Utiliser les outils en ligne de commande du service d’annuaire pour gérer les objets Active Directory dans Windows Server 2003

Cet article explique comment utiliser les outils en ligne de commande du service d’annuaire pour effectuer des tâches d’administration pour Active Directory dans Windows Server 2003. Les tâches suivantes sont réparties en groupes de tâches.

S’applique à : Versions prises en charge de Windows Server
Numéro de la base de connaissances d’origine : 322684

Comment gérer les utilisateurs

Les sections suivantes fournissent des étapes détaillées pour gérer les groupes.

Créer un compte d’utilisateur

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la zone Ouvrir , tapez cmd.

  3. Depuis l'invite de commandes, entrez la commande suivante :

    dsadd user <user_dn> -samid <sam_name>
    

    Les valeurs suivantes sont utilisées dans cette commande :

    • user_dn spécifie le nom unique (également appelé DN) de l’objet utilisateur que vous souhaitez ajouter.
    • sam_name spécifie le nom du gestionnaire de compte de sécurité (SAM) utilisé comme nom de compte SAM unique pour cet utilisateur (par exemple, Linda).
  4. Pour spécifier le mot de passe du compte d’utilisateur, tapez la commande suivante, où password est le mot de passe à utiliser pour le compte d’utilisateur :

    dsadd user <user_dn> -pwd password
    

Remarque

Pour afficher la syntaxe complète de cette commande et obtenir plus d’informations sur la saisie d’informations supplémentaires sur le compte d’utilisateur, à l’invite de commandes, tapez dsadd user /?.

Réinitialiser un mot de passe utilisateur

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la zone Ouvrir , tapez cmd.

  3. Depuis l'invite de commandes, entrez la commande suivante :

    dsmod user <user_dn> -pwd <new_password>
    

    Cette commande utilise les valeurs suivantes :

    • user_dn spécifie le nom unique de l’utilisateur pour lequel le mot de passe sera réinitialisé.
    • new_password spécifie le mot de passe qui remplacera le mot de passe de l’utilisateur actuel
  4. Si vous souhaitez demander à l’utilisateur de modifier ce mot de passe au prochain processus d’ouverture de session, tapez la commande suivante :

    dsmod user <user_dn> -mustchpwd {yes|no}
    

Si aucun mot de passe n’est attribué, la première fois que l’utilisateur tente de se connecter (à l’aide d’un mot de passe vide), le message d’ouverture de session suivant s’affiche :

Vous devez modifier votre mot de passe lors de la première ouverture de session

Une fois que l’utilisateur a modifié le mot de passe, le processus d’ouverture de session continue.

Vous devez réinitialiser les services qui sont authentifiés avec un compte d’utilisateur si le mot de passe du compte d’utilisateur du service est modifié.

Remarque

Pour afficher la syntaxe complète de cette commande et obtenir plus d’informations sur la saisie d’informations supplémentaires sur le compte d’utilisateur, à l’invite de commandes, tapez dsmod user /?.

Désactiver ou activer un compte d’utilisateur

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la zone Ouvrir , tapez cmd.

  3. Depuis l'invite de commandes, entrez la commande suivante :

    dsmod user <user_dn> -disabled {yes|no}
    

    Cette commande utilise les valeurs suivantes :

    • user_dn spécifie le nom unique de l’objet utilisateur à désactiver ou à activer.
    • {yes|no} spécifie si le compte d’utilisateur est désactivé pour l’ouverture de session (oui) ou non (non).

Remarque

Par mesure de sécurité, au lieu de supprimer le compte de cet utilisateur, vous pouvez désactiver les comptes d’utilisateur pour empêcher un utilisateur particulier de se connecter. Si vous désactivez les comptes d’utilisateur qui ont des appartenances de groupe communes, vous pouvez utiliser des comptes d’utilisateur désactivés comme modèles de compte pour simplifier la création de comptes d’utilisateur.

Supprimer un compte d’utilisateur

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir , tapez cmd.
  3. À l’invite de commandes, tapez la dsrm <user_dn> commande, où user_dn spécifie le nom unique de l’objet utilisateur à supprimer.

Une fois que vous avez supprimé un compte d’utilisateur, toutes les autorisations et appartenances associées à ce compte d’utilisateur sont définitivement supprimées. Étant donné que l’identificateur de sécurité (SID) de chaque compte est unique, si vous créez un compte d’utilisateur portant le même nom qu’un compte d’utilisateur précédemment supprimé, le nouveau compte n’assume pas automatiquement les autorisations et les appartenances du compte précédemment supprimé. Pour dupliquer un compte d’utilisateur supprimé, vous devez recréer manuellement toutes les autorisations et appartenances.

