共用方式為

使用目錄服務命令行工具來管理 Windows Server 2003 中的 Active Directory 物件

本文說明如何使用目錄服務命令行工具,在 Windows Server 2003 中執行 Active Directory 的系統管理工作。 下列工作會細分為工作組。

適用於: 支援的 Windows Server 版本
原始 KB 編號: 322684

如何管理使用者

下列各節提供管理群組的詳細步驟。

建立新的用戶帳戶

  1. 按一下 [開始],再按一下 [執行]

  2. 在 [開啟] 方塊中輸入 cmd.

  3. 在命令提示字元中,輸入下列命令:

    dsadd user <user_dn> -samid <sam_name>

    這個指令中會使用下列值:

    • user_dn指定您要新增之用戶對象的辨別名稱(也稱為 DN)。
    • sam_name指定安全性帳戶管理員 (SAM) 名稱,作為此使用者的唯一 SAM 帳戶名稱(例如 Linda)。

  4. 若要指定使用者帳戶密碼,請輸入下列命令,其中 password 是要用於使用者帳戶的密碼:

    dsadd user <user_dn> -pwd password

注意

若要檢視此命令的完整語法,並取得輸入更多使用者帳戶資訊的詳細資訊,請在命令提示字元中輸入 dsadd user /?

重設使用者密碼

  1. 按一下 [開始],再按一下 [執行]

  2. 在 [開啟] 方塊中輸入 cmd.

  3. 在命令提示字元中,輸入下列命令:

    dsmod user <user_dn> -pwd <new_password>

    此指令會使用下列值:

    • user_dn指定將重設密碼之用戶的辨別名稱。
    • new_password指定將取代目前用戶密碼的密碼

  4. 如果您要要求使用者在下一個登入程式中變更此密碼,請輸入下列命令:

    dsmod user <user_dn> -mustchpwd {yes|no}

如果未指派密碼,使用者第一次嘗試登入時(使用空白密碼),就會顯示下列登入訊息:

您必須在第一次登入時變更密碼

使用者變更密碼之後,登入程式會繼續進行。

如果服務使用者帳戶的密碼已變更,您必須重設以使用者帳戶驗證的服務。

注意

若要檢視此命令的完整語法,並取得輸入更多使用者帳戶資訊的詳細資訊,請在命令提示字元中輸入 dsmod user /?

停用或啟用用戶帳戶

  1. 按一下 [開始],再按一下 [執行]

  2. 在 [開啟] 方塊中輸入 cmd.

  3. 在命令提示字元中,輸入下列命令:

    dsmod user <user_dn> -disabled {yes|no}

    此指令會使用下列值:

    • user_dn指定要停用或啟用之用戶對象的辨別名稱。
    • {是|否} 指定是否停用用戶帳戶進行登入(是)或否(否)。

注意

身為安全性措施,您可以停用用戶帳戶以防止特定使用者登入,而不是刪除該用戶帳戶。 如果您停用具有一般群組成員資格的用戶帳戶,您可以使用停用的使用者帳戶作為帳戶範本來簡化用戶帳戶建立。

刪除用戶帳戶

  1. 按一下 [開始],再按一下 [執行]
  2. 在 [開啟] 方塊中輸入 cmd.
  3. 在命令提示字元中 dsrm <user_dn> ,輸入 命令,其中 user_dn 指定要刪除之用戶對象的辨別名稱。

刪除使用者帳戶之後,與該使用者帳戶相關聯的所有許可權和成員資格都會永久刪除。 因為每個帳戶的安全性標識碼 (SID) 是唯一的,如果您建立與先前刪除之用戶帳戶同名的新用戶帳戶,新帳戶不會自動假設先前刪除帳戶的許可權和成員資格。 若要複製已刪除的用戶帳戶,您必須手動重新建立所有許可權和成員資格。

注意

若要檢視此命令的完整語法,並取得輸入更多使用者帳戶資訊的詳細資訊,請在命令提示字元中輸入 dsrm /?

如何管理群組

下列各節提供管理群組的詳細步驟。

建立新群組

  1. 按一下 [開始],再按一下 [執行]

  2. 在 [開啟] 方塊中輸入 cmd.

  3. 在命令提示字元中,輸入下列命令:

    dsadd group <group_dn> -samid <sam_name> -secgrp {yes|no} -scope {l|g|u}

    此指令會使用下列值:

    • group_dn指定您要新增之群組對象的辨別名稱。
    • sam_name指定此群組唯一 SAM 帳戶名稱的 SAM 名稱(例如運算元)。
    • {是|否} 指定您要新增的群組是安全組(是)還是通訊群組(否)。
    • {l|g|u} 指定您要新增的群組範圍(網域本機 [l]、全域 [g]或通用 [u])。

如果您要建立群組的網域設定為 Windows 2000 混合的網域功能等級,您只能選取具有網域本機範圍或全域範圍的安全組。

若要檢視此指令的完整語法,並取得輸入更多群組資訊的詳細資訊,請在命令提示字元中輸入 dsadd group /?

將成員新增至群組

  1. 按一下 [開始],再按一下 [執行]

  2. 在 [開啟] 方塊中輸入 cmd.

