Freigeben über


Verwenden der Befehlszeilentools für den Verzeichnisdienst zum Verwalten von Active Directory-Objekten in Windows Server 2003

In diesem Artikel wird beschrieben, wie Sie die Befehlszeilentools des Verzeichnisdiensts verwenden, um Verwaltungsaufgaben für Active Directory in Windows Server 2003 auszuführen. Die folgenden Aufgaben werden in Aufgabengruppen unterteilt.

Gilt für: Unterstützte Versionen von Windows Server
Ursprüngliche KB-Nummer: 322684

Verwalten von Benutzern

Die folgenden Abschnitte enthalten detaillierte Schritte zum Verwalten von Gruppen.

Erstellen eines neuen Benutzerkontos

  1. Klicken Sie auf Start und anschließend auf Ausführen.

  2. Geben Sie Öffnen im Feld Öffnenein.

  3. Geben Sie an der Eingabeaufforderung folgenden Befehl ein:

    dsadd user <user_dn> -samid <sam_name>
    

    Die folgenden Werte werden in diesem Befehl verwendet:

    • user_dn gibt den distinguished Name (auch als DN bezeichnet) des hinzuzufügenden Benutzerobjekts an.
    • sam_name gibt den SAM-Namen (Security Account Manager) an, der als eindeutiger SAM-Kontoname für diesen Benutzer verwendet wird (z. B. Linda).
  4. Geben Sie zum Angeben des Benutzerkontokennworts den folgenden Befehl ein, wobei das Kennwort das Kennwort ist, das für das Benutzerkonto verwendet werden soll:

    dsadd user <user_dn> -pwd password
    

Notiz

Um die vollständige Syntax für diesen Befehl anzuzeigen und weitere Informationen zum Eingeben weiterer Benutzerkontoinformationen zu erhalten, geben dsadd user /?Sie an einer Eingabeaufforderung ein.

Zurücksetzen des Benutzerkennworts

  1. Klicken Sie auf Start und anschließend auf Ausführen.

  2. Geben Sie Öffnen im Feld Öffnenein.

  3. Geben Sie an der Eingabeaufforderung folgenden Befehl ein:

    dsmod user <user_dn> -pwd <new_password>
    

    Dieser Befehl verwendet die folgenden Werte:

    • user_dn gibt den distinguished Name des Benutzers an, für den das Kennwort zurückgesetzt wird.
    • new_password gibt das Kennwort an, das das aktuelle Benutzerkennwort ersetzt.
  4. Wenn Sie verlangen möchten, dass der Benutzer dieses Kennwort beim nächsten Anmeldevorgang ändert, geben Sie den folgenden Befehl ein:

    dsmod user <user_dn> -mustchpwd {yes|no}
    

Wenn kein Kennwort zugewiesen ist, wird die folgende Anmeldemeldung angezeigt, wenn der Benutzer zum ersten Mal versucht, sich anzumelden (mit einem leeren Kennwort):

Sie müssen Ihr Kennwort bei der ersten Anmeldung ändern.

Nachdem der Benutzer das Kennwort geändert hat, wird der Anmeldevorgang fortgesetzt.

Sie müssen die Dienste zurücksetzen, die mit einem Benutzerkonto authentifiziert werden, wenn das Kennwort für das Benutzerkonto des Diensts geändert wird.

Notiz

Um die vollständige Syntax für diesen Befehl anzuzeigen und weitere Informationen zum Eingeben weiterer Benutzerkontoinformationen zu erhalten, geben dsmod user /?Sie an einer Eingabeaufforderung ein.

Deaktivieren oder Aktivieren eines Benutzerkontos

  1. Klicken Sie auf Start und anschließend auf Ausführen.

  2. Geben Sie Öffnen im Feld Öffnenein.

  3. Geben Sie an der Eingabeaufforderung folgenden Befehl ein:

    dsmod user <user_dn> -disabled {yes|no}
    

    Dieser Befehl verwendet die folgenden Werte:

    • user_dn gibt den distinguished Name des benutzerobjekts an, das deaktiviert oder aktiviert werden soll.
    • {ja|no} Gibt an, ob das Benutzerkonto für die Anmeldung (ja) oder nicht (nein) deaktiviert ist.

Notiz

Als Sicherheitsmaßnahme können Sie, anstatt das Konto dieses Benutzers zu löschen, Benutzerkonten deaktivieren, um zu verhindern, dass sich ein bestimmter Benutzer anmeldet. Wenn Sie Benutzerkonten mit allgemeinen Gruppenmitgliedschaften deaktivieren, können Sie deaktivierte Benutzerkonten als Kontovorlagen verwenden, um die Erstellung von Benutzerkonten zu vereinfachen.

