Verwenden der Befehlszeilentools für den Verzeichnisdienst zum Verwalten von Active Directory-Objekten in Windows Server 2003

  • Artikel

In diesem Artikel wird beschrieben, wie Sie die Befehlszeilentools des Verzeichnisdiensts verwenden, um administrative Aufgaben für Active Directory in Windows Server 2003 auszuführen. Die folgenden Aufgaben sind in Aufgabengruppen unterteilt.

Gilt für: Unterstützte Versionen von Windows Server
Ursprüngliche KB-Nummer: 322684

Verwalten von Benutzern

Die folgenden Abschnitte enthalten ausführliche Schritte zum Verwalten von Gruppen.

Erstellen eines neuen Benutzerkontos

  1. Klicken Sie auf Start und anschließend auf Ausführen.

  2. Geben Sie im Feld Öffnen die Zeichenfolge cmd ein.

  3. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

    dsadd user <user_dn> -samid <sam_name>

    In diesem Befehl werden die folgenden Werte verwendet:

    • user_dn gibt den Distinguished Name (auch als DN bezeichnet) des Benutzerobjekts an, das Sie hinzufügen möchten.
    • sam_name gibt den SAM-Namen (Security Account Manager) an, der als eindeutiger SAM-Kontoname für diesen Benutzer verwendet wird (z. B. Linda).

  4. Geben Sie zum Angeben des Benutzerkontokennworts den folgenden Befehl ein, wobei password das Kennwort ist, das für das Benutzerkonto verwendet werden soll:

    dsadd user <user_dn> -pwd password

Hinweis

Um die vollständige Syntax für diesen Befehl anzuzeigen und weitere Informationen zum Eingeben weiterer Benutzerkontoinformationen zu erhalten, geben Sie an einer Eingabeaufforderung ein dsadd user /?.

Zurücksetzen eines Benutzerkennworts

  1. Klicken Sie auf Start und anschließend auf Ausführen.

  2. Geben Sie im Feld Öffnen die Zeichenfolge cmd ein.

  3. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

    dsmod user <user_dn> -pwd <new_password>

    Dieser Befehl verwendet die folgenden Werte:

    • user_dn gibt den Distinguished Name des Benutzers an, für den das Kennwort zurückgesetzt wird.
    • new_password gibt das Kennwort an, das das aktuelle Benutzerkennwort ersetzt.

  4. Wenn Sie verlangen möchten, dass der Benutzer dieses Kennwort beim nächsten Anmeldevorgang ändert, geben Sie den folgenden Befehl ein:

    dsmod user <user_dn> -mustchpwd {yes|no}

Wenn kein Kennwort zugewiesen wird und der Benutzer zum ersten Mal versucht, sich anzumelden (mit einem leeren Kennwort), wird die folgende Anmeldemeldung angezeigt:

Sie müssen Ihr Kennwort bei der ersten Anmeldung ändern.

Nachdem der Benutzer das Kennwort geändert hat, wird der Anmeldevorgang fortgesetzt.

Sie müssen die Dienste zurücksetzen, die mit einem Benutzerkonto authentifiziert werden, wenn das Kennwort für das Benutzerkonto des Diensts geändert wird.

Hinweis

Um die vollständige Syntax für diesen Befehl anzuzeigen und weitere Informationen zum Eingeben weiterer Benutzerkontoinformationen zu erhalten, geben Sie an einer Eingabeaufforderung ein dsmod user /?.

Deaktivieren oder Aktivieren eines Benutzerkontos

  1. Klicken Sie auf Start und anschließend auf Ausführen.

  2. Geben Sie im Feld Öffnen die Zeichenfolge cmd ein.

  3. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

    dsmod user <user_dn> -disabled {yes|no}

    Dieser Befehl verwendet die folgenden Werte:

    • user_dn gibt den Distinguished Name des Benutzerobjekts an, das deaktiviert oder aktiviert werden soll.
    • {yes|no} gibt an, ob das Benutzerkonto für die Anmeldung deaktiviert ist (ja) oder nicht (nein).

Hinweis

Anstatt das Konto dieses Benutzers zu löschen, können Sie aus Sicherheitsgründen Benutzerkonten deaktivieren, um zu verhindern, dass sich ein bestimmter Benutzer anmeldet. Wenn Sie Benutzerkonten mit gemeinsamen Gruppenmitgliedschaften deaktivieren, können Sie deaktivierte Benutzerkonten als Kontovorlagen verwenden, um die Erstellung von Benutzerkonten zu vereinfachen.

