Zarządzanie obiektami usługi Active Directory w systemie Windows Server 2003 za pomocą narzędzi wiersza polecenia usługi katalogowej

W tym artykule opisano sposób używania narzędzi wiersza polecenia usługi katalogowej do wykonywania zadań administracyjnych dla usługi Active Directory w systemie Windows Server 2003. Następujące zadania są podzielone na grupy zadań.

Dotyczy: Obsługiwane wersje systemu Windows Server
Oryginalny numer KB: 322684

Jak zarządzać użytkownikami

W poniższych sekcjach przedstawiono szczegółowe kroki zarządzania grupami.

Tworzenie nowego konta użytkownika

1. Kliknij przycisk Start, a następnie kliknij polecenie Uruchom.

2. W polu Otwórz wpisz cmd.

3. W wierszu polecenia wpisz następujące polecenie:

   dsadd user <user_dn> -samid <sam_name>
   

   Następujące wartości są używane w tym poleceniu:

   • user_dn określa nazwę wyróżniającą (znaną również jako DN) obiektu użytkownika, który chcesz dodać.
   • sam_name określa nazwę menedżera kont zabezpieczeń (SAM) używaną jako unikatowa nazwa konta SAM dla tego użytkownika (na przykład Linda).

4. Aby określić hasło konta użytkownika, wpisz następujące polecenie, gdzie hasło to hasło , które ma być używane dla konta użytkownika:

   dsadd user <user_dn> -pwd password
   

Uwaga 16.

Aby wyświetlić pełną składnię tego polecenia i uzyskać więcej informacji na temat wprowadzania dodatkowych informacji o koncie użytkownika, w wierszu polecenia wpisz dsadd user /?.

Resetowanie hasła użytkownika

1. Kliknij przycisk Start, a następnie kliknij polecenie Uruchom.

2. W polu Otwórz wpisz cmd.

3. W wierszu polecenia wpisz następujące polecenie:

   dsmod user <user_dn> -pwd <new_password>
   

   To polecenie używa następujących wartości:

   • user_dn określa nazwę wyróżniającą użytkownika, dla którego hasło zostanie zresetowane.
   • new_password określa hasło, które zastąpi bieżące hasło użytkownika

4. Jeśli chcesz, aby użytkownik musiał zmienić to hasło w następnym procesie logowania, wpisz następujące polecenie:

   dsmod user <user_dn> -mustchpwd {yes|no}
   

Jeśli hasło nie jest przypisane, podczas pierwszego próby zalogowania się użytkownika (przy użyciu pustego hasła) zostanie wyświetlony następujący komunikat logowania:

Musisz zmienić hasło przy pierwszym logowaniu

Po zmianie hasła przez użytkownika proces logowania będzie kontynuowany.

Należy zresetować usługi uwierzytelnione przy użyciu konta użytkownika, jeśli hasło dla konta użytkownika usługi zostanie zmienione.

Uwaga 16.

Aby wyświetlić pełną składnię tego polecenia i uzyskać więcej informacji na temat wprowadzania dodatkowych informacji o koncie użytkownika, w wierszu polecenia wpisz dsmod user /?.

Wyłączanie lub włączanie konta użytkownika

1. Kliknij przycisk Start, a następnie kliknij polecenie Uruchom.

2. W polu Otwórz wpisz cmd.

3. W wierszu polecenia wpisz następujące polecenie:

   dsmod user <user_dn> -disabled {yes|no}
   

   To polecenie używa następujących wartości:

   • user_dn określa nazwę wyróżniającą obiektu użytkownika do wyłączenia lub włączenia.
   • {yes|no} Określa, czy konto użytkownika jest wyłączone dla logowania (tak), czy nie (nie).

Uwaga 16.

Jako środek zabezpieczeń, zamiast usuwać konto tego użytkownika, można wyłączyć konta użytkowników, aby uniemożliwić konkretnemu użytkownikowi logowanie. Jeśli wyłączysz konta użytkowników, które mają wspólne członkostwa w grupach, możesz użyć wyłączonych kont użytkowników jako szablonów kont, aby uprościć tworzenie konta użytkownika.

