Vous êtes actuellement hors ligne, en attente de reconnexion à Internet.

COMMENT FAIRE : Utilisation des outils de ligne de commande du service d'annuaire pour gérer les objets Active Directory dans Windows Server 2003

Le support de Windows Server 2003 a pris fin le 14 juillet 2015

Microsoft a mis fin au support de Windows Server 2003 le 14 juillet 2015. Cette modification a affecté vos mises à jour logicielles et options de sécurité. Découvrez les implications de ce changement à votre niveau et la marche à suivre pour rester protégé.

Résumé
Cet article décrit comment utiliser les outils de ligne de commande du service d'annuaire pour effectuer des tâches administratives Active Directory dans Windows Server 2003. Les tâches suivantes sont regroupées en groupes.

Début de page

Gestion des utilisateurs

Création d'un nouveau compte d'utilisateur

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez cmd.
  3. À l'invite de commande, tapez la commande suivante :
    dsadd user dn_utilisateur -samid nom_sam
    Les valeurs suivantes sont utilisées dans cette commande :
    • dn_utilisateur spécifie le nom unique de l'objet utilisateur à ajouter.
    • nom_sam spécifie le nom du gestionnaire de comptes de sécurité (SAM) utilisé en tant que nom de compte SAM unique pour cet utilisateur (par exemple, Linda).
  4. Pour spécifier le mot de passe du compte d'utilisateur, tapez la commande suivante, où mot de passe est le mot de passe à utiliser pour le compte d'utilisateur.
    dsadd user userdn -pwd mot de passe
REMARQUE : Pour afficher la syntaxe de cette commande et obtenir plus d'informations sur la saisie d'informations complémentaires sur le compte d'utilisateur, à une invite de commande, tapez dsadd user /?.

Début de page

Réinitialisation d'un mot de passe utilisateur

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez cmd.
  3. À l'invite de commande, tapez la commande suivante :
    dsmod user dn_utilisateur -pwd nouveau_mot_de_passe
    Cette commande utilise les valeurs suivantes :
    • dn_utilisateur spécifie le nom unique de l'utilisateur pour lequel le mot de passe sera réinitialisé.
    • nouveau_mot_de_passe spécifie le mot de passe qui remplacera le mot de passe utilisateur en cours.
  4. Si vous souhaitez que l'utilisateur modifie ce mot de passe à l'ouverture de session suivante, tapez la commande suivante :
    dsmod user dn_utilisateur -mustchpwd {yes|no}
REMARQUE : Si aucun mot de passe n'est affecté, lors de la première tentative d'ouverture de session (sans renseigner de mot de passe), le message suivant s'affiche :
Vous êtes prié de modifier votre mot de passe à la première ouverture de session.
Une fois le mot de passe modifié, le processus d'ouverture de session continue.

Vous devez réinitialiser les services authentifiés avec un compte d'utilisateur si le mot de passe du compte d'utilisateur pour le service est modifié.

REMARQUE : Pour afficher la syntaxe de cette commande et obtenir plus d'informations sur la saisie d'informations complémentaires sur le compte d'utilisateur, à une invite de commande, tapez dsmod user /?.

Début de page

Activation/désactivation d'un compte d'utilisateur

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez cmd.
  3. À l'invite de commande, tapez la commande suivante :
    dsmod user dn_utilisateur -disabled {yes|no}
    . Cette commande utilise les valeurs suivantes :
    • dn_utilisateur spécifie le nom unique de l'objet utilisateur à activer/désactiver.
    • {yes|no} spécifie si le compte d'utilisateur est désactivé pour l'ouverture de session (yes) ou non (no).
REMARQUE : Par mesure de sécurité, plutôt que de supprimer le compte de cet utilisateur, vous pouvez désactiver les comptes d'utilisateurs pour empêcher un utilisateur spécifique d'ouvrir une session. Si vous désactivez des comptes d'utilisateurs dont l'appartenance au groupe est commune, vous pouvez utiliser des comptes d'utilisateurs désactivés comme modèles de compte afin de simplifier la création de compte d'utilisateur.

Début de page

Suppression d'un compte d'utilisateur

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez cmd.
  3. À l'invite de commande, tapez la commande suivante, où dn_utilisateur spécifie le nom unique de l'objet utilisateur à supprimer :
    dsrm dn_utilisateur
    .
Après avoir supprimé un compte d'utilisateur, toutes les autorisations et appartenances associées à ce compte sont supprimées définitivement. Étant donné que l'ID de sécurité (SID) de chaque compte est unique, si vous créez un nouveau compte d'utilisateur dont le nom est identique à celui du compte supprimé précédemment, le nouveau compte ne dispose pas automatiquement des autorisations et appartenances du compte supprimé précédemment. Pour dupliquer un compte d'utilisateur supprimé, vous devez recréer manuellement toutes les autorisations et appartenances.