Löschen eines Benutzerkontos

  1. Klicken Sie auf Start und anschließend auf Ausführen.
  2. Geben Sie im Feld Öffnen die Zeichenfolge cmd ein.
  3. Geben Sie an der Eingabeaufforderung den dsrm <user_dn> Befehl ein, wobei user_dn den Distinguished Name des zu löschenden Benutzerobjekts angibt.

Nachdem Sie ein Benutzerkonto gelöscht haben, werden alle Berechtigungen und Mitgliedschaften, die diesem Benutzerkonto zugeordnet sind, endgültig gelöscht. Da die Sicherheits-ID (SID) für jedes Konto eindeutig ist, übernimmt das neue Konto nicht automatisch die Berechtigungen und Mitgliedschaften des zuvor gelöschten Kontos, wenn Sie ein neues Benutzerkonto mit demselben Namen wie ein zuvor gelöschtes Benutzerkonto erstellen. Um ein gelöschtes Benutzerkonto zu duplizieren, müssen Sie alle Berechtigungen und Mitgliedschaften manuell neu erstellen.

Hinweis

Um die vollständige Syntax für diesen Befehl anzuzeigen und weitere Informationen zum Eingeben weiterer Benutzerkontoinformationen zu erhalten, geben Sie an einer Eingabeaufforderung ein dsrm /?.

Verwalten von Gruppen

Die folgenden Abschnitte enthalten ausführliche Schritte zum Verwalten von Gruppen.

Erstellen einer neuen Gruppe

  1. Klicken Sie auf Start und anschließend auf Ausführen.

  2. Geben Sie im Feld Öffnen die Zeichenfolge cmd ein.

  3. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

    dsadd group <group_dn> -samid <sam_name> -secgrp {yes|no} -scope {l|g|u}

    Dieser Befehl verwendet die folgenden Werte:

    • group_dn gibt den Distinguished Name des Gruppenobjekts an, das Sie hinzufügen möchten.
    • sam_name gibt den SAM-Namen an, bei dem es sich um den eindeutigen SAM-Kontonamen für diese Gruppe handelt (z. B. Operatoren).
    • {yes|no} gibt an, ob die Gruppe, die Sie hinzufügen möchten, eine Sicherheitsgruppe (ja) oder eine Verteilergruppe (nein) ist.
    • {l|g|u} gibt den Bereich der Gruppe an, die Sie hinzufügen möchten (domäne lokal [l], global [g] oder universell [u]).

Wenn die Domäne, in der Sie die Gruppe erstellen, auf die Domänenfunktionsebene von Windows 2000 mixed festgelegt ist, können Sie nur Sicherheitsgruppen mit lokalen oder globalen Domänenbereichen auswählen.

Um die vollständige Syntax für diesen Befehl anzuzeigen und weitere Informationen zum Eingeben weiterer Gruppeninformationen zu erhalten, geben Sie an einer Eingabeaufforderung ein dsadd group /?.

Hinzufügen eines Mitglieds zu einer Gruppe

  1. Klicken Sie auf Start und anschließend auf Ausführen.

  2. Geben Sie im Feld Öffnen die Zeichenfolge cmd ein.

  3. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

    dsmod group <group_dn> -addmbr <member_dn>

    Dieser Befehl verwendet die folgenden Werte:

    • group_dn gibt den Distinguished Name des Gruppenobjekts an, das Sie hinzufügen möchten.
    • member_dn gibt den Distinguished Name des Objekts an, das Sie der Gruppe hinzufügen möchten.

Neben Benutzern und Computern kann eine Gruppe Kontakte und andere Gruppen enthalten.

Geben Sie an einer Eingabeaufforderung dsmod group /?ein, um die vollständige Syntax für diesen Befehl anzuzeigen und weitere Informationen zum Eingeben weiterer Benutzerkonto- und Gruppeninformationen zu erhalten.

Konvertieren einer Gruppe in einen anderen Gruppentyp

  1. Klicken Sie auf Start und anschließend auf Ausführen.

  2. Geben Sie im Feld Öffnen die Zeichenfolge cmd ein.

  3. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

    dsmod group <group_dn> -secgrp {yes|no}

    Dieser Befehl verwendet die folgenden Werte:

    • group_dn gibt den Distinguished Name des Gruppenobjekts an, für das Sie den Gruppentyp ändern möchten.
    • {yes|no} gibt an, dass der Gruppentyp auf Sicherheitsgruppe (ja) oder Verteilergruppe (nein) festgelegt ist.

