Compartilhar via

Usar as ferramentas de linha de comando do Serviço de Diretório para gerenciar objetos do Active Directory no Windows Server 2003

Este artigo descreve como usar as ferramentas de linha de comando do Serviço de Diretório para executar tarefas administrativas do Active Directory no Windows Server 2003. As tarefas a seguir são divididas em grupos de tarefas.

Aplica-se a: Versões com suporte do Windows Server
Número original do KB: 322684

Como gerenciar usuários

As seções a seguir fornecem etapas detalhadas para gerenciar grupos.

Criar uma nova conta de usuário

  1. Clique em Iniciar e em Executar.

  2. Na caixa Abrir , digite cmd.

  3. No prompt de comando, digite o comando a seguir:

    dsadd user <user_dn> -samid <sam_name>

    Os seguintes valores são usados neste comando:

    • user_dn especifica o nome distinto (também conhecido como DN) do objeto de usuário que você deseja adicionar.
    • sam_name especifica o nome do SAM (gerenciador de contas de segurança) usado como o nome exclusivo da conta SAM para esse usuário (por exemplo, Linda).

  4. Para especificar a senha da conta de usuário, digite o seguinte comando, em que password é a senha que deve ser usada para a conta de usuário:

    dsadd user <user_dn> -pwd password

Observação

Para exibir a sintaxe completa desse comando e obter mais informações sobre como inserir mais informações de conta de usuário, em um prompt de comando, digite dsadd user /?.

Redefinir a senha de um usuário

  1. Clique em Iniciar e em Executar.

  2. Na caixa Abrir , digite cmd.

  3. No prompt de comando, digite o comando a seguir:

    dsmod user <user_dn> -pwd <new_password>

    Este comando usa os seguintes valores:

    • user_dn especifica o nome distinto do usuário para o qual a senha será redefinida.
    • new_password especifica a senha que substituirá a senha do usuário atual

  4. Se você quiser exigir que o usuário altere essa senha no próximo processo de logon, digite o seguinte comando:

    dsmod user <user_dn> -mustchpwd {yes|no}

Se uma senha não for atribuída, na primeira vez que o usuário tentar fazer logon (usando uma senha em branco), a seguinte mensagem de logon será exibida:

Você deve alterar sua senha no primeiro logon

Depois que o usuário alterar a senha, o processo de logon continuará.

Você deve redefinir os serviços autenticados com uma conta de usuário se a senha da conta de usuário do serviço for alterada.

Observação

Para exibir a sintaxe completa desse comando e obter mais informações sobre como inserir mais informações de conta de usuário, em um prompt de comando, digite dsmod user /?.

Desabilitar ou habilitar uma conta de usuário

  1. Clique em Iniciar e em Executar.

  2. Na caixa Abrir , digite cmd.

  3. No prompt de comando, digite o comando a seguir:

    dsmod user <user_dn> -disabled {yes|no}

    Este comando usa os seguintes valores:

    • user_dn especifica o nome distinto do objeto de usuário a ser desabilitado ou habilitado.
    • {sim | não} Especifica se a conta de usuário está desabilitada para logon (sim) ou não (não).

Observação

Como medida de segurança, em vez de excluir a conta desse usuário, você pode desabilitar as contas de usuário para impedir que um usuário específico faça logon. Se você desabilitar contas de usuário que têm associações de grupo comuns, poderá usar contas de usuário desabilitadas como modelos de conta para simplificar a criação de contas de usuário.

Excluir uma conta de usuário

  1. Clique em Iniciar e em Executar.
  2. Na caixa Abrir , digite cmd.
  3. No prompt de comando, digite o dsrm <user_dn> comando, em que user_dn especifica o nome distinto do objeto de usuário a ser excluído.

Depois de excluir uma conta de usuário, todas as permissões e associações associadas a essa conta de usuário são excluídas permanentemente. Como o SID (identificador de segurança) de cada conta é exclusivo, se você criar uma nova conta de usuário que tenha o mesmo nome de uma conta de usuário excluída anteriormente, a nova conta não assumirá automaticamente as permissões e associações da conta excluída anteriormente. Para duplicar uma conta de usuário excluída, você deve recriar manualmente todas as permissões e associações.

