Utilizzo degli strumenti della riga di comando di Active Directory per gestire oggetti di Active Directory in Windows Server 2003

Il supporto per Windows Server 2003 è terminato il 14 luglio 2015.

Microsoft ha sospeso il supporto per Windows Server 2003 in data 14 luglio 2015. Questa modifica ha interessato gli aggiornamenti software e le opzioni di sicurezza. Ulteriori informazioni su come continuare a essere protetti.

Sommario
In questo articolo viene descritto come utilizzare gli strumenti della riga di comando di Active Directory per eseguire operazioni amministrative per Active Directory in Windows Server 2003. Tali operazioni sono suddivise in gruppi di operazioni.

Torna all'inizio

Gestione degli utenti

Creare un nuovo account utente

  1. Fare clic sul pulsante Start, quindi scegliere Esegui.
  2. Nella casella Apri digitare cmd.
  3. Al prompt dei comandi digitare il seguente comando:
    dsadd user dn_utente -samid nome_sam
    In questo comando vengono utilizzati i seguenti valori:
    • dn_utente specifica il nome distinto, o DN, dell'oggetto utente che si desidera aggiungere.
    • nome_sam specifica il nome SAM (Security Account Manager) utilizzato come nome account SAM univoco per questo utente, ad esempio Linda.
  4. Per specificare la password dell'account utente, digitare il comando riportato di seguito, dove password è la password da utilizzare per l'account utente:
    dsadd user dn_utente -pwdpassword
NOTA: per visualizzare la sintassi completa di questo comando e informazioni sull'inserimento di ulteriori dati dell'account utente, digitare dsadd user /?.

Torna all'inizio

Reimpostare una password utente

  1. Fare clic sul pulsante Start, quindi scegliere Esegui.
  2. Nella casella Apri digitare cmd.
  3. Al prompt dei comandi digitare il seguente comando:
    dsmod user dn_utente -pwd nuova_password
    Il comando accetta i seguenti valori:
    • dn_utente specifica il nome distinto dell'utente per cui si desidera reimpostare la password.
    • nuova_password specifica la password che sostituirà la password utente corrente
  4. Se si desidera che sia l'utente a cambiare questa password la volta successiva che eseguirà l'accesso, digitare il seguente comando:
    dsmod user dn_utente -mustchpwd {yes|no}
NOTA: se non viene assegnata alcuna password, la prima volta che l'utente tenterà di accedere utilizzando una password vuota, verrà visualizzato il seguente messaggio di accesso:
Cambiare la password al primo accesso
Una volta che l'utente avrà cambiato la password potrà eseguire l'accesso.

Sarà necessario reimpostare i servizi per cui è stata eseguita l'autenticazione con l'account utente, se viene cambiata la password per l'account utente di tali servizi.

NOTA: per visualizzare la sintassi completa di questo comando e informazioni sull'inserimento di ulteriori dati dell'account utente, digitare dsmod user /?.

Torna all'inizio

Attivare o disattivare un account utente

  1. Fare clic sul pulsante Start, quindi scegliere Esegui.
  2. Nella casella Apri digitare cmd.
  3. Al prompt dei comandi digitare il seguente comando:
    dsmod user dn_utente -disabled {yes|no}
    Il comando accetta i seguenti valori:
    • dn_utente specifica il nome distinto dell'oggetto utente da attivare o disattivare.
    • {yes|no}specifica se l'account utente verrà disattivato (yes) o meno (no) per l'accesso.
NOTA: come misura di protezione, anziché eliminare l'account utente, è possibile disattivarlo per impedire l'accesso a un particolare utente. Se infatti vengono disattivati gli account utente appartenenti allo stesso gruppo, sarà comunque possibile utilizzarli come modelli di account in modo da semplificare la creazione di account utente.