Usuwanie konta użytkownika

1. Kliknij przycisk Start, a następnie kliknij polecenie Uruchom.
2. W polu Otwórz wpisz cmd.
3. W wierszu polecenia wpisz dsrm <user_dn> polecenie, gdzie user_dn określa nazwę wyróżniającą obiektu użytkownika do usunięcia.

Po usunięciu konta użytkownika wszystkie uprawnienia i członkostwa skojarzone z tym kontem użytkownika zostaną trwale usunięte. Ponieważ identyfikator zabezpieczeń (SID) dla każdego konta jest unikatowy, jeśli tworzysz nowe konto użytkownika, które ma taką samą nazwę jak wcześniej usunięte konto użytkownika, nowe konto nie przyjmuje automatycznie uprawnień i członkostwa wcześniej usuniętego konta. Aby zduplikować usunięte konto użytkownika, należy ręcznie ponownie utworzyć wszystkie uprawnienia i członkostwa.

Uwaga 16.

Aby wyświetlić pełną składnię tego polecenia i uzyskać więcej informacji na temat wprowadzania dodatkowych informacji o koncie użytkownika, w wierszu polecenia wpisz dsrm /?.

Jak zarządzać grupami

W poniższych sekcjach przedstawiono szczegółowe kroki zarządzania grupami.

Tworzenie nowej grupy

1. Kliknij przycisk Start, a następnie kliknij polecenie Uruchom.

2. W polu Otwórz wpisz cmd.

3. W wierszu polecenia wpisz następujące polecenie:

   dsadd group <group_dn> -samid <sam_name> -secgrp {yes|no} -scope {l|g|u}
   

   To polecenie używa następujących wartości:

   • group_dn określa nazwę wyróżniającą obiektu grupy, który chcesz dodać.
   • sam_name określa nazwę SAM, która jest unikatową nazwą konta SAM dla tej grupy (na przykład operatorami).
   • {yes|no} Określa, czy grupa, którą chcesz dodać, jest grupą zabezpieczeń (tak), czy grupą dystrybucyjną (nie).
   • {l|g|u} Określa zakres grupy, którą chcesz dodać (domena lokalna [l], globalny [g] lub uniwersalny [u]).

Jeśli domena, w której tworzysz grupę, jest ustawiona na poziom funkcjonalności domeny systemu Windows 2000 mieszane, możesz wybrać tylko grupy zabezpieczeń z zakresami lokalnymi domeny lub zakresami globalnymi.

Aby wyświetlić pełną składnię dla tego polecenia i uzyskać więcej informacji na temat wprowadzania dodatkowych informacji o grupie, w wierszu polecenia wpisz dsadd group /?.

Dodawanie członka do grupy

1. Kliknij przycisk Start, a następnie kliknij polecenie Uruchom.

2. W polu Otwórz wpisz cmd.

3. W wierszu polecenia wpisz następujące polecenie:

   dsmod group <group_dn> -addmbr <member_dn>
   

   To polecenie używa następujących wartości:

   • group_dn określa nazwę wyróżniającą obiektu grupy, który chcesz dodać.
   • member_dn określa nazwę wyróżniającą obiektu, który chcesz dodać do grupy.

Oprócz użytkowników i komputerów grupa może zawierać kontakty i inne grupy.

Aby wyświetlić pełną składnię tego polecenia i uzyskać więcej informacji na temat wprowadzania większej liczby informacji o koncie użytkownika i grupie, w wierszu polecenia wpisz dsmod group /?.

Konwertowanie grupy na inny typ grupy

1. Kliknij przycisk Start, a następnie kliknij polecenie Uruchom.

2. W polu Otwórz wpisz cmd.

3. W wierszu polecenia wpisz następujące polecenie:

   dsmod group <group_dn> -secgrp {yes|no}
   

   To polecenie używa następujących wartości:

   • group_dn określa nazwę wyróżniającą obiektu grupy, dla którego chcesz zmienić typ grupy.
   • {yes|no} określa, że typ grupy jest ustawiony na grupę zabezpieczeń (tak) lub grupę dystrybucyjną (nie).