REMARQUE : Pour afficher la syntaxe de cette commande et obtenir plus d'informations sur la saisie d'informations complémentaires sur le compte d'utilisateur, à une invite de commande, tapez dsrm /?.

Début de page

Gestion des groupes

Création d'un nouveau compte d'utilisateur

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez cmd.
  3. À l'invite de commande, tapez la commande suivante :
    dsadd group dn_groupe -samid nom_sam -secgrp yes | no -scope l | g | u
    . Cette commande utilise les valeurs suivantes :
    • dn_groupe spécifie le nom unique de l'objet groupe à ajouter.
    • nom_sam spécifie l'unique nom du gestionnaire de comptes de sécurité (SAM) pour ce groupe (par exemple, opérateurs).
    • yes | no spécifie si le groupe à ajouter est un groupe de sécurité (yes) ou un groupe de distribution (no).
    • l | g | u spécifie l'étendue du groupe à ajouter (domaine local [l], global [g] ou universel [u]).
Si le domaine dans lequel vous créez le groupe est défini sur le niveau fonctionnel de domaine Windows 2000 mixte, vous pouvez sélectionner uniquement des groupes de sécurité dont l'étendue est locale ou globale.

Pour afficher la syntaxe de cette commande et obtenir plus d'informations sur la saisie d'informations complémentaires sur le compte d'utilisateur, à une invite de commande, tapez dsadd group /?.

Début de page

Ajout d'un membre à un groupe

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez cmd.
  3. À l'invite de commande, tapez la commande suivante :
    dsmod group dn_groupe -addmbr dn_membre
    Cette commande utilise les valeurs suivantes :
    • dn_groupe spécifie le nom unique de l'objet groupe à ajouter.
    • dn_membre spécifie le nom unique de l'objet à ajouter au groupe.
Outre des utilisateurs et des ordinateurs, un groupe peut contenir des contacts et d'autres groupes.

Pour afficher la syntaxe de cette commande et obtenir plus d'informations sur la saisie d'informations complémentaires sur le compte d'utilisateur et le groupe, à une invite de commande, tapez dsmod group /?.

Début de page

Conversion d'un groupe en un autre type de groupe

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez cmd.
  3. À l'invite de commande, tapez la commande suivante :
    dsmod group dn_groupe -secgrp {yes|no}
    . Cette commande utilise les valeurs suivantes :
    • dn_groupe spécifie le nom unique de l'objet groupe pour lequel vous voulez modifier le type.
    • {yes|no} spécifie que le type de groupe est défini sur groupe de sécurité (yes) ou groupe de distribution (no).
Pour convertir un groupe, le niveau fonctionnel du domaine doit être défini sur Windows 2000 natif ou supérieur. Vous ne pouvez pas convertir de groupes si le niveau fonctionnel du domaine est défini sur Windows 2000 mixte.

Pour afficher la syntaxe de cette commande, tapez dsmod group /? à une invite de commande.

Début de page

Modification de l'étendue d'un groupe

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez cmd.
  3. À l'invite de commande, tapez la commande suivante :
    dsmod group dn_groupe -scope l|g|u
    . Cette commande utilise les valeurs suivantes :
    • dn_groupe spécifie le nom unique de l'objet groupe pour lequel vous voulez modifier l'étendue.
    • l|g|u spécifie l'étendue du groupe (locale, globale ou universelle). Si le domaine est défini sur Windows 2000 mixte, l'étendue universelle n'est pas prise en charge. Il n'est pas non plus possible de convertir un groupe local en groupe global et vice versa.
    REMARQUE : Vous pouvez uniquement modifier l'étendue d'un groupe lorsque le niveau fonctionnel est défini sur Windows 2000 natif ou supérieur.
Début de page

Suppression d'un groupe

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez cmd.
  3. À l'invite de commande, tapez la commande suivante :
    dsrm dn_groupe
    Cette commande utilise la valeur suivante :
    • dn_groupe spécifie le nom unique de l'objet groupe à supprimer.
REMARQUE : Si vous supprimez le groupe, sa suppression est définitive.

