Partager via

Utiliser les outils en ligne de commande du service d’annuaire pour gérer les objets Active Directory dans Windows Server 2003

Cet article explique comment utiliser les outils en ligne de commande du service d’annuaire pour effectuer des tâches d’administration pour Active Directory dans Windows Server 2003. Les tâches suivantes sont réparties en groupes de tâches.

S’applique à : versions prises en charge de Windows Server
Numéro de base de connaissances d’origine : 322684

Procédure : gérer des utilisateurs

Les sections suivantes fournissent des étapes détaillées pour gérer les groupes.

Créer un compte d’utilisateur

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la zone Ouvrir , tapez cmd.

  3. Saisissez ensuite la commande suivante dans l’invite de commandes :

    dsadd user <user_dn> -samid <sam_name>

    Les valeurs suivantes sont utilisées dans cette commande :

    • user_dn spécifie le nom unique (également appelé DN) de l’objet utilisateur que vous souhaitez ajouter.
    • sam_name spécifie le nom du gestionnaire de comptes de sécurité (SAM) utilisé comme nom de compte SAM unique pour cet utilisateur (par exemple, Linda).

  4. Pour spécifier le mot de passe du compte d’utilisateur, tapez la commande suivante, où le mot de passe est le mot de passe à utiliser pour le compte d’utilisateur :

    dsadd user <user_dn> -pwd password

Note

Pour afficher la syntaxe complète de cette commande et obtenir plus d’informations sur l’entrée d’informations sur le compte d’utilisateur, à l’invite de commandes, tapez dsadd user /?.

Réinitialiser le mot de passe d’un utilisateur

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la zone Ouvrir , tapez cmd.

  3. Saisissez ensuite la commande suivante dans l’invite de commandes :

    dsmod user <user_dn> -pwd <new_password>

    Cette commande utilise les valeurs suivantes :

    • user_dn spécifie le nom unique de l’utilisateur pour lequel le mot de passe sera réinitialisé.
    • new_password spécifie le mot de passe qui remplacera le mot de passe de l’utilisateur actuel

  4. Si vous souhaitez demander à l’utilisateur de modifier ce mot de passe au prochain processus d’ouverture de session, tapez la commande suivante :

    dsmod user <user_dn> -mustchpwd {yes|no}

Si un mot de passe n’est pas attribué, la première fois que l’utilisateur tente de se connecter (à l’aide d’un mot de passe vide), le message d’ouverture de session suivant s’affiche :

Vous devez modifier votre mot de passe lors de la première ouverture de session

Une fois que l’utilisateur a modifié le mot de passe, le processus d’ouverture de session continue.

Vous devez réinitialiser les services authentifiés avec un compte d’utilisateur si le mot de passe du compte d’utilisateur du service est modifié.

Note

Pour afficher la syntaxe complète de cette commande et obtenir plus d’informations sur l’entrée d’informations sur le compte d’utilisateur, à l’invite de commandes, tapez dsmod user /?.

Désactiver ou activer un compte d’utilisateur

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la zone Ouvrir , tapez cmd.

  3. Saisissez ensuite la commande suivante dans l’invite de commandes :

    dsmod user <user_dn> -disabled {yes|no}

    Cette commande utilise les valeurs suivantes :

    • user_dn spécifie le nom unique de l’objet utilisateur à désactiver ou à activer.
    • {oui|non} spécifie si le compte d’utilisateur est désactivé pour l’ouverture de session (oui) ou non (non).

Note

En guise de mesure de sécurité, au lieu de supprimer le compte de cet utilisateur, vous pouvez désactiver les comptes d’utilisateur pour empêcher un utilisateur particulier de se connecter. Si vous désactivez les comptes d’utilisateur qui ont des appartenances de groupe courantes, vous pouvez utiliser des comptes d’utilisateur désactivés comme modèles de compte pour simplifier la création de compte d’utilisateur.

Supprimer un compte d’utilisateur

  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone Ouvrir , tapez cmd.
  3. À l’invite de commandes, tapez la dsrm <user_dn> commande, où user_dn spécifie le nom unique de l’objet utilisateur à supprimer.

Après avoir supprimé un compte d’utilisateur, toutes les autorisations et appartenances associées à ce compte d’utilisateur sont définitivement supprimées. Étant donné que l’identificateur de sécurité (SID) de chaque compte est unique, si vous créez un compte d’utilisateur portant le même nom qu’un compte d’utilisateur précédemment supprimé, le nouveau compte ne suppose pas automatiquement les autorisations et les appartenances du compte précédemment supprimé. Pour dupliquer un compte d’utilisateur supprimé, vous devez recréer manuellement toutes les autorisations et appartenances.