Löschen eines Benutzerkontos

  1. Klicken Sie auf Start und anschließend auf Ausführen.
  2. Geben Sie Öffnen im Feld Öffnenein.
  3. Geben Sie an der Eingabeaufforderung den dsrm <user_dn> Befehl ein, wobei user_dn den distinguished Name des zu löschenden Benutzerobjekts angibt.

Nachdem Sie ein Benutzerkonto gelöscht haben, werden alle Berechtigungen und Mitgliedschaften, die diesem Benutzerkonto zugeordnet sind, endgültig gelöscht. Da die Sicherheits-ID (SID) für jedes Konto eindeutig ist, wenn Sie ein neues Benutzerkonto erstellen, das denselben Namen wie ein zuvor gelöschtes Benutzerkonto aufweist, übernimmt das neue Konto nicht automatisch die Berechtigungen und Mitgliedschaften des zuvor gelöschten Kontos. Um ein gelöschtes Benutzerkonto zu duplizieren, müssen Sie alle Berechtigungen und Mitgliedschaften manuell neu erstellen.

Notiz

Um die vollständige Syntax für diesen Befehl anzuzeigen und weitere Informationen zum Eingeben weiterer Benutzerkontoinformationen zu erhalten, geben dsrm /?Sie an einer Eingabeaufforderung ein.

Verwalten von Gruppen

Die folgenden Abschnitte enthalten detaillierte Schritte zum Verwalten von Gruppen.

Erstellen einer neuen Gruppe

  1. Klicken Sie auf Start und anschließend auf Ausführen.

  2. Geben Sie Öffnen im Feld Öffnenein.

  3. Geben Sie an der Eingabeaufforderung folgenden Befehl ein:

    dsadd group <group_dn> -samid <sam_name> -secgrp {yes|no} -scope {l|g|u}
    

    Dieser Befehl verwendet die folgenden Werte:

    • group_dn gibt den distinguished Name des Gruppenobjekts an, das Sie hinzufügen möchten.
    • sam_name gibt den SAM-Namen an, der der eindeutige SAM-Kontoname für diese Gruppe ist (z. B. Operatoren).
    • {ja|no} Gibt an, ob es sich bei der hinzuzufügenden Gruppe um eine Sicherheitsgruppe (ja) oder um eine Verteilergruppe (Nein) handelt.
    • {l|g|u} Gibt den Bereich der Gruppe an, die Sie hinzufügen möchten (domain local [l], global [g] oder universal [u]).

Wenn die Domäne, in der Sie die Gruppe erstellen, auf die Domänenfunktionsebene von Windows 2000 gemischt festgelegt ist, können Sie nur Sicherheitsgruppen mit lokalen Domänenbereichen oder globalen Bereichen auswählen.

Um die vollständige Syntax für diesen Befehl anzuzeigen und weitere Informationen zum Eingeben weiterer Gruppeninformationen zu erhalten, geben dsadd group /?Sie an einer Eingabeaufforderung ein.

Hinzufügen eines Mitglieds zu einer Gruppe

  1. Klicken Sie auf Start und anschließend auf Ausführen.

  2. Geben Sie Öffnen im Feld Öffnenein.

  3. Geben Sie an der Eingabeaufforderung folgenden Befehl ein:

    dsmod group <group_dn> -addmbr <member_dn>
    

    Dieser Befehl verwendet die folgenden Werte:

    • group_dn gibt den distinguished Name des Gruppenobjekts an, das Sie hinzufügen möchten.
    • member_dn gibt den unterschiedenen Namen des Objekts an, das Sie der Gruppe hinzufügen möchten.

Neben Benutzern und Computern kann eine Gruppe Kontakte und andere Gruppen enthalten.

Um die vollständige Syntax für diesen Befehl anzuzeigen und weitere Informationen zum Eingeben weiterer Benutzerkonto- und Gruppeninformationen zu erhalten, geben dsmod group /?Sie an einer Eingabeaufforderung ein.

