Dela via

Använda kommandoradsverktygen för Katalogtjänsten för att hantera Active Directory-objekt i Windows Server 2003

Den här artikeln beskriver hur du använder kommandoradsverktygen för Katalogtjänsten för att utföra administrativa uppgifter för Active Directory i Windows Server 2003. Följande uppgifter är uppdelade i aktivitetsgrupper.

Gäller för: Versioner av Windows Server som stöds
Ursprungligt KB-nummer: 322684

Hantera användare

Följande avsnitt innehåller detaljerade steg för att hantera grupper.

Skapa ett nytt användarkonto

  1. Klicka på Start och därefter på Kör.

  2. I rutan Öppna skriver du cmd.

  3. Skriv följande kommando i kommandotolken:

    dsadd user <user_dn> -samid <sam_name>

    Följande värden används i det här kommandot:

    • user_dn anger det unika namnet (även kallat DN) för det användarobjekt som du vill lägga till.
    • sam_name anger namnet på säkerhetskontohanteraren (SAM) som används som det unika SAM-kontonamnet för den här användaren (till exempel Linda).

  4. Ange lösenordet för användarkontot genom att skriva följande kommando, där lösenordet är det lösenord som ska användas för användarkontot:

    dsadd user <user_dn> -pwd password

Kommentar

Om du vill visa den fullständiga syntaxen för det här kommandot och för att få mer information om hur du anger mer information om användarkonton skriver dsadd user /?du i en kommandotolk.

Återställa ett användarlösenord

  1. Klicka på Start och därefter på Kör.

  2. I rutan Öppna skriver du cmd.

  3. Skriv följande kommando i kommandotolken:

    dsmod user <user_dn> -pwd <new_password>

    Det här kommandot använder följande värden:

    • user_dn anger det unika namnet på den användare som lösenordet ska återställas för.
    • new_password anger lösenordet som ska ersätta det aktuella användarlösenordet

  4. Om du vill kräva att användaren ändrar det här lösenordet vid nästa inloggningsprocess skriver du följande kommando:

    dsmod user <user_dn> -mustchpwd {yes|no}

Om ett lösenord inte har tilldelats visas följande inloggningsmeddelande första gången användaren försöker logga in (med ett tomt lösenord):

Du måste ändra ditt lösenord vid första inloggningen

När användaren har ändrat lösenordet fortsätter inloggningsprocessen.

Du måste återställa de tjänster som autentiseras med ett användarkonto om lösenordet för tjänstens användarkonto ändras.

Kommentar

Om du vill visa den fullständiga syntaxen för det här kommandot och för att få mer information om hur du anger mer information om användarkonton skriver dsmod user /?du i en kommandotolk.

Inaktivera eller aktivera ett användarkonto

  1. Klicka på Start och därefter på Kör.

  2. I rutan Öppna skriver du cmd.

  3. Skriv följande kommando i kommandotolken:

    dsmod user <user_dn> -disabled {yes|no}

    Det här kommandot använder följande värden:

    • user_dn anger det unika namnet på användarobjektet som ska inaktiveras eller aktiveras.
    • {Ja|nej} anger om användarkontot är inaktiverat för inloggning (ja) eller inte (nej).

Kommentar

Som en säkerhetsåtgärd kan du i stället för att ta bort användarens konto inaktivera användarkonton för att förhindra att en viss användare loggar in. Om du inaktiverar användarkonton som har vanliga gruppmedlemskap kan du använda inaktiverade användarkonton som kontomallar för att förenkla skapandet av användarkonton.

Ta bort ett användarkonto

  1. Klicka på Start och därefter på Kör.
  2. I rutan Öppna skriver du cmd.
  3. I kommandotolken skriver du dsrm <user_dn> kommandot där user_dn anger det unika namnet på användarobjektet som ska tas bort.

När du har tagit bort ett användarkonto tas alla behörigheter och medlemskap som är associerade med användarkontot bort permanent. Eftersom säkerhetsidentifieraren (SID) för varje konto är unik, förutsätter det nya kontot inte automatiskt behörigheter och medlemskap för det tidigare borttagna kontot om du skapar ett nytt användarkonto som har samma namn som ett tidigare borttaget användarkonto. Om du vill duplicera ett borttaget användarkonto måste du manuellt återskapa alla behörigheter och medlemskap.