Um eine Gruppe zu konvertieren, muss die Domänenfunktionalität auf Windows 2000 Native oder höher festgelegt werden. Gruppen können nicht konvertiert werden, wenn die Domänenfunktionalität auf Windows 2000 Mixed festgelegt ist.

Um die vollständige Syntax für diesen Befehl anzuzeigen, geben Sie an einer Eingabeaufforderung ein dsmod group /?.

Ändern des Gruppenbereichs

  1. Klicken Sie auf Start und anschließend auf Ausführen.

  2. Geben Sie im Feld Öffnen die Zeichenfolge cmd ein.

  3. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

    dsmod group <group_dn> -scope {l|g|u}

    Dieser Befehl verwendet die folgenden Werte:

    • group_dn gibt die Distinguished Names des Gruppenobjekts an, in das der Bereich geändert wird.
    • {l|g|u} gibt den Bereich an, auf den die Gruppe festgelegt werden soll (lokal, global oder universell). Wenn die Domäne weiterhin auf Windows 2000 mixed festgelegt ist, wird der universelle Bereich nicht unterstützt. Außerdem ist es nicht möglich, eine lokale Domänengruppe in eine globale Gruppe zu konvertieren oder umgekehrt.

Hinweis

Sie können Gruppenbereiche nur ändern, wenn die Domänenfunktionsebene auf Windows 2000 native oder höher festgelegt ist.

Löschen einer Gruppe

  1. Klicken Sie auf Start und anschließend auf Ausführen.

  2. Geben Sie im Feld Öffnen die Zeichenfolge cmd ein.

  3. Geben Sie an der Eingabeaufforderung den Befehl ein dsrm <group_dn>.

    Die group_dn gibt den Distinguished Name des zu löschenden Gruppenobjekts an.

Hinweis

Wenn Sie die Gruppe löschen, wird die Gruppe endgültig entfernt.

Standardmäßig befinden sich lokale Gruppen, die automatisch auf Domänencontrollern mit Windows Server 2003 bereitgestellt werden, z. B. Administratoren und Kontooperatoren, im Ordner Integriert. Standardmäßig befinden sich allgemeine globale Gruppen wie Domänenadministratoren und Domänenbenutzer im Ordner Benutzer. Sie können neue Gruppen in einen beliebigen Ordner hinzufügen oder verschieben. Microsoft empfiehlt, Gruppen in einem Organisationseinheitsordner zu speichern.

Um die vollständige Syntax für diesen Befehl anzuzeigen, geben Sie an einer Eingabeaufforderung ein dsrm /?.

Suchen nach Gruppen, in denen ein Benutzer Mitglied ist

  1. Klicken Sie auf Start und anschließend auf Ausführen.

  2. Geben Sie im Feld Öffnen die Zeichenfolge cmd ein.

  3. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

    dsget user <user_dn> -memberof

    Die user_dn gibt den Distinguished Name des Benutzerobjekts an, für das Sie die Gruppenmitgliedschaft anzeigen möchten.

Um die vollständige Syntax für diesen Befehl anzuzeigen, geben Sie an einer Eingabeaufforderung ein dsget user /?.

Verwalten von Computern

Die folgenden Abschnitte enthalten ausführliche Schritte zum Verwalten von Computern.

Erstellen eines neuen Computerkontos

  1. Klicken Sie auf Start und anschließend auf Ausführen.

  2. Geben Sie im Feld Öffnen die Zeichenfolge cmd ein.

  3. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

    dsadd computer <computer_dn>

    Die computer_dn gibt den Distinguished Name des Computers an, den Sie hinzufügen möchten. Der Distinguished Name gibt den Speicherort des Ordners an.

Um die vollständige Syntax für diesen Befehl anzuzeigen, geben Sie an einer Eingabeaufforderung ein dsadd computer /?.

Verwenden Sie den Befehl dsmod computer, um die Eigenschaften eines Computerkontos zu ändern.