Konvertieren einer Gruppe in einen anderen Gruppentyp

  1. Klicken Sie auf Start und anschließend auf Ausführen.

  2. Geben Sie Öffnen im Feld Öffnenein.

  3. Geben Sie an der Eingabeaufforderung folgenden Befehl ein:

    dsmod group <group_dn> -secgrp {yes|no}
    

    Dieser Befehl verwendet die folgenden Werte:

    • group_dn gibt den distinguished Name des Gruppenobjekts an, für das Sie den Gruppentyp ändern möchten.
    • {ja|no} Gibt an, dass der Gruppentyp auf Sicherheitsgruppe (Ja) oder Verteilergruppe (Nein) festgelegt ist.

Um eine Gruppe zu konvertieren, muss die Domänenfunktion auf Windows 2000 Native oder höher festgelegt werden. Sie können Keine Gruppen konvertieren, wenn die Domänenfunktionalität auf Windows 2000 Mixed festgelegt ist.

Geben Sie an einer Eingabeaufforderung dsmod group /?die vollständige Syntax für diesen Befehl ein.

Gruppenbereich ändern

  1. Klicken Sie auf Start und anschließend auf Ausführen.

  2. Geben Sie Öffnen im Feld Öffnenein.

  3. Geben Sie an der Eingabeaufforderung folgenden Befehl ein:

    dsmod group <group_dn> -scope {l|g|u}
    

    Dieser Befehl verwendet die folgenden Werte:

    • group_dn gibt die distinguished Names des Gruppenobjekts an, in das der Bereich geändert wird.
    • {l|g|u} Gibt den Bereich an, auf den die Gruppe festgelegt werden soll (lokal, global oder universell). Wenn die Domäne weiterhin auf Windows 2000 gemischt festgelegt ist, wird der universelle Bereich nicht unterstützt. Außerdem ist es nicht möglich, eine lokale Domäne in eine globale Gruppe zu konvertieren oder umgekehrt.

Notiz

Sie können Gruppenbereiche nur ändern, wenn die Domänenfunktionsebene auf Windows 2000 native oder höher festgelegt ist.

Löschen einer Gruppe

  1. Klicken Sie auf Start und anschließend auf Ausführen.

  2. Geben Sie Öffnen im Feld Öffnenein.

  3. Geben Sie an der Eingabeaufforderung den Befehl dsrm <group_dn>ein.

    Die group_dn gibt den distinguished Name des zu löschenden Gruppenobjekts an.

Notiz

Wenn Sie die Gruppe löschen, wird die Gruppe endgültig entfernt.

Standardmäßig befinden sich lokale Gruppen, die automatisch in Domänencontrollern bereitgestellt werden, die Windows Server 2003 ausführen, z. B. Administratoren und Kontooperatoren, im Ordner "Integriert". Standardmäßig befinden sich allgemeine globale Gruppen, z. B. Domänenadministratoren und Domänenbenutzer, im Ordner "Benutzer". Sie können neue Gruppen in einen beliebigen Ordner hinzufügen oder verschieben. Microsoft empfiehlt, Gruppen in einem Organisationseinheitsordner beizubehalten.

Geben Sie an einer Eingabeaufforderung dsrm /?die vollständige Syntax für diesen Befehl ein.

Suchen von Gruppen, in denen ein Benutzer Mitglied ist

  1. Klicken Sie auf Start und anschließend auf Ausführen.

  2. Geben Sie Öffnen im Feld Öffnenein.

  3. Geben Sie an der Eingabeaufforderung folgenden Befehl ein:

    dsget user <user_dn> -memberof
    

    Die user_dn gibt den distinguished Name des Benutzerobjekts an, für das Sie die Gruppenmitgliedschaft anzeigen möchten.

Geben Sie an einer Eingabeaufforderung dsget user /?die vollständige Syntax für diesen Befehl ein.

Verwalten von Computern

Die folgenden Abschnitte enthalten detaillierte Schritte zum Verwalten von Computern.

Erstellen eines neuen Computerkontos

  1. Klicken Sie auf Start und anschließend auf Ausführen.

  2. Geben Sie Öffnen im Feld Öffnenein.

  3. Geben Sie an der Eingabeaufforderung folgenden Befehl ein:

    dsadd computer <computer_dn>
    

    Die computer_dn gibt den distinguished Name des Computers an, den Sie hinzufügen möchten. Der Distinguished Name gibt den Ordnerspeicherort an.

Geben Sie an einer Eingabeaufforderung dsadd computer /?die vollständige Syntax für diesen Befehl ein.

Verwenden Sie den Befehl "dsmod computer", um die Eigenschaften eines Computerkontos zu ändern.