Kommentar

Om du vill visa den fullständiga syntaxen för det här kommandot och för att få mer information om hur du anger mer information om användarkonton skriver dsrm /?du i en kommandotolk.

Hantera grupper

Följande avsnitt innehåller detaljerade steg för att hantera grupper.

Skapa en ny grupp

  1. Klicka på Start och därefter på Kör.

  2. I rutan Öppna skriver du cmd.

  3. Skriv följande kommando i kommandotolken:

    dsadd group <group_dn> -samid <sam_name> -secgrp {yes|no} -scope {l|g|u}

    Det här kommandot använder följande värden:

    • group_dn anger det unika namnet på det gruppobjekt som du vill lägga till.
    • sam_name anger SAM-namnet som är det unika SAM-kontonamnet för den här gruppen (till exempel operatorer).
    • {Ja|nej} anger om den grupp som du vill lägga till är en säkerhetsgrupp (ja) eller en distributionsgrupp (nej).
    • {l|g|u} anger omfånget för den grupp som du vill lägga till (domänlokal [l], global [g] eller universell [u]).

Om domänen där du skapar gruppen är inställd på domänens funktionsnivå för Windows 2000 blandat kan du bara välja säkerhetsgrupper med domänlokala omfång eller globala omfång.

Om du vill visa den fullständiga syntaxen för det här kommandot och för att få mer information om hur du anger mer gruppinformation skriver du i en kommandotolk dsadd group /?.

Lägga till en medlem i en grupp

  1. Klicka på Start och därefter på Kör.

  2. I rutan Öppna skriver du cmd.

  3. Skriv följande kommando i kommandotolken:

    dsmod group <group_dn> -addmbr <member_dn>

    Det här kommandot använder följande värden:

    • group_dn anger det unika namnet på det gruppobjekt som du vill lägga till.
    • member_dn anger det unika namnet på det objekt som du vill lägga till i gruppen.

Förutom användare och datorer kan en grupp innehålla kontakter och andra grupper.

Om du vill visa den fullständiga syntaxen för det här kommandot och för att få mer information om hur du anger mer information om användarkonton och grupper skriver du i en kommandotolk dsmod group /?.

Konvertera en grupp till en annan grupptyp

  1. Klicka på Start och därefter på Kör.

  2. I rutan Öppna skriver du cmd.

  3. Skriv följande kommando i kommandotolken:

    dsmod group <group_dn> -secgrp {yes|no}

    Det här kommandot använder följande värden:

    • group_dn anger det unika namnet på gruppobjektet som du vill ändra grupptypen för.
    • {Ja|nej} anger att grupptypen är inställd på säkerhetsgrupp (ja) eller distributionsgrupp (nej).

Om du vill konvertera en grupp måste domänfunktionen vara inställd på Windows 2000 Native eller senare. Du kan inte konvertera grupper när domänfunktionen är inställd på Windows 2000 Mixed.

Om du vill visa den fullständiga syntaxen för det här kommandot skriver du dsmod group /?i en kommandotolk .

Ändra gruppomfång

  1. Klicka på Start och därefter på Kör.

  2. I rutan Öppna skriver du cmd.

  3. Skriv följande kommando i kommandotolken:

    dsmod group <group_dn> -scope {l|g|u}

    Det här kommandot använder följande värden:

    • group_dn anger de unika namnen på gruppobjektet som omfånget ska ändras till.
    • {l|g|u} anger omfånget som gruppen ska anges till (lokal, global eller universell). Om domänen fortfarande är inställd på Windows 2000 mixed stöds inte det universella omfånget. Det går inte heller att konvertera en lokal domängrupp till en global grupp eller tvärtom.

Kommentar

Du kan bara ändra gruppomfattningar när domänens funktionsnivå är inställd på Windows 2000 native eller högre.

Ta bort en grupp

  1. Klicka på Start och därefter på Kör.

  2. I rutan Öppna skriver du cmd.

  3. I kommandotolken skriver du kommandot dsrm <group_dn>.

    Group_dn anger det unika namnet på gruppobjektet som ska tas bort.

Kommentar

Om du tar bort gruppen tas gruppen bort permanent.

