Используйте средства командной строки Службы каталогов для управления объектами Active Directory в Windows Server 2003

В этой статье описывается использование средств командной строки службы каталогов для выполнения административных задач для Active Directory в Windows Server 2003. Следующие задачи разбивается на группы задач.

Применяется к:   Windows Server 2003
Исходный номер КБ:   322684

Управление пользователями

В следующих разделах подробно описаны действия по управлению группами.

Создание новой учетной записи пользователя

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. В поле Open введите cmd.

  3. Введите следующую команду:

    dsadd user userdn -samid sam_name
    

    В этой команде используются следующие значения:

    • Userdn указывает отличительное имя (также известное как DN) объекта пользователя, который необходимо добавить.
    • sam_name указывает имя диспетчера учетной записи безопасности (SAM), используемое в качестве уникального имени учетной записи SAM для этого пользователя (например, Linda).
  4. Чтобы указать пароль учетной записи пользователя, введите следующую команду, где пароль — это пароль, который будет использоваться для учетной записи пользователя:

    dsadd user userdn -pwd password
    

Примечание

Чтобы просмотреть полный синтаксис для этой команды и получить дополнительные сведения о вводе дополнительных сведений о учетной записи пользователей, в командной подсказке введите dsadd user /? .

Сброс пароля пользователя

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. В поле Open введите cmd.

  3. Введите следующую команду:

    dsmod user user_dn -pwd new_password
    

    В этой команде используются следующие значения:

    • user_dn указывает имя пользователя, для которого будет сброшен пароль.
    • new_password указывает пароль, который заменит текущий пароль пользователя
  4. Если требуется потребовать от пользователя изменить этот пароль при следующем процессе логона, введите следующую команду:

    dsmod user user_dn -mustchpwd {yes|no}
    

Если пароль не назначен, при первой попытки входа (с помощью пустого пароля) отображается следующее сообщение с логотипом:

Необходимо изменить пароль при первом логотипе

После изменения пароля пользователем процесс логона продолжается.

При смене пароля учетной записи пользователя необходимо сбросить службы, которые являются аутентификацией с учетной записью пользователя.

Примечание

Чтобы просмотреть полный синтаксис для этой команды и получить дополнительные сведения о вводе дополнительных сведений о учетной записи пользователей, в командной подсказке введите dsmod user /? .

Отключить или включить учетную запись пользователя

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. В поле Open введите cmd.

  3. Введите следующую команду:

    dsmod user user_dn -disabled {yes|no}
    

    В этой команде используются следующие значения:

    • user_dn указывает отличительное имя объекта пользователя, которое должно быть отключено или включено.
    • {Да|no} указывает, отключена ли учетная запись пользователя для логотипа (да) или нет (нет).

Примечание

В качестве меры безопасности вместо удаления учетной записи этого пользователя можно отключить учетные записи пользователей, чтобы предотвратить вход конкретного пользователя. Если отключать учетные записи пользователей с общими групповыми членствами, можно использовать отключенные учетные записи в качестве шаблонов учетных записей для упрощения создания учетных записей пользователей.

Удаление учетной записи пользователя

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.
  2. В поле Open введите cmd.
  3. В командной подсказке dsrm user_dn введите команду, user_dn указывает отличительное имя удаляемого объекта пользователя.

После удаления учетной записи пользователя все разрешения и членство, связанные с этой учетной записью пользователя, будут удалены навсегда. Поскольку идентификатор безопасности (SID) для каждой учетной записи уникален, если вы создаете новую учетную запись пользователя, которая имеет то же имя, что и ранее удаленная учетная запись пользователя, новая учетная запись автоматически не предполагает разрешений и членства ранее удаленной учетной записи. Чтобы повторить удаленную учетную запись пользователя, необходимо вручную повторно создать все разрешения и членство.

Примечание

Чтобы просмотреть полный синтаксис для этой команды и получить дополнительные сведения о вводе дополнительных сведений о учетной записи пользователей, в командной подсказке введите dsrm /? .

Управление группами

В следующих разделах подробно описаны действия по управлению группами.

Создание группы

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. В поле Open введите cmd.

  3. Введите следующую команду:

    dsadd group group_dn -samid sam_name -secgrp yes | no -scope l | g | u
    

    В этой команде используются следующие значения:

    • group_dn указывает отличительное имя объекта группы, которое необходимо добавить.
    • sam_name имя SAM, которое является уникальным именем учетной записи SAM для этой группы (например, операторов).
    • Да | не указывает, является ли группа безопасности (да) или группа рассылки (нет).
    • l | g | указывает область группы, которая необходимо добавить (домен локальный [l], глобальный [g], или универсальный [u]).

Если домен, в котором создается группа, настроен на функциональный уровень домена Windows 2000 смешанных, можно выбрать только группы безопасности с локальными областями домена или глобальными областями.

