Introduction to Active Directory Administrative Center Enhancements (Level 100)

Artigo
10/05/2023

Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 e Windows Server 2012

O Centro Administrativo do Active Directory no Windows Server inclui recursos de gerenciamento para o seguinte:

Lixeira do Active Directory

A exclusão acidental de objetos do Active Directory é uma ocorrência comum aos usuários do AD DS (Serviços de Domínio Active Directory) e do AD LDS (Active Directory Lightweight Directory Services). Em versões passadas do Windows Server, anteriores ao Windows Server 2008 R2, era possível recuperar automaticamente objetos excluídos do Active Directory, mas as soluções apresentavam algumas desvantagens.

No Windows Server 2008, era possível usar o recurso Backup do Windows Server e o comando de restauração autoritativa de objetos ntdsutil para marcar objetos como autoritativos. Isso garantia que os dados restaurados fossem replicados em todo o domínio. A desvantagem da solução de restauração autoritativa era que ela deveria ser executada no DSRM (Modo de Restauração dos Serviços de Diretório). Durante o DSRM, o controlador de domínio que estivesse sendo restaurado deveria permanecer offline. Portanto, ele não podia atender às solicitações dos clientes.

No Windows Server 2003 Active Directory e no Windows Server 2008 AD DS, era possível recuperar objetos excluídos do Active Directory por meio de reanimação de marca de exclusão. Entretanto, atributos de valores vinculados de objetos reanimados (por exemplo, associações de grupos de contas de usuário) que eram fisicamente removidos e atributos de valores não vinculados que eram limpos não eram recuperados. Portanto, os administradores não podiam confiar na reanimação de marca de exclusão como solução final para a exclusão acidental de objetos. Para obter mais informações sobre reanimação de marca de exclusão, consulte Reanimando objetos de marca de exclusão do Active Directory.

A Lixeira do Active Directory, a partir do Windows Server 2008 R2, tem como base a infraestrutura existente de reanimação de marcas de exclusão e aprimora a capacidade de preservar e recuperar objetos excluídos acidentalmente do Active Directory.

Quando a Lixeira do Active Directory é habilitada, todos os atributos de valores vinculados e não vinculados dos objetos excluídos do Active Directory são preservados, e os objetos são integralmente restaurados para o mesmo estado lógico consistente em que estavam imediatamente antes da exclusão. Por exemplo, as contas de usuário restauradas automaticamente recuperam todas as associações de grupo e direitos de acesso correspondentes que tinham antes da exclusão, dentro e entre domínios. A Lixeira do Active Directory funciona nos ambientes do AD DS e do AD LDS. Para obter uma descrição detalhada da Lixeira do Active Directory, consulte Novidades do AD DS: Lixeira do Active Directory.

Novidades No Windows Server 2012 e versões mais recentes, o recurso Lixeira do Active Directory foi aperfeiçoado com uma nova interface gráfica do usuário para que os usuários gerenciem e restaurem objetos excluídos. Os usuários agora podem localizar visualmente uma lista de objetos excluídos e restaurá-los nos seus locais originais ou desejados.

Se você pretende habilitar a Lixeira do Active Directory no Windows Server, considere o seguinte:

Por padrão, a Lixeira do Active Directory é desabilitada. Para habilitá-la, primeiro é necessário aumentar o nível funcional da floresta do ambiente do AD DS ou do AD LDS para o Windows Server 2008 R2 ou superior. Isso, por sua vez, requer que todos os controladores de domínio na floresta ou que todos os servidores que hospedem instâncias de conjuntos de configuração do AD LDS estejam executando o Windows Server 2008 R2 ou superior.
O processo de habilitar a Lixeira do Active Directory é irreversível. Depois de habilitar a Lixeira do Active Directory em seu ambiente, não será possível desabilitá-la.
Para gerenciar o recurso Lixeira via interface do usuário, é necessário instalar a versão do Centro Administrativo do Active Directory no Windows Server 2012.

Observação

Você pode usar o Gerenciador do Servidor para instalar as Ferramentas de Administração de Servidor Remoto para usar a versão correta do Centro Administrativo do Active Directory para gerenciar a Lixeira via interface do usuário.

Para obter informações sobre a instalação das Ferramentas de Administração de Servidor Remoto, confira o artigo Ferramentas de Administração de Servidor Remoto.

