaticky k dispozici v řadičích domény se systémem Windows Server 2003, například Administrators a Account Operators jsou ve výchozím nastavení umístěny ve složce Builtin. Ve výchozím nastavení společné globální skupiny, jako je například Domain Admins a Domain Users, jsou umístěny ve složce uživatelé. Můžete přidat nebo přesunout nové skupiny do libovolné složky. Společnost Microsoft doporučuje ponechat skupiny do složky organizační jednotky.

Vyhledání účtu počítače

  1. Klepněte na tlačítko Start a potom klepněte na příkaz Spustit.
  2. Do pole Otevřít zadejte příkaz cmd.
  3. Na příkazovém řádku zadejte následující příkaz:
    dsquery počítač- název
    Tento příkaz používá následující hodnotu:
    • název Určuje název počítače, který vyhledá příkaz. Tento příkaz vyhledá počítače, jejichž atributy názvu (hodnota atributu CN) odpovídají zadané hodnotě název.
Chcete-li zobrazit úplnou syntaxi pro tento příkaz na příkazovém řádku, zadejte počítač dsquery /?.

Vyhledání organizační jednotky

  1. Klepněte na tlačítko Start a potom klepněte na příkaz Spustit.
  2. Do pole Otevřít zadejte příkaz cmd.
  3. Na příkazovém řádku zadejte následující příkaz:
    dsquery ou parametr
    Tento příkaz používá následující hodnotu:
    • parametr určuje parametr použít. Seznam parametrů naleznete v nápovědě online dsquery ou.
Chcete-li zobrazit úplnou syntaxi pro tento příkaz na příkazovém řádku, zadejte dsquery ou /?.

Nalezení řadiče domény

  1. Klepněte na tlačítko Start a potom klepněte na příkaz Spustit.
  2. Do pole Otevřít zadejte příkaz cmd.
  3. Na příkazovém řádku zadejte následující příkaz:
    dsquery server parametr
    Tento příkaz používá následující hodnoty:
    • parametr určuje parametr použít. Existuje několik atributů server lze vyhledat pomocí tohoto příkazu. Seznam parametrů naleznete v nápovědě online dsqueryserver.

Provádění vlastní vyhledávání

  1. Klepněte na tlačítko Start a potom klepněte na příkaz Spustit.
  2. Do pole Otevřít zadejte příkaz cmd.
  3. Na příkazovém řádku zadejte následující příkaz:
    dsquery * parametr
    Tento příkaz používá následující hodnotu:
    • parametr určuje parametr použít. Jsou pomocí tohoto příkazu lze vyhledat několik atributů. Další informace o protokolu LDAP získáte v tématu Windows Server 2003 Resource Kit.

Odkazy

Další informace o nástrojích příkazového řádku adresářové služby v systému Windows Server 2003 klepněte na tlačítko Start, klepněte na příkaz Nápověda a odborná pomoca do pole Hledat zadejte "příkazového řádku" nástroje "adresářové služby" .

Vlastnosti

ID článku: 322684 - Poslední kontrola: 16. 1. 2017 - Revize: 1

Váš názor