Чтобы просмотреть полный синтаксис для этой команды и получить дополнительные сведения о вводе дополнительных сведений о группе, в командной подсказке введите dsadd group /? .

Добавление участника в группу

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. В поле Open введите cmd.

  3. Введите следующую команду:

    dsmod group group_dn -addmbr member_dn
    

    В этой команде используются следующие значения:

    • group_dn указывает отличительное имя объекта группы, которое необходимо добавить.
    • member_dn указывает отличительное имя объекта, которое необходимо добавить в группу.

Помимо пользователей и компьютеров, группа может содержать контакты и другие группы.

Чтобы просмотреть полный синтаксис для этой команды, а также получить дополнительные сведения о вводе дополнительных сведений о учетной записи пользователей и группах, в командной подсказке введите dsmod group /? .

Преобразование группы в другой тип группы

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. В поле Open введите cmd.

  3. Введите следующую команду:

    dsmod group group_dn -secgrp {yes|no}
    

    В этой команде используются следующие значения:

    • group_dn указывает отличительное имя объекта группы, для которого необходимо изменить тип группы.
    • {Да|no} указывает, что тип группы задан группе безопасности (да) или группе рассылки (нет).

Чтобы преобразовать группу, функциональность домена должна быть Windows 2000 Native или выше. Вы не можете преобразовать группы, если функциональность домена установлена Windows 2000 Mixed.

Чтобы просмотреть полный синтаксис для этой команды, в командной подсказке введите dsmod group /? .

Изменение области группы

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. В поле Open введите cmd.

  3. Введите следующую команду:

    dsmod group **group_dn** -scope l|g|u
    

    В этой команде используются следующие значения:

    • group_dn указывает отличительные имена группового объекта, на который будет изменена область.
    • l|g|u указывает область, в которую должна быть задана группа (локализованная, глобальная или универсальная). Если домен по-прежнему Windows 2000 смешанный, универсальная область не поддерживается. Кроме того, невозможно преобразовать локализованную группу домена в глобальную группу или наоборот.

Примечание

Диапазоны групп можно изменять только в том случае, если функциональный уровень домена установлен Windows 2000 родных или более высоких уровней.

Удаление группы

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. В поле Open введите cmd.

  3. В командной подсказке введите команду dsrm group_dn .

    В group_dn указывается имя удаляемого объекта группы.

Примечание

Если удалить группу, группа будет удалена навсегда.

По умолчанию локальные группы, автоматически предоставляемые в контроллерах доменов, которые работают Windows Server 2003, например администраторы и операторы учетных записей, находятся в папке Builtin. По умолчанию общие глобальные группы, такие как администраторы доменов и пользователи доменов, находятся в папке "Пользователи". Вы можете добавлять или перемещать новые группы в любую папку. Корпорация Майкрософт рекомендует хранить группы в папке организационных подразделений.

Чтобы просмотреть полный синтаксис для этой команды, в командной подсказке введите dsrm /? .

Поиск групп, в которых пользователь является участником

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. В поле Open введите cmd.

  3. Введите следующую команду:

    dsget user user_dn -memberof
    

    В user_dn указывается имя объекта пользователя, для которого необходимо отобразить членство в группе.

Чтобы просмотреть полный синтаксис для этой команды, в командной подсказке введите dsget user /? .

Управление компьютерами

В следующих разделах подробно описаны действия по управлению компьютерами.

Создание новой учетной записи компьютера

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. В поле Open введите cmd.

  3. Введите следующую команду:

    dsadd computer computer_dn
    

    В computer_dn указывается имя компьютера, которое необходимо добавить. Отличительное имя указывает расположение папки.

Чтобы просмотреть полный синтаксис для этой команды, в командной подсказке введите dsadd computer /? .

Чтобы изменить свойства учетной записи компьютера, используйте команду компьютера dsmod.

Добавление учетной записи компьютера в группу

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. В поле Open введите cmd.

  3. Введите следующую команду:

    dsmod group group_dn -addmbr computer_dn
    

    В этой команде используются следующие значения:

    • group_dn указывает отличительное имя объекта группы, к которому необходимо добавить объект компьютера.
    • computer_dn указывает отличительное имя объекта компьютера, который будет добавлен в группу. Отличительное имя указывает расположение папки.

При добавлении компьютера в группу можно назначить разрешения всем учетным записям компьютера в этой группе, а затем фильтровать параметры групповой политики для всех учетных записей этой группы.

Чтобы просмотреть полный синтаксис для этой команды, в командной подсказке введите dsmod group /? .

Сброс учетной записи компьютера

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. В поле Open введите cmd.

  3. Введите следующую команду:

    dsmod computer computer_dn -reset
    

    В computer_dn указаны имена одного или более объектов компьютера, которые необходимо сбросить.