Observação

Para exibir a sintaxe completa desse comando e obter mais informações sobre como inserir mais informações de conta de usuário, em um prompt de comando, digite dsrm /?.

Como gerenciar os grupos

As seções a seguir fornecem etapas detalhadas para gerenciar grupos.

Criar um novo grupo

  1. Clique em Iniciar e em Executar.

  2. Na caixa Abrir , digite cmd.

  3. No prompt de comando, digite o comando a seguir:

    dsadd group <group_dn> -samid <sam_name> -secgrp {yes|no} -scope {l|g|u}

    Este comando usa os seguintes valores:

    • group_dn especifica o nome distinto do objeto de grupo que você deseja adicionar.
    • sam_name especifica o nome do SAM que é o nome exclusivo da conta do SAM para esse grupo (por exemplo, operadores).
    • {sim | não} Especifica se o grupo que você deseja adicionar é um grupo de segurança (sim) ou um grupo de distribuição (não).
    • {l|g|u} Especifica o escopo do grupo que você deseja adicionar (domínio local [l], global [g] ou universal [u]).

Se o domínio no qual você está criando o grupo estiver definido como o nível funcional de domínio do Windows 2000 misto, você poderá selecionar apenas grupos de segurança com escopos locais de domínio ou escopos globais.

Para exibir a sintaxe completa desse comando e obter mais informações sobre como inserir mais informações de grupo, em um prompt de comando, digite dsadd group /?.

Adicionar um membro a um grupo

  1. Clique em Iniciar e em Executar.

  2. Na caixa Abrir , digite cmd.

  3. No prompt de comando, digite o comando a seguir:

    dsmod group <group_dn> -addmbr <member_dn>

    Este comando usa os seguintes valores:

    • group_dn especifica o nome distinto do objeto de grupo que você deseja adicionar.
    • member_dn especifica o nome distinto do objeto que você deseja adicionar ao grupo.

Além de usuários e computadores, um grupo pode conter contatos e outros grupos.

Para exibir a sintaxe completa desse comando e obter mais informações sobre como inserir mais informações de conta de usuário e grupo, em um prompt de comando, digite dsmod group /?.

Converter um grupo em outro tipo de grupo

  1. Clique em Iniciar e em Executar.

  2. Na caixa Abrir , digite cmd.

  3. No prompt de comando, digite o comando a seguir:

    dsmod group <group_dn> -secgrp {yes|no}

    Este comando usa os seguintes valores:

    • group_dn especifica o nome distinto do objeto de grupo para o qual você deseja alterar o tipo de grupo.
    • {sim | não} Especifica que o tipo de grupo está definido como Grupo de Segurança (Sim) ou Grupo de Distribuição (Não).

Para converter um grupo, a funcionalidade de domínio deve ser definida como Windows 2000 Native ou superior. Não é possível converter grupos quando a funcionalidade de domínio está definida como Windows 2000 Misto.

Para exibir a sintaxe completa desse comando, em um prompt de comando, digite dsmod group /?.

Alterar o escopo do grupo

  1. Clique em Iniciar e em Executar.

  2. Na caixa Abrir , digite cmd.

  3. No prompt de comando, digite o comando a seguir:

    dsmod group <group_dn> -scope {l|g|u}

    Este comando usa os seguintes valores:

    • group_dn especifica os nomes distintos do objeto de grupo para o qual o escopo será alterado.
    • {l|g|u} Especifica o escopo para o qual o grupo deve ser definido (local, global ou universal). Se o domínio ainda estiver definido como Windows 2000 misto, não haverá suporte para o escopo universal. Além disso, não é possível converter um grupo local de domínio em grupo global ou vice-versa.

Observação

Você só pode alterar os escopos de grupo quando o nível funcional do domínio estiver definido como Windows 2000 nativo ou superior.

Excluir um grupo

  1. Clique em Iniciar e em Executar.

  2. Na caixa Abrir , digite cmd.

  3. No prompt de comando, digite o comando dsrm <group_dn>.

    O group_dn especifica o nome distinto do objeto de grupo a ser excluído.

Observação

Se você excluir o grupo, ele será removido permanentemente.