Lixeira do Active Directory passo a passo

Nas etapas a seguir, você usará o ADAC para executar as seguintes tarefas da Lixeira do Active Directory no Windows Server 2012:

Observação

Para executar as etapas a seguir, é necessário ter uma associação ao grupo Administradores Corporativos ou permissões equivalentes.

Etapa 1: Aumentar o nível funcional da floresta

Nesta etapa, você aumentará o nível funcional da floresta. É necessário aumentar o nível funcional na floresta de destino para ser o Windows Server 2008 R2 no mínimo antes de habilitar a Lixeira do Active Directory.

Para aumentar o nível funcional na floresta de destino

Clique com o botão direito do mouse no ícone Windows PowerShell, clique em Executar como Administrador e digite dsac.exe para abrir o ADAC.
Clique em Gerenciar, em Adicionar Nós de Navegação, selecione o domínio de destino apropriado na caixa de diálogo Adicionar Nós de Navegação e clique em OK.
Clique no domínio de destino no painel de navegação esquerdo e, no painel Tarefas, clique em Aumentar nível funcional da floresta. Selecione um nível funcional de floresta que seja, no mínimo, o Windows Server 2008 R2 ou superior e clique em OK.

PowerShell logo, Shows the PowerShell equivalent commands for raising the forest functional level. Comandos equivalentes do Windows PowerShell

O seguinte cmdlet ou cmdlets do Windows PowerShell executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que possa aparecer quebra em várias linhas aqui devido a restrições de formatação.

Set-ADForestMode -Identity contoso.com -ForestMode Windows2008R2Forest -Confirm:$false

Para o argumento –Identity, especifique o nome de domínio DNS totalmente qualificado.

Etapa 2: Habilitar a Lixeira

Nesta etapa, você habilitará a Lixeira para restaurar objetos excluídos do AD DS.

Para habilitar a Lixeira do Active Directory no ADAC no domínio de destino

Clique com o botão direito do mouse no ícone Windows PowerShell, clique em Executar como Administrador e digite dsac.exe para abrir o ADAC.
Clique em Gerenciar, em Adicionar Nós de Navegação, selecione o domínio de destino apropriado na caixa de diálogo Adicionar Nós de Navegação e clique em OK.
No Painel de Tarefas, clique em Habilitar Lixeira...; no Painel de Tarefas, clique em OK na caixa de mensagem de aviso e clique em OK para atualizar a mensagem do ADAC.
Pressione F5 para atualizar o ADAC.

PowerShell logo, Shows the PowerShell equivalent commands for enabling the recycle bin. Comandos equivalentes do Windows PowerShell

Se você encontrar um erro, poderá tentar mover o mestre do esquema e as funções mestras de nomenclatura de domínio para o mesmo controlador de domínio no domínio raiz. Em seguida, execute o cmdlet desse controlador de domínio.

Enable-ADOptionalFeature -Identity 'CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com' -Scope ForestOrConfigurationSet -Target 'contoso.com'

Etapa 3: Criar usuários, um grupo e uma unidade organizacional de teste

Nos procedimentos a seguir, você criará dois usuários de teste. Em seguida, criará um grupo de teste e adicionará os usuários de teste ao grupo. Além disso, criará uma unidade organizacional.

Para criar usuários de teste

Clique com o botão direito do mouse no ícone Windows PowerShell, clique em Executar como Administrador e digite dsac.exe para abrir o ADAC.
Clique em Gerenciar, em Adicionar Nós de Navegação, selecione o domínio de destino apropriado na caixa de diálogo Adicionar Nós de Navegação e clique em OK.
No painel Tarefas, clique em Novo e depois em Usuário.
Insira as informações a seguir em Conta e clique em OK:
- Nome completo: test1
- Logon SamAccountName do usuário: test1
- Senha: p@ssword1
- Confirmar senha: p@ssword1
Repita as etapas anteriores para criar um segundo usuário, test2.