Remarque

Pour afficher la syntaxe complète de cette commande et obtenir plus d’informations sur la saisie d’informations supplémentaires sur le compte d’utilisateur, à l’invite de commandes, tapez dsrm /?.

Guide pratique pour gérer des groupes

Les sections suivantes fournissent des étapes détaillées pour gérer les groupes.

Créer un groupe

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la zone Ouvrir , tapez cmd.

  3. Depuis l'invite de commandes, entrez la commande suivante :

    dsadd group <group_dn> -samid <sam_name> -secgrp {yes|no} -scope {l|g|u}
    

    Cette commande utilise les valeurs suivantes :

    • group_dn spécifie le nom unique de l’objet group que vous souhaitez ajouter.
    • sam_name spécifie le nom SAM qui est le nom de compte SAM unique pour ce groupe (par exemple, les opérateurs).
    • {yes|no} spécifie si le groupe que vous souhaitez ajouter est un groupe de sécurité (oui) ou un groupe de distribution (non).
    • {l|g|u} spécifie l’étendue du groupe que vous souhaitez ajouter (domaine local [l], global [g] ou universel [u]).

Si le domaine dans lequel vous créez le groupe est défini sur le niveau fonctionnel de domaine de Windows 2000 mixed, vous pouvez sélectionner uniquement les groupes de sécurité avec des étendues locales de domaine ou des étendues globales.

Pour afficher la syntaxe complète de cette commande et obtenir plus d’informations sur l’entrée d’informations de groupe supplémentaires, à l’invite de commandes, tapez dsadd group /?.

Ajouter un membre à un groupe

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la zone Ouvrir , tapez cmd.

  3. Depuis l'invite de commandes, entrez la commande suivante :

    dsmod group <group_dn> -addmbr <member_dn>
    

    Cette commande utilise les valeurs suivantes :

    • group_dn spécifie le nom unique de l’objet group que vous souhaitez ajouter.
    • member_dn spécifie le nom unique de l’objet que vous souhaitez ajouter au groupe.

En plus des utilisateurs et des ordinateurs, un groupe peut contenir des contacts et d’autres groupes.

Pour afficher la syntaxe complète de cette commande et obtenir plus d’informations sur la saisie d’informations supplémentaires sur le compte d’utilisateur et le groupe, à l’invite de commandes, tapez dsmod group /?.

Convertir un groupe en un autre type de groupe

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la zone Ouvrir , tapez cmd.

  3. Depuis l'invite de commandes, entrez la commande suivante :

    dsmod group <group_dn> -secgrp {yes|no}
    

    Cette commande utilise les valeurs suivantes :

    • group_dn spécifie le nom unique de l’objet group pour lequel vous souhaitez modifier le type de groupe.
    • {yes|no} spécifie que le type de groupe est défini sur groupe de sécurité (oui) ou groupe de distribution (non).

Pour convertir un groupe, la fonctionnalité de domaine doit être définie sur Windows 2000 Natif ou version ultérieure. Vous ne pouvez pas convertir des groupes lorsque la fonctionnalité de domaine est définie sur Windows 2000 Mixed.

Pour afficher la syntaxe complète de cette commande, à l’invite de commandes, tapez dsmod group /?.

Modifier l’étendue du groupe

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la zone Ouvrir , tapez cmd.

  3. Depuis l'invite de commandes, entrez la commande suivante :

    dsmod group <group_dn> -scope {l|g|u}
    

    Cette commande utilise les valeurs suivantes :

    • group_dn spécifie les noms uniques de l’objet de groupe dans lequel l’étendue sera modifiée.
    • {l|g|u} spécifie l’étendue sur laquelle le groupe doit être défini (local, global ou universel). Si le domaine est toujours défini sur Windows 2000 mixte, l’étendue universelle n’est pas prise en charge. En outre, il n’est pas possible de convertir un groupe local de domaine en groupe global ou vice versa.

Remarque

Vous ne pouvez modifier les étendues de groupe que lorsque le niveau fonctionnel du domaine est défini sur Windows 2000 natif ou version ultérieure.

Supprimer un groupe

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la zone Ouvrir , tapez cmd.

  3. À l’invite de commandes, tapez la commande dsrm <group_dn>.

    Le group_dn spécifie le nom unique de l’objet de groupe à supprimer.