Por padrão, os grupos locais fornecidos automaticamente em controladores de domínio que executam o Windows Server 2003, como Administradores e Operadores de Conta, estão localizados na pasta Builtin. Por padrão, grupos globais comuns, como Administradores de Domínio e Usuários de Domínio, estão localizados na pasta Usuários. Você pode adicionar ou mover novos grupos para qualquer pasta. A Microsoft recomenda que você mantenha os grupos em uma pasta de unidade organizacional.

Para exibir a sintaxe completa desse comando, em um prompt de comando, digite dsrm /?.

Localizar grupos dos quais um usuário é membro

  1. Clique em Iniciar e em Executar.

  2. Na caixa Abrir , digite cmd.

  3. No prompt de comando, digite o comando a seguir:

    dsget user <user_dn> -memberof

    O user_dn especifica o nome distinto do objeto de usuário para o qual você deseja exibir a associação ao grupo.

Para exibir a sintaxe completa desse comando, em um prompt de comando, digite dsget user /?.

Como gerenciar computadores

As seções a seguir fornecem etapas detalhadas para gerenciar computadores.

Criar uma nova conta de computador

  1. Clique em Iniciar e em Executar.

  2. Na caixa Abrir , digite cmd.

  3. No prompt de comando, digite o comando a seguir:

    dsadd computer <computer_dn>

    O computer_dn especifica o nome distinto do computador que você deseja adicionar. O nome distinto indica o local da pasta.

Para exibir a sintaxe completa desse comando, em um prompt de comando, digite dsadd computer /?.

Para modificar as propriedades de uma conta de computador, use o comando dsmod computer.

Adicionar uma conta de computador a um grupo

  1. Clique em Iniciar e em Executar.

  2. Na caixa Abrir , digite cmd.

  3. No prompt de comando, digite o comando a seguir:

    dsmod group <group_dn> -addmbr <computer_dn>

    Este comando usa os seguintes valores:

    • group_dn especifica o nome distinto do objeto de grupo ao qual você deseja adicionar o objeto de computador.
    • computer_dn especifica o nome distinto do objeto de computador a ser adicionado ao grupo. O nome distinto indica o local da pasta.

Ao adicionar um computador a um grupo, você pode atribuir permissões a todas as contas de computador desse grupo e filtrar as configurações de Diretiva de Grupo em todas as contas desse grupo.

Para exibir a sintaxe completa desse comando, em um prompt de comando, digite dsmod group /?.

Redefinir uma conta de computador

  1. Clique em Iniciar e em Executar.

  2. Na caixa Abrir , digite cmd.

  3. No prompt de comando, digite o comando a seguir:

    dsmod computer <computer_dn> -reset

    O computer_dn especifica os nomes distintos de um ou mais objetos de computador que você deseja redefinir.

    Observação

    Ao redefinir uma conta de computador, você interrompe a conexão do computador com o domínio. Você deve reingressar a conta do computador na conta do computador do domínio depois de redefini-la.

Para exibir a sintaxe completa desse comando, em um prompt de comando, digite dsmod computer /? .

Desabilitar ou habilitar uma conta de computador

  1. Clique em Iniciar e em Executar.

  2. Na caixa Abrir , digite cmd.

  3. No prompt de comando, digite o comando a seguir:

    dsmod computer <computer_dn> -disabled {yes|no}

    Este comando usa os seguintes valores:

    • computer_dn especifica o nome distinto do objeto de computador que você deseja desabilitar ou habilitar.
    • {sim | não} Especifica se o computador está desabilitado para logon (sim) ou não (não).

Ao desabilitar uma conta de computador, você interrompe a conexão do computador com o domínio e o computador não pode se autenticar no domínio.

Para exibir a sintaxe completa desse comando, em um prompt de comando, digite dsmod computer /?.

Como gerenciar unidades organizacionais

As seções a seguir fornecem etapas detalhadas para gerenciar unidades organizacionais.

Crie uma nova unidade organizacional

  1. Clique em Iniciar e em Executar.

  2. Na caixa Abrir , digite cmd.

  3. No prompt de comando, digite o comando a seguir:

    dsadd ou <organizational_unit_dn>

    O organizational_unit_dn especifica o nome distinto da unidade organizacional a ser adicionada.

Para exibir a sintaxe completa desse comando, em um prompt de comando, digite dsadd ou /?.