Hinzufügen eines Computerkontos zu einer Gruppe

  1. Klicken Sie auf Start und anschließend auf Ausführen.

  2. Geben Sie Öffnen im Feld Öffnenein.

  3. Geben Sie an der Eingabeaufforderung folgenden Befehl ein:

    dsmod group <group_dn> -addmbr <computer_dn>
    

    Dieser Befehl verwendet die folgenden Werte:

    • group_dn gibt den distinguishierten Namen des Gruppenobjekts an, dem Sie das Computerobjekt hinzufügen möchten.
    • computer_dn gibt den distinguished Name des Computerobjekts an, das der Gruppe hinzugefügt werden soll. Der Distinguished Name gibt den Ordnerspeicherort an.

Wenn Sie einer Gruppe einen Computer hinzufügen, können Sie allen Computerkonten in dieser Gruppe Berechtigungen zuweisen und dann Gruppenrichtlinieneinstellungen für alle Konten in dieser Gruppe filtern.

Geben Sie an einer Eingabeaufforderung dsmod group /?die vollständige Syntax für diesen Befehl ein.

Zurücksetzen eines Computerkontos

  1. Klicken Sie auf Start und anschließend auf Ausführen.

  2. Geben Sie Öffnen im Feld Öffnenein.

  3. Geben Sie an der Eingabeaufforderung folgenden Befehl ein:

    dsmod computer <computer_dn> -reset
    

    Die computer_dn gibt die distinguished Names eines oder mehrerer Computerobjekte an, die Sie zurücksetzen möchten.

    Notiz

    Wenn Sie ein Computerkonto zurücksetzen, unterbrechen Sie die Verbindung des Computers mit der Domäne. Nachdem Sie es zurückgesetzt haben, müssen Sie das Computerkonto erneut dem Domänencomputerkonto beitreten.

Um die vollständige Syntax für diesen Befehl anzuzeigen, geben Sie an einer Eingabeaufforderung dsmod computer /? .

Deaktivieren oder Aktivieren eines Computerkontos

  1. Klicken Sie auf Start und anschließend auf Ausführen.

  2. Geben Sie Öffnen im Feld Öffnenein.

  3. Geben Sie an der Eingabeaufforderung folgenden Befehl ein:

    dsmod computer <computer_dn> -disabled {yes|no}
    

    Dieser Befehl verwendet die folgenden Werte:

    • computer_dn gibt den unterschiedenen Namen des Computerobjekts an, das Sie deaktivieren oder aktivieren möchten.
    • {ja|no} Gibt an, ob der Computer für die Anmeldung deaktiviert ist (ja) oder nicht (nein).

Wenn Sie ein Computerkonto deaktivieren, unterbrechen Sie die Verbindung des Computers mit der Domäne, und der Computer kann sich nicht bei der Domäne authentifizieren.

Geben Sie an einer Eingabeaufforderung dsmod computer /?die vollständige Syntax für diesen Befehl ein.

Verwalten von Organisationseinheiten

Die folgenden Abschnitte enthalten detaillierte Schritte zum Verwalten von Organisationseinheiten.

Erstellen einer neuen Organisationseinheit

  1. Klicken Sie auf Start und anschließend auf Ausführen.

  2. Geben Sie Öffnen im Feld Öffnenein.

  3. Geben Sie an der Eingabeaufforderung folgenden Befehl ein:

    dsadd ou <organizational_unit_dn>
    

    Die organizational_unit_dn gibt den unterschiedenen Namen der hinzuzufügenden Organisationseinheit an.

Geben Sie an einer Eingabeaufforderung dsadd ou /?die vollständige Syntax für diesen Befehl ein.

Notiz

Verwenden Sie den dsmod ou Befehl, um die Eigenschaften einer Organisationseinheit zu ändern.

Löschen einer Organisationseinheit

  1. Klicken Sie auf Start und anschließend auf Ausführen.

  2. Geben Sie Öffnen im Feld Öffnenein.

  3. Geben Sie an der Eingabeaufforderung den Befehl dsrm <organizational_unit_dn>ein.

    Die organizational_unit_dn gibt den distinguished Name der zu löschenden Organisationseinheit an.

Geben Sie an einer Eingabeaufforderung dsrm /?die vollständige Syntax für diesen Befehl ein.

Notiz

Wenn Sie eine Organisationseinheit löschen, werden alle darin enthaltenen Objekte gelöscht.

So durchsuchen Sie Active Directory

Die folgenden Abschnitte enthalten detaillierte Schritte zum Durchsuchen von Active Directory.