Para criar um grupo de teste e adicionar usuários ao grupo

Clique com o botão direito do mouse no ícone Windows PowerShell, clique em Executar como Administrador e digite dsac.exe para abrir o ADAC.
Clique em Gerenciar, em Adicionar Nós de Navegação, selecione o domínio de destino apropriado na caixa de diálogo Adicionar Nós de Navegação e clique em OK.
No painel Tarefas, clique em Novo e depois em Grupo.
Insira as informações a seguir em Grupo e clique em OK:
- Nome do grupo:group1
Clique em group1 e, no Painel de Tarefas, clique em Propriedades.
Clique em Membros, clique em Adicionar, digite test1;test2 e clique em OK.

PowerShell logo, Shows the PowerShell equivalent commands for adding users to the group. Comandos equivalentes do Windows PowerShell

Add-ADGroupMember -Identity group1 -Member test1

Para criar uma unidade organizacional

Clique com o botão direito do mouse no ícone Windows PowerShell, clique em Executar como Administrador e digite dsac.exe para abrir o ADAC.
Clique em Gerenciar, em Adicionar nós de navegação, selecione o domínio de destino apropriado na caixa de diálogo Adicionar Nós de Navegação e clique em **OK
No painel Tarefas, clique em Novo e depois em Unidade Organizacional.
Insira as informações a seguir em Unidade Organizacional e clique em OK:
- NameOU1

PowerShell logo, Shows the PowerShell equivalent commands for creating an organizational unit. Comandos equivalentes do Windows PowerShell

1..2 | ForEach-Object {New-ADUser -SamAccountName test$_ -Name "test$_" -Path "DC=fabrikam,DC=com" -AccountPassword (ConvertTo-SecureString -AsPlainText "p@ssword1" -Force) -Enabled $true}
New-ADGroup -Name "group1" -SamAccountName group1 -GroupCategory Security -GroupScope Global -DisplayName "group1"
New-ADOrganizationalUnit -Name OU1 -Path "DC=fabrikam,DC=com"

Etapa 4: Restaurar objetos excluídos

Nos procedimentos a seguir, você restaurará objetos excluídos do contêiner Deleted Objects no local original e em outro local.

Para restaurar objetos excluídos no local original

Clique com o botão direito do mouse no ícone Windows PowerShell, clique em Executar como Administrador e digite dsac.exe para abrir o ADAC.
Clique em Gerenciar, em Adicionar Nós de Navegação, selecione o domínio de destino apropriado na caixa de diálogo Adicionar Nós de Navegação e clique em OK.
Selecione os usuários test1 e test2, clique em Excluir no Painel de Tarefas e clique em Sim para confirmar a exclusão.

Comandos equivalentes do Windows PowerShell

O seguinte cmdlet ou cmdlets do Windows PowerShell executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que possa aparecer quebra em várias linhas aqui devido a restrições de formatação.
```
Get-ADUser -Filter 'Name -Like "*test*"'|Remove-ADUser -Confirm:$false
```
Navegue até o contêiner Deleted Objects, selecione test2 e test1, e depois clique em Restaurar no painel Tarefas.
Para confirmar se os objetos foram restaurados no local original, navegue até o domínio de destino e verifique se as contas de usuário estão listadas.

Observação

Se você navegar para as Propriedades das contas de usuário test1 e test2 e depois clicar em Membro de, verá que as respectivas associações de grupo também foram restauradas.

PowerShell logo, Shows the PowerShell equivalent commands for restoring objects to their original location. Comandos equivalentes do Windows PowerShell

Get-ADObject -Filter 'Name -Like "*test*"' -IncludeDeletedObjects | Restore-ADObject

Para restaurar objetos excluídos em outro local

Clique com o botão direito do mouse no ícone Windows PowerShell, clique em Executar como Administrador e digite dsac.exe para abrir o ADAC.
Clique em Gerenciar, em Adicionar Nós de Navegação, selecione o domínio de destino apropriado na caixa de diálogo Adicionar Nós de Navegação e clique em OK.
Selecione os usuários test1 e test2, clique em Excluir no Painel de Tarefas e clique em Sim para confirmar a exclusão.
Navegue até o contêiner Deleted Objects, selecione test2 e test1, e depois clique em Restaurar em no painel Tarefas.
Selecione OU1 e clique em OK.
Para confirmar se os objetos foram restaurados em OU1, navegue até o domínio de destino, clique duas vezes em OU1 e verifique se as contas de usuário estão listadas.