Observação

Para modificar as propriedades de uma unidade organizacional, use o dsmod ou comando.

Excluir uma unidade organizacional

  1. Clique em Iniciar e em Executar.

  2. Na caixa Abrir , digite cmd.

  3. No prompt de comando, digite o comando dsrm <organizational_unit_dn>.

    A organizational_unit_dn especifica o nome distinto da unidade organizacional a ser excluída.

Para exibir a sintaxe completa desse comando, em um prompt de comando, digite dsrm /?.

Observação

Se você excluir uma unidade organizacional, todos os objetos nela contidos serão excluídos.

Como pesquisar no Active Directory

As seções a seguir fornecem etapas detalhadas para pesquisar o Active Directory.

Localizar uma conta de usuário

  1. Clique em Iniciar e em Executar.

  2. Na caixa Abrir , digite cmd.

  3. No prompt de comando, digite o comando dsquery user <parameter>.

    O parâmetro especifica o parâmetro a ser usado. Para obter a lista de parâmetros, consulte a ajuda on-line do comando dsquery user .

Para exibir a sintaxe completa desse comando, em um prompt de comando, digite dsquery user /?.

Encontre um contato

  1. Clique em Iniciar e em Executar.

  2. Na caixa Abrir , digite cmd.

  3. No prompt de comando, digite o comando dsquery contact <parameter>.

    O parâmetro especifica o parâmetro a ser usado. Para obter a lista de parâmetros, consulte a ajuda on-line para o comando dsquery user.

Localizar um grupo

  1. Clique em Iniciar e em Executar.

  2. Na caixa Abrir , digite cmd.

  3. No prompt de comando, digite o comando dsquery group <parameter>.

    O parâmetro especifica o parâmetro a ser usado. Para obter a lista de parâmetros, consulte a ajuda on-line para o comando dsquery user.

Por padrão, os grupos locais fornecidos automaticamente em controladores de domínio que executam o Windows Server 2003, como Administradores e Operadores de Conta, estão localizados na pasta Builtin. Por padrão, grupos globais comuns, como Administradores de Domínio e Usuários de Domínio, estão localizados na pasta Usuários. Você pode adicionar ou mover novos grupos para qualquer pasta. A Microsoft recomenda que você mantenha os grupos em uma pasta de unidade organizacional.

Localizar uma conta de computador

  1. Clique em Iniciar e em Executar.

  2. Na caixa Abrir , digite cmd.

  3. No prompt de comando, digite o comando dsquery computer -name <name>.

    O nome especifica o nome do computador que o comando procura. Este comando procura computadores cujos atributos de nome (valor do atributo CN) correspondem ao nome.

Para exibir a sintaxe completa desse comando, em um prompt de comando, digite dsquery computer /?.

Encontrar uma unidade organizacional

  1. Clique em Iniciar e em Executar.

  2. Na caixa Abrir , digite cmd.

  3. No prompt de comando, digite o comando dsquery ou <parameter>.

    O parâmetro especifica o parâmetro a ser usado. Para obter a lista de parâmetros, consulte a ajuda on-line do dsquery ou.

Para exibir a sintaxe completa desse comando, em um prompt de comando, digite dsquery ou /?.

Localizar um controlador de domínio

  1. Clique em Iniciar e em Executar.

  2. Na caixa Abrir , digite cmd.

  3. No prompt de comando, digite o comando dsquery server <parameter>.

    O parâmetro especifica o parâmetro a ser usado. Há vários atributos de um servidor que você pode pesquisar usando esse comando. Para obter a lista de parâmetros, consulte a ajuda on-line para dsquery server.

  1. Clique em Iniciar e em Executar.

  2. Na caixa Abrir , digite cmd.

  3. No prompt de comando, digite o comando dsquery * <parameter>.

    O parâmetro especifica o parâmetro a ser usado. Há vários atributos que você pode pesquisar usando esse comando. Para obter mais informações sobre pesquisas LDAP, consulte o Windows Server 2003 Resource Kit.

Referências

Para obter mais informações sobre as ferramentas de linha de comando dos Serviços de Diretório no Windows Server 2003, clique em Iniciar, clique em Centro de Ajuda e Suporte e digite ferramentas de linha de comando do serviço de diretório na caixa Pesquisar.