AD常用命令文档格式.docx
- 文档编号:664184
- 上传时间:2023-04-29
- 格式:DOCX
- 页数:24
- 大小:26.93KB
AD常用命令文档格式.docx
《AD常用命令文档格式.docx》由会员分享,可在线阅读,更多相关《AD常用命令文档格式.docx(24页珍藏版)》请在冰点文库上搜索。
要在域中的salesOU中建立一个名为client-2的计算机帐户,可以执行以下命令:
dsaddcomputercn=client-2,ou=sales,dc=yjx,dc=com
要在域中的salesOU中建立一个名为client-3的计算机帐户,并设置计算机账户的描述信息为“测试工作站”,可以执行以下命令:
dsaddcomputercn=client-3,ou=sales,dc=yjx,dc=com-desc测试工作站
4、创建联系人
dsaddcontact<
ContactDN>
[-fn<
FirstName>
][-mi<
Initial>
][-ln<
LastName>
][-display<
DisplayName>
][-desc<
Description>
]
要在域中的salesOU中建立一个名为杨建新的联系人,执行以下命令:
dsaddcontactcn=杨建新,ou=sales,dc=yjx,dc=com-fnjianxin-lnyang-display杨建新
dsmod命令(修改活动目录对象):
用于修改AD对象的属性,可以对OU、用户、组、联系人等对象进行修改。
dsmoduser/?
描述:
修改目录中现有的用户。
语法:
dsmoduser<
UserDN...>
[-upn<
UPN>
][-fn<
[-mi<
[-fnp<
firstnamephonetic>
][-lnp<
lastnamephonetic>
[-displayp<
displaynamephonetic>
[-empid<
EmployeeID>
][-pwd{<
|*}]
[-desc<
][-office<
Office>
][-tel<
Phone#>
[-email<
Email>
][-hometel<
HomePhone#>
][-pager<
Pager#>
[-mobile<
CellPhone#>
][-fax<
Fax#>
][-iptel<
IPPhone#>
[-webpg<
WebPage>
][-title<
Title>
][-dept<
Department>
[-company<
Company>
][-mgr<
Manager>
][-hmdir<
HomeDir>
[-hmdrv<
DriveLtr>
:
][-profile<
ProfilePath>
[-loscr<
ScriptPath>
][-mustchpwd{yes|no}]
[-canchpwd{yes|no}][-reversiblepwd{yes|no}]
[-pwdneverexpires{yes|no}]
[-acctexpires<
NumDays>
][-disabled{yes|no}]
[{-s<
Server>
|-d<
Domain>
}][-u<
UserName>
[-p{<
|*}][-c][-q][{-uc|-uco|-uci}]]
几个具体用法如下:
重置用户帐户的密码
dsmoduser
UserDN-pwd新密码[-mustchpwd{yes|no}]下次登录时修改此密码
启用或禁用账户
dsmoduserUserDN可分辨名称-disabled{yes|no}yes禁用no启用
修改计算机帐户属性的格式为:
dsmodcomputerComputerDN...[-descDescription][-locLocation][-disabled{yes|no}][-reset][{-sServer|-dDomain}][-uUserName][-p{Password|*}][-c][-q][{-uc|-uco|-uci}]
重设计算机帐户
dsmodcomputerComputerDN-reset
启用或禁用计算机帐户
dsmodcomputerComputerDN可分辨名称-disabled{yes|no}yes禁止登录no允许登录
将计算机帐户添加到组中
dsmodgroupGroupDN-addmbrComputerDN
要创建一个sales全局组,并将用户mike加入到该组中,可以执行以下命令:
dsaddgroupcn=sales,ou=sales,dc=yjx,dc=com-desc销售部
dsadd成功:
cn=sales,ou=sales,dc=yjx,dc=com
dsmodgroupcn=sales,ou=sales,dc=yjx,dc=com-addmbrcn=mike,ou=sales,dc=yjx,dc=com
dsmod成功:
dsget命令(查看活动目录对象的属性):
用于查看AD对象的各个属性,基本用法如下:
l
dsgetcomputer-显示目录中计算机的属性。
dsgetcontact-显示目录中联系人的属性。
dsgetsubnet-显示目录中子网的属性。
dsgetgroup-显示目录中组的属性。
dsgetou-显示目录中组织单位的属性。
dsgetserver-显示目录中服务器的属性。
dsgetsite-显示目录中站点的属性。
dsgetuser-显示目录中用户的属性。
dsgetquota-显示目录中配额的属性。
dsgetpartition-显示目录中分区的属性。
以下命令分别用来查看用户的基本信息、SID、显示名称以及所属的组:
dsgetusercn=mike,ou=sales,dc=yjx,dc=com
dn
desc
samid
cn=mike,ou=sales,dc=yjx,dc=com
mike
dsget成功
dsgetusercn=mike,ou=sales,dc=yjx,dc=com-sid
sid
S-1-5-21-91321346-2733940933-1992975926-1120
dsgetusercn=mike,ou=sales,dc=yjx,dc=com-display
display
mikeyang
dsgetusercn=mike,ou=sales,dc=yjx,dc=com-memberof
"
CN=sales,OU=sales,DC=yjx,DC=com"
CN=DomainUsers,CN=Users,DC=yjx,DC=com"
其他命令(dsquery、dsmove、dsrm)
其他的活动目录操作命令还包括dsquery、dsmove、dsrm等,分别用于活动目录对象的查询、移动和删除。
要查找salesOU中的所有用户,可以执行以下命令:
dsqueryuserou=sales,dc=yjx,dc=com-name*
CN=mike,OU=sales,DC=yjx,DC=com"
CN=user1,OU=sales,DC=yjx,DC=com"
CN=user2,OU=sales,DC=yjx,DC=com"
要查找salesOU中已经3个星期不活动的用户,可以执行以下命令:
dsqueryuserou=sales,dc=yjx,dc=com-inactive3
要将mike用户移动到financeOU中,可以执行以下命令:
dsmovecn=mike,ou=sales,dc=yjx,dc=com-newparentou=finance,dc=yjx,dc=com
dsmove成功:
cn=mike,ou=sales,dc=yjx,dc=com
要删除salesOU中的用户user1,可以执行以下命令:
dsrmcn=user1,ou=sales,dc=yjx,dc=com
您确认要删除cn=user1,ou=sales,dc=yjx,dc=com吗(Y/N)?
y
dsrm成功:
cn=user1,ou=sales,dc=yjx,dc=com
三、批量导入导出命令(csvde、ldifde)
使用csvde和ldifde命令可以批量导入活动目录对象,也可以将活动目录的内容导出,从而节省创建活动目录对象的时间。
其中csvde命令使用.csv文件格式,即使用逗号分隔符的文本文档。
csvde命令用来添加AD用户帐号(或其他对象),但不能更改、删除对象,其的基本语法:
csvde[-i][-f
FileName][-s
ServerName][-c
String1
String2][-v][-j
Path][-t
PortNumber][-d
BaseDN][-r
LDAPFilter][-p
Scope][-l
LDAPAttributeList][-o
LDAPAttributeList][-g][-m][-n][-k][-a
UserDistinguishedName
Password][-b
UserName
Domain
Password]
常用参数
-i:
指定导入模式。
如果未指定导入模式,则默认模式为导出。
-fFileName
标识导入或导出文件名。
-sServerName
指定域控制器执行导入或导出操作。
-v
设置详细模式。
-jPath
设置日志文件位置。
默认路径为当前路径。
-dBaseDN
为数据导出设置搜索基础的可分辨名称。
-k
在导入操作期间忽略错误并继续处理。
以下是已忽略错误的完整列表:
对象已存在。
约束冲突。
属性或值已存在。
-aUserDistinguishedNamePassword
将该命令设置成使用提供的UserDistinguishedName和Password来运行。
默认情况下,将使用当前登录到网络的用户的凭据运行该命令。
-bUserNameDomainPassword
将该命令设置为作为UserNameDomainPassword运行。
例如,要导出salesOU中的对象,并指定日志路径为c:
\,可以执行以下命令:
csvde-fc:
\sales.csv-dou=sales,dc=yjx,dc=com-jc:
\
连接到“(null)”
用SSPI作为当前用户登录
将目录导出到文件c:
\sales.csv
搜索项目...
写出项目
.........
导出完毕。
后续处理正在进行...
导出了9个项目
命令已成功完成
导出结果如下:
从图中可以了解到该csv文件的格式,第一行为标题行,列出了对象的各个属性名称,从第二行开始位各个对象的属性值,属性值一定要与标题行中的属性名称对应。
如果要使用csvde命令批量建立几个用户:
hellen、linda、ruthy,可以用记事本程序编写内容如下所示:
DN,objectClass,sAMAccountName,displayName
CN=HELLEN,OU=SALES,DC=yjx,DC=com"
USER,HELLEN,恩伦
CN=LINDA,OU=SALES,DC=yjx,DC=com"
USER,LINDA,林达
CN=RUTHY,OU=SALES,DC=yjx,DC=com"
USER,RUTHY,鲁西
然后运行以下命令:
csvde-i-fc:
\sales.csv-jc:
\-k
从“c:
\sales.csv”文件导入目录
加载条目....
成功地修改了3个条目。
导入后的用户帐户的是禁用状态,由于csvde导入方式建立用户帐户无法为用户设置密码属性,而不设置密码的话则会违反密码复杂性策略,因此无法将用户状态设置为启用。
ldifde命令可以完成AD对象的导入导出,增加、删除,并且提供更多的功能。
但是ldifde命令使用的文本文件格式与csvde有所不同。
其基本格式为:
ldifde[-i][-f
Password][-?
其常用选项的功能为:
-i
打开Import模式(默认为Export)
-ffilename
输入或输出文件名
-sservername
要绑定到的服务器名称(默认为登录域的DC)
-cFromDNToDN
从FromDN到ToDN发生的取代
-v
打开Verbose模式
-j
日志文件的位置
-t
端口号(默认为389)
-u
使用Unicode格式
-?
帮助
例如要在salesOU中建立三个用户帐户:
user1、user2、user3,需要先建立一个文本文件。
我们在c:
\下建立文件users.txt,内容如下:
dn:
CN=user1,OU=Sales,DC=yjx,DC=com
changetype:
add
objectclass:
user
samaccountName:
user1
displayName:
CN=user2,OU=Sales,DC=yjx,DC=com
user2
CN=user3,OU=Sales,DC=yjx,DC=com
user3
文本文件建立完成后,执行命令如下:
ldifde-i-fc:
\users.txt-k-jc:
连接到“”
\users.txt”文件导入目录
四、活动目录维护工具(ntdsutil)
活动目录数据库文件组成
在对活动目录数据进行维护之前,先复习一下活动目录数据库文件的组成。
活动目录创建时默认的数据库及事务日志的存放路径是C:
\Windows\NTDS,我们打开域控制器的资源管理器,定位到C:
\Windows\NTDS目录下,文件列表如下图所示。
其中的NTDS.DIT是活动目录的数据库文件,EDB.LOG是事务日志文件,事务日志文件记录了数据库内容的变更,非常重要。
默认的事务日志文件大小只有10M,如果事务日志文件已经记录满了,系统就会自动地生成edb00001.log用以继续存储事务日志,如果edb00001.log也存满了,就会接下来生成edb00002.log,以此类推。
顺便提一下,在生产环境下,我们应该把数据库文件和事务文件分开存储,这样既可以提高性能,也可以增加数据安全性。
EDB.CHK是事务日志的检查点文件,记录了硬盘上的活动目录和内存中活动目录在内容上的差异,一般此文件用于活动目录的初始化或还原。
Edbres00001.jrs和Edbres00002.jrs是系统保留的事务日志文件,这两个文件一共占用了20M空间,主要目的就是为了给活动目录的事务日志预留20M空间,避免当硬盘空间用完后无法正常关机。
Ntdsutil命令基本用法
ntdsutil是一个用于活动目录数据库维护的交互式工具,可以完成活动目录数据库文件的压缩、移动,授权还原,操作主机角色的转移和占用以及恢复目录服务还原模式密码等。
在WindowsServer2008中,还可以用来制作活动目录的安装媒体(存储活动目录数据库内容,可以复制到U盘、CD、DVD等媒介,用于在其他服务器上安装额外域控)。
关于操作主机角色的操作以及活动目录的授权还原,教材已经有详细描述,此处不再赘述。
在命令行界面中输入ntdsutil命令,可以进入该工具的交互式操作界面。
输入?
可以获取该工具的帮助信息,如下所示:
ntdsutil
ntdsutil:
?
?
-显示这个帮助信息
ActivateInstance%s
-设置“NTDS”或特定的ADLDS实例
作为活动实例。
Authoritativerestore
-授权还原DIT数据库
ChangeServiceAccount%s1%s2-将ADDS/LDS服务帐户更改为
用户名为%s1,密码为%s2。
使用“NULL”表示空密码,*表示
从控制台输入密码。
ConfigurableSettings
-管理可配置的设置
DSBehavior
-查看和修改ADDS/LDS行为
Files
-管理ADDS/LDS数据库文件
GroupMembershipuation
-评估给定用户或
组的令牌中的SID。
Help
IFM
-IFM媒体创建
LDAPpolicies
-管理LDAP协议策略
LDAPPort%d
-为ADLDS实例配置LDAP端口。
ListInstances
-列出该计算机上安装的
所有ADLDS实例。
LocalRoles
-本地RODC角色管理
Metadatacleanup
-清理不使用的服务器的对象
Partitionmanagement
-管理目录分区
Popupsoff
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- AD 常用命令