Par défaut, les groupes locaux prédéfinis dans les contrôleurs de domaine fonctionnant sous Windows Server 2003, notamment le groupe des administrateurs et des opérateurs de compte, se trouvent dans le dossier Builtin. Par défaut, les groupes globaux communs, notamment des administrateurs de domaine et des utilisateurs du domaine, se trouvent dans le dossier Users. Vous pouvez ajouter ou déplacer de nouveaux groupes vers tout dossier. Microsoft recommande de conserver les groupes dans un dossier d'unités organisationnelles.

Pour afficher la syntaxe de cette commande, tapez dsrm /? à une invite de commande.

Début de page

Recherche de groupes dont un utilisateur est membre

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez cmd.
  3. À l'invite de commande, tapez la commande suivante :
    dsget user dn_utilisateur -memberof
    . Cette commande utilise les valeurs suivantes :
    • dn_utilisateur spécifie le nom unique de l'objet utilisateur pour lequel vous voulez afficher l'appartenance au groupe.
Pour afficher la syntaxe de cette commande, tapez dsget user /? à une invite de commande.

Début de page

Gestion des ordinateurs

Création d'un nouveau compte d'ordinateur

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez cmd.
  3. À l'invite de commande, tapez la commande suivante :
    dsadd computer dn_ordinateur
    . Cette commande utilise la valeur suivante :
    • dn_ordinateur spécifie le nom unique de l'ordinateur à ajouter. Le nom unique indique l'emplacement du dossier.
Pour afficher la syntaxe de cette commande, tapez dsadd computer /? à une invite de commande.

Pour modifier les propriétés d'un compte d'ordinateur, utilisez la commande dsmod computer.

Début de page

Ajout d'un compte d'ordinateur à un groupe

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez cmd.
  3. À l'invite de commande, tapez la commande suivante :
    dsmod group dn_groupe -addmbr dn_ordinateur
    Cette commande utilise les valeurs suivantes :
    • dn_groupe spécifie le nom unique de l'objet groupe auquel vous voulez ajouter l'objet ordinateur.
    • dn_ordinateur spécifie le nom unique de l'objet ordinateur à ajouter au groupe. Le nom unique indique l'emplacement du dossier.
Lorsque vous ajoutez un ordinateur à un groupe, vous pouvez affecter des autorisations à tous les comptes d'ordinateurs de ce groupe, puis filtrer les paramètres de stratégie de groupe dans tous les comptes de ce groupe.

Pour afficher la syntaxe de cette commande, tapez dsmod group /? à une invite de commande.

Début de page

Réinitialisation d'un compte d'ordinateur

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez cmd.
  3. À l'invite de commande, tapez la commande suivante :
    dsmod computer dn_ordinateur -reset
    Cette commande utilise la valeur suivante :
    • dn_ordinateur spécifie le nom unique d'un ou plusieurs objets ordinateur à réinitialiser.
REMARQUE : Lorsque vous réinitialisez un compte d'ordinateur, vous interrompez la connexion de l'ordinateur au domaine. Vous devez rejoindre le compte d'ordinateur au compte d'ordinateur du domaine après l'avoir réinitialisé.

Pour afficher la syntaxe de cette commande, tapez dsmod computer /? à une invite de commande.

Début de page

Activation/désactivation d'un compte d'ordinateur

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez cmd.
  3. À l'invite de commande, tapez la commande suivante :
    dsmod computer dn_ordinateur -disabled {yes|no}
    . Cette commande utilise les valeurs suivantes :
    • dn_ordinateur spécifie le nom unique de l'objet ordinateur à activer/désactiver.
    • {yes|no} spécifie si l'ordinateur est désactivé pour l'ouverture de session (yes) ou non (no).
Lorsque vous désactivez un compte d'ordinateur, vous interrompez la connexion de l'ordinateur au domaine et l'ordinateur ne peut pas être authentifié dans le domaine.

Pour afficher la syntaxe de cette commande, tapez dsmod computer /? à une invite de commande.

Début de page

Gestion des unités organisationnelles

Création d'une nouvelle unité organisationnelle

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez cmd.
  3. À l'invite de commande, tapez la commande suivante :
    dsadd ou dn_unité_organisationnelle
    . Cette commande utilise la valeur suivante :
    • dn_unité_organisationnelle spécifie le nom unique de l'unité organisationnelle à ajouter.
Pour afficher la syntaxe de cette commande, tapez dsadd ou /? à une invite de commande.

REMARQUE : Pour modifier les propriétés d'une unité organisationnelle, utilisez la commande dsmod ou.