Torna all'inizio

Eliminare un account utente

  1. Fare clic sul pulsante Start, quindi scegliere Esegui.
  2. Nella casella Apri digitare cmd.
  3. Al prompt dei comandi digitare il comando riportato di seguito, dove dn_utente specifica il nome distinto dell'oggetto utente da eliminare.
    dsrm dn_utente
L'eliminazione di un account utente comporta altresì l'eliminazione definitiva di tutte le autorizzazioni e le appartenenze ai gruppi associate a tale account. Poiché l'identificativo di protezione (SID) è univoco per ciascun account, se viene creato un nuovo account utente con lo stesso nome di un account utente eliminato in precedenza, il nuovo account non acquisirà automaticamente le autorizzazioni e le appartenenze ai gruppi dell'account eliminato. Per duplicare un account utente eliminato è necessario ricreare manualmente tutte le autorizzazioni e le appartenenze ai gruppi.

NOTA: per visualizzare la sintassi completa di questo comando e informazioni sull'inserimento di ulteriori dati dell'account utente, digitare dsrm /?.

Torna all'inizio

Gestione dei gruppi

Creare un nuovo gruppo

  1. Fare clic sul pulsante Start, quindi scegliere Esegui.
  2. Nella casella Apri digitare cmd.
  3. Al prompt dei comandi digitare il seguente comando:
    dsadd group dn_gruppo -samid nome_sam -secgrp yes | no -scope l | g | u
    Il comando accetta i seguenti valori:
    • dn_gruppo specifica il nome distinto dell'oggetto gruppo che si desidera aggiungere.
    • nome_sam specifica il nome SAM (Security Account Manager) utilizzato come nome account SAM univoco per questo gruppo, ad esempio "operatori".
    • yes | no specifica se il gruppo da aggiungere è un gruppo di protezione (yes) o di distribuzione (no).
    • l | g | u specifica l'ambito del gruppo da aggiungere (locale di dominio [l], globale [g] o universale [u]).
Se il dominio in cui il gruppo viene creato è impostato a livello di funzionalità di dominio Windows 2000 misto, sarà possibile selezionare solo gruppi di protezione con ambiti locale di dominio o globale.

Per visualizzare la sintassi completa di questo comando e informazioni sull'inserimento di ulteriori dati del gruppo, digitare dsadd group /?.

Torna all'inizio

Aggiungere un membro a un gruppo

  1. Fare clic sul pulsante Start, quindi scegliere Esegui.
  2. Nella casella Apri digitare cmd.
  3. Al prompt dei comandi digitare il seguente comando:
    dsmod group dn_gruppo -addmbr dn_membro
    Il comando accetta i seguenti valori:
    • dn_gruppo specifica il nome distinto dell'oggetto gruppo che si desidera aggiungere.
    • dn_membro specifica il nome distinto dell'oggetto che si desidera aggiungere al gruppo.
Oltre a utenti e computer, un gruppo può contenere contatti e gruppi.

Per visualizzare la sintassi completa di questo comando e informazioni sull'inserimento di ulteriori dati dell'account utente e del gruppo, digitare dsmod group /?.

Torna all'inizio

Convertire un gruppo in un gruppo di altro tipo

  1. Fare clic sul pulsante Start, quindi scegliere Esegui.
  2. Nella casella Apri digitare cmd.
  3. Al prompt dei comandi digitare il seguente comando:
    dsmod group dn_gruppo -secgrp {yes|no}
    Il comando accetta i seguenti valori:
    • dn_gruppo specifica il nome distinto dell'oggetto gruppo che si desidera convertire in gruppo di altro tipo.
    • {yes|no} specifica se il tipo gruppo è impostato come gruppo di protezione (yes) o di distribuzione (no).
Per convertire un gruppo, il livello di funzionalità di dominio deve essere impostato su Windows 2000 originale o superiore. Non è possibile convertire gruppi con livello di funzionalità di dominio impostato su Windows 2000 misto.

Per visualizzare la sintassi completa per questo comando, al prompt dei comandi digitare dsmod group /?.