Suchen eines Benutzerkontos

  1. Klicken Sie auf Start und anschließend auf Ausführen.

  2. Geben Sie Öffnen im Feld Öffnenein.

  3. Geben Sie an der Eingabeaufforderung den Befehl dsquery user <parameter>ein.

    Der Parameter gibt den zu verwendenden Parameter an. Die Liste der Parameter finden Sie in der Onlinehilfe für den Befehl "dsquery user ".

Geben Sie an einer Eingabeaufforderung dsquery user /?die vollständige Syntax für diesen Befehl ein.

Suchen eines Kontakts

  1. Klicken Sie auf Start und anschließend auf Ausführen.

  2. Geben Sie Öffnen im Feld Öffnenein.

  3. Geben Sie an der Eingabeaufforderung den Befehl dsquery contact <parameter>ein.

    Der Parameter gibt den zu verwendenden Parameter an. Eine Liste der Parameter finden Sie in der Onlinehilfe für den Dsquery-Benutzerbefehl.

Gruppe suchen

  1. Klicken Sie auf Start und anschließend auf Ausführen.

  2. Geben Sie Öffnen im Feld Öffnenein.

  3. Geben Sie an der Eingabeaufforderung den Befehl dsquery group <parameter>ein.

    Der Parameter gibt den zu verwendenden Parameter an. Eine Liste der Parameter finden Sie in der Onlinehilfe für den Dsquery-Benutzerbefehl.

Standardmäßig befinden sich lokale Gruppen, die automatisch in Domänencontrollern bereitgestellt werden, die Windows Server 2003 ausführen, z. B. Administratoren und Kontooperatoren, im Ordner "Integriert". Standardmäßig befinden sich allgemeine globale Gruppen, z. B. Domänenadministratoren und Domänenbenutzer, im Ordner "Benutzer". Sie können neue Gruppen in einen beliebigen Ordner hinzufügen oder verschieben. Microsoft empfiehlt, Gruppen in einem Organisationseinheitsordner beizubehalten.

Suchen eines Computerkontos

  1. Klicken Sie auf Start und anschließend auf Ausführen.

  2. Geben Sie Öffnen im Feld Öffnenein.

  3. Geben Sie an der Eingabeaufforderung den Befehl dsquery computer -name <name>ein.

    Der Name gibt den Computernamen an, nach dem der Befehl sucht. Dieser Befehl sucht nach Computern, deren Namensattribute (Wert des CN-Attributs) mit dem Namen übereinstimmen.

Geben Sie an einer Eingabeaufforderung dsquery computer /?die vollständige Syntax für diesen Befehl ein.

Suchen einer Organisationseinheit

  1. Klicken Sie auf Start und anschließend auf Ausführen.

  2. Geben Sie Öffnen im Feld Öffnenein.

  3. Geben Sie an der Eingabeaufforderung den Befehl dsquery ou <parameter>ein.

    Der Parameter gibt den zu verwendenden Parameter an. Die Liste der Parameter finden Sie in der Onlinehilfe für dsquery ou.

Geben Sie an einer Eingabeaufforderung dsquery ou /?die vollständige Syntax für diesen Befehl ein.

Suchen eines Domänencontrollers

  1. Klicken Sie auf Start und anschließend auf Ausführen.

  2. Geben Sie Öffnen im Feld Öffnenein.

  3. Geben Sie an der Eingabeaufforderung den Befehl dsquery server <parameter>ein.

    Der Parameter gibt den zu verwendenden Parameter an. Es gibt mehrere Attribute eines Servers, die Sie mithilfe dieses Befehls durchsuchen können. Eine Liste der Parameter finden Sie in der Onlinehilfe für dsquery server.

  1. Klicken Sie auf Start und anschließend auf Ausführen.

  2. Geben Sie Öffnen im Feld Öffnenein.

  3. Geben Sie an der Eingabeaufforderung den Befehl dsquery * <parameter>ein.

    Der Parameter gibt den zu verwendenden Parameter an. Es gibt mehrere Attribute, die Sie mithilfe dieses Befehls durchsuchen können. Weitere Informationen zu LDAP-Suchvorgängen finden Sie im Windows Server 2003 Resource Kit.

References

Weitere Informationen zu den Befehlszeilentools für Verzeichnisdienste in Windows Server 2003 finden Sie unter "Start", klicken Sie auf "Hilfe" und "Support Center", und geben Sie dann Befehlszeilentools für den Verzeichnisdienst in das Suchfeld ein.