Управление Active Directory из командной строки
Администрирование Active Directory
vsit, Friday 08 June 2007 - 00:00:00
[newpage=Оглавление]
Управление Active Directory из командной строки
Для управления Active Directory можно использовать следующие средства командной строки.
Далее мы рассмотрим каждую из команд в отдельности
Статья взята с сайта MICROSOFT
[newpage=CSVDE]
CSVDE
Csvde
Импорт и экспорт данных из Active Directory с помощью файлов, хранящих данные в формате CSV (comma-separated value). Кроме того, возможна поддержка пакетных операций на основе файлового стандарта CSV.
Синтаксис
Csvde [-i] [-f имя_файла] [-s имя_сервера] [-c строка1 строка2] [-v] [-j путь] [-t номер_порта] [-d составное_имя_базы] [-r фильтр_LDAP] [-p область] [-l список_атрибутов_LDAP] [-o список_атрибутов_LDAP] [-g] [-m] [-n] [-k] [-a различимое_имя_пользователя пароль] [-b имя_пользователя домен пароль]
Параметры
-i
Определяет режим работы программы. Если параметр не определен, по умолчанию программа работает в режиме экспорта.
-f имя_файла
Определяет имя файла для импорта или экспорта.
-s имя_сервера
Определяет контроллер домена, выполняющий операцию импорта или экспорта.
-c строка1 строка2
Заменяет все встречающиеся значения строка1 на строка2. Обычно используется в случае, когда производится импорт данных из одного домена в другой, и при этом необходимо заменить различающееся имя домена, производящего экспорт (строка1), именем импортирующего домена (строка2).
-v
Включает режим вывода дополнительной информации.
-j путь
Задает размещение файла журнала. По умолчанию используется текущий путь.
-t номер_порта
Определяет номер порта LDAP. По умолчанию используется порт LDAP 389. Портом глобального каталога является 3268.
-d составное_имя_базы
Задает составное имя базы поиска для экспорта данных.
-r фильтр_LDAP
Создает фильтр поиска LDAP для экспорта данных.
-p область
Задает область поиска. Может принимать значения: Base, OneLevel или SubTree.
-l список_атрибутов_LDAP
Задает список атрибутов, возвращаемых в результатах выборки экспорта. Если данный параметр пропущен, возвращаются все атрибуты.
-o список_атрибутов_LDAP
Задает список атрибутов, исключаемых из результатов выборки экспорта. Обычно этот параметр используется при экспорте объектов из Active Directory с последующим импортом в другой LDAP-совместимый каталог. Если какие-либо атрибуты не поддерживаются другим каталогом, их можно исключить из набора результатов с помощью данного параметра.
-g
Исключает постраничные поиски.
-m
Исключает атрибуты, применяемые только к объектам Active Directory, таким как ObjectGUID, objectSID, pwdLastSet и samAccountType.
-n
Исключает экспорт двоичных значений.
-k
Задает игнорирование ошибок во время выполнения импорта и продолжение обработки. Игнорируемыми ошибками являются следующие: «Объект уже существует», «Нарушение ограничения» и «Атрибут или значение уже существует».
-a составное_имя_пользователя пароль
Задает выполнение команды с использованием указанных значений составное_имя_пользователя и пароль. По умолчанию команда выполняется с использованием учетных данных, с которыми пользователь вошел в сеть.
-b имя_пользователя домен пароль
Определяет команду, выполняемую от имени имя_пользователя домен пароль. По умолчанию команда выполняется с использованием учетных данных, с которыми пользователь вошел в сеть.
-?
Отображает меню команд.
Примечания
[newpage=Dsadd]
Dsadd
Добавляет конкретные типы объектов в каталог. Команды dsadd включают:
dsadd computer
Добавляет один компьютер в каталог.
Синтаксис
Параметры
различающееся_имя_компьютера
Обязательный параметр. Задает различающееся имя компьютера, который необходимо добавить. Если различающееся имя не указано, оно будет взято из стандартного устройства ввода (stdin).
-samid имя_SAM
Задает использование для компьютера имени SAM как уникального имени учетной записи SAM (например, TESTPC2$). Если этот параметр не указан, имя учетной записи SAM будет задано из значения атрибута общего имени, используемого в различающемся_имени_компьютера.
-desc описание
Задает описание компьютера, который необходимо добавить.
-loc размещение
Задает размещение компьютера, который необходимо добавить.
-memberof различающееся_имя_группы ...
Задает группы, членом которых станет компьютер.
(-s сервер | -d домен)
Налаживает подключение компьютера либо к указанному серверу, либо к домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-u имя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход. Имя пользователя может быть задано в одном из следующих форматов:
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
(-uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных. В следующей таблице перечислены и описаны эти форматы.
Выводит справку в командной строке.
Примечания
dsadd contact
Добавляет один контакт в каталог.
Синтаксис
Параметры
различающееся_имя_контакта
Обязательный параметр. Задает различающееся имя контакта, который необходимо добавить. Если различающееся имя не указано, оно будет взято из стандартного устройства ввода (stdin).
-fnимя
Задает имя добавляемого контакта.
-miинициал
Задает средний инициал добавляемого контакта.
-lnфамилия
Задает фамилию контакта добавляемого контакта.
-displayотображаемое_имя
Задает отображаемое имя добавляемого контакта.
-descописание
Задает описание добавляемого контакта.
-officeкомната
Задает местоположение комнаты добавляемого контакта.
-telномер_телефона
Задает номер телефона добавляемого контакта.
-emailэлектронная_почта
Задает адрес электронной почты добавляемого контакта.
-hometelномер_домашнего_телефона
Задает номер домашнего телефона добавляемого контакта.
-pagerномер_пейджера
Задает номер пейджера добавляемого контакта.
-mobileномер_сотового_телефона
Задает номер сотового телефона добавляемого контакта.
-faxномер_факса
Задает номер факса добавляемого контакта.
-iptelномер_IP-телефона
Задает номер IP-телефона добавляемого контакта.
-titleдолжность
Задает должность добавляемого контакта.
-deptотдел
Задает название отдела добавляемого контакта.
-companyкомпания
Задает информацию о компании добавляемого контакта.
(-s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-uимя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию используется имя пользователя, с которым был выполнен вход в систему. Имя пользователя может быть задано в одном из следующих форматов:
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
(uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных. В следующей таблице перечислены и описаны эти форматы.
Выводит справку в командной строке.
Примечания
dsadd group
Добавляет одну группу в каталог.
Синтаксисdsadd group различающееся_имя_группы[-secgrp (yes | no)] [-scope (l | g | u)] [-samid имя_SAM] [-desc описание] [-memberof группа...] [-members член...] [(-s сервер | -d домен)] [-u имя_пользователя] [-p (пароль| *)] [-q] [(-uc | -uco | -uci)]
Параметры
различающееся_имя_группы
Обязательный параметр. Задает различающееся имя группы, которую необходимо добавить. Если различающееся имя не указано, оно будет взято из стандартного устройства ввода (stdin).
-secgrp (yes | no)
Указывает, является ли добавляемая группа группой безопасности (yes) или группой распространения (no). По умолчанию, группа добавляется как группа безопасности (значение yes).
-scope (l | g | u)
Задает, является ли для домена добавляемая группа локальной (l), глобальной (g) или универсальной (u). Если домен находится в смешанном режиме, универсальная область не поддерживается. По умолчанию область группы назначается как глобальная.
-samidимя_SAM
Задает использование для данной группы имени SAM как уникального имени учетной записи SAM (например, operators). Если данный параметр не указан, он будет создан из относительного различающегося имени.
-descописание
Задает описание добавляемой группы.
-memberofгруппа ...
Задает группы, к которым следует добавить новую.
-membersчлен ...
Задает членов, чтобы добавить новую группу.
(-s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-uимя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход. Имя пользователя может быть задано в одном из следующих форматов:
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
(-uc | -uco| -uci)
Задает формат Юникод для выходных и входных данных. В следующей таблице перечислены и описаны эти форматы.
Выводит справку в командной строке.
Примечания
dsadd ou
Добавляет одно подразделение в каталог.
Синтаксис
Параметры
различающееся_имя_подразделения
Обязательный параметр. Задает различающееся имя добавляемого подразделения. Если различающееся имя не указано, оно будет взято из стандартного устройства ввода (stdin).
-descописание
Задает описание добавляемого подразделения.
(-s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-uимя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию используется имя пользователя, с которым был выполнен вход в систему. Имя пользователя может быть задано в одном из следующих форматов:
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
(-uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных. В следующей таблице перечислены и описаны эти форматы.
Выводит справку в командной строке.
Примечания
dsadd user
Добавляет одного пользователя в каталог.
Синтаксис
Параметры
различающееся_имя_пользователя
Обязательный параметр. Задает различающееся имя пользователя, которого необходимо добавить. Если различающееся имя не указано, оно будет взято из стандартного устройства ввода (stdin).