Torna all'inizio

Cambiare l'ambito del gruppo

  1. Fare clic sul pulsante Start, quindi scegliere Esegui.
  2. Nella casella Apri digitare cmd.
  3. Al prompt dei comandi digitare il seguente comando:
    dsmod group dn_gruppo -scope l|g|u
    Il comando accetta i seguenti valori:
    • dn_gruppo specifica il nome distinto dell'oggetto gruppo per cui si desidera cambiare l'ambito.
    • l|g|u specifica l'ambito del gruppo da impostare (locale, globale o universale). Se il dominio è ancora impostato su Windows 2000 misto, l'ambito universale non verrà supportato. Non è inoltre possibile convertire un gruppo locale di dominio in un gruppo globale e viceversa.
    NOTA: è possibile cambiare gli ambiti dei gruppi solo quando il livello di funzionalità di dominio è impostato su Windows 2000 originale o superiore.
Torna all'inizio

Eliminare un gruppo

  1. Fare clic sul pulsante Start, quindi scegliere Esegui.
  2. Nella casella Apri digitare cmd.
  3. Al prompt dei comandi digitare il seguente comando:
    dsrm dn_gruppo
    In questo comando sono utilizzati i seguenti valori:
    • dn_gruppo specifica il nome distinto dell'oggetto gruppo da eliminare.
NOTA: se si elimina un gruppo, questo verrà rimosso definitivamente.

Per impostazione predefinita, i gruppi locali forniti automaticamente nei controller di dominio che eseguono Windows Server 2003, quali Administrators e Account Operators, sono situati nella cartella Builtin. Per impostazione predefinita, i gruppi globali comuni, quali Domain Admins e Domain Users, si trovano nella cartella Users. È possibile aggiungere o spostare nuovi gruppi in qualsiasi cartella. È consigliabile mantenere i gruppi in una cartella di unità organizzativa.

Per visualizzare la sintassi completa per questo comando, al prompt dei comandi digitare dsrm /?.

Torna all'inizio

Cercare gruppi di cui un utente è membro

  1. Fare clic sul pulsante Start, quindi scegliere Esegui.
  2. Nella casella Apri digitare cmd.
  3. Al prompt dei comandi digitare il seguente comando:
    dsget user dn_utente -memberof
    In questo comando sono utilizzati i seguenti valori:
    • dn_utente specifica il nome distinto dell'oggetto utente per cui si desidera visualizzare l'appartenenza ai gruppi.
Per visualizzare la sintassi completa per questo comando, al prompt dei comandi digitare dsget user /?.

Torna all'inizio

Gestione dei computer

Creare un nuovo account computer

  1. Fare clic sul pulsante Start, quindi scegliere Esegui.
  2. Nella casella Apri digitare cmd.
  3. Al prompt dei comandi digitare il seguente comando:
    dsadd computer dn_computer
    In questo comando sono utilizzati i seguenti valori:
    • dn_computer specifica il nome distinto dell'oggetto computer che si desidera aggiungere. Il nome distinto indica il percorso della cartella.
Per visualizzare la sintassi completa per questo comando, al prompt dei comandi digitare dsadd computer /?.

Per modificare le proprietà di un account computer, utilizzare il comando dsmod computer.

Torna all'inizio

Aggiungere un account computer a un gruppo

  1. Fare clic sul pulsante Start, quindi scegliere Esegui.
  2. Nella casella Apri digitare cmd.
  3. Al prompt dei comandi digitare il seguente comando:
    dsmod group dn_gruppo -addmbr dn_computer
    Il comando accetta i seguenti valori:
    • dn_gruppo specifica il nome distinto dell'oggetto gruppo a cui si desidera aggiungere l'oggetto computer.
    • dn_computer specifica il nome distinto dell'oggetto computer da aggiungere al gruppo. Il nome distinto indica il percorso della cartella.
Quando si aggiunge un computer a un gruppo è possibile assegnare autorizzazioni a tutti gli account computer presenti in tale gruppo e quindi filtrare le impostazioni Criteri di gruppi in tutti gli account del gruppo.

