本文介绍如何使用目录服务命令行工具在 Windows Server 2003 中为 Active Directory 执行管理任务。 以下任务分为任务组。
适用于: 支持的 Windows Server 版本
原始 KB 数: 322684
如何管理用户
以下部分提供了管理组的详细步骤。
创建新的用户帐户
单击“开始”,然后单击“运行”。
在“打开” 框中,键入 cmd.
在命令提示符处,键入下列命令:
dsadd user <user_dn> -samid <sam_name>此命令中使用以下值:
- user_dn指定要添加的用户对象的可分辨名称(也称为 DN)。
- sam_name 指定安全帐户管理器 (SAM) 名称,用作此用户的唯一 SAM 帐户名称(例如 Linda)。
若要指定用户帐户密码,请键入以下命令,其中 密码 是用于用户帐户的密码:
dsadd user <user_dn> -pwd password
注意
若要查看此命令的完整语法,并获取有关输入更多用户帐户信息的详细信息,请在命令提示符下键入 dsadd user /?。
重置用户密码
单击“开始”,然后单击“运行”。
在“打开” 框中,键入 cmd.
在命令提示符处,键入下列命令:
dsmod user <user_dn> -pwd <new_password>此命令使用以下值:
- user_dn 指定将为其重置密码的用户的可分辨名称。
- new_password指定将替换当前用户密码的密码
如果要要求用户在下次登录过程中更改此密码,请键入以下命令:
dsmod user <user_dn> -mustchpwd {yes|no}
如果未分配密码,则用户首次尝试登录(使用空白密码),将显示以下登录消息:
首次登录时需要更改密码
用户更改密码后,登录过程将继续。
如果更改了服务的用户帐户的密码,则必须重置使用用户帐户进行身份验证的服务。
注意
若要查看此命令的完整语法,并获取有关输入更多用户帐户信息的详细信息,请在命令提示符下键入 dsmod user /?。
禁用或启用用户帐户
单击“开始”,然后单击“运行”。
在“打开” 框中,键入 cmd.
在命令提示符处,键入下列命令:
dsmod user <user_dn> -disabled {yes|no}此命令使用以下值:
- user_dn 指定要禁用或启用的用户对象的可分辨名称。
- {yes|no} 指定是否禁用用户帐户进行登录(是)或否(否)。
注意
作为安全措施,可以禁用用户帐户以防止特定用户登录,而不是删除该用户帐户。 如果禁用具有常见组成员身份的用户帐户,则可以使用禁用的用户帐户作为帐户模板来简化用户帐户的创建。
删除用户帐户
- 单击“开始”,然后单击“运行”。
- 在“打开” 框中,键入 cmd.
- 在命令提示符下,键入
dsrm <user_dn>命令,其中 user_dn 指定要删除的用户对象的可分辨名称。
删除用户帐户后,将永久删除与该用户帐户关联的所有权限和成员身份。 由于每个帐户的安全标识符(SID)是唯一的,因此,如果创建与以前删除的用户帐户同名的新用户帐户,则新帐户不会自动假定以前删除的帐户的权限和成员身份。 若要复制已删除的用户帐户,必须手动重新创建所有权限和成员身份。
注意
若要查看此命令的完整语法,并获取有关输入更多用户帐户信息的详细信息,请在命令提示符下键入 dsrm /?。
如何管理组
以下部分提供了管理组的详细步骤。
创建一个新组
单击“开始”,然后单击“运行”。
在“打开” 框中,键入 cmd.
在命令提示符处,键入下列命令:
dsadd group <group_dn> -samid <sam_name> -secgrp {yes|no} -scope {l|g|u}此命令使用以下值:
- group_dn指定要添加的组对象的可分辨名称。
- sam_name 指定此组的唯一 SAM 帐户名称(例如运算符)。
- {yes|no} 指定要添加的组是安全组(是)还是通讯组(否)。
- {l|g|u} 指定要添加的组的范围(域本地 [l]、全局 [g]或通用 [u])。
如果要在其中创建组的域设置为 Windows 2000 混合的域功能级别,则只能选择具有域本地范围或全局范围的安全组。
若要查看此命令的完整语法,并获取有关在命令提示符处输入更多组信息的详细信息,请键入 dsadd group /?。
将成员添加到组
单击“开始”,然后单击“运行”。
在“打开” 框中,键入 cmd.
在命令提示符处,键入下列命令:
dsmod group <group_dn> -addmbr <member_dn>此命令使用以下值:
- group_dn指定要添加的组对象的可分辨名称。
- member_dn指定要添加到组的对象的可分辨名称。
除了用户和计算机,组还可以包含联系人和其他组。
若要查看此命令的完整语法,并获取有关在命令提示符下输入更多用户帐户和组信息的详细信息,请键入 dsmod group /?。
将组转换为其他组类型
单击“开始”,然后单击“运行”。
在“打开” 框中,键入 cmd.
在命令提示符处,键入下列命令:
dsmod group <group_dn> -secgrp {yes|no}此命令使用以下值:
- group_dn指定要更改组类型的组对象的可分辨名称。
- {yes|no} 指定组类型设置为安全组(是)或通讯组(否)。
若要转换组,域功能必须设置为 Windows 2000 Native 或更高版本。 当域功能设置为 Windows 2000 Mixed 时,无法转换组。
若要查看此命令的完整语法,请在命令提示符下键入 dsmod group /?。
更改组范围
单击“开始”,然后单击“运行”。
在“打开” 框中,键入 cmd.
在命令提示符处,键入下列命令:
dsmod group <group_dn> -scope {l|g|u}此命令使用以下值:
- group_dn指定将更改作用域的组对象的可分辨名称。
- {l|g|u} 指定要将组设置为(本地、全局或通用)的范围。 如果域仍设置为 Windows 2000 混合域,则不支持通用范围。 此外,无法将域本地组转换为全局组,反之亦然。
注意
仅当域功能级别设置为 Windows 2000 本机或更高版本时,才能更改组范围。
删除组
单击“开始”,然后单击“运行”。
在“打开” 框中,键入 cmd.
在命令提示符处,键入命令
dsrm <group_dn>。group_dn指定要删除的组对象的可分辨名称。
注意
如果删除组,则会永久删除该组。
默认情况下,在运行 Windows Server 2003 的域控制器(如管理员和帐户操作员)中自动提供的本地组位于 Builtin 文件夹中。 默认情况下,常见的全局组(如域管理员和域用户)位于“用户”文件夹中。 可以向任何文件夹添加或移动新组。 Microsoft建议将组保留在组织单位文件夹中。
若要查看此命令的完整语法,请在命令提示符下键入 dsrm /?。
查找用户所属的组
单击“开始”,然后单击“运行”。
在“打开” 框中,键入 cmd.
在命令提示符处,键入下列命令:
dsget user <user_dn> -memberofuser_dn指定要为其显示组成员身份的用户对象的可分辨名称。
若要查看此命令的完整语法,请在命令提示符下键入 dsget user /?。
如何管理计算机
以下部分提供了管理计算机的详细步骤。
创建新的计算机帐户
单击“开始”,然后单击“运行”。
在“打开” 框中,键入 cmd.
在命令提示符处,键入下列命令:
dsadd computer <computer_dn>computer_dn指定要添加的计算机的可分辨名称。 可分辨名称指示文件夹位置。
若要查看此命令的完整语法,请在命令提示符下键入 dsadd computer /?。
若要修改计算机帐户的属性,请使用 dsmod 计算机命令。
将计算机帐户添加到组
单击“开始”,然后单击“运行”。
在“打开” 框中,键入 cmd.
在命令提示符处,键入下列命令:
dsmod group <group_dn> -addmbr <computer_dn>此命令使用以下值:
- group_dn指定要向其添加计算机对象的组对象的可分辨名称。
- computer_dn 指定要添加到组的计算机对象的可分辨名称。 可分辨名称指示文件夹位置。
将计算机添加到组时,可以向该组中的所有计算机帐户分配权限,然后筛选该组中所有帐户的组策略设置。
若要查看此命令的完整语法,请在命令提示符下键入 dsmod group /?。
重置计算机帐户
单击“开始”,然后单击“运行”。
在“打开” 框中,键入 cmd.
在命令提示符处,键入下列命令:
dsmod computer <computer_dn> -resetcomputer_dn指定要重置的一个或多个计算机对象的可分辨名称。
注意
重置计算机帐户时,将中断计算机与域的连接。 重置计算机帐户后,必须重新加入域计算机帐户。
若要查看此命令的完整语法,请在命令提示符下键入 dsmod 计算机 /? 。
禁用或启用计算机帐户
单击“开始”,然后单击“运行”。
在“打开” 框中,键入 cmd.
在命令提示符处,键入下列命令:
dsmod computer <computer_dn> -disabled {yes|no}此命令使用以下值:
- computer_dn 指定要禁用或启用的计算机对象的可分辨名称。
- {yes|no} 指定是否禁用计算机进行登录(是)或否(否)。
禁用计算机帐户时,将断开计算机与域的连接,并且计算机无法向域进行身份验证。
若要查看此命令的完整语法,请在命令提示符下键入 dsmod computer /?。
如何管理组织单位
以下部分提供了管理组织单位的详细步骤。
创建新部门
单击“开始”,然后单击“运行”。
在“打开” 框中,键入 cmd.
在命令提示符处,键入下列命令:
dsadd ou <organizational_unit_dn>organizational_unit_dn指定要添加的组织单位的可分辨名称。
若要查看此命令的完整语法,请在命令提示符下键入 dsadd ou /?。
注意
若要修改组织单位的属性,请使用 dsmod ou 命令。
删除组织单位
单击“开始”,然后单击“运行”。
在“打开” 框中,键入 cmd.
在命令提示符处,键入命令
dsrm <organizational_unit_dn>。organizational_unit_dn指定要删除的组织单位的可分辨名称。
若要查看此命令的完整语法,请在命令提示符下键入 dsrm /?。
注意
如果删除组织单位,则会删除它包含的所有对象。
如何搜索 Active Directory
以下部分提供了搜索 Active Directory 的详细步骤。
查找用户帐户
单击“开始”,然后单击“运行”。
在“打开” 框中,键入 cmd.
在命令提示符处,键入命令
dsquery user <parameter>。该 参数 指定要使用的参数。 有关参数列表,请参阅 d
squery user命令的联机帮助。
若要查看此命令的完整语法,请在命令提示符下键入 dsquery user /?。
查找联系人
单击“开始”,然后单击“运行”。
在“打开” 框中,键入 cmd.
在命令提示符处,键入命令
dsquery contact <parameter>。该 参数 指定要使用的参数。 有关参数列表,请参阅 dsquery 用户命令的联机帮助。
查找组
单击“开始”,然后单击“运行”。
在“打开” 框中,键入 cmd.
在命令提示符处,键入命令
dsquery group <parameter>。该 参数 指定要使用的参数。 有关参数列表,请参阅 dsquery 用户命令的联机帮助。
默认情况下,在运行 Windows Server 2003 的域控制器(如管理员和帐户操作员)中自动提供的本地组位于 Builtin 文件夹中。 默认情况下,常见的全局组(如域管理员和域用户)位于“用户”文件夹中。 可以向任何文件夹添加或移动新组。 Microsoft建议将组保留在组织单位文件夹中。
查找计算机帐户
单击“开始”,然后单击“运行”。
在“打开” 框中,键入 cmd.
在命令提示符处,键入命令
dsquery computer -name <name>。该 名称 指定命令搜索的计算机名称。 此命令搜索名称属性(CN 属性的值)匹配 名称的计算机。
若要查看此命令的完整语法,请在命令提示符下键入 dsquery computer /?。
查找组织单位
单击“开始”,然后单击“运行”。
在“打开” 框中,键入 cmd.
在命令提示符处,键入命令
dsquery ou <parameter>。该 参数 指定要使用的参数。 有关参数列表,请参阅联机
dsquery ou帮助。
若要查看此命令的完整语法,请在命令提示符下键入 dsquery ou /?。
查找域控制器
单击“开始”,然后单击“运行”。
在“打开” 框中,键入 cmd.
在命令提示符处,键入命令
dsquery server <parameter>。该 参数 指定要使用的参数。 可以使用此命令搜索服务器的多个属性。 有关参数列表,请参阅联机帮助
dsquery server.
执行自定义搜索
单击“开始”,然后单击“运行”。
在“打开” 框中,键入 cmd.
在命令提示符处,键入命令
dsquery * <parameter>。该 参数 指定要使用的参数。 可以使用此命令搜索多个属性。 有关 LDAP 搜索的详细信息,请参阅 Windows Server 2003 资源工具包。
参考
有关 Windows Server 2003 中目录服务命令行工具的详细信息,请单击“开始”,单击“帮助和支持中心”,然后在“搜索”框中键入目录服务命令行工具。