Remarque

Si vous supprimez le groupe, le groupe est supprimé définitivement.

Par défaut, les groupes locaux fournis automatiquement dans les contrôleurs de domaine exécutant Windows Server 2003, tels que administrateurs et opérateurs de compte, se trouvent dans le dossier Builtin. Par défaut, les groupes globaux courants, tels que Les administrateurs de domaine et les utilisateurs de domaine, se trouvent dans le dossier Utilisateurs. Vous pouvez ajouter ou déplacer de nouveaux groupes vers n’importe quel dossier. Microsoft vous recommande de conserver les groupes dans un dossier d’unité d’organisation.

Pour afficher la syntaxe complète de cette commande, à l’invite de commandes, tapez dsrm /?.

Rechercher les groupes dans lesquels un utilisateur est membre

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la zone Ouvrir , tapez cmd.

  3. Depuis l'invite de commandes, entrez la commande suivante :

    dsget user <user_dn> -memberof
    

    La user_dn spécifie le nom unique de l’objet utilisateur pour lequel vous souhaitez afficher l’appartenance au groupe.

Pour afficher la syntaxe complète de cette commande, à l’invite de commandes, tapez dsget user /?.

Comment gérer les ordinateurs

Les sections suivantes fournissent des étapes détaillées pour gérer les ordinateurs.

Créer un compte d’ordinateur

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la zone Ouvrir , tapez cmd.

  3. Depuis l'invite de commandes, entrez la commande suivante :

    dsadd computer <computer_dn>
    

    Le computer_dn spécifie le nom unique de l’ordinateur que vous souhaitez ajouter. Le nom unique indique l’emplacement du dossier.

Pour afficher la syntaxe complète de cette commande, à l’invite de commandes, tapez dsadd computer /?.

Pour modifier les propriétés d’un compte d’ordinateur, utilisez la commande dsmod computer.

Ajouter un compte d’ordinateur à un groupe

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la zone Ouvrir , tapez cmd.

  3. Depuis l'invite de commandes, entrez la commande suivante :

    dsmod group <group_dn> -addmbr <computer_dn>
    

    Cette commande utilise les valeurs suivantes :

    • group_dn spécifie le nom unique de l’objet de groupe auquel vous souhaitez ajouter l’objet ordinateur.
    • computer_dn spécifie le nom unique de l’objet ordinateur à ajouter au groupe. Le nom unique indique l’emplacement du dossier.

Lorsque vous ajoutez un ordinateur à un groupe, vous pouvez attribuer des autorisations à tous les comptes d’ordinateur de ce groupe, puis filtrer les paramètres stratégie de groupe sur tous les comptes de ce groupe.

Pour afficher la syntaxe complète de cette commande, à l’invite de commandes, tapez dsmod group /?.

Réinitialiser un compte d’ordinateur

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la zone Ouvrir , tapez cmd.

  3. Depuis l'invite de commandes, entrez la commande suivante :

    dsmod computer <computer_dn> -reset
    

    Le computer_dn spécifie les noms uniques d’un ou plusieurs objets ordinateur que vous souhaitez réinitialiser.

    Remarque

    Lorsque vous réinitialisez un compte d’ordinateur, vous interrompez la connexion de l’ordinateur au domaine. Vous devez joindre le compte d’ordinateur au compte d’ordinateur de domaine une fois que vous l’avez réinitialisé.

Pour afficher la syntaxe complète de cette commande, à l’invite de commandes, tapez dsmod computer / ? .

Désactiver ou activer un compte d’ordinateur

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la zone Ouvrir , tapez cmd.

  3. Depuis l'invite de commandes, entrez la commande suivante :

    dsmod computer <computer_dn> -disabled {yes|no}
    

    Cette commande utilise les valeurs suivantes :

    • computer_dn spécifie le nom unique de l’objet ordinateur que vous souhaitez désactiver ou activer.
    • {yes|no} spécifie si l’ordinateur est désactivé pour l’ouverture de session (oui) ou non (non).

Lorsque vous désactivez un compte d’ordinateur, vous interrompez la connexion de l’ordinateur avec le domaine et l’ordinateur ne peut pas s’authentifier auprès du domaine.

Pour afficher la syntaxe complète de cette commande, à l’invite de commandes, tapez dsmod computer /?.

Guide pratique pour gérer les unités d’organisation

Les sections suivantes fournissent des étapes détaillées pour gérer les unités organisationnelles.

Créer une unité d’organisation

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la zone Ouvrir , tapez cmd.