Per visualizzare la sintassi completa per questo comando, al prompt dei comandi digitare dsmod group /?.

Torna all'inizio

Reimpostare un account computer

  1. Fare clic sul pulsante Start, quindi scegliere Esegui.
  2. Nella casella Apri digitare cmd.
  3. Al prompt dei comandi digitare il seguente comando:
    dsmod computer dn_computer -reset
    In questo comando sono utilizzati i seguenti valori:
    • dn_computer specifica il nome distinto di uno o più oggetti gruppo che si desidera reimpostare.
NOTA: quando si reimposta un account computer viene spezzata la connessione del computer al proprio dominio. Sarà pertanto necessario aggiungere nuovamente l'account computer all'account computer di dominio una volta reimpostato l'account computer.

Per visualizzare la sintassi completa per questo comando, al prompt dei comandi digitare dsmod computer /?.

Torna all'inizio

Attivare o disattivare un account computer

  1. Fare clic sul pulsante Start, quindi scegliere Esegui.
  2. Nella casella Apri digitare cmd.
  3. Al prompt dei comandi digitare il seguente comando:
    dsmod computer dn_computer -disabled {yes|no}
    Il comando accetta i seguenti valori:
    • dn_computer specifica il nome distinto dell'oggetto computer che si desidera disattivare o attivare.
    • {yes|no} specifica se l'account computer verrà disattivato (yes) o meno (no) per l'accesso.
Quando si disattiva un account computer viene spezzata la connessione del computer al dominio e il computer non potrà più eseguire l'autenticazione con tale dominio.

Per visualizzare la sintassi completa per questo comando, al prompt dei comandi digitare dsmod computer /?.

Torna all'inizio

Gestione delle unità organizzative

Creare una nuova unità organizzativa

  1. Fare clic sul pulsante Start, quindi scegliere Esegui.
  2. Nella casella Apri digitare cmd.
  3. Al prompt dei comandi digitare il seguente comando:
    dsadd ou dn_unità_organizzativa
    In questo comando sono utilizzati i seguenti valori:
    • dn_unità_organizzativa specifica il nome distinto dell'unità organizzativa da aggiungere.
Per visualizzare la sintassi completa per questo comando, al prompt dei comandi digitare dsadd ou /?.

NOTA: per modificare le proprietà di un'unità organizzativa, utilizzare il comando dsmod ou.

Torna all'inizio

Eliminare un'unità organizzativa

  1. Fare clic sul pulsante Start, quindi scegliere Esegui.
  2. Nella casella Apri digitare cmd.
  3. Al prompt dei comandi digitare il seguente comando:
    dsrm dn_unità_organizzativa
    In questo comando sono utilizzati i seguenti valori:
    • dn_unità_organizzativa specifica il nome distinto dell'unità organizzativa da eliminare.
    Per visualizzare la sintassi completa per questo comando, al prompt dei comandi digitare dsrm /?.

    NOTA: se si elimina un'unità organizzativa, verranno eliminati anche tutti gli oggetti in essa contenuti.
Torna all'inizio

Ricerca in Active Directory

Cercare un account utente

  1. Fare clic sul pulsante Start, quindi scegliere Esegui.
  2. Nella casella Apri digitare cmd.
  3. Al prompt dei comandi digitare il seguente comando:
    dsquery user parametro
    In questo comando sono utilizzati i seguenti valori:
    • parametro specifica il parametro da utilizzare. Per un elenco dei parametri disponibili, vedere la Guida in linea relativa al comando dsquery user.
Per visualizzare la sintassi completa per questo comando, al prompt dei comandi digitare dsquery user /?.