Note

Pour afficher la syntaxe complète de cette commande et obtenir plus d’informations sur l’entrée d’informations sur le compte d’utilisateur, à l’invite de commandes, tapez dsrm /?.

Guide pratique pour gérer les groupes

Les sections suivantes fournissent des étapes détaillées pour gérer les groupes.

Créer un groupe

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la zone Ouvrir , tapez cmd.

  3. Saisissez ensuite la commande suivante dans l’invite de commandes :

    dsadd group <group_dn> -samid <sam_name> -secgrp {yes|no} -scope {l|g|u}

    Cette commande utilise les valeurs suivantes :

    • group_dn spécifie le nom unique de l’objet de groupe que vous souhaitez ajouter.
    • sam_name spécifie le nom SAM qui est le nom de compte SAM unique pour ce groupe (par exemple, opérateurs).
    • {oui|non} spécifie si le groupe que vous souhaitez ajouter est un groupe de sécurité (oui) ou un groupe de distribution (non).
    • {l|g|u} spécifie l’étendue du groupe que vous souhaitez ajouter (domaine local [l], global [g] ou universel [u]).

Si le domaine dans lequel vous créez le groupe est défini sur le niveau fonctionnel de domaine de Windows 2000 mixte, vous pouvez sélectionner uniquement des groupes de sécurité avec des étendues locales de domaine ou des étendues globales.

Pour afficher la syntaxe complète de cette commande et obtenir plus d’informations sur l’entrée d’informations de groupe, à l’invite de commandes, tapez dsadd group /?.

Ajouter un membre à un groupe

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la zone Ouvrir , tapez cmd.

  3. Saisissez ensuite la commande suivante dans l’invite de commandes :

    dsmod group <group_dn> -addmbr <member_dn>

    Cette commande utilise les valeurs suivantes :

    • group_dn spécifie le nom unique de l’objet de groupe que vous souhaitez ajouter.
    • member_dn spécifie le nom unique de l’objet que vous souhaitez ajouter au groupe.

En plus des utilisateurs et des ordinateurs, un groupe peut contenir des contacts et d’autres groupes.

Pour afficher la syntaxe complète de cette commande et obtenir plus d’informations sur l’entrée d’informations supplémentaires sur le compte d’utilisateur et le groupe, à l’invite de commandes, tapez dsmod group /?.

Convertir un groupe en un autre type de groupe

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la zone Ouvrir , tapez cmd.

  3. Saisissez ensuite la commande suivante dans l’invite de commandes :

    dsmod group <group_dn> -secgrp {yes|no}

    Cette commande utilise les valeurs suivantes :

    • group_dn spécifie le nom unique de l’objet de groupe pour lequel vous souhaitez modifier le type de groupe.
    • {oui|non} spécifie que le type de groupe est défini sur le groupe de sécurité (oui) ou le groupe de distribution (non).

Pour convertir un groupe, la fonctionnalité de domaine doit être définie sur Windows 2000 Native ou une version ultérieure. Vous ne pouvez pas convertir de groupes lorsque la fonctionnalité de domaine est définie sur Windows 2000 Mixed.

Pour afficher la syntaxe complète de cette commande, tapez dsmod group /?.

Modifier l’étendue du groupe

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la zone Ouvrir , tapez cmd.

  3. Saisissez ensuite la commande suivante dans l’invite de commandes :

    dsmod group <group_dn> -scope {l|g|u}

    Cette commande utilise les valeurs suivantes :

    • group_dn spécifie les noms uniques de l’objet de groupe vers lequel l’étendue sera modifiée.
    • {l|g|u} spécifie l’étendue à laquelle le groupe doit être défini (local, global ou universel). Si le domaine est toujours défini sur Windows 2000 mixte, l’étendue universelle n’est pas prise en charge. En outre, il n’est pas possible de convertir un groupe local de domaine en groupe global ou inversement.

Note

Vous ne pouvez modifier les étendues de groupe que lorsque le niveau fonctionnel du domaine est défini sur Windows 2000 natif ou supérieur.

Supprimer un groupe

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la zone Ouvrir , tapez cmd.

  3. À l’invite de commandes, tapez la commande dsrm <group_dn>.

    Le group_dn spécifie le nom unique de l’objet de groupe à supprimer.