  3. 在命令提示字元中,輸入下列命令:

    dsmod group <group_dn> -addmbr <member_dn>

    此指令會使用下列值:

    • group_dn指定您要新增之群組對象的辨別名稱。
    • member_dn指定您要新增至群組之物件的辨別名稱。

除了使用者和計算機之外,群組還可以包含聯繫人和其他群組。

若要檢視此命令的完整語法,並取得輸入更多使用者帳戶和群組資訊的詳細資訊,請在命令提示字元中輸入 dsmod group /?

將群組轉換成另一個群組類型

  1. 按一下 [開始],再按一下 [執行]

  2. 在 [開啟] 方塊中輸入 cmd.

  3. 在命令提示字元中,輸入下列命令:

    dsmod group <group_dn> -secgrp {yes|no}

    此指令會使用下列值:

    • group_dn指定您要變更群組類型的群組對象的辨別名稱。
    • {是|否} 指定群組類型設定為安全組 (是) 或通訊群組 (否)。

若要轉換群組,網域功能必須設定為 Windows 2000 Native 或更新版本。 當網域功能設定為 Windows 2000 Mixed 時,您無法轉換群組。

若要檢視此指令的完整語法,請在命令提示字元中輸入 dsmod group /?

變更群組範圍

  1. 按一下 [開始],再按一下 [執行]

  2. 在 [開啟] 方塊中輸入 cmd.

  3. 在命令提示字元中,輸入下列命令:

    dsmod group <group_dn> -scope {l|g|u}

    此指令會使用下列值:

    • group_dn會指定要變更範圍之群組對象的辨別名稱。
    • {l|g|u} 指定要將群組設定為的範圍(本機、全域或通用)。 如果網域仍設定為 Windows 2000 混合,則不支援通用範圍。 此外,無法將網域本地組轉換成全域群組,反之亦然。

注意

當網域功能等級設定為 Windows 2000 原生或更新版本時,您只能變更群組範圍。

刪除群組

  1. 按一下 [開始],再按一下 [執行]

  2. 在 [開啟] 方塊中輸入 cmd.

  3. 在命令提示字元中,輸入 命令 dsrm <group_dn>

    group_dn指定要刪除之群組對象的辨別名稱。

注意

如果您刪除群組,則會永久移除群組。

根據預設,在執行 Windows Server 2003 的域控制器中自動提供的本機群組,例如系統管理員和帳戶操作員,位於 Builtin 資料夾中。 根據預設,通用全域群組,例如 Domain Admins 和 Domain Users,位於 [使用者] 資料夾中。 您可以將新群組新增或移至任何資料夾。 Microsoft建議您將群組保留在組織單位資料夾中。

若要檢視此指令的完整語法,請在命令提示字元中輸入 dsrm /?

尋找用戶所屬的群組

  1. 按一下 [開始],再按一下 [執行]

  2. 在 [開啟] 方塊中輸入 cmd.

  3. 在命令提示字元中,輸入下列命令:

    dsget user <user_dn> -memberof

    user_dn會指定要顯示群組成員資格的用戶對象的辨別名稱。

若要檢視此指令的完整語法,請在命令提示字元中輸入 dsget user /?

如何管理計算機

下列各節提供管理計算機的詳細步驟。

建立新的電腦帳戶

  1. 按一下 [開始],再按一下 [執行]

  2. 在 [開啟] 方塊中輸入 cmd.

  3. 在命令提示字元中,輸入下列命令:

    dsadd computer <computer_dn>

    computer_dn會指定您要新增之計算機的辨別名稱。 辨別名稱表示資料夾位置。

若要檢視此指令的完整語法,請在命令提示字元中輸入 dsadd computer /?

若要修改電腦帳戶的屬性,請使用dsmod電腦命令。

將電腦帳戶新增至群組

  1. 按一下 [開始],再按一下 [執行]

  2. 在 [開啟] 方塊中輸入 cmd.

  3. 在命令提示字元中,輸入下列命令:

    dsmod group <group_dn> -addmbr <computer_dn>

    此指令會使用下列值:

    • group_dn指定您要新增計算機物件的群組對象的辨別名稱。
    • computer_dn指定要加入群組之計算機對象的辨別名稱。 辨別名稱表示資料夾位置。

當您將電腦新增至群組時,您可以將許可權指派給該群組中的所有計算機帳戶,然後篩選該群組中所有帳戶的組策略設定。

若要檢視此指令的完整語法,請在命令提示字元中輸入 dsmod group /?

重設電腦帳戶

  1. 按一下 [開始],再按一下 [執行]

  2. 在 [開啟] 方塊中輸入 cmd.

  3. 在命令提示字元中,輸入下列命令:

    dsmod computer <computer_dn> -reset

    computer_dn會指定您要重設之一或多個計算機對象的辨別名稱。

    注意

    當您重設計算機帳戶時,會中斷計算機與網域的連線。 重設電腦帳戶之後,您必須將計算機帳戶重新加入網域計算機帳戶。

若要檢視此命令的完整語法,請在命令提示字元中輸入 dsmod 計算機 /? .