PowerShell logo, Shows the PowerShell equivalent commands for restoring deleted objects to a different location. Comandos equivalentes do Windows PowerShell

Get-ADObject -Filter 'Name -Like "*test*"' -IncludeDeletedObjects | Restore-ADObject -TargetPath "OU=OU1,DC=contoso,DC=com"

Política de senha refinada

O sistema operacional Windows Server 2008 permite que as organizações definam políticas de senha e de bloqueio de conta diferentes para diferentes conjuntos de usuários em um domínio. Em domínios Active Directory anteriores ao Windows Server 2008, somente uma política de senha e de bloqueio de conta podia ser aplicada a todos os usuários no domínio. Essas políticas eram especificadas na Política de Domínio Padrão do domínio. Como resultado, as organizações que queriam diferentes configurações de senha e de bloqueio de conta para diferentes conjuntos de usuários tinham de criar um filtro de senha ou implantar vários domínios. Ambas as opções são caras.

É possível usar políticas de senha refinada para especificar várias políticas de senha dentro de um único domínio, bem como aplicar diferentes restrições de políticas de senha e de bloqueio de conta a diferentes conjuntos de usuários em um domínio. Por exemplo, você pode aplicar configurações mais estritas a contas privilegiadas e configurações menos estritas às contas de outros usuários. Em outros casos, talvez você deseje aplicar uma política especial de senha a contas cujas senhas sejam sincronizadas com outras fontes de dados. Para obter uma descrição detalhada da Política de Senha Refinada, consulte AD DS: Políticas de senha refinada

Novidades

No Windows Server 2012 e versões mais recentes, o gerenciamento de políticas de senha refinada está mais fácil e mais visual por meio de uma interface do usuário na qual os administradores do AD DS podem gerenciá-las no ADAC. Os administradores agora podem exibir a política resultante de determinado usuário, exibir e classificar todas as políticas de senha em um domínio específico e gerenciar políticas de senha individuais visualmente.

Se você pretende usar políticas de senha refinada no Windows Server 2012, considere o seguinte:

As políticas de senha refinada só se aplicam a grupos de segurança globais e a objetos de usuário (ou objetos inetOrgPerson, caso sejam usados no lugar de objetos de usuário). Por padrão, somente membros do grupo Administradores de Domínio podem definir políticas de senha refinada. Entretanto, também é possível delegar a capacidade de definir essas políticas a outros usuários. O nível funcional do domínio deve ser Windows Server 2008 ou superior.
Você deve usar o Windows Server 2012 ou versões mais recente do Centro Administrativo do Active Directory para administrar políticas de senha refinada por meio de uma interface gráfica do usuário.

Observação

Você pode usar o Gerenciador do Servidor para instalar as Ferramentas de Administração de Servidor Remoto para usar a versão correta do Centro Administrativo do Active Directory para gerenciar a Lixeira via interface do usuário.

Para obter informações sobre a instalação das Ferramentas de Administração de Servidor Remoto, confira o artigo Ferramentas de Administração de Servidor Remoto.

Política de senha refinada passo a passo

Nas etapas a seguir, você usará o ADAC para executar as seguintes tarefas de política de senha refinada:

Observação

Para executar as etapas a seguir, é necessário ter uma associação ao grupo Administradores de Domínio ou permissões equivalentes.

Etapa 1: Aumentar o nível funcional do domínio

No procedimento a seguir, você aumentará o nível funcional do domínio de destino para o Windows Server 2008 ou superior. Um nível funcional de domínio do Windows Server 2008 ou superior é exigido para habilitar políticas de senha refinada.

Para aumentar o nível funcional do domínio

Clique com o botão direito do mouse no ícone Windows PowerShell, clique em Executar como Administrador e digite dsac.exe para abrir o ADAC.
Clique em Gerenciar, em Adicionar Nós de Navegação, selecione o domínio de destino apropriado na caixa de diálogo Adicionar Nós de Navegação e clique em OK.
Clique no domínio de destino no painel de navegação esquerdo e, no Painel de Tarefas, clique em Aumentar nível funcional do domínio. Selecione um nível funcional de floresta que seja, no mínimo, o Windows Server 2008 ou superior e clique em OK.