Note

Si vous supprimez le groupe, le groupe est définitivement supprimé.

Par défaut, les groupes locaux fournis automatiquement dans les contrôleurs de domaine exécutant Windows Server 2003, tels que les administrateurs et les opérateurs de compte, se trouvent dans le dossier Intégré. Par défaut, les groupes globaux communs, tels que les administrateurs de domaine et les utilisateurs de domaine, se trouvent dans le dossier Utilisateurs. Vous pouvez ajouter ou déplacer de nouveaux groupes vers n’importe quel dossier. Microsoft vous recommande de conserver des groupes dans un dossier d’unité organisationnelle.

Pour afficher la syntaxe complète de cette commande, tapez dsrm /?.

Rechercher des groupes dans lesquels un utilisateur est membre

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la zone Ouvrir , tapez cmd.

  3. Saisissez ensuite la commande suivante dans l’invite de commandes :

    dsget user <user_dn> -memberof

    Le user_dn spécifie le nom unique de l’objet utilisateur pour lequel vous souhaitez afficher l’appartenance au groupe.

Pour afficher la syntaxe complète de cette commande, tapez dsget user /?.

Guide pratique pour gérer les ordinateurs

Les sections suivantes fournissent des étapes détaillées pour gérer les ordinateurs.

Créer un compte d’ordinateur

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la zone Ouvrir , tapez cmd.

  3. Saisissez ensuite la commande suivante dans l’invite de commandes :

    dsadd computer <computer_dn>

    Le computer_dn spécifie le nom unique de l’ordinateur que vous souhaitez ajouter. Le nom unique indique l’emplacement du dossier.

Pour afficher la syntaxe complète de cette commande, tapez dsadd computer /?.

Pour modifier les propriétés d’un compte d’ordinateur, utilisez la commande dsmod computer.

Ajouter un compte d’ordinateur à un groupe

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la zone Ouvrir , tapez cmd.

  3. Saisissez ensuite la commande suivante dans l’invite de commandes :

    dsmod group <group_dn> -addmbr <computer_dn>

    Cette commande utilise les valeurs suivantes :

    • group_dn spécifie le nom unique de l’objet de groupe auquel vous souhaitez ajouter l’objet ordinateur.
    • computer_dn spécifie le nom unique de l’objet ordinateur à ajouter au groupe. Le nom unique indique l’emplacement du dossier.

Lorsque vous ajoutez un ordinateur à un groupe, vous pouvez attribuer des autorisations à tous les comptes d’ordinateur de ce groupe, puis filtrer les paramètres de stratégie de groupe sur tous les comptes de ce groupe.

Pour afficher la syntaxe complète de cette commande, tapez dsmod group /?.

Réinitialiser un compte d’ordinateur

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la zone Ouvrir , tapez cmd.

  3. Saisissez ensuite la commande suivante dans l’invite de commandes :

    dsmod computer <computer_dn> -reset

    Le computer_dn spécifie les noms uniques d’un ou plusieurs objets ordinateur que vous souhaitez réinitialiser.

    Note

    Lorsque vous réinitialisez un compte d’ordinateur, vous interrompez la connexion de l’ordinateur au domaine. Vous devez joindre le compte d’ordinateur au compte d’ordinateur de domaine une fois que vous l’avez réinitialisé.

Pour afficher la syntaxe complète de cette commande, à l’invite de commandes, tapez dsmod computer / ? .

Désactiver ou activer un compte d’ordinateur

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la zone Ouvrir , tapez cmd.

  3. Saisissez ensuite la commande suivante dans l’invite de commandes :

    dsmod computer <computer_dn> -disabled {yes|no}

    Cette commande utilise les valeurs suivantes :

    • computer_dn spécifie le nom unique de l’objet ordinateur que vous souhaitez désactiver ou activer.
    • {oui|non} spécifie si l’ordinateur est désactivé pour l’ouverture de session (oui) ou non (non).

Lorsque vous désactivez un compte d’ordinateur, vous arrêtez la connexion de l’ordinateur avec le domaine et l’ordinateur ne peut pas s’authentifier auprès du domaine.

Pour afficher la syntaxe complète de cette commande, tapez dsmod computer /?.

Comment gérer les unités organisationnelles

Les sections suivantes fournissent des étapes détaillées pour gérer les unités organisationnelles.

Créer une unité d’organisation

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la zone Ouvrir , tapez cmd.