Début de page

Suppression d'une unité organisationnelle

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez cmd.
  3. À l'invite de commande, tapez la commande suivante :
    dsrm dn_unité_organisationnelle
    . Cette commande utilise la valeur suivante :
    • dn_unité_organisationnelle spécifie le nom unique de l'unité organisationnelle à supprimer.
    Pour afficher la syntaxe de cette commande, tapez dsrm /? à une invite de commande.

    REMARQUE : Si vous supprimez une unité organisationnelle, tous les objets qu'elle contient sont supprimés.
Début de page

Recherche dans Active Directory

Recherche d'un compte d'utilisateur

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez cmd.
  3. À l'invite de commande, tapez la commande suivante :
    dsquery user paramètre
    . Cette commande utilise la valeur suivante :
    • paramètre spécifie le paramètre à utiliser. Pour obtenir la liste des paramètres, consultez l'aide en ligne relative à la commande dsquery user.
Pour afficher la syntaxe de cette commande, tapez dsquery user /? à une invite de commande.

Début de page

Recherche d'un contact

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez cmd.
  3. À l'invite de commande, tapez la commande suivante :
    dsquery contact paramètre
    . Cette commande utilise le valeur suivante :
    • paramètre spécifie le paramètre à utiliser. Pour obtenir la liste des paramètres, consultez l'aide en ligne relative à la commande dsquery user.
Début de page

Recherche d'un groupe

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez cmd.
  3. À l'invite de commande, tapez la commande suivante :
    dsquery group paramètre
    Cette commande utilise la valeur suivante :
    • paramètre spécifie le paramètre à utiliser. Pour obtenir la liste des paramètres, consultez l'aide en ligne relative à la commande dsquery user.
Par défaut, les groupes locaux prédéfinis dans les contrôleurs de domaine fonctionnant sous Windows Server 2003, notamment le groupe des administrateurs et des opérateurs de compte, se trouvent dans le dossier Builtin. Par défaut, les groupes globaux communs, notamment des administrateurs de domaine et des utilisateurs du domaine, se trouvent dans le dossier Users. Vous pouvez ajouter ou déplacer de nouveaux groupes vers tout dossier. Microsoft recommande de conserver les groupes dans un dossier d'unités organisationnelles.

Début de page

Recherche d'un compte d'ordinateur

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez cmd.
  3. À l'invite de commande, tapez la commande suivante :
    dsquery computer -name nom
    Cette commande utilise la valeur suivante :
    • nom spécifie le nom d'ordinateur recherché. Cette commande recherche les ordinateurs dont les attributs nom (valeur de l'attribut CN) correspondent à nom.
Pour afficher la syntaxe de cette commande, tapez dsquery computer /? à une invite de commande.

Début de page

Recherche d'une unité organisationnelle

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez cmd.
  3. À l'invite de commande, tapez la commande suivante :
    dsquery ou paramètre
    . Cette commande utilise la valeur suivante :
    • paramètre spécifie le paramètre à utiliser. Pour obtenir la liste des paramètres, consultez l'aide en ligne relative à la commande dsquery ou.
Pour afficher la syntaxe de cette commande, tapez dsquery ou /? à une invite de commande.

Début de page

Recherche d'un contrôleur de domaine

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez cmd.
  3. À l'invite de commande, tapez la commande suivante :
    dsquery server paramètre
    . Cette commande utilise la valeur suivante :
    • paramètre spécifie le paramètre à utiliser. Cette commande permet de rechercher plusieurs attributs de serveur. Pour obtenir la liste des paramètres, consultez l'aide en ligne relative à la commande dsquery server.
Début de page

Recherche personnalisée

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir, tapez cmd.
  3. À l'invite de commande, tapez la commande suivante :
    dsquery * paramètre
    . Cette commande utilise la valeur suivante :
    • paramètre spécifie le paramètre à utiliser. Cette commande permet de rechercher plusieurs attributs. Pour plus d'informations sur les recherches LDAP, consultez le kit de ressources Windows Server 2003.
Début de page
Références
Pour plus d'informations sur les outils de ligne de commande des services d'annuaire dans Windows Server 2003, cliquez sur Démarrer, sur Centre d'aide et de support, puis tapez outils "ligne de commande" "service d'annuaire" dans la zone Recherche.

Début de page
Propriétés

ID d'article : 322684 - Dernière mise à jour : 02/16/2004 21:11:00 - Révision : 8.1

Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86)

  • kbhowtomaster kbactivedirectory KB322684
Commentaires
>