  3. Depuis l'invite de commandes, entrez la commande suivante :

    dsadd ou <organizational_unit_dn>
    

    Le organizational_unit_dn spécifie le nom unique de l’unité d’organisation à ajouter.

Pour afficher la syntaxe complète de cette commande, à l’invite de commandes, tapez dsadd ou /?.

Remarque

Pour modifier les propriétés d’une unité d’organisation, utilisez la dsmod ou commande .

Supprimer une unité d’organisation

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la zone Ouvrir , tapez cmd.

  3. À l’invite de commandes, tapez la commande dsrm <organizational_unit_dn>.

    Le organizational_unit_dn spécifie le nom unique de l’unité d’organisation à supprimer.

Pour afficher la syntaxe complète de cette commande, à l’invite de commandes, tapez dsrm /?.

Remarque

Si vous supprimez une unité d’organisation, tous les objets qu’elle contient sont supprimés.

Comment effectuer une recherche dans Active Directory

Les sections suivantes fournissent des étapes détaillées pour effectuer des recherches dans Active Directory.

Rechercher un compte d’utilisateur

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la zone Ouvrir , tapez cmd.

  3. À l’invite de commandes, tapez la commande dsquery user <parameter>.

    Le paramètre spécifie le paramètre à utiliser. Pour obtenir la liste des paramètres, consultez l’aide en ligne de la commande dsquery user .

Pour afficher la syntaxe complète de cette commande, à l’invite de commandes, tapez dsquery user /?.

Rechercher un contact

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la zone Ouvrir , tapez cmd.

  3. À l’invite de commandes, tapez la commande dsquery contact <parameter>.

    Le paramètre spécifie le paramètre à utiliser. Pour obtenir la liste des paramètres, consultez l’aide en ligne pour la commande dsquery user.

Rechercher un groupe

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la zone Ouvrir , tapez cmd.

  3. À l’invite de commandes, tapez la commande dsquery group <parameter>.

    Le paramètre spécifie le paramètre à utiliser. Pour obtenir la liste des paramètres, consultez l’aide en ligne pour la commande dsquery user.

Par défaut, les groupes locaux fournis automatiquement dans les contrôleurs de domaine exécutant Windows Server 2003, tels que administrateurs et opérateurs de compte, se trouvent dans le dossier Builtin. Par défaut, les groupes globaux courants, tels que Les administrateurs de domaine et les utilisateurs de domaine, se trouvent dans le dossier Utilisateurs. Vous pouvez ajouter ou déplacer de nouveaux groupes vers n’importe quel dossier. Microsoft vous recommande de conserver les groupes dans un dossier d’unité d’organisation.

Rechercher un compte d’ordinateur

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la zone Ouvrir , tapez cmd.

  3. À l’invite de commandes, tapez la commande dsquery computer -name <name>.

    Le nom spécifie le nom de l’ordinateur que la commande recherche. Cette commande recherche les ordinateurs dont les attributs de nom (valeur de l’attribut CN) correspondent au nom.

Pour afficher la syntaxe complète de cette commande, à l’invite de commandes, tapez dsquery computer /?.

Rechercher une unité d’organisation

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la zone Ouvrir , tapez cmd.

  3. À l’invite de commandes, tapez la commande dsquery ou <parameter>.

    Le paramètre spécifie le paramètre à utiliser. Pour obtenir la liste des paramètres, consultez l’aide en ligne pour dsquery ou.

Pour afficher la syntaxe complète de cette commande, à l’invite de commandes, tapez dsquery ou /?.

Rechercher un contrôleur de domaine

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la zone Ouvrir , tapez cmd.

  3. À l’invite de commandes, tapez la commande dsquery server <parameter>.

    Le paramètre spécifie le paramètre à utiliser. Il existe plusieurs attributs d’un serveur que vous pouvez rechercher à l’aide de cette commande. Pour obtenir la liste des paramètres, consultez l’aide en ligne pour dsquery server.

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la zone Ouvrir , tapez cmd.

  3. À l’invite de commandes, tapez la commande dsquery * <parameter>.

    Le paramètre spécifie le paramètre à utiliser. Il existe plusieurs attributs que vous pouvez rechercher à l’aide de cette commande. Pour plus d’informations sur les recherches LDAP, consultez le Kit de ressources Windows Server 2003.

References

Pour plus d’informations sur les outils en ligne de commande des services d’annuaire dans Windows Server 2003, cliquez sur Démarrer, sur Centre d’aide et de support, puis tapez outils en ligne de commande du service d’annuaire dans la zone de recherche .