  3. Saisissez ensuite la commande suivante dans l’invite de commandes :

    dsadd ou <organizational_unit_dn>

    Le organizational_unit_dn spécifie le nom unique de l’unité organisationnelle à ajouter.

Pour afficher la syntaxe complète de cette commande, tapez dsadd ou /?.

Note

Pour modifier les propriétés d’une unité organisationnelle, utilisez la dsmod ou commande.

Supprimer une unité d’organisation

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la zone Ouvrir , tapez cmd.

  3. À l’invite de commandes, tapez la commande dsrm <organizational_unit_dn>.

    Le organizational_unit_dn spécifie le nom unique de l’unité organisationnelle à supprimer.

Pour afficher la syntaxe complète de cette commande, tapez dsrm /?.

Note

Si vous supprimez une unité organisationnelle, tous les objets qu’il contient sont supprimés.

Comment effectuer une recherche dans Active Directory

Les sections suivantes fournissent des étapes détaillées pour rechercher Active Directory.

Rechercher un compte d’utilisateur

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la zone Ouvrir , tapez cmd.

  3. À l’invite de commandes, tapez la commande dsquery user <parameter>.

    Le paramètre spécifie le paramètre à utiliser. Pour obtenir la liste des paramètres, consultez l’aide en ligne de la commande dsquery user .

Pour afficher la syntaxe complète de cette commande, tapez dsquery user /?.

Rechercher un contact

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la zone Ouvrir , tapez cmd.

  3. À l’invite de commandes, tapez la commande dsquery contact <parameter>.

    Le paramètre spécifie le paramètre à utiliser. Pour obtenir la liste des paramètres, consultez l’aide en ligne de la commande utilisateur dsquery.

Rechercher un groupe

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la zone Ouvrir , tapez cmd.

  3. À l’invite de commandes, tapez la commande dsquery group <parameter>.

    Le paramètre spécifie le paramètre à utiliser. Pour obtenir la liste des paramètres, consultez l’aide en ligne de la commande utilisateur dsquery.

Par défaut, les groupes locaux fournis automatiquement dans les contrôleurs de domaine exécutant Windows Server 2003, tels que les administrateurs et les opérateurs de compte, se trouvent dans le dossier Intégré. Par défaut, les groupes globaux communs, tels que les administrateurs de domaine et les utilisateurs de domaine, se trouvent dans le dossier Utilisateurs. Vous pouvez ajouter ou déplacer de nouveaux groupes vers n’importe quel dossier. Microsoft vous recommande de conserver des groupes dans un dossier d’unité organisationnelle.

Rechercher un compte d’ordinateur

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la zone Ouvrir , tapez cmd.

  3. À l’invite de commandes, tapez la commande dsquery computer -name <name>.

    Le nom spécifie le nom de l’ordinateur que la commande recherche. Cette commande recherche les ordinateurs dont les attributs de nom (valeur de l’attribut CN) correspondent au nom.

Pour afficher la syntaxe complète de cette commande, tapez dsquery computer /?.

Rechercher une unité d’organisation

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la zone Ouvrir , tapez cmd.

  3. À l’invite de commandes, tapez la commande dsquery ou <parameter>.

    Le paramètre spécifie le paramètre à utiliser. Pour obtenir la liste des paramètres, consultez l’aide en ligne pour dsquery ou.

Pour afficher la syntaxe complète de cette commande, tapez dsquery ou /?.

Rechercher un contrôleur de domaine

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la zone Ouvrir , tapez cmd.

  3. À l’invite de commandes, tapez la commande dsquery server <parameter>.

    Le paramètre spécifie le paramètre à utiliser. Il existe plusieurs attributs d’un serveur que vous pouvez rechercher à l’aide de cette commande. Pour obtenir la liste des paramètres, consultez l’aide en ligne pour dsquery server.

  1. Cliquez sur Démarrer, puis sur Exécuter.

  2. Dans la zone Ouvrir , tapez cmd.

  3. À l’invite de commandes, tapez la commande dsquery * <parameter>.

    Le paramètre spécifie le paramètre à utiliser. Il existe plusieurs attributs que vous pouvez rechercher à l’aide de cette commande. Pour plus d’informations sur les recherches LDAP, consultez le Kit de ressources Windows Server 2003.

References

Pour plus d’informations sur les outils en ligne de commande des services d’annuaire dans Windows Server 2003, cliquez sur Démarrer, cliquez sur Aide et Centre de support, puis tapez les outils en ligne de commande du service d’annuaire dans la zone de recherche.

  • Last updated on