Som standard finns lokala grupper som tillhandahålls automatiskt i domänkontrollanter som kör Windows Server 2003, till exempel administratörer och kontoansvariga, i mappen Builtin. Som standard finns vanliga globala grupper, till exempel domänadministratörer och domänanvändare, i mappen Användare. Du kan lägga till eller flytta nya grupper till valfri mapp. Microsoft rekommenderar att du behåller grupper i en organisationsenhetsmapp.

Om du vill visa den fullständiga syntaxen för det här kommandot skriver du dsrm /?i en kommandotolk .

Hitta grupper där en användare är medlem

  1. Klicka på Start och därefter på Kör.

  2. I rutan Öppna skriver du cmd.

  3. Skriv följande kommando i kommandotolken:

    dsget user <user_dn> -memberof

    User_dn anger det unika namnet på det användarobjekt som du vill visa gruppmedlemskap för.

Om du vill visa den fullständiga syntaxen för det här kommandot skriver du dsget user /?i en kommandotolk .

Hantera datorer

Följande avsnitt innehåller detaljerade steg för att hantera datorer.

Skapa ett nytt datorkonto

  1. Klicka på Start och därefter på Kör.

  2. I rutan Öppna skriver du cmd.

  3. Skriv följande kommando i kommandotolken:

    dsadd computer <computer_dn>

    Computer_dn anger det unika namnet på den dator som du vill lägga till. Det unika namnet anger mappplatsen.

Om du vill visa den fullständiga syntaxen för det här kommandot skriver du dsadd computer /?i en kommandotolk .

Om du vill ändra egenskaperna för ett datorkonto använder du dsmod-datorkommandot.

Lägga till ett datorkonto i en grupp

  1. Klicka på Start och därefter på Kör.

  2. I rutan Öppna skriver du cmd.

  3. Skriv följande kommando i kommandotolken:

    dsmod group <group_dn> -addmbr <computer_dn>

    Det här kommandot använder följande värden:

    • group_dn anger det unika namnet på gruppobjektet som du vill lägga till datorobjektet till.
    • computer_dn anger det unika namnet på datorobjektet som ska läggas till i gruppen. Det unika namnet anger mappplatsen.

När du lägger till en dator i en grupp kan du tilldela behörigheter till alla datorkonton i gruppen och sedan filtrera grupprincip inställningar på alla konton i gruppen.

Om du vill visa den fullständiga syntaxen för det här kommandot skriver du dsmod group /?i en kommandotolk .

Återställa ett datorkonto

  1. Klicka på Start och därefter på Kör.

  2. I rutan Öppna skriver du cmd.

  3. Skriv följande kommando i kommandotolken:

    dsmod computer <computer_dn> -reset

    Computer_dn anger de unika namnen på ett eller flera datorobjekt som du vill återställa.

    Kommentar

    När du återställer ett datorkonto bryter du datorns anslutning till domänen. Du måste återansluta datorkontot till domändatorkontot när du har återställt det.

Om du vill visa den fullständiga syntaxen för det här kommandot skriver du dsmod-datorn /? i en kommandotolk. .

Inaktivera eller aktivera ett datorkonto

  1. Klicka på Start och därefter på Kör.

  2. I rutan Öppna skriver du cmd.

  3. Skriv följande kommando i kommandotolken:

    dsmod computer <computer_dn> -disabled {yes|no}

    Det här kommandot använder följande värden:

    • computer_dn anger det unika namnet på det datorobjekt som du vill inaktivera eller aktivera.
    • {Ja|nej} anger om datorn är inaktiverad för inloggning (ja) eller inte (nej).

När du inaktiverar ett datorkonto bryter du datorns anslutning till domänen och datorn kan inte autentisera till domänen.

Om du vill visa den fullständiga syntaxen för det här kommandot skriver du dsmod computer /?i en kommandotolk .

Så här hanterar du organisationsenheter

Följande avsnitt innehåller detaljerade steg för att hantera organisationsenheter.

Skapa en ny organisationsenhet

  1. Klicka på Start och därefter på Kör.

  2. I rutan Öppna skriver du cmd.

  3. Skriv följande kommando i kommandotolken:

    dsadd ou <organizational_unit_dn>

    Organizational_unit_dn anger det unika namnet på den organisationsenhet som ska läggas till.

Om du vill visa den fullständiga syntaxen för det här kommandot skriver du dsadd ou /?i en kommandotolk .