Aby przekonwertować grupę, funkcjonalność domeny musi być ustawiona na windows 2000 Native lub nowszy. Nie można konwertować grup, gdy funkcja domeny jest ustawiona na Windows 2000 Mieszane.

Aby wyświetlić pełną składnię dla tego polecenia, w wierszu polecenia wpisz dsmod group /?.

Zmienianie zakresu grupy

1. Kliknij przycisk Start, a następnie kliknij polecenie Uruchom.

2. W polu Otwórz wpisz cmd.

3. W wierszu polecenia wpisz następujące polecenie:

   dsmod group <group_dn> -scope {l|g|u}
   

   To polecenie używa następujących wartości:

   • group_dn określa nazwy wyróżniające obiektu grupy, do którego zostanie zmieniony zakres.
   • {l|g|u} Określa zakres, na który ma być ustawiona grupa (lokalna, globalna lub uniwersalna). Jeśli domena jest nadal ustawiona na mieszany system Windows 2000, zakres uniwersalny nie jest obsługiwany. Ponadto nie można przekonwertować grupy lokalnej domeny na grupę globalną lub odwrotnie.

Uwaga 16.

Zakresy grup można zmieniać tylko wtedy, gdy poziom funkcjonalności domeny jest ustawiony na natywny lub nowszy system Windows 2000.

Usuwanie grupy

1. Kliknij przycisk Start, a następnie kliknij polecenie Uruchom.

2. W polu Otwórz wpisz cmd.

3. W wierszu polecenia wpisz polecenie dsrm <group_dn>.

   Group_dn określa nazwę wyróżniającą obiektu grupy, który ma zostać usunięty.

Uwaga 16.

Jeśli usuniesz grupę, grupa zostanie trwale usunięta.

Domyślnie grupy lokalne, które są udostępniane automatycznie na kontrolerach domeny z systemem Windows Server 2003, takich jak Administratorzy i Operatorzy kont, znajdują się w folderze Builtin. Domyślnie typowe grupy globalne, takie jak Administratorzy domeny i Użytkownicy domeny, znajdują się w folderze Użytkownicy. Możesz dodawać lub przenosić nowe grupy do dowolnego folderu. Firma Microsoft zaleca przechowywanie grup w folderze jednostki organizacyjnej.

Aby wyświetlić pełną składnię dla tego polecenia, w wierszu polecenia wpisz dsrm /?.

Znajdowanie grup, w których użytkownik jest członkiem

1. Kliknij przycisk Start, a następnie kliknij polecenie Uruchom.

2. W polu Otwórz wpisz cmd.

3. W wierszu polecenia wpisz następujące polecenie:

   dsget user <user_dn> -memberof
   

   User_dn określa nazwę wyróżniającą obiektu użytkownika, dla którego chcesz wyświetlić członkostwo w grupie.

Aby wyświetlić pełną składnię dla tego polecenia, w wierszu polecenia wpisz dsget user /?.

Jak zarządzać komputerami

Poniższe sekcje zawierają szczegółowe instrukcje dotyczące zarządzania komputerami.

Tworzenie nowego konta komputera

1. Kliknij przycisk Start, a następnie kliknij polecenie Uruchom.

2. W polu Otwórz wpisz cmd.

3. W wierszu polecenia wpisz następujące polecenie:

   dsadd computer <computer_dn>
   

   Computer_dn określa nazwę wyróżniającą komputera, który chcesz dodać. Nazwa wyróżniająca wskazuje lokalizację folderu.

Aby wyświetlić pełną składnię dla tego polecenia, w wierszu polecenia wpisz dsadd computer /?.

Aby zmodyfikować właściwości konta komputera, użyj polecenia dsmod computer.