停用或啟用電腦帳戶

  1. 按一下 [開始],再按一下 [執行]

  2. 在 [開啟] 方塊中輸入 cmd.

  3. 在命令提示字元中,輸入下列命令:

    dsmod computer <computer_dn> -disabled {yes|no}

    此指令會使用下列值:

    • computer_dn指定您要停用或啟用之計算機對象的辨別名稱。
    • {是|否} 指定計算機是否停用登入(是)或否(否)。

當您停用電腦帳戶時,您會中斷電腦與網域的連線,而且計算機無法向網域進行驗證。

若要檢視此指令的完整語法,請在命令提示字元中輸入 dsmod computer /?

如何管理組織單位

下列各節提供管理組織單位的詳細步驟。

建立新的組織單位

  1. 按一下 [開始],再按一下 [執行]

  2. 在 [開啟] 方塊中輸入 cmd.

  3. 在命令提示字元中,輸入下列命令:

    dsadd ou <organizational_unit_dn>

    organizational_unit_dn會指定要新增之組織單位的辨別名稱。

若要檢視此指令的完整語法,請在命令提示字元中輸入 dsadd ou /?

注意

若要修改組織單位的屬性,請使用 dsmod ou 命令。

刪除組織單位

  1. 按一下 [開始],再按一下 [執行]

  2. 在 [開啟] 方塊中輸入 cmd.

  3. 在命令提示字元中,輸入 命令 dsrm <organizational_unit_dn>

    organizational_unit_dn指定要刪除之組織單位的辨別名稱。

若要檢視此指令的完整語法,請在命令提示字元中輸入 dsrm /?

注意

如果您刪除組織單位,則會刪除它所包含的所有物件。

如何搜尋 Active Directory

下列各節提供搜尋 Active Directory 的詳細步驟。

尋找用戶帳戶

  1. 按一下 [開始],再按一下 [執行]

  2. 在 [開啟] 方塊中輸入 cmd.

  3. 在命令提示字元中,輸入 命令 dsquery user <parameter>

    參數會指定要使用的參數。 如需參數清單,請參閱 dsquery user 命令的在線說明。

若要檢視此指令的完整語法,請在命令提示字元中輸入 dsquery user /?

尋找連絡人

  1. 按一下 [開始],再按一下 [執行]

  2. 在 [開啟] 方塊中輸入 cmd.

  3. 在命令提示字元中,輸入 命令 dsquery contact <parameter>

    參數會指定要使用的參數。 如需參數清單,請參閱dsquery使用者命令的線上說明。

尋找群組

  1. 按一下 [開始],再按一下 [執行]

  2. 在 [開啟] 方塊中輸入 cmd.

  3. 在命令提示字元中,輸入 命令 dsquery group <parameter>

    參數會指定要使用的參數。 如需參數清單,請參閱dsquery使用者命令的線上說明。

根據預設,在執行 Windows Server 2003 的域控制器中自動提供的本機群組,例如系統管理員和帳戶操作員,位於 Builtin 資料夾中。 根據預設,通用全域群組,例如 Domain Admins 和 Domain Users,位於 [使用者] 資料夾中。 您可以將新群組新增或移至任何資料夾。 Microsoft建議您將群組保留在組織單位資料夾中。

尋找電腦帳戶

  1. 按一下 [開始],再按一下 [執行]

  2. 在 [開啟] 方塊中輸入 cmd.

  3. 在命令提示字元中,輸入 命令 dsquery computer -name <name>

    名稱會指定命令所搜尋的計算機名稱。 此命令會搜尋名稱屬性 (CN 屬性的值) 相符 名稱的電腦。

若要檢視此指令的完整語法,請在命令提示字元中輸入 dsquery computer /?

尋找組織單位

  1. 按一下 [開始],再按一下 [執行]

  2. 在 [開啟] 方塊中輸入 cmd.

  3. 在命令提示字元中,輸入 命令 dsquery ou <parameter>

    參數會指定要使用的參數。 如需參數清單,請參閱 的在線說明 dsquery ou

若要檢視此指令的完整語法,請在命令提示字元中輸入 dsquery ou /?

尋找域控制器

  1. 按一下 [開始],再按一下 [執行]

  2. 在 [開啟] 方塊中輸入 cmd.

  3. 在命令提示字元中,輸入 命令 dsquery server <parameter>

    參數會指定要使用的參數。 您可以使用此命令來搜尋伺服器的數個屬性。 如需參數清單,請參閱在線說明 dsquery server.

  1. 按一下 [開始],再按一下 [執行]

  2. 在 [開啟] 方塊中輸入 cmd.

  3. 在命令提示字元中,輸入 命令 dsquery * <parameter>

    參數會指定要使用的參數。 您可以使用此命令來搜尋數個屬性。 如需LDAP搜尋的詳細資訊,請參閱 Windows Server 2003 資源套件。

參考資料

如需 Windows Server 2003 中目錄服務命令行工具的詳細資訊,請按兩下 [開始],按兩下 [說明及支援中心],然後在 [搜尋] 方塊中輸入目錄服務命令行工具。