PowerShell logo, Shows the PowerShell equivalent commands for raising the domain functional level. Comandos equivalentes do Windows PowerShell

Set-ADDomainMode -Identity contoso.com -DomainMode 3

Etapa 2: Criar usuários, um grupo e uma unidade organizacional de teste

Para criar os usuários e o grupo de teste necessários para esta etapa, siga os procedimentos localizados aqui: Step 3: Create test users, group and organizational unit (não é preciso criar a unidade organizacional para demonstrar a política de senha refinada).

Etapa 3: Crie uma nova política de senha refinada

No procedimento a seguir, você criará uma nova política de senha refinada usando a interface do usuário no ADAC.

Para criar uma nova política de senha refinada

Clique com o botão direito do mouse no ícone Windows PowerShell, clique em Executar como Administrador e digite dsac.exe para abrir o ADAC.
Clique em Gerenciar, em Adicionar Nós de Navegação, selecione o domínio de destino apropriado na caixa de diálogo Adicionar Nós de Navegação e clique em OK.
No painel de navegação do ADAC, abra o contêiner System e clique em Password Settings Container.
No Painel de Tarefas, clique em Novo e clique em Configurações de Senha.

Preencha ou edite campos da página de propriedades para criar um objeto Configurações de Senha. Os campos Nome e Precedência são obrigatórios.
Em Aplica-se Diretamente a, em Adicionar, digite group1e clique em OK.

O objeto Política de Senha será associado aos membros do grupo global que você criou para o ambiente de teste.
Clique em OK para enviar a criação.

PowerShell logo, Shows the PowerShell equivalent commands for creating a new fine grained password policy. Comandos equivalentes do Windows PowerShell

New-ADFineGrainedPasswordPolicy TestPswd -ComplexityEnabled:$true -LockoutDuration:"00:30:00" -LockoutObservationWindow:"00:30:00" -LockoutThreshold:"0" -MaxPasswordAge:"42.00:00:00" -MinPasswordAge:"1.00:00:00" -MinPasswordLength:"7" -PasswordHistoryCount:"24" -Precedence:"1" -ReversibleEncryptionEnabled:$false -ProtectedFromAccidentalDeletion:$true
Add-ADFineGrainedPasswordPolicySubject TestPswd -Subjects group1

Etapa 4: Exiba um conjunto de políticas resultantes de um usuário

No procedimento a seguir, você exibirá as configurações de senha resultantes de um usuário que seja membro do grupo ao qual você atribuiu uma política de senha refinada na Etapa 3: Criar uma nova política de senha refinada.

Para exibir um conjunto de políticas resultantes de um usuário

Clique com o botão direito do mouse no ícone Windows PowerShell, clique em Executar como Administrador e digite dsac.exe para abrir o ADAC.
Clique em Gerenciar, em Adicionar Nós de Navegação, selecione o domínio de destino apropriado na caixa de diálogo Adicionar Nós de Navegação e clique em OK.
Selecione um usuário, test1, que pertença ao grupo, group1, que você associou a uma política de senha refinada na Etapa 3: Criar uma nova política de senha refinada.
Clique em Exibir Configurações de Senha Resultantes no Painel de Tarefas.
Examine a política de configuração de senha e clique em Cancelar.

PowerShell logo, Shows the PowerShell equivalent commands for viewing a resultant set of policies for a user. Comandos equivalentes do Windows PowerShell

Get-ADUserResultantPasswordPolicy test1

Etapa 5: Edite uma política de senha refinada

No procedimento a seguir, você editará a política de senha refinada que criou na Etapa 3: Criar uma nova política de senha refinada

Para editar uma política de senha refinada

Clique com o botão direito do mouse no ícone Windows PowerShell, clique em Executar como Administrador e digite dsac.exe para abrir o ADAC.
Clique em Gerenciar, em Adicionar Nós de Navegação, selecione o domínio de destino apropriado na caixa de diálogo Adicionar Nós de Navegação e clique em OK.
No Painel de Navegação do ADAC, expanda Sistema e clique em Contêiner de Configuração de Senha.
Selecione a política de senha refinada que você criou na Etapa 3: Criar uma nova política de senha refinada e clique em Propriedades no painel Tarefas.
Em Impor histórico de senhas, altere o valor de Número de senhas lembradas para 30.
Clique em OK.