    Примечание

    При сбросе учетной записи компьютера вы разбиваем подключение компьютера к домену. После сброса учетной записи компьютера необходимо повторно присоединяться к учетной записи компьютера домена.

Чтобы просмотреть полный синтаксис для этой команды, в командной подсказке введите компьютер dsmod /? .

Отключить или включить учетную запись компьютера

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. В поле Open введите cmd.

  3. Введите следующую команду:

    dsmod computer computer_dn -disabled {yes|no}
    

    В этой команде используются следующие значения:

    • computer_dn указывает отличительное имя объекта компьютера, который необходимо отключить или включить.
    • {Да|no} указывает, отключен ли компьютер для логотипа (да) или нет (нет).

При отключке учетной записи компьютера вы разбиваете подключение компьютера к домену, и компьютер не может проверить подлинность домена.

Чтобы просмотреть полный синтаксис для этой команды, в командной подсказке введите dsmod computer /? .

Управление организационными подразделениями

В следующих разделах подробно описаны действия по управлению организационными подразделениями.

Создание нового организационного подразделения

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. В поле Open введите cmd.

  3. Введите следующую команду:

    dsadd ou organizational_unit_dn
    

    В organizational_unit_dn указывается указанное имя добавляемого организационного подразделения.

Чтобы просмотреть полный синтаксис для этой команды, в командной подсказке введите dsadd ou /? .

Примечание

Чтобы изменить свойства организационного подразделения, используйте dsmod ou команду.

Удаление организационного подразделения

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. В поле Open введите cmd.

  3. В командной подсказке введите команду dsrm organizational_unit_dn .

    В organizational_unit_dn указывается имя удаляемого организационного подразделения.

Чтобы просмотреть полный синтаксис для этой команды, в командной подсказке введите dsrm /? .

Примечание

Если удалить организационное подразделение, все объекты, которые в нем содержатся, удаляются.

Поиск Active Directory

В следующих разделах подробно описаны действия по поиску Active Directory.

Поиск учетной записи пользователя

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. В поле Open введите cmd.

  3. В командной подсказке введите команду dsquery user parameter .

    Параметр указывает параметр, который нужно использовать. Список параметров см. в онлайн-справке для команды squery user d.

Чтобы просмотреть полный синтаксис для этой команды, в командной подсказке введите dsquery user /? .

Поиск контакта

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. В поле Open введите cmd.

  3. В командной подсказке введите команду dsquery contact parameter .

    Параметр указывает параметр, который нужно использовать. Список параметров см. в интерактивной справке для команды пользователей dsquery.

Поиск группы

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. В поле Open введите cmd.

  3. В командной подсказке введите команду dsquery group parameter .

    Параметр указывает параметр, который нужно использовать. Список параметров см. в интерактивной справке для команды пользователей dsquery.

По умолчанию локальные группы, автоматически предоставляемые в контроллерах доменов, которые работают Windows Server 2003, например администраторы и операторы учетных записей, находятся в папке Builtin. По умолчанию общие глобальные группы, такие как администраторы доменов и пользователи доменов, находятся в папке "Пользователи". Вы можете добавлять или перемещать новые группы в любую папку. Корпорация Майкрософт рекомендует хранить группы в папке организационных подразделений.

Поиск учетной записи компьютера

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. В поле Open введите cmd.

  3. В командной подсказке введите команду dsquery computer -name name .

    Имя указывает имя компьютера, которое ищет команда. Эта команда ищет компьютеры, чьи атрибуты имени (значение атрибута CN) совпадают.

Чтобы просмотреть полный синтаксис для этой команды, в командной подсказке введите dsquery computer /? .

Поиск организационного подразделения

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. В поле Open введите cmd.

  3. В командной подсказке введите команду dsquery ou parameter .

    Параметр указывает параметр, который нужно использовать. Список параметров см. в справке по dsquery ou интернету.

Чтобы просмотреть полный синтаксис для этой команды, в командной подсказке введите dsquery ou /? .

Поиск контроллера домена

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. В поле Open введите cmd.

  3. В командной подсказке введите команду dsquery server parameter .

    Параметр указывает параметр, который нужно использовать. Существует несколько атрибутов сервера, которые можно искать с помощью этой команды. Список параметров см. в справке dsquery server.

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. В поле Open введите cmd.

  3. В командной подсказке введите команду dsquery * parameter .

    Параметр указывает параметр, который нужно использовать. Существует несколько атрибутов, которые можно искать с помощью этой команды. Дополнительные сведения об поисках по LDAP см. в Windows Набор ресурсов Server 2003.

Ссылки

Дополнительные сведения о средствах командной строки Directory Services в Windows Server 2003 нажмите кнопку Начните, щелкните Центр справки и поддержки, а затем введите средства командной строки службы каталогов в поле Поиска.