Torna all'inizio

Cercare un contatto

  1. Fare clic sul pulsante Start, quindi scegliere Esegui.
  2. Nella casella Apri digitare cmd.
  3. Al prompt dei comandi digitare il seguente comando:
    dsquery contact parametro
    Il comando accetta i seguenti valori:
    • parametro specifica il parametro da utilizzare. Per un elenco dei parametri disponibili, vedere la Guida in linea relativa al comando dsquery user.
Torna all'inizio

Cercare un gruppo

  1. Fare clic sul pulsante Start, quindi scegliere Esegui.
  2. Nella casella Apri digitare cmd.
  3. Al prompt dei comandi digitare il seguente comando:
    dsquery group parametro
    Il comando accetta i seguenti valori:
    • parametro specifica il parametro da utilizzare. Per un elenco dei parametri disponibili, vedere la Guida in linea relativa al comando dsquery user.
Per impostazione predefinita, i gruppi locali forniti automaticamente nei controller di dominio che eseguono Windows Server 2003, quali Administrators e Account Operators, sono situati nella cartella Builtin. Per impostazione predefinita, i gruppi globali comuni, quali Domain Admins e Domain Users, si trovano nella cartella Users. È possibile aggiungere o spostare nuovi gruppi in qualsiasi cartella. È consigliabile mantenere i gruppi in una cartella di unità organizzativa.

Torna all'inizio

Cercare un account computer

  1. Fare clic sul pulsante Start, quindi scegliere Esegui.
  2. Nella casella Apri digitare cmd.
  3. Al prompt dei comandi digitare il seguente comando:
    dsquery computer -namenome
    In questo comando sono utilizzati i seguenti valori:
    • nome specifica il nome computer oggetto della ricerca. Questo comando cerca i computer i cui attributi di nome (valore dell'attributo CN) corrispondono al valore nome.
Per visualizzare la sintassi completa per questo comando, al prompt dei comandi digitare dsquery computer /?.

Torna all'inizio

Cercare un'unità organizzativa

  1. Fare clic sul pulsante Start, quindi scegliere Esegui.
  2. Nella casella Apri digitare cmd.
  3. Al prompt dei comandi digitare il seguente comando:
    dsquery ou parametro
    In questo comando sono utilizzati i seguenti valori:
    • parametro specifica il parametro da utilizzare. Per un elenco dei parametri disponibili, vedere la Guida in linea relativa al comando dsquery ou.
Per visualizzare la sintassi completa per questo comando, al prompt dei comandi digitare dsquery ou /?.

Torna all'inizio

Cercare un controller di dominio

  1. Fare clic sul pulsante Start, quindi scegliere Esegui.
  2. Nella casella Apri digitare cmd.
  3. Al prompt dei comandi digitare il seguente comando:
    dsquery server parametro
    Il comando accetta i seguenti valori:
    • parametro specifica il parametro da utilizzare. Questo comando consente di eseguire una ricerca in base a vari attributi di server. Per un elenco dei parametri disponibili, vedere la Guida in linea relativa al comando dsquery server.
Torna all'inizio

Eseguire una ricerca personalizzata

  1. Fare clic sul pulsante Start, quindi scegliere Esegui.
  2. Nella casella Apri digitare cmd.
  3. Al prompt dei comandi digitare il seguente comando:
    dsquery * parametro
    In questo comando sono utilizzati i seguenti valori:
    • parametro specifica il parametro da utilizzare. Questo comando consente di eseguire una ricerca in base a vari attributi. Per ulteriori informazioni sulle ricerche LDAP, vedere il Resource Kit di Windows Server 2003.
Torna all'inizio
Riferimenti
Per ulteriori informazioni sugli strumenti della riga di comando dei servizi directory in Windows Server 2003, fare clic sul pulsante Start, scegliere Guida in linea e supporto tecnico e digitare strumenti della riga di comando di Active Directory nella casella Cerca.

Torna all'inizio
Proprietà

ID articolo: 322684 - Ultima revisione: 12/03/2007 07:37:00 - Revisione: 8.3

Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Small Business Server 2003 Premium Edition, Microsoft Windows Small Business Server 2003 Standard Edition

  • kbhowtomaster kbactivedirectory KB322684
Feedback