Kommentar

Om du vill ändra egenskaperna för en organisationsenhet använder du dsmod ou kommandot .

Ta bort en organisationsenhet

  1. Klicka på Start och därefter på Kör.

  2. I rutan Öppna skriver du cmd.

  3. I kommandotolken skriver du kommandot dsrm <organizational_unit_dn>.

    Organizational_unit_dn anger det unika namnet på den organisationsenhet som ska tas bort.

Om du vill visa den fullständiga syntaxen för det här kommandot skriver du dsrm /?i en kommandotolk .

Kommentar

Om du tar bort en organisationsenhet tas alla objekt som den innehåller bort.

Så här söker du i Active Directory

Följande avsnitt innehåller detaljerade steg för att söka i Active Directory.

Hitta ett användarkonto

  1. Klicka på Start och därefter på Kör.

  2. I rutan Öppna skriver du cmd.

  3. I kommandotolken skriver du kommandot dsquery user <parameter>.

    Parametern anger vilken parameter som ska användas. En lista över parametrar finns i onlinehjälpen för d-kommandotsquery user .

Om du vill visa den fullständiga syntaxen för det här kommandot skriver du dsquery user /?i en kommandotolk .

Hitta en kontakt

  1. Klicka på Start och därefter på Kör.

  2. I rutan Öppna skriver du cmd.

  3. I kommandotolken skriver du kommandot dsquery contact <parameter>.

    Parametern anger vilken parameter som ska användas. Listan över parametrar finns i onlinehjälpen för dsquery-användarkommandot.

Sök efter en grupp

  1. Klicka på Start och därefter på Kör.

  2. I rutan Öppna skriver du cmd.

  3. I kommandotolken skriver du kommandot dsquery group <parameter>.

    Parametern anger vilken parameter som ska användas. Listan över parametrar finns i onlinehjälpen för dsquery-användarkommandot.

Som standard finns lokala grupper som tillhandahålls automatiskt i domänkontrollanter som kör Windows Server 2003, till exempel administratörer och kontoansvariga, i mappen Builtin. Som standard finns vanliga globala grupper, till exempel domänadministratörer och domänanvändare, i mappen Användare. Du kan lägga till eller flytta nya grupper till valfri mapp. Microsoft rekommenderar att du behåller grupper i en organisationsenhetsmapp.

Hitta ett datorkonto

  1. Klicka på Start och därefter på Kör.

  2. I rutan Öppna skriver du cmd.

  3. I kommandotolken skriver du kommandot dsquery computer -name <name>.

    Namnet anger datornamnet som kommandot söker efter. Det här kommandot söker efter datorer vars namnattribut (värdet för CN-attributet) matchar namnet.

Om du vill visa den fullständiga syntaxen för det här kommandot skriver du dsquery computer /?i en kommandotolk .

Hitta en organisationsenhet

  1. Klicka på Start och därefter på Kör.

  2. I rutan Öppna skriver du cmd.

  3. I kommandotolken skriver du kommandot dsquery ou <parameter>.

    Parametern anger vilken parameter som ska användas. En lista över parametrar finns i onlinehjälpen för dsquery ou.

Om du vill visa den fullständiga syntaxen för det här kommandot skriver du dsquery ou /?i en kommandotolk .

Hitta en domänkontrollant

  1. Klicka på Start och därefter på Kör.

  2. I rutan Öppna skriver du cmd.

  3. I kommandotolken skriver du kommandot dsquery server <parameter>.

    Parametern anger vilken parameter som ska användas. Det finns flera attribut för en server som du kan söka efter med hjälp av det här kommandot. En lista över parametrar finns i onlinehjälpen för dsquery server.

  1. Klicka på Start och därefter på Kör.

  2. I rutan Öppna skriver du cmd.

  3. I kommandotolken skriver du kommandot dsquery * <parameter>.

    Parametern anger vilken parameter som ska användas. Det finns flera attribut som du kan söka efter med hjälp av det här kommandot. Mer information om LDAP-sökningar finns i Windows Server 2003 Resource Kit.

Referenser

Om du vill ha mer information om kommandoradsverktygen för Directory Services i Windows Server 2003 klickar du på Start, klickar på Hjälp och supportcenter och skriver sedan kommandoradsverktyg för katalogtjänsten i sökrutan.