PowerShell logo, Shows the PowerShell equivalent commands for editing a fine-grained password policy. Comandos equivalentes do Windows PowerShell

Set-ADFineGrainedPasswordPolicy TestPswd -PasswordHistoryCount:"30"

Etapa 6: Exclua uma política de senha refinada

Para excluir uma política de senha refinada

Clique com o botão direito do mouse no ícone Windows PowerShell, clique em Executar como Administrador e digite dsac.exe para abrir o ADAC.
Clique em Gerenciar, em Adicionar Nós de Navegação, selecione o domínio de destino apropriado na caixa de diálogo Adicionar Nós de Navegação e clique em OK.
No Painel de Navegação do ADAC, expanda System e clique em Password Settings Container.
Selecione a política de senha refinada que você criou na Etapa 3: Criar uma nova política de senha refinada e, no painel Tarefas, clique em Propriedades.
Desmarque a caixa de seleção Proteger contra exclusão acidental e clique em OK.
Selecione a política de senha refinada e, no painel Tarefas, clique em Excluir.
Clique em OK na caixa de diálogo de confirmação.

Intro to AD Admin center Comandos equivalentes do Windows PowerShell

Set-ADFineGrainedPasswordPolicy -Identity TestPswd -ProtectedFromAccidentalDeletion $False
Remove-ADFineGrainedPasswordPolicy TestPswd -Confirm

Visualizador de Histórico do Windows PowerShell

O ADAC é uma ferramenta da interface do usuário que fica na parte superior do Windows PowerShell. No Windows Server 2012 e versões mais recentes, os administradores de TI podem otimizar o ADAC para aprender sobre os cmdlets Active Directory do Windows PowerShell usando o Visualizador do Histórico do Windows PowerShell. À medida que as ações são executadas na interface do usuário, o comando do Windows PowerShell equivalente é mostrado para o usuário no Visualizador do Histórico do Windows PowerShell. Isso permite que os administradores criem scripts automatizados, bem como reduz tarefas repetitivas, aumentando a produtividade de TI. Além disso, esse recurso reduz o tempo para aprender sobre o Windows PowerShell para Active Directory e aumenta a confiança dos usuários quanto à precisão de seus scripts de automação.

Ao usar o Visualizador do Histórico do Windows PowerShell no Windows Server 2012 ou versão mais recente, considere o seguinte:

Para usar o Visualizador do Histórico do Windows PowerShell, você deve usar a versão Windows Server 2012 ou mais recente do ADAC

Observação

Você pode usar o Gerenciador do Servidor para instalar as Ferramentas de Administração de Servidor Remoto para usar a versão correta do Centro Administrativo do Active Directory para gerenciar a Lixeira via interface do usuário.

Para obter informações sobre a instalação das Ferramentas de Administração de Servidor Remoto, confira o artigo Ferramentas de Administração de Servidor Remoto.
Compreensão básica do Windows PowerShell. Por exemplo, é preciso saber como funciona o pipe no Windows PowerShell. Para obter mais informações sobre pipe no Windows PowerShell, consulte Pipe e pipeline no Windows PowerShell.

Visualizador do Histórico do Windows PowerShell passo a passo

No procedimento a seguir, você usará o Visualizador do Histórico do Windows PowerShell no ADAC para construir um script do Windows PowerShell. Antes de começar esse procedimento, remova o usuário test1 do grupo group1.

Para construir um script usando o Visualizador do Histórico do PowerShell

Clique com o botão direito do mouse no ícone Windows PowerShell, clique em Executar como Administrador e digite dsac.exe para abrir o ADAC.
Clique em Gerenciar, em Adicionar Nós de Navegação, selecione o domínio de destino apropriado na caixa de diálogo Adicionar Nós de Navegação e clique em OK.
Expanda o painel Windows PowerShell History na parte inferior da tela do ADAC.
Selecione o usuário test1.
Clique em Adicionar ao grupo… no painel Tarefas.
Navegue até group1 e clique em OK na caixa de diálogo.
Navegue até o painel Windows PowerShell History e localize o comando que acabou de ser gerado.
Copie o comando e cole-o no editor desejado para construir seu script.

Por exemplo, você pode modificar o comando para adicionar outro usuário ao grupo group1 ou adicionar test1 a outro grupo.

Consulte Também

Advanced AD DS Management Using Active Directory Administrative Center (Level 200)