Hinzufügen eines Computerkontos zu einer Gruppe

  1. Klicken Sie auf Start und anschließend auf Ausführen.

  2. Geben Sie im Feld Öffnen die Zeichenfolge cmd ein.

  3. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

    dsmod group <group_dn> -addmbr <computer_dn>

    Dieser Befehl verwendet die folgenden Werte:

    • group_dn gibt den Distinguished Name des Gruppenobjekts an, dem Sie das Computerobjekt hinzufügen möchten.
    • computer_dn gibt den Distinguished Name des Computerobjekts an, das der Gruppe hinzugefügt werden soll. Der Distinguished Name gibt den Speicherort des Ordners an.

Wenn Sie einer Gruppe einen Computer hinzufügen, können Sie allen Computerkonten in dieser Gruppe Berechtigungen zuweisen und dann Gruppenrichtlinie Einstellungen für alle Konten in dieser Gruppe filtern.

Um die vollständige Syntax für diesen Befehl anzuzeigen, geben Sie an einer Eingabeaufforderung ein dsmod group /?.

Zurücksetzen eines Computerkontos

  1. Klicken Sie auf Start und anschließend auf Ausführen.

  2. Geben Sie im Feld Öffnen die Zeichenfolge cmd ein.

  3. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

    dsmod computer <computer_dn> -reset

    Die computer_dn gibt die distinguished names von mindestens einem Computerobjekt an, die Sie zurücksetzen möchten.

    Hinweis

    Wenn Sie ein Computerkonto zurücksetzen, wird die Verbindung des Computers mit der Domäne unterbrochen. Sie müssen das Computerkonto erneut mit dem Domänencomputerkonto beitreten, nachdem Sie es zurückgesetzt haben.

Geben Sie an einer Eingabeaufforderung dsmod computer /? ein, um die vollständige Syntax für diesen Befehl anzuzeigen. .

Deaktivieren oder Aktivieren eines Computerkontos

  1. Klicken Sie auf Start und anschließend auf Ausführen.

  2. Geben Sie im Feld Öffnen die Zeichenfolge cmd ein.

  3. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

    dsmod computer <computer_dn> -disabled {yes|no}

    Dieser Befehl verwendet die folgenden Werte:

    • computer_dn gibt den Distinguished Name des Computerobjekts an, das Sie deaktivieren oder aktivieren möchten.
    • {yes|no} gibt an, ob der Computer für die Anmeldung deaktiviert ist (ja) oder nicht (nein).

Wenn Sie ein Computerkonto deaktivieren, wird die Verbindung des Computers mit der Domäne unterbrochen, und der Computer kann sich nicht bei der Domäne authentifizieren.

Um die vollständige Syntax für diesen Befehl anzuzeigen, geben Sie an einer Eingabeaufforderung ein dsmod computer /?.

Verwalten von Organisationseinheiten

Die folgenden Abschnitte enthalten ausführliche Schritte zum Verwalten von Organisationseinheiten.

Erstellen einer neuen Organisationseinheit

  1. Klicken Sie auf Start und anschließend auf Ausführen.

  2. Geben Sie im Feld Öffnen die Zeichenfolge cmd ein.

  3. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

    dsadd ou <organizational_unit_dn>

    Die organizational_unit_dn gibt den Distinguished Name der hinzuzufügenden Organisationseinheit an.

Um die vollständige Syntax für diesen Befehl anzuzeigen, geben Sie an einer Eingabeaufforderung ein dsadd ou /?.

Hinweis

Verwenden dsmod ou Sie den Befehl, um die Eigenschaften einer Organisationseinheit zu ändern.

Löschen einer Organisationseinheit

  1. Klicken Sie auf Start und anschließend auf Ausführen.

  2. Geben Sie im Feld Öffnen die Zeichenfolge cmd ein.

  3. Geben Sie an der Eingabeaufforderung den Befehl ein dsrm <organizational_unit_dn>.

    Die organizational_unit_dn gibt den Distinguished Name der zu löschenden Organisationseinheit an.

Um die vollständige Syntax für diesen Befehl anzuzeigen, geben Sie an einer Eingabeaufforderung ein dsrm /?.

Hinweis

Wenn Sie eine Organisationseinheit löschen, werden alle darin enthaltenen Objekte gelöscht.

Durchsuchen von Active Directory

In den folgenden Abschnitten finden Sie ausführliche Schritte zum Durchsuchen von Active Directory.

Suchen eines Benutzerkontos

  1. Klicken Sie auf Start und anschließend auf Ausführen.

  2. Geben Sie im Feld Öffnen die Zeichenfolge cmd ein.

  3. Geben Sie an der Eingabeaufforderung den Befehl ein dsquery user <parameter>.

    Der -Parameter gibt den zu verwendenden Parameter an. Die Liste der Parameter finden Sie in der Onlinehilfe für den Befehl dsquery user .