Dodawanie konta komputera do grupy

1. Kliknij przycisk Start, a następnie kliknij polecenie Uruchom.

2. W polu Otwórz wpisz cmd.

3. W wierszu polecenia wpisz następujące polecenie:

   dsmod group <group_dn> -addmbr <computer_dn>
   

   To polecenie używa następujących wartości:

   • group_dn określa nazwę wyróżniającą obiektu grupy, do którego chcesz dodać obiekt komputera.
   • computer_dn określa nazwę wyróżniającą obiektu komputera, który ma zostać dodany do grupy. Nazwa wyróżniająca wskazuje lokalizację folderu.

Po dodaniu komputera do grupy można przypisać uprawnienia do wszystkich kont komputerów w tej grupie, a następnie filtrować ustawienia zasad grupy na wszystkich kontach w tej grupie.

Aby wyświetlić pełną składnię dla tego polecenia, w wierszu polecenia wpisz dsmod group /?.

Resetowanie konta komputera

1. Kliknij przycisk Start, a następnie kliknij polecenie Uruchom.

2. W polu Otwórz wpisz cmd.

3. W wierszu polecenia wpisz następujące polecenie:

   dsmod computer <computer_dn> -reset
   

   Computer_dn określa nazwy wyróżniające co najmniej jednego obiektu komputera, które mają zostać zresetowane.

   Uwaga 16.

   Po zresetowaniu konta komputera należy przerwać połączenie komputera z domeną. Po zresetowaniu konta komputera należy ponownie połączyć się z kontem komputera domeny.

Aby wyświetlić pełną składnię tego polecenia, w wierszu polecenia wpisz dsmod computer /? .

Wyłączanie lub włączanie konta komputera

1. Kliknij przycisk Start, a następnie kliknij polecenie Uruchom.

2. W polu Otwórz wpisz cmd.

3. W wierszu polecenia wpisz następujące polecenie:

   dsmod computer <computer_dn> -disabled {yes|no}
   

   To polecenie używa następujących wartości:

   • computer_dn określa nazwę wyróżniającą obiektu komputera, który chcesz wyłączyć lub włączyć.
   • {yes|no} Określa, czy komputer jest wyłączony dla logowania (tak), czy nie (nie).

Po wyłączeniu konta komputera należy przerwać połączenie komputera z domeną, a komputer nie może uwierzytelnić się w domenie.

Aby wyświetlić pełną składnię dla tego polecenia, w wierszu polecenia wpisz dsmod computer /?.

Jak zarządzać jednostkami organizacyjnymi

W poniższych sekcjach przedstawiono szczegółowe kroki zarządzania jednostkami organizacyjnymi.

Utwórz nową jednostkę biznesową

1. Kliknij przycisk Start, a następnie kliknij polecenie Uruchom.

2. W polu Otwórz wpisz cmd.

3. W wierszu polecenia wpisz następujące polecenie:

   dsadd ou <organizational_unit_dn>
   

   Organizational_unit_dn określa nazwę wyróżniającą jednostki organizacyjnej do dodania.

Aby wyświetlić pełną składnię dla tego polecenia, w wierszu polecenia wpisz dsadd ou /?.

Uwaga 16.

Aby zmodyfikować właściwości jednostki organizacyjnej, użyj dsmod ou polecenia .

Usuwanie jednostki organizacyjnej

1. Kliknij przycisk Start, a następnie kliknij polecenie Uruchom.

2. W polu Otwórz wpisz cmd.

3. W wierszu polecenia wpisz polecenie dsrm <organizational_unit_dn>.

   Organizational_unit_dn określa nazwę wyróżniającą jednostki organizacyjnej, która ma zostać usunięta.

Aby wyświetlić pełną składnię dla tego polecenia, w wierszu polecenia wpisz dsrm /?.

Uwaga 16.

Usunięcie jednostki organizacyjnej spowoduje usunięcie wszystkich obiektów, które zawiera.

Jak przeszukiwać usługę Active Directory

W poniższych sekcjach przedstawiono szczegółowe kroki wyszukiwania w usłudze Active Directory.