-samidимя_SAM
Задает имя SAM как уникальное имя учетной записи SAM для пользователя (например, Linda). Если оно не определено, dsadd будет пытаться создать SAM-имя учетной записи, используя до 20 первых символов значения различающееся_имя_пользователя.
-upnUPN
Задает основное имя добавляемого пользователя (например, Linda@widgets.microsoft.com).
-fnимя
Задает имя добавляемого пользователя.
-miинициал
Задает инициал (отчество) добавляемого пользователя.
-lnфамилия
Задает фамилию добавляемого пользователя.
-displayотображаемое_имя
Задает отображаемое имя добавляемого пользователя.
-empidкод_сотрудника
Задает код сотрудника у добавляемого пользователя.
-pwd (пароль | *)
Задает пароль пользователя для установки в пароль или *. Если введена звездочка (*), выводится приглашение для ввода пароля пользователя.
-descописание
Задает описание добавляемого пользователя.
-memberofразличающееся_имя_группы ...
Задает различающиеся имена групп, членом которых станет пользователь.
-officeкомната
Задает местоположение комнаты добавляемого пользователя.
-telномер_телефона
Задает номер телефона добавляемого пользователя.
-emailэлектронная_почта
Задает адрес электронной почты добавляемого пользователя.
-hometelдомашний_номер_телефона
Задает домашний номер телефона добавляемого пользователя.
-pagerномер_пейджера
Задает номер пейджера добавляемого пользователя.
-mobileномер_сотового_телефона
Задает номер сотового телефона добавляемого пользователя.
-faxномер_факса
Задает номер факса добавляемого пользователя.
-iptelномер_IP-телефона
Задает номер IP-телефона добавляемого пользователя.
-webpgвеб-страница
Задает адрес (URL) веб-страницы добавляемого пользователя.
-titleдолжность
Задает должность добавляемого пользователя.
-deptотдел
Задает отдел добавляемого пользователя.
-companyкомпания
Задает сведения о компании добавляемого пользователя.
-mgrразличающееся_имя_руководителя
Задает различающееся имя руководителя добавляемого пользователя.
-hmdirдомашняя_папка
Задает размещение домашней папки добавляемого пользователя. Если домашняя_папка задается как путь в стандартном формате записи имени (UNC), то необходимо указать букву диска для сопоставления с этим путем, используя параметр -hmdrv.
-hmdrvбуква_диска:
Задает букву диска с домашней папкой (например, Е) добавляемого пользователя.
-profileпуть_к_профилю
Задает путь к профилю добавляемое пользователя.
-loscrпуть_к_сценарию
Задает путь к сценарию входа добавляемое пользователя.
-mustchpwd (yes | no)
Указывает, должны ли пользователи сменить свои пароли при следующем входе (значение yes) или нет (значение no). По умолчанию, пользователю не нужно изменять пароль (значение no).
-canchpwd (yes | no)
Указывает, могут ли пользователи менять свои пароли (значение yes) или нет (значение no). По умолчанию пользователь может изменить пароль (значение yes). Этот параметр должен иметь значение yes, если параметр -mustchpwd имеет значение yes.
-reversiblepwd (yes | no)
Задает нужно ли сохранять пароль пользователя, используя обратимое шифрование (значение yes) или нет (значение no). По умолчанию пользователь не может использовать обратимое шифрование (значение no).
-pwdneverexpires (yes | no)
Указывает, ограничен ли срок действия пароля пользователя (значение yes) или нет (значение no). По умолчанию, срок действия пароля пользователя не ограничен (значение no).
-acctexpiresчисло_дней
Задает число дней, начиная с текущего, в течение которых будет действовать учетная запись пользователя. Значение 0 устанавливает окончание срока действия на конец текущего дня. Положительное значение указывает окончание срока действие в будущем. Отрицательное значение указывает окончание срока действие в прошлом. Значение никогда делает срок действия учетной записи неограниченным. Например, значение 0 указывает, что срок действия учетной записи истекает в конце текущего дня. Значение -5 указывает, что срок действия учетной записи истек 5 дней назад и задает дату окончания срока действия в прошлом. Значение 5 указывает, что срок действия учетной записи истекает через 5 дней.
-disabled (yes | no)
Указывает, запрещен ли вход с учетной записью пользователя (значение yes) или нет (значение no). Например, команда dsadd user CN=Nicolettep,CN=Users,DC=Widgets,DC=Microsoft,DC=Com pwd- Password1 -disabled no создает учетную запись пользователя Nicolettep во включенном состоянии. По умолчанию, вход с учетной записью пользователя запрещен (значение yes). Например, команда dsadd user CN=Nathanp,CN=Users,DC=Widgets,DC=Microsoft,DC=Com создает учетную запись пользователя Nathanp в отключенном состоянии.
(-s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-uимя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход. Имя пользователя может быть задано в одном из следующих форматов:
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
(-uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных. В следующей таблице перечислены и описаны эти форматы.
Выводит справку в командной строке.
Примечания
dsadd quota
Добавляет спецификацию квоты в раздел каталога. Спецификация квоты определяет, какое максимальное число объектов каталога могут обладать данными участниками безопасности в указанном разделе каталога.
Синтаксис
Параметры
-partразличающееся_имя_раздела
Обязательный параметр. Задает различающееся имя раздела каталога, в котором требуется создать квоту. Если различающееся имя не указано, оно будет взято из стандартного устройства ввода (stdin).
-rdnотносительное_различающееся_имя
Задает различающееся имя создаваемой спецификации квот. Если параметр -rdn не указан, он задается как домен_имя_учетной_записи, используя домен и имя учетной записи участника безопасности, определенного параметром -acct.
-acctимя
Обязательный параметр. Задает участника безопасности (пользователь, группа, компьютер или InetOrgPerson), к которому будет применена спецификация квот. Для параметра имя могут быть использованы любые из следующих форм:
-qlimitзначение
Обязательный параметр. Задает количество объектов в разделе каталога, которым может обладать участник безопасности. Чтобы задать неограниченную квоту, используйте значение -1.
-descописание
Задает описание добавляемой спецификации квоты.
(-s сервер | -d домен)
Налаживает подключение компьютера либо к указанному серверу, либо к домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-uимя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход. Имя пользователя может быть задано в одном из следующих форматов:
-p (пароль | *)
Задает использование определенного пароля или * (звездочки) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
(-uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных.
Выводит справку в командной строке.
Примечания
• Если конечный объект отсутствует в командной строке, он будет получен из стандартного устройства ввода (stdin). Данные стандартного устройства ввода могут быть получены с помощью клавиатуры, из перенаправленного файла или как выходные данные из канала от другой команды. Конец данных стандартного устройства ввода с клавиатуры или из файла помечается с помощью сочетания клавиш CTRL+Z или символа конца файла (EOF).
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=DC 2,OU=Domain Controllers,DC=Microsoft,DC=Com").
[newpage=Dsmod]
Dsmod
Изменение в каталоге существующего объекта определенного типа. Команды dsmod включают:
• dsmod computer
• dsmod contact
• dsmod group
• dsmod ou
• dsmod server
• dsmod user
• dsmod quota
• dsmod partition
dsmod computer
Изменяет атрибуты одного или нескольких существующих компьютеров в каталоге.
Синтаксис
Параметры
отличительное_имя_компьютера
Задает изменяемые отличительные имена одного или нескольких компьютеров. Если значения отсутствуют, они будут получены из стандартного устройства ввода (stdin) для поддержки передачи по каналу выходных данных другой команды на вход данной команды.
-desc описание
Задает описание компьютера, требующее изменений.
-loc размещение
Задает размещение компьютера, требующее изменений.
-disabled (yes | no)
Указывает, отключена ли учетная запись компьютера для входа в систему (значение yes) или нет (значение no).
-reset
Переустанавливает учетные записи компьютера.
(-s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-u имя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход. Имя пользователя может быть задано в одном из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• основное имя пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-c
Создает отчет об ошибках, но продолжает обработку следующего объекта в списке аргументов, если указано несколько конечных объектов (непрерывный режим работы). Если этот параметр не задан, работа команды завершается при первой ошибке.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
(-uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных. В следующей таблице перечислены и описаны эти форматы.
Выводит справку в командной строке.
Заметки
• Эта команда поддерживает ограниченный набор обычно используемых атрибутов класса объекта.
• Если вводимое значение содержит пробелы, его следует заключить в кавычки (например, "CN=DC2,OU=Domain Controllers,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка отличительных имен).
• Dsmod не поддерживает добавление участников безопасности одного леса в группы, расположенные в другом лесе, если оба леса объединены доверием лесов. Для добавления участников безопасности в доверии лесов можно использовать оснастку «Active Directory — пользователи и компьютеры».
Примеры
Чтобы сделать недействительными несколько учетных записей компьютера, введите:
Чтобы переустановить несколько учетных записей компьютера, введите:
dsmod contact
Изменяет атрибуты одного или нескольких существующих контактов в каталоге.
Синтаксис
Параметры
отличительное_имя_контакта...