Um die vollständige Syntax für diesen Befehl anzuzeigen, geben Sie an einer Eingabeaufforderung ein dsquery user /?.

Suchen eines Kontakts

  1. Klicken Sie auf Start und anschließend auf Ausführen.

  2. Geben Sie im Feld Öffnen die Zeichenfolge cmd ein.

  3. Geben Sie an der Eingabeaufforderung den Befehl ein dsquery contact <parameter>.

    Der -Parameter gibt den zu verwendenden Parameter an. Die Liste der Parameter finden Sie in der Onlinehilfe für den Befehl dsquery user.

Suchen einer Gruppe

  1. Klicken Sie auf Start und anschließend auf Ausführen.

  2. Geben Sie im Feld Öffnen die Zeichenfolge cmd ein.

  3. Geben Sie an der Eingabeaufforderung den Befehl ein dsquery group <parameter>.

    Der -Parameter gibt den zu verwendenden Parameter an. Die Liste der Parameter finden Sie in der Onlinehilfe für den Befehl dsquery user.

Standardmäßig befinden sich lokale Gruppen, die automatisch auf Domänencontrollern mit Windows Server 2003 bereitgestellt werden, z. B. Administratoren und Kontooperatoren, im Ordner Integriert. Standardmäßig befinden sich allgemeine globale Gruppen wie Domänenadministratoren und Domänenbenutzer im Ordner Benutzer. Sie können neue Gruppen in einen beliebigen Ordner hinzufügen oder verschieben. Microsoft empfiehlt, Gruppen in einem Organisationseinheitsordner zu speichern.

Suchen eines Computerkontos

  1. Klicken Sie auf Start und anschließend auf Ausführen.

  2. Geben Sie im Feld Öffnen die Zeichenfolge cmd ein.

  3. Geben Sie an der Eingabeaufforderung den Befehl ein dsquery computer -name <name>.

    Der Name gibt den Computernamen an, nach dem der Befehl sucht. Dieser Befehl sucht nach Computern, deren Namensattribute (Wert des CN-Attributs) mit dem Namen übereinstimmen.

Um die vollständige Syntax für diesen Befehl anzuzeigen, geben Sie an einer Eingabeaufforderung ein dsquery computer /?.

Suchen einer Organisationseinheit

  1. Klicken Sie auf Start und anschließend auf Ausführen.

  2. Geben Sie im Feld Öffnen die Zeichenfolge cmd ein.

  3. Geben Sie an der Eingabeaufforderung den Befehl ein dsquery ou <parameter>.

    Der -Parameter gibt den zu verwendenden Parameter an. Die Liste der Parameter finden Sie in der Onlinehilfe für dsquery ou.

Um die vollständige Syntax für diesen Befehl anzuzeigen, geben Sie an einer Eingabeaufforderung ein dsquery ou /?.

Suchen eines Domänencontrollers

  1. Klicken Sie auf Start und anschließend auf Ausführen.

  2. Geben Sie im Feld Öffnen die Zeichenfolge cmd ein.

  3. Geben Sie an der Eingabeaufforderung den Befehl ein dsquery server <parameter>.

    Der -Parameter gibt den zu verwendenden Parameter an. Es gibt mehrere Attribute eines Servers, die Sie mit diesem Befehl durchsuchen können. Die Liste der Parameter finden Sie in der Onlinehilfe für dsquery server.

  1. Klicken Sie auf Start und anschließend auf Ausführen.

  2. Geben Sie im Feld Öffnen die Zeichenfolge cmd ein.

  3. Geben Sie an der Eingabeaufforderung den Befehl ein dsquery * <parameter>.

    Der -Parameter gibt den zu verwendenden Parameter an. Es gibt mehrere Attribute, die Sie mit diesem Befehl durchsuchen können. Weitere Informationen zu LDAP-Suchvorgängen finden Sie unter Windows Server 2003 Resource Kit.

References

Wenn Sie weitere Informationen zu den Befehlszeilentools für Verzeichnisdienste in Windows Server 2003 benötigen, klicken Sie auf Start, klicken Sie auf Hilfe und Supportcenter, und geben Sie dann Befehlszeilentools für Verzeichnisdienst in das Feld Suchen ein.