Znajdowanie konta użytkownika

1. Kliknij przycisk Start, a następnie kliknij polecenie Uruchom.

2. W polu Otwórz wpisz cmd.

3. W wierszu polecenia wpisz polecenie dsquery user <parameter>.

   Parametr określa parametr do użycia. Aby uzyskać listę parametrów, zobacz pomoc online dla polecenia dsquery user .

Aby wyświetlić pełną składnię dla tego polecenia, w wierszu polecenia wpisz dsquery user /?.

Znajdowanie kontaktu

1. Kliknij przycisk Start, a następnie kliknij polecenie Uruchom.

2. W polu Otwórz wpisz cmd.

3. W wierszu polecenia wpisz polecenie dsquery contact <parameter>.

   Parametr określa parametr do użycia. Aby uzyskać listę parametrów, zobacz pomoc online dotyczącą polecenia użytkownika dsquery.

Znajdź grupę

1. Kliknij przycisk Start, a następnie kliknij polecenie Uruchom.

2. W polu Otwórz wpisz cmd.

3. W wierszu polecenia wpisz polecenie dsquery group <parameter>.

   Parametr określa parametr do użycia. Aby uzyskać listę parametrów, zobacz pomoc online dotyczącą polecenia użytkownika dsquery.

Domyślnie grupy lokalne, które są udostępniane automatycznie na kontrolerach domeny z systemem Windows Server 2003, takich jak Administratorzy i Operatorzy kont, znajdują się w folderze Builtin. Domyślnie typowe grupy globalne, takie jak Administratorzy domeny i Użytkownicy domeny, znajdują się w folderze Użytkownicy. Możesz dodawać lub przenosić nowe grupy do dowolnego folderu. Firma Microsoft zaleca przechowywanie grup w folderze jednostki organizacyjnej.

Znajdowanie konta komputera

1. Kliknij przycisk Start, a następnie kliknij polecenie Uruchom.

2. W polu Otwórz wpisz cmd.

3. W wierszu polecenia wpisz polecenie dsquery computer -name <name>.

   Nazwa określa nazwę komputera, którego szuka polecenie. To polecenie wyszukuje nazwy komputerów, których atrybuty nazw (wartość atrybutu CN) są zgodne z nazwą.

Aby wyświetlić pełną składnię dla tego polecenia, w wierszu polecenia wpisz dsquery computer /?.

Znajdowanie jednostki organizacyjnej

1. Kliknij przycisk Start, a następnie kliknij polecenie Uruchom.

2. W polu Otwórz wpisz cmd.

3. W wierszu polecenia wpisz polecenie dsquery ou <parameter>.

   Parametr określa parametr do użycia. Aby uzyskać listę parametrów, zobacz pomoc online dla usługi dsquery ou.

Aby wyświetlić pełną składnię dla tego polecenia, w wierszu polecenia wpisz dsquery ou /?.

Znajdowanie kontrolera domeny

1. Kliknij przycisk Start, a następnie kliknij polecenie Uruchom.

2. W polu Otwórz wpisz cmd.

3. W wierszu polecenia wpisz polecenie dsquery server <parameter>.

   Parametr określa parametr do użycia. Istnieje kilka atrybutów serwera, które można przeszukiwać za pomocą tego polecenia. Aby uzyskać listę parametrów, zobacz pomoc online dla dsquery server.

Wykonywanie wyszukiwania niestandardowego

1. Kliknij przycisk Start, a następnie kliknij polecenie Uruchom.

2. W polu Otwórz wpisz cmd.

3. W wierszu polecenia wpisz polecenie dsquery * <parameter>.

   Parametr określa parametr do użycia. Istnieje kilka atrybutów, które można przeszukiwać za pomocą tego polecenia. Aby uzyskać więcej informacji na temat wyszukiwania LDAP, zobacz Zestaw zasobów systemu Windows Server 2003.

Informacje

Aby uzyskać więcej informacji na temat narzędzi wiersza polecenia usług katalogowych w systemie Windows Server 2003, kliknij przycisk Start, kliknij pozycję Pomoc i Centrum pomocy technicznej, a następnie wpisz narzędzia wiersza polecenia usługi katalogowej w polu Wyszukiwania.