Обязательный параметр. Задает отличительные имена контактов, в которые требуется внести изменения. Если значения отсутствуют, они будут получены из стандартного устройства ввода (stdin) для поддержки передачи по каналу выходных данных другой команды на вход данной команды.
-fn имя
Задает имя контакта, требующее изменений.
-mi инициал
Задает инициал (отчество) контакта, требующий изменений.
-ln фамилия
Задает фамилию контакта, требующую изменений.
-display отображаемое_имя
Задает отображаемое имя контакта, требующее изменений.
-desc описание
Задает описание контакта, требующее изменений.
-office комната
Задает местоположение комнаты контакта, требующее изменений.
-tel номер_телефона
Задает номер телефона контакта, требующий изменений.
-email электронная_почта
Задает адрес электронной почты контакта, требующий изменений.
-hometel домашний_номер_телефона
Задает номер домашнего телефона контакта, требующий изменений.
-pager номер_пейджера
Задает номер пейджера контакта, требующий изменений.
-mobile номер_сотового_телефона
Задает номер мобильного телефона контакта, требующий изменений.
-fax номер_факса
Задает номер факса контакта, требующий изменений.
-iptel номер_IP-телефона
Задает номер IP-телефона контакта, требующий изменений.
-title должность
Задает должность контакта, требующую изменений.
-dept отдел
Задает отдел контакта, требующий изменений.
-company компания
Задает сведения о компании контакта, требующие изменений.
(-s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-u имя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход. Имя пользователя может быть задано в одном из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• основное имя пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-c
Создает отчет об ошибках, но продолжает обработку следующего объекта в списке аргументов, если указано несколько конечных объектов (непрерывный режим работы). Если этот параметр не задан, работа команды завершается при первой ошибке.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
(-uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных. В следующей таблице перечислены и описаны эти форматы.
Выводит справку в командной строке.
Заметки
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=Mike Danseglio,OU=Contacts,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка отличительных имен).
• Dsmod не поддерживает добавление участников безопасности одного леса в группы, расположенные в другом лесе, если оба леса объединены доверием лесов. Для добавления участников безопасности в доверии лесов можно использовать оснастку «Active Directory — пользователи и компьютеры».
Примеры
Чтобы задать сведения о компаниях нескольких контактов, введите:
dsmod group
Изменяет атрибуты одной или нескольких существующих групп в каталоге.
Синтаксис
dsmod groupотличительное_имя_группы...[-samid имя_SAM] [-desc описание] [-secgrp (yes | no)] [-scope (l | g | u)] [(-addmbr | -rmmbr | -chmbr) отличительное_имя_члена_группы...] [(-s сервер | -d домен)] [-u имя_пользователя] [-p (пароль | *)] [-c] [-q] [(-uc | -uco | -uci)]
Параметры
отличительное_имя_группы...
Обязательный параметр. Задает отличительные имена групп, в которые требуется внести изменения. Если значения отсутствуют, они будут получены из стандартного устройства ввода (stdin) для поддержки передачи по каналу выходных данных другой команды на вход данной команды. Если параметры отличительное_имя_группы... и член_группы... используются вместе, из стандартного устройства ввода может быть получено значение только одного из них, поэтому, хотя бы один параметр должен быть задан в командной строке.
-samid имя_SAM
Задает изменяемые имена учетных записей SAM для групп.
-desc описание
Задает описания групп, требующие изменений.
-secgrp (yes | no)
Задает в качестве типов групп группу безопасности (yes) или группу распространения (no).
-scope (l | g | u)
Задает для области групп следующие значения: локальная, глобальная или универсальная. Универсальная область действия не поддерживается в смешанном режиме работы домена. Кроме того, локальная группа домена не может быть преобразована в глобальную группу и наоборот.
(-addmbr | -rmmbr | -chmbr) отличительное_имя_члена_группы...
Указывает, что члены группы, заданные параметром отличительное_имя_члена_группы..., добавляются, удаляются или заменяются в группе. При каждом вызове команды может быть задан только один из этих параметров. Параметр отличительное_имя_члена_группы... указывает отличительные имена одного или нескольких членов группы, которые добавляются, удаляются или заменяются в группе, заданной параметром отличительное_имя_группы. Каждому члену группы должно быть дано отличительное имя (например, CN=Mike Danseglio,OU=Users,DC=Microsoft,DC=Com). Список членов группы должен следовать за параметрами -addmbr, -rmmbr и -chmbr. Если значения отсутствуют, они будут получены из стандартного устройства ввода (stdin) для поддержки передачи по каналу выходных данных другой команды на вход данной команды. Если параметры отличительное_имя_группы... и член_группы... используются вместе, из стандартного устройства ввода может быть получено значение только одного из них, поэтому, хотя бы один параметр должен быть задан в командной строке.
(-s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-u имя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход. Имя пользователя может быть задано в любом из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• основное имя пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-c
Создает отчет об ошибках, но продолжает обработку следующего объекта в списке аргументов, если указано несколько конечных объектов (непрерывный режим работы). Если этот параметр не задан, работа команды завершается при первой ошибке.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
(-uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных. В следующей таблице перечислены и описаны эти форматы.
Выводит справку в командной строке.
Заметки
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=USA Sales,OU=Distribution Lists,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка отличительных имен).
• Dsmod не поддерживает добавление участников безопасности одного леса в группы, расположенные в другом лесе, если оба леса объединены доверием лесов. Для добавления участников безопасности в доверии лесов можно использовать оснастку «Active Directory — пользователи и компьютеры».
Примеры
Чтобы добавить пользователя Mike Danseglio во все группы списка рассылки для администраторов, введите:
Чтобы добавить всех членов из группы «US Info» в группу «Canada Info», введите:
dsget group "CN=US INFO,OU=Distribution Lists,DC=microsoft,DC=com" -members | dsmod group "CN=CANADA INFO,OU=Distribution Lists,DC=microsoft,DC=com" -addmbr
Чтобы преобразовать тип нескольких групп из группы безопасности в другой, введите:
dsmod group "CN=US Info,OU=Distribution Lists,DC=Microsoft,DC=Com" "CN=Canada Info,OU=Distribution Lists,DC=Microsoft,DC=Com" "CN=Mexico Info,OU=Distribution Lists,DC=Microsoft,DC=Com" -secgrp no
Чтобы добавить двух новых членов в группу «CN=US Info,OU=Distribution Lists,DC=Microsoft,DC=Com», введите:
dsmod group "CN=US Info,OU=Distribution Lists,DC=Microsoft,DC=Com" -addmbr "CN=Mike Danseglio,CN=Users,DC=Microsoft,DC=Com" "CN=Legal,OU=Distribution Lists,DC=Microsoft,DC=Com" "CN=Denise Smith,CN=Users,DC=Microsoft,DC=Com"
Чтобы добавить всех пользователей из подразделения «Marketing» в существующую группу с именем «Marketing Staff», введите:
dsquery user OU=Marketing,DC=Microsoft,DC=Com | dsmod group "CN=Marketing Staff,OU=Marketing,DC=Microsoft,DC=Com" -addmbr
Чтобы удалить двух членов из существующей группы «CN=US Info,OU=Distribution Lists,DC=Microsoft,DC=Com», введите:
dsmod group "CN=US Info,OU=Distribution Lists,DC=Microsoft,DC=Com" -rmmbr "CN=Mike Danseglio,CN=Users,DC=Microsoft,DC=Com" "CN=Legal,OU=Distribution Lists,DC=Microsoft,DC=Com"
dsmod ou
Изменяет атрибуты одного или нескольких существующих подразделений в каталоге.
Синтаксис
Параметры
отличительное_имя_подразделения...
Обязательный параметр. Задает отличительные имена подразделений, в которые требуется внести изменения. Если значения отсутствуют, они будут получены из стандартного устройства ввода (stdin) для поддержки передачи по каналу выходных данных другой команды на вход данной команды.
-desc описание
Задает описание подразделения, требующее изменений.
(-s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-u имя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход в систему. Имя пользователя может быть задано в любом из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• основное имя пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-c
Создает отчет об ошибках, но продолжает обработку следующего объекта в списке аргументов, если указано несколько конечных объектов (непрерывный режим работы). Если этот параметр не задан, работа команды завершается при первой ошибке.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
(-uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных. В следующей таблице перечислены и описаны эти форматы.
Выводит справку в командной строке.
Заметки
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "OU=Domain Controllers,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка отличительных имен).
• Dsmod не поддерживает добавление участников безопасности одного леса в группы, расположенные в другом лесе, если оба леса объединены доверием лесов. Для добавления участников безопасности в доверии лесов можно использовать оснастку «Active Directory — пользователи и компьютеры».
Примеры
Чтобы изменить описание нескольких подразделений одновременно, введите:
dsmod ou "OU=Domain Controllers,DC=Microsoft,DC=Com" "OU=Resources,DC=Microsoft,DC=Com" "OU=Troubleshooting,DC=Microsoft,DC=Com" -desc "This is a test OU"
dsmod server
Изменяет свойства контроллера домена.
Синтаксис
dsmod server отличительное_имя_сервера... [-desc описание] [-isgc (yes | no)] [(-s сервер | -d домен)] [-u имя_пользователя] [-p (пароль | *)] [-c] [-q] [(-uc | -uco | -uci)]
Параметры
отличительное_имя_сервера...
Обязательный параметр. Задает отличительные имена одного или нескольких серверов, в которые требуется внести изменения. Если значения отсутствуют, они будут получены из стандартного устройства ввода (stdin) для поддержки передачи по каналу выходных данных другой команды на вход данной команды.
-desc описание
Задает описание сервера, требующее изменений.
-isgc (yes | no)
Указывает данный сервер как глобальный каталог (значение yes) или отключает его (значение no).
(-s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-u имя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход в систему. Имя пользователя может быть задано в любом из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• основное имя пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-c
Создает отчет об ошибках, но продолжает обработку следующего объекта в списке аргументов, если указано несколько конечных объектов (непрерывный режим работы). Если этот параметр не задан, работа команды завершается при первой ошибке.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
(-uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных. В следующей таблице перечислены и описаны эти форматы.
Выводит справку в командной строке.
Заметки
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=My Server,CN=Servers,CN=Site10,CN=Sites,CN=Configuration,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка отличительных имен).
• Dsmod не поддерживает добавление участников безопасности одного леса в группы, расположенные в другом лесе, если оба леса объединены доверием лесов. Для добавления участников безопасности в доверии лесов можно использовать оснастку «Active Directory — пользователи и компьютеры».
Примеры
Чтобы включить контроллеры домена CORPDC1 и CORPDC9 как серверы глобального каталога, введите:
dsmod server "CN=CORPDC1,CN=Servers,CN=Site1,CN=Sites,CN=Configuration,DC=Microsoft,DC=Com" "CN=CORPDC9,CN=Servers,CN=Site2,CN=Sites,CN=Configuration,DC=Microsoft,DC=Com" -isgc yes
dsmod user
Изменяет атрибуты одного или нескольких существующих пользователей в каталоге.
Синтаксис
Параметры
отличительное_имя_пользователя...
Обязательный параметр. Задает отличительные имена пользователей, в которые требуется внести изменения. Если значения отсутствуют, они будут получены из стандартного устройства ввода (stdin) для поддержки передачи по каналу выходных данных другой команды на вход данной команды.
-upn UPN
Задает основные имена пользователей объектов пользователей, в которые требуется внести изменения (например, Linda@widgets.microsoft.com).
-fn имя
Задает имена объектов пользователей, требующие изменений.
-mi инициал
Задает инициалы (отчества) объектов пользователей, требующие изменений.
-ln фамилия
Задает фамилии объектов пользователей, требующие изменений.
-display отображаемое_имя
Задает отображаемые имена объектов пользователей, требующие изменений.
-empid код_сотрудника
Задает коды сотрудников объектов пользователей, требующие изменений.
-pwd (пароль | *)
Переустанавливает пароли объектов пользователей как параметр пароль или звездочка (*). Если введена звездочка (*), выводится приглашение для ввода пароля пользователя.
-desc описание
Задает описания объектов пользователей, требующие изменений.
-office комната
Задает местоположения комнат объектов пользователей, требующие изменений.
-tel номер_телефона
Задает номера телефонов объектов пользователей, требующие изменений.
-email адрес_электронной_почты
Задает адреса электронной почты объектов пользователей, требующие изменений.
-hometel домашний_номер_телефона
Задает номера домашних телефонов объектов пользователей, требующие изменений.
-pager номер_пейджера
Задает номера пейджеров объектов пользователей, требующие изменений.
-mobile номер_сотового_телефона
Задает номера сотовых телефонов объектов пользователей, требующие изменений.
-fax номер_факса
Задает номера факсов объектов пользователей, требующие изменений.
-iptel номер_IP-телефона
Задает номера IP-телефонов объектов пользователей, требующие изменений.
-webpg веб-страница
Задает адреса веб-страниц (URLs) объектов пользователей, требующие изменений.
-title должность
Задает должности объектов пользователей, требующие изменений.
-dept отдел
Задает отделы объектов пользователей, требующие изменений.
-company компания
Задает сведения о компаниях объектов пользователей, требующие изменений.
-mgr руководитель
Задает отличительные имена руководителей объектов пользователей, требующие изменений.
Руководитель может быть задан только с использованием формата отличительного имени.
-hmdir домашняя_папка
Задает расположения домашних папок объектов пользователей, требующие изменений. Если параметр домашняя_папка представлен как имя UNC, необходимо указать подключенный диск данного пути, используя параметр -hmdrv.
-hmdrv буква_диска :
Задает буквы дисков с домашними папками (например, Е:) объектов пользователей, требующие изменений.
-profile путь_к_профилю
Задает пути к профилям объектов пользователей, требующие изменений.
-loscr путь_к_сценарию
Задает изменяемые пути к сценариям входа в систему для объектов пользователей.
-mustchpwd (yes | no)
Указывает, должны ли пользователи сменить свои пароли при следующем входе (значение yes) или нет (значение no).
-canchpwd (yes | no)
Указывает, могут ли пользователи менять свои пароли (значение yes) или нет (значение no). Этот параметр должен иметь значение yes, если параметр -mustchpwd имеет значение yes.
-reversiblepwd (yes | no)
Задает, нужно ли сохранять пароль пользователя, используя обратимое шифрование (значение yes) или нет (значение no).
-pwdneverexpires (yes | no)
Указывает, ограничен ли срок действия учетной записи пользователя (значение yes) или нет (значение no).
-acctexpires число_дней
Задает число дней, начиная с текущего, в течение которых будут действовать учетные записи пользователей. Значение 0 устанавливает окончание срока действия на конец текущего дня. Положительное значение задает окончание срока действия в будущем. Отрицательное значение задает окончание срока действия в прошлом. Значение никогда задает срок действия учетной записи неограниченным. Например, значение 0 указывает, что срок действия учетной записи истекает в конце текущего дня. Значение -5 указывает, что срок действия учетной записи истек 5 дней назад и задает дату окончания срока действия в прошлом. Значение 5 указывает, что срок действия учетной записи истекает через 5 дней.
-disabled (yes | no)
Указывает, запрещен ли вход с учетной записью пользователя (значение yes) или нет (значение no).
(-s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-u имя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход в систему. Имя пользователя может быть задано в любом из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• основное имя пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-c
Создает отчет об ошибках, но продолжает обработку следующего объекта в списке аргументов, если указано несколько конечных объектов (непрерывный режим работы). Если этот параметр не задан, работа команды завершается при первой ошибке.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
(-uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных. В следующей таблице перечислены и описаны эти форматы.
Выводит справку в командной строке.
Заметки
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=Mike Danseglio,CN=Users,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка отличительных имен).
• С помощью специального маркера $username$ (нечувствительного к регистру ввода) можно перемещать имя SAM учетной записи в значение параметров -webpg, -profile, -hmdir и -email. Например, если имя SAM учетной записи — «Denise», параметр расположения -hmdir можно записать в следующих форматах:
-hmdir \users\Denise\home
-hmdir \users\$username$\home
• Эта команда поддерживает лишь ограниченный набор обычно используемых атрибутов класса объекта.
• Dsmod не поддерживает добавление участников безопасности одного леса в группы, расположенные в другом лесе, если оба леса объединены доверием лесов. Для добавления участников безопасности в доверии лесов можно использовать оснастку «Active Directory — пользователи и компьютеры».
Примеры
Чтобы переустановить пароль пользователя Don Funk и заставить его изменить пароль при следующем входе в сеть, введите:
dsmod user "CN=Don Funk,CN=Users,DC=Microsoft,DC=Com" -pwd A1b2C3d4 -mustchpwd yes
Чтобы переустановить пароли нескольких пользователей на простые пароли и заставить пользователей изменить свои пароли при следующем входе в сеть, введите:
dsmod user "CN=Don Funk,CN=Users,DC=Microsoft,DC=Com" "CN=Denise Smith,CN=Users,DC=Microsoft,DC=Com" -pwd A1b2C3d4 -mustchpwd yes
Чтобы отключить учетные записи нескольких пользователей одновременно, введите:
dsmod user "CN=Don Funk,CN=Users,DC=Microsoft,DC=Com" "CN=Denise Smith,CN=Users,DC=Microsoft,DC=Com" -disabled yes
Чтобы изменить пути к профилям нескольких пользователей на простой путь, используя маркер $username$, введите:
dsmod user "CN=Don Funk,CN=Users,DC=Microsoft,DC=Com" "CN=Denise Smith,CN=Users,DC=Microsoft,DC=Com" -profile \users\$username$\profile
dsmod quota
Изменяет атрибуты одной или нескольких существующих спецификаций квот в каталоге.
Синтаксис
dsmod quota отличительное_имя_квоты ... [-qlimit значение] [-desc описание] [(-s сервер | -d домен)] [-u имя_пользователя] [-p (пароль | *)] [-c] [-q] [(-uc | -uco | -uci)]
Параметры
отличительное_имя_квоты ...
Задает отличительные имена одной или нескольких спецификаций квот, в которые требуется внести изменения. Если значения отсутствуют, они будут получены из стандартного устройства ввода (stdin) для поддержки передачи по каналу выходных данных другой команды на вход данной команды.
-qlimit значение
Задает количество объектов в разделе каталога, которым может обладать участник безопасности с назначенной квотой объекта. Чтобы задать неограниченную квоту, используйте значение -1.
-desc описание
Задает описание спецификации квот, требующее изменений.
(-s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-u имя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход в систему. Имя пользователя может быть задано в любом из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• основное имя пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-c
Задает непрерывный режим работы. Создает отчет об ошибках, но продолжает обработку следующего объекта в списке аргументов, если указано несколько конечных объектов. Если параметр -c не задан, работа команды завершается при первой ошибке.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
(-uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных. В следующей таблице перечислены и описаны эти форматы.
Выводит справку в командной строке.
Заметки
• Команда Dsmod quota поддерживает только ограниченный набор обычно используемых атрибутов класса объекта.
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=DC2,OU=Domain Controllers,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка различающихся имен).
• Dsmod не поддерживает добавление участников безопасности одного леса в группы, расположенные в другом лесе, если оба леса объединены доверием лесов. Для добавления участников безопасности в доверии лесов можно использовать оснастку «Active Directory — пользователи и компьютеры».
Примеры
Чтобы изменить значение предельной квоты для квоты с именем DN1 на значение 100, введите:
dsmod quota DN1 -qlimit 100
dsmod partition
Изменяет атрибуты одного или нескольких существующих разделов в каталоге.
Синтаксис
dsmod partition отличительное_имя_раздела ... [-qdefault значение] [-qtmbstnwt процент] [(-s сервер | -d домен)] [-u имя_пользователя] [-p (пароль | *)] [-c] [-q] [(-uc | -uco | -uci)]
Параметры
отличительное_имя_раздела ...
Задает отличительные имена, в которые требуется внести изменения, для одного и нескольких разделов каталога. Если значения отсутствуют, они будут получены из стандартного устройства ввода (stdin) для поддержки передачи по каналу выходных данных другой команды на вход данной команды.
-qdefault значение
Указывает, что значение квоты по умолчанию для раздела каталога задается параметром значение. Если для участников безопасности не существует спецификации квот, данное значение квоты по умолчанию будет применяться для каждого участника безопасности (пользователь, группа, компьютер или inetOrgPerson), владеющего объектом в разделе каталога. Чтобы задать неограниченную квоту, используйте значение -1.
-qtmbstnwt процент
Обязательный параметр. Устанавливает процент, на который должен уменьшиться счетчик объекта захоронения при подсчете использования квот. Процент задается параметром процент и должен находиться в пределах от 0 до 100. Например, значение 25 говорит о том, что объект захоронения считается как 25% от обычного объекта при подсчете использования квот. Если бы квота, назначенная пользователю, имела значение 100, пользователь мог иметь максимум 100 обычных объектов или 400 объектов захоронения в Active Directory.
(-s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-u имя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход в систему. Имя пользователя может быть задано в любом из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• основное имя пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-c
Создает отчет об ошибках, но продолжает обработку следующего объекта в списке аргументов, если указано несколько конечных объектов (непрерывный режим работы). Если этот параметр не задан, работа команды завершается при первой ошибке.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
(-uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных.
Выводит справку в командной строке.
Заметки
• Эта команда поддерживает только ограниченный набор обычно используемых атрибутов класса объекта.
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=DC2,OU=Domain Controllers,DC=Microsoft,DC=Com").
• Квота по умолчанию применяется к любому участнику безопасности (например, пользователь, группа, компьютер или iNetOrgРerson), создающему объект в разделе каталога, если данный участник не охватывается какой-либо существующей спецификацией квот.
• Значение квоты по умолчанию для данного раздела каталога является атрибутом (таким как ms-DS-Default-Quota) специального контейнера класса ms-DS-Quota-Container, указанного параметром CN=NTDS Quotas,.
• Вес квоты захоронения для данного раздела каталога (задается параметром -qtmbstnwt) является атрибутом (таким как ms-DS-Tombstone-Quota-Factor) специального контейнера класса (такого как ms-DS-Quota-Container), указанного параметром CN=NTDS Quotas,.
• Dsmod не поддерживает добавление участников безопасности одного леса в группы, расположенные в другом лесе, если оба леса объединены доверием лесов. Для добавления участников безопасности в доверии лесов можно использовать оснастку «Active Directory — пользователи и компьютеры».
Примеры
Чтобы изменить значение предельной квоты по умолчанию для раздела каталога с именем NС1 на значение 1000, введите:
dsmod partition NC1 -qdefault 1000
[newpage=Dsrm]
Dsrm
Удаляет объект конкретного или любого типа из каталога.
Синтаксис
dsrm различающееся_имя_объекта [-subtree [-exclude]] [-noprompt] [(-s сервер | -d домен)] [-u имя_пользователя] [-p (пароль | *)][-c][-q][(-uc | -uco | -uci)]
Параметры
Различающееся имя объекта
Обязательный параметр. Различающиеся имена объектов, которые следует удалить. Если в командной строке не указано никакого значения, оно получается через стандартное устройство ввода.
-subtree [-exclude]
Указывает, что объект и все объекты, содержащиеся в поддереве под этим объектом, должны быть удалены. Параметр -exclude может быть определен только вместе с параметром -subtree для указания, что базовый объект, выданный параметром различающееся_имя_объекта, должен быть исключен из списка на удаление при удалении его поддерева. По умолчанию удаляется только указанный базовый объект.
-noprompt
Устанавливает дополнительный режим молчания, не запрашивающий подтверждение удаления каждого объекта. По умолчанию запрашивается подтверждение удаления каждого объекта.
(-s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-u имя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход. Имя пользователя может быть задано в одном из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• имя участника-пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-c
Создает отчет об ошибках, но продолжает обработку следующего объекта в списке аргументов, если указано несколько конечных объектов (непрерывный режим работы). Если этот параметр не задан, работа команды завершается при первой ошибке.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
(-uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных. В следующей таблице перечислены и описаны эти форматы.
Вывод справочных сведений в командной строке.
Примечания
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=Mike Danseglio,CN=Users,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка различающихся имен).
Примеры
Чтобы удалить подразделение с именем «Marketing» и все объекты под ним, введите:
dsrm -subtree -noprompt -c OU=Marketing,DC=Microsoft,DC=Com
Чтобы удалить все объекты ниже подразделения с именем «Marketing» без самого подразделения, введите:
dsrm -subtree -exclude -noprompt -c "OU=Marketing,DC=Microsoft,DC=Com"
[newpage=Dsmove]
Dsmove
Перемещение одного объекта внутри домена из его текущего места в каталоге в новое или его переименование без перемещения в дереве каталога.
Синтаксис
dsmove различающееся_имя_объекта [-newname новое_имя] [-newparent различающееся_имя_родительского_объекта] [(-s сервер | -d домен)] [-u имя_пользователя] [-p (пароль | *)] [-q] [(-uc | -uco | -uci)]
Параметры
различающееся_имя_объекта
Обязательный параметр. Задает различающееся имя объекта, который следует переместить или переименовать. Если значение отсутствует, оно будет получено из стандартного устройства ввода (stdin) для поддержки передачи по каналу выходных данных другой команды на вход данной команды.
-newname новое_относительное_различающееся_имя_объекта
Переименовывает объект новым относительным различающимся именем.
-newparent различающееся_имя_родительского_объекта
Задает новое место, в которое необходимо переместить объект. Новое место указывается как различающееся имя нового родительского узла.
(-s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-u имя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход. Имя пользователя может быть задано в одном из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• имя участника-пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
(-uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных.
Вывод справочных сведений в командной строке.
Примечания
• Чтобы получить сведения о перемещении объекта по домену, см. информацию о средстве командной строки — команде Movetree — в разделе Установка средств поддержки Windows.
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=Mike Danseglio,CN=Users,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка различающихся имен).
Примеры
Чтобы переименовать объект пользователя с Kim Akers на Kim Ralls, введите:
dsmove "CN=Kim Akers,OU=Sales,DC=Microsoft,DC=Com" -newname "Kim Ralls"
Чтобы переместить объект Kim Akers из Sales organization в Marketing organization, введите:
dsmove "CN=Kim Akers,OU=Sales,DC=Microsoft,DC=Com" -newparent OU=Marketing,DC=Microsoft,DC=Com
Чтобы одновременно переместить и переименовать, введите:
dsmove "CN=Kim Akers,OU=Sales,DC=Microsoft,DC=Com" -newparent OU=Marketing,DC=Microsoft,DC=Com -newname "Kim Ralls"
[newpage=Dsquery]
Dsquery
Посылает запросы Active Directory в соответствии с указанными условиями. С помощью каждой из следующих команд dsquery осуществляется поиск объектов конкретного типа, за исключением команды dsquery *, с помощью которой можно найти любой тип объекта.
• dsquery computer
• dsquery contact
• dsquery group
• dsquery ou
• dsquery site
• dsquery server
• dsquery user
• dsquery quota
• dsquery partition
• dsquery *
dsquery computer
Находит в каталоге компьютеры, отвечающие указанным критериям поиска.
Синтаксис
dsquery computer [(начальный_узел| forestroot | domainroot)] [-o (dn | rdn | samid)] [-scope (subtree | onelevel | base)] [-name имя] [-desc описание] [-samid имя_SAM] [-inactive число_недель] [-stalepwd число_дней] [-disabled] [(-s сервер| -d домен)] [-u имя_пользователя] [-p (пароль|*)] [-q] [-r] [-gc] [-limit число_объектов] [(-uc | -uco | -uci)]
Параметры
(начальный_узел| forestroot | domainroot)
Указывает узел, с которого должен быть начат поиск. Можно указать корень леса (forestroot), корень домена (domainroot) или отличительное имя узла (начальный_узел). Если задано значение forestroot, поиск выполняется в глобальном каталоге. По умолчанию используется значение domainroot.
-o (dn | rdn | samid)
Определяет формат вывода списка записей, найденных в результате поиска. Значение dn задает отображение отличительного имени каждой записи. Значение rdn задает отображение относительного отличительного имени каждой записи. Значение samid задает отображение учетной записи SAM каждой записи. По умолчанию используется формат dn.
-scope (subtree | onelevel | base)
Задает область поиска. Значение subtree задает в качестве области поддерево с корнем в начальном узле. Значение onelevel задает поиск только в дочерних объектах начального узла первого уровня. Значение base задает поиск в одном объекте, представленном как начальный узел. Если параметр начальный_узел имеет значение forestroot, единственная допустимая область поиска — поддерево. По умолчанию используется область поиска subtree.
-nameимя
Выполняет поиск компьютеров, атрибут имени которых (значение атрибута CN) соответствует значению имя. Например, «jon*», «*ith» или «j*th».
-descописание
Выполняет поиск узлов, атрибут описания которых соответствует значению описание. Например, «jon*», «*ith» или «j*th».
-samidимя_SAM
Выполняет поиск компьютеров, имя учетной записи SAM которых соответствует значению имя_SAM.
-inactive число_недель
Выполняет поиск всех компьютеров, которые не работали (устаревшие) указанное число недель.
-stalepwdчисло_дней
Выполняет поиск всех компьютеров, пароли которых не изменялись указанное число дней.
-disabled
Выполняет поиск всех компьютеров с отключенными учетными записями.
(-s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-uимя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход в систему. Имя пользователя может быть задано в одном из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• основное имя пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль|*)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
-r
Указывает, что в ходе поиска используется рекурсия или поиск следует по ссылкам. По умолчанию поиск не следует по ссылкам.
-gc
Задает использование поиском глобального каталога Active Directory.
-limitчисло_объектов
Задает число объектов, соответствующих заданным условиям, которое должно быть возвращено. Если параметр число_объектов имеет значение 0, будут возвращены все найденные объекты. Если этот параметр не задан, по умолчанию возвращаются 100 первых результатов.
(-uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных.
Выводит справку в командной строке.
Заметки
• Результаты поиска с помощью команды dsquery могут быть переданы по каналу как входные данные для одного из других средств командной строки службы каталогов, например dsget, dsmod, dsmove или dsrm.
• Если предоставляемое значение содержит пробелы, его следует заключить в кавычки (например, "CN=Mike Danseglio,CN=Users,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка отличительных имен).
Примеры
Чтобы найти все компьютеры текущего домена с именами, начинающимися с «ms», и описанием, начинающимся с «desktop», а также вывести их отличительные имена, введите:
dsquery computer domainroot -name ms* -desc desktop*
Чтобы найти все компьютеры в подразделении, заданным значением OU=Sales,dc=microsoft,DC=Com, и вывести их отличительные имена, введите:
dsquery computer OU=Sales,DC=Microsoft,DC=Com
dsquery contact
Находит контакты в каталоге, отвечающие указанным критериям поиска.
Синтаксис
dsquery contact [(начальный_узел| forestroot | domainroot)] [-o (dn | rdn)] [-scope (subtree | onelevel | base)] [-name имя] [-desc описание] [(-s сервер| -d домен)] [-u имя_пользователя] [-p (пароль| *)] [-q] [-r] [-gc] [-limit число_объектов] [(-uc | -uco | -uci)]
Параметры
(начальный_узел| forestroot | domainroot)
Указывает узел, с которого должен быть начат поиск. Можно указать корень леса (forestroot), корень домена (domainroot) или отличительное имя узла (начальный_узел). Если задано значение forestroot, поиск выполняется в глобальном каталоге. По умолчанию используется значение domainroot.
-o (dn | rdn)
Определяет формат вывода списка записей, найденных в результате поиска. Значение dn задает отображение отличительного имени каждой записи. Значение rdn задает отображение относительного отличительного имени каждой записи.
-scope (subtree | onelevel | base)
Задает область поиска. Значение subtree задает в качестве области поддерево с корнем в начальном узле. Значение onelevel задает поиск только в дочерних объектах начального узла первого уровня. Значение base задает поиск в одном объекте, представленном как начальный узел. Если параметр начальный_узел имеет значение forestroot, единственная допустимая область поиска — поддерево. По умолчанию используется область поиска subtree.
-nameимя
Выполняет поиск контактов, атрибут имени которых (значение атрибута CN) соответствует значению имя. Например, «jon*», «*ith» или «j*th».
-descописание
Выполняет поиск контактов, атрибут описания которых соответствует значению описание. Например, «jon*», «*ith» или «j*th».
(-s сервер| -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-uимя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход в систему. Имя пользователя может быть задано в одном из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• основное имя пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль|*)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
-r
Указывает, что в ходе поиска используется рекурсия или поиск следует по ссылкам. По умолчанию поиск не следует по ссылкам.
-gc
Задает использование поиском глобального каталога Active Directory.
-limitчисло_объектов
Задает число объектов, соответствующих заданным условиям, которое должно быть возвращено. Если параметр число_объектов имеет значение 0, будут возвращены все найденные объекты. Если этот параметр не задан, по умолчанию возвращаются 100 первых результатов.
(-uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных
Выводит справку в командной строке.
Заметки
• Результаты поиска с помощью команды dsquery могут быть переданы по каналу как входные данные для одного из других средств командной строки службы каталогов, например dsget, dsmod, dsmove или dsrm.
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=Mike Danseglio,CN=Users,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка отличительных имен).
Примеры
Чтобы найти все контакты текущего домена с именами, начинающимися с «te», и вывести их отличительные имена, введите:
dsquery contact domainroot -name te*
Чтобы найти все контакты в подразделении, заданным значением OU=Sales,DC=microsoft,DC=Com, и вывести их отличительные имена, введите:
dsquery contact OU=Sales,DC=Microsoft,DC=Com
dsquery group
Находит группы в каталоге, отвечающие указанным критериям поиска. Если предварительно определенные условия поиска данной команды недостаточно точны, воспользуйтесь более общей версией команды запроса dsquery *.
Синтаксис
dsquery group [(начальный_узел| forestroot | domainroot)] [-o (dn | rdn | samid)] [-scope (subtree | onelevel | base)] [-name фильтр] [-desc фильтр] [-samid фильтр] [(-s сервер| -d домен)] [-u имя_пользователя] [-p (пароль| *)] [-q] [-r] [-gc] [-limit число_объектов] [(-uc | -uco | -uci)]
Параметры
[(начальный_узел| forestroot | domainroot)
Указывает узел, с которого должен быть начат поиск. Можно указать корень леса (forestroot), корень домена (domainroot) или отличительное имя узла (начальный_узел). Если задано значение forestroot, поиск выполняется в глобальном каталоге. По умолчанию используется значение domainroot.
-o (dn | rdn | samid)
Определяет формат вывода списка записей, найденных в результате поиска. Значение dn задает отображение отличительного имени каждой записи. Значение rdn задает отображение относительного отличительного имени каждой записи. Значение samid задает отображение учетной записи SAM каждой записи. По умолчанию используется формат dn.
-scope (subtree | onelevel | base)
Задает область поиска. Значение subtree задает в качестве области поддерево с корнем в начальном узле. Значение onelevel задает поиск только в дочерних объектах начального узла первого уровня. Значение base задает поиск в одном объекте, представленном как начальный узел. Если параметр начальный_узел имеет значение forestroot, единственная допустимая область поиска — поддерево. По умолчанию используется область поиска subtree.
-nameимя
Выполняет поиск групп, атрибут имени которых (значение атрибута CN) соответствует значению имя. Например, «jon*», «*ith» или «j*th».
-descописание
Выполняет поиск групп, атрибут описания которых соответствует значению описание. Например, «jon*», «*ith» или «j*th».
-samidимя_SAM
Выполняет поиск групп, имя учетной записи SAM которых соответствует значению имя_SAM.
(-s сервер| -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-uимя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход в систему. Имя пользователя может быть задано в одном из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• основное имя пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль|*)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
-r
Указывает, что в ходе поиска используется рекурсия или поиск следует по ссылкам. По умолчанию поиск не следует по ссылкам.
-gc
Задает использование поиском глобального каталога Active Directory.
-limitчисло_объектов
Задает число объектов, соответствующих заданным условиям, которое должно быть возвращено. Если параметр число_объектов имеет значение 0, будут возвращены все найденные объекты. Если этот параметр не задан, по умолчанию возвращаются 100 первых результатов.
(-uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных.
Выводит справку в командной строке.
Заметки
• Результаты поиска с помощью команды dsquery могут быть переданы по каналу как входные данные для одного из других средств командной строки службы каталогов, например dsget, dsmod, dsmove или dsrm.
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=Mike Danseglio,CN=Users,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка отличительных имен).
Примеры
Чтобы найти все группы текущего домена с именами, начинающимися с «ms», и описанием, начинающимся с «admin», а также вывести их отличительные имена, введите:
dsquery group domainroot -name ms* -desc admin*
Чтобы найти все группы домена, заданного значением DC=Microsoft,DC=Com, и вывести их отличительные имена, введите:
dsquery group DC=Microsoft,DC=Com
dsquery ou
Находит подразделения в каталоге, отвечающие указанным критериям поиска. Если предварительно определенные условия поиска данной команды недостаточно точны, воспользуйтесь более общей версией команды запроса dsquery *.
Синтаксис
dsquery ou [(начальный_узел| forestroot | domainroot)] [-o (dn | rdn)][-scope (subtree | onelevel | base)][-name имя] [-desc описание] [(-s сервер| -d домен)] [-u имя_пользователя] [-p (пароль| *)] [-q] [-r] [-gc] [-limit число_объектов] [(-uc | -uco | -uci)]
Параметры
(начальный_узел| forestroot | domainroot)
Указывает узел, с которого должен быть начат поиск. Можно указать корень леса (forestroot), корень домена (domainroot) или отличительное имя узла (начальный_узел). Если задано значение forestroot, поиск выполняется в глобальном каталоге. По умолчанию используется значение domainroot.
-o (dn | rdn)
Определяет формат вывода списка записей, найденных в результате поиска. Значение dn задает отображение отличительного имени каждой записи. Значение rdn задает отображение относительного отличительного имени каждой записи.
-scope (subtree | onelevel | base)
Задает область поиска. Значение subtree задает в качестве области поддерево с корнем в начальном узле. Значение onelevel задает поиск только в дочерних объектах начального узла первого уровня. Значение base задает поиск в одном объекте, представленном как начальный узел. Если параметр начальный_узел имеет значение forestroot, единственная допустимая область поиска — поддерево. По умолчанию используется область поиска subtree.
-nameимя
Выполняет поиск подразделений, атрибут имени которых (значение атрибута CN) соответствует значению имя. Например, «jon*», «*ith» или «j*th».
-descописание
Выполняет поиск подразделений, атрибут описания которых соответствует значению описание. Например, «jon*», «*ith» или «j*th».
(-s сервер| -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-uимя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход в систему. Имя пользователя может быть задано в одном из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• основное имя пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
-r
Указывает, что в ходе поиска используется рекурсия или поиск следует по ссылкам. По умолчанию поиск не следует по ссылкам.
-gc
Задает использование поиском глобального каталога Active Directory.
-limitчисло_объектов
Задает число объектов, соответствующих заданным условиям, которое должно быть возвращено. Если параметр число_объектов имеет значение 0, будут возвращены все найденные объекты. Если этот параметр не задан, по умолчанию возвращаются 100 первых результатов.
(-uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных.
Выводит справку в командной строке.
Заметки
• Результаты поиска с помощью команды dsquery могут быть переданы по каналу как входные данные для одного из других средств командной строки службы каталогов, например dsget, dsmod, dsmove или dsrm.
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=Mike Danseglio,CN=Users,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка отличительных имен).
Примеры
Чтобы найти все подразделения текущего домена с именами, начинающимися с «ms», и описанием, начинающимся с «sales», а также вывести их отличительные имена, введите:
dsquery ou domainroot -name ms* -desc sales*
Чтобы найти все подразделения домена, заданного значением DC=Microsoft,DC=Com, и вывести их отличительные имена, введите:
dsquery ou DC=Microsoft,DC=Com
dsquery site
Находит узлы в каталоге, отвечающие указанным критериям поиска. Если предварительно определенные условия поиска данной команды недостаточно точны, воспользуйтесь более общей версией команды запроса dsquery *.
Синтаксис
dsquery site [-o (dn | rdn)] [-name имя] [-desc описание] [(-s сервер| -d домен)] [-u имя_пользователя] [-p (пароль|*)] [-q] [-r] [-gc] [-limit число_объектов] [(-uc | -uco | -uci)]
Параметры
-o (dn | rdn)
Определяет формат вывода списка записей, найденных в результате поиска. Значение dn задает отображение отличительного имени каждой записи. Значение rdn задает отображение относительного отличительного имени каждой записи.
-nameимя
Выполняет поиск узлов, атрибут имени которых (значение атрибута CN) соответствует значению имя. Например, «NA*» или «Europe*».
-descописание
Выполняет поиск узлов, атрибут описания которых соответствует значению описание. Например, «corp*» или «*nch».
(-s сервер| -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-uимя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход в систему. Имя пользователя может быть задано в одном из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• основное имя пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
-r
Указывает, что в ходе поиска используется рекурсия или поиск следует по ссылкам. По умолчанию поиск не следует по ссылкам.
-gc
Задает использование поиском глобального каталога Active Directory.
-limitчисло_объектов
Задает число объектов, соответствующих заданным условиям, которое должно быть возвращено. Если параметр число_объектов имеет значение 0, будут возвращены все найденные объекты. Если этот параметр не задан, по умолчанию возвращаются 100 первых результатов.
(-uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных.
Выводит справку в командной строке.
Заметки
• Результаты поиска с помощью команды dsquery могут быть переданы по каналу как входные данные для одного из других средств командной строки службы каталогов, например dsget, dsmod, dsmove или dsrm.
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=Mike Danseglio,CN=Users,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка отличительных имен).
Примеры
Чтобы найти все узлы в Северной Америке с именем, начинающимся с «north», и вывести их отличительные имена, введите:
dsquery site -name north*
Чтобы вывести список относительных отличительных имен всех узлов, определенных в каталоге, введите:
dsquery site -o rdn
dsquery server
Находит контроллеры домена в соответствии с указанными критериями поиска. Если предварительно определенные условия поиска данной команды недостаточно точны, воспользуйтесь более общей версией команды запроса dsquery *.
Синтаксис
dsquery server [-o (dn | rdn)] [-forest] [-domain имя_домена] [-site имя_узла] [-name имя] [-desc описание] [-hasfsmo (schema | name | infr | pdc | rid)] [-isgc] [(-s сервер| -d домен)] [-u имя_пользователя] [-p (пароль|*)] [-q] [-r] [-gc] [-limit число_объектов] [(-uc | -uco | -uci)]
Параметры
-o (dn | rdn)
Определяет формат вывода списка записей, найденных в результате поиска. Значение dn задает отображение отличительного имени каждой записи. Значение rdn задает отображение относительного отличительного имени каждой записи. По умолчанию используется формат dn.
-forest
Выполняет поиск всех контроллеров домена (объект-серверов), являющихся частью текущего леса.
-domain имя_домена
Выполняет поиск всех контроллеров домена (объект-серверов), являющихся частью домена с DNS-именем, заданным значением имя_домена. Необходимо отметить, что этот параметр необязательный, если требуется вывести все контроллеры текущего домена, при условии, что это единственный указанный критерий поиска.
-site имя_узла
Выполняет поиск всех контроллеров домена (объект-серверов), являющихся частью узла имя_узла.
-nameимя
Выполняет поиск объект-серверов, атрибут имени которых (значение атрибута CN) соответствует значению имя. Например, «jon*», «*ith» или «j*th».
-descописание
Выполняет поиск объект-серверов, атрибут описания которых соответствует значению описание. Например, «jon*», «*ith» или «j*th».
-hasfsmo (schema | name | infr | pdc | rid)
Выполняет поиск контроллера домена (объект-сервер), который удерживает запрашиваемую роль хозяина операций. Значение команды schema запрашивает хозяина схемы леса. Значение команды name запрашивает хозяина именования домена леса. Значение команды infr запрашивает хозяина инфраструктуры леса. Значение команды pdc запрашивает владельца роли основного контроллера домена (PDC) для домена, заданного параметром -domain (или используется текущий домен). Значение команды rid запрашивает хозяина относительных идентификаторов (RID master) домена, заданного параметром -domain (или используется текущий домен). Если ни один домен не указан с помощью параметра -domain, для роли хозяина операций команд infr, pdc и rid используется текущий домен.
-isgc
Выполняет поиск всех контроллеров домена (объект-серверов) в области, указанной любым из параметров -forest, -domain или -site, являющихся серверами глобального каталога. Если не указан ни один из параметров области, находит все глобальные каталоги текущего домена.
(-s сервер| -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-uимя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход в систему. Имя пользователя может быть задано в одном из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• основное имя пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль|*)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
-r
Указывает, что в ходе поиска используется рекурсия или поиск следует по ссылкам. По умолчанию поиск не следует по ссылкам.
-gc
Задает использование поиском глобального каталога Active Directory.
-limitчисло_объектов
Задает число объектов, соответствующих заданным условиям, которое должно быть возвращено. Если параметр число_объектов имеет значение 0, будут возвращены все найденные объекты. Если этот параметр не задан, по умолчанию возвращаются 100 первых результатов.
(-uc | -uco | -uci)
Здает формат Юникод для выходных и входных данных.
Выводит справку в командной строке.
Заметки
• Результаты поиска с помощью команды dsquery могут быть переданы по каналу как входные данные для одного из других средств командной строки службы каталогов, например dsget, dsmod, dsmove или dsrm.
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=Mike Danseglio,CN=Users,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка отличительных имен).
Примеры
Чтобы найти все контроллеры текущего домена, введите:
dsquery server
Чтобы найти все контроллеры домена леса и вывести их относительные отличительные имена, введите:
dsquery server -o rdn -forest
Чтобы найти все контроллеры домена узла с именем United States и вывести их относительные отличительные имена, введите:
dsquery server -o rdn -site United States
Чтобы найти контроллер домена леса, удерживающий роль хозяина операций схемы, введите:
dsquery server –forest –hasfsmo schema
Чтобы найти все контроллеры домена widgets.microsoft.com, являющиеся серверами глобального каталога, введите:
dsquery server –domain widgets.microsoft.com -isgc
dsquery user
Находит пользователей в каталоге, отвечающих указанным критериям поиска. Если предварительно определенные условия поиска данной команды недостаточно точны, воспользуйтесь более общей версией команды запроса dsquery *.
Синтаксис
dsquery user [(начальный_узел| forestroot | domainroot)] [-o (dn | rdn | upn | samid)] [-scope (subtree | onelevel | base)] [-name имя] [-desc описание] [-upn UPN] [-samid имя_SAM] [-inactive число_недель] [-stalepwd число_дней] [-disabled] [(-s сервер| -d домен)] [-u имя_пользователя] [-p (пароль| *)] [-q] [-r] [-gc] [-limit число_объектов] [(-uc | -uco | -uci)]
Параметры
(начальный узел| forestroot | domainroot)
Указывает узел, с которого должен быть начат поиск. Можно указать корень леса (forestroot), корень домена (domainroot) или отличительное имя узла (начальный_узел). Если задано значение forestroot, поиск выполняется в глобальном каталоге. По умолчанию используется значение domainroot.
-o (dn | rdn | upn | samid)
Определяет формат вывода списка записей, найденных в результате поиска. Значение dn задает отображение отличительного имени каждой записи. Значение rdn задает отображение относительного отличительного имени каждой записи. Значение upn задает отображение основного имени пользователя каждой записи. Значение samid задает отображение учетной записи SAM каждой записи. По умолчанию используется формат dn.
-scope (subtree | onelevel | base)
Задает область поиска. Значение subtree задает в качестве области поддерево с корнем в начальном узле. Значение onelevel задает поиск только в дочерних объектах начального узла первого уровня. Значение base задает поиск в одном объекте, представленном как начальный узел. Если параметр начальный_узел имеет значение forestroot, единственная допустимая область поиска — поддерево. По умолчанию используется область поиска subtree.
-nameимя
Выполняет поиск пользователей, атрибут имени которых (значение атрибута CN) соответствует значению имя. Например, «jon*», «*ith» или «j*th».
-descописание
Выполняет поиск пользователей, атрибут описания которых соответствует значению описание. Например, «jon*», «*ith» или «j*th».
-upn UPN
Выполняет поиск пользователей, атрибут UPN которых соответствует значению UPN.
-samidимя_SAM
Выполняет поиск пользователей, имя учетной записи SAM которых соответствует значению имя_SAM.
-inactive число_недель
Выполняет поиск всех пользователей, которые были неактивными (устаревшие) указанное число недель.
-stalepwdчисло_дней
Выполняет поиск всех пользователей, пароли которых не изменялись указанное число дней.
-disabled
Выполняет поиск всех пользователей с отключенными учетными записями.
(-s сервер| -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-uимя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход в систему. Имя пользователя может быть задано в одном из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• основное имя пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль| *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
-r
Указывает, что в ходе поиска используется рекурсия или поиск следует по ссылкам. По умолчанию поиск не следует по ссылкам.
-gc
Задает использование поиском глобального каталога Active Directory.
-limitчисло_объектов
Задает число объектов, соответствующих заданным условиям, которое должно быть возвращено. Если параметр число_объектов имеет значение 0, будут возвращены все найденные объекты. Если этот параметр не задан, по умолчанию возвращаются 100 первых результатов.
(-uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных.
Выводит справку в командной строке.
Заметки
• Результаты поиска с помощью команды dsquery могут быть переданы по каналу как входные данные для одного из других средств командной строки службы каталогов, например dsget, dsmod, dsmove или dsrm.
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=Mike Danseglio,CN=Users,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка отличительных имен).
Примеры
Чтобы вывести основные имена пользователей данного подразделения с именами, начинающимися с «Jon», и отключенными для входа учетными записями, введите:
dsquery user OU=Test,DC=Microsoft,DC=Com -o upn -name jon* -disabled
Чтобы вывести отличительные имена пользователей текущего домена с именами, заканчивающимися на «Smith», которые были неактивны 3 недели и более, введите:
dsquery user domainroot -name *smith -inactive 3
Чтобы вывести основные имена всех пользователей подразделения, заданного значением OU=Sales,DC=Microsoft,DC=Com, введите:
dsquery user OU=Sales,DC=Microsoft,DC=Com -o upn
dsquery quota
Находит спецификации квот в каталоге, отвечающие указанным критериям поиска. Спецификация квоты определяет какое максимальное число объектов каталога могут обладать данными участниками безопасности в указанном разделе каталога. Если предварительно определенные условия поиска данной команды недостаточно точны, воспользуйтесь более общей версией команды запроса dsquery *.
Синтаксис
dsquery quota (domainroot |отличительное_имя_объекта) [-o (dn | rdn)] [-acct имя] [-qlimit фильтр] [-desc описание] [(-s сервер| -d домен)] [-u имя_пользователя] [-p (пароль|*)] [-q] [-r] [-gc] [-limit число_объектов] [(-uc | -uco | -uci)]
Параметры
(domainroot |отличительное_имя_объекта)
Обязательный параметр. Указывает, где должен начаться поиск. Чтобы задать отличительное имя (DN), используйте параметр отличительное_имя_объекта или используйте параметр domainroot, чтобы указать корень текущего домена.
-o (dn | rdn)
Определяет формат вывода списка записей, найденных в результате поиска.
dn - Показывает отличительные имена каждой записи. Этот режим используется по умолчанию
rdn - Показывает относительные отличительные имена каждой записи.
-acct имя
Задает поиск спецификаций квот, назначенный участнику безопасности (пользователю, группе, компьютеру или InetOrgPerson), представленному параметром имя. Параметр -acct может быть представлен в виде отличительного имени участника безопасности или параметра домен\имя_учетной_записи_SAM участника безопасности.
-qlimit фильтр
Задает поиск спецификаций квот, предел которых соответствует значению фильтр.
-descописание
Выполняет поиск объектов, атрибут описания которых соответствует значению описание (например, «jon*», «*ith» или «j*th»).
(-s сервер| -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-uимя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход в систему. Имя пользователя может быть задано в одном из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• основное имя пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль|*)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
-r
Указывает, что в ходе поиска используется рекурсия или поиск следует по ссылкам. По умолчанию поиск не следует по ссылкам.
-gc
Задает использование поиском глобального каталога Active Directory.
-limitчисло_объектов
Задает число объектов, соответствующих заданным условиям, которое должно быть возвращено. Если параметр число_объектов имеет значение 0, будут возвращены все найденные объекты. Если этот параметр не задан, по умолчанию возвращаются 100 первых результатов.
(-uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных.
Выводит справку в командной строке.
Заметки
• Результаты поиска с помощью команды dsquery могут быть переданы по каналу как входные данные для одного из других средств командной строки службы каталогов, например dsget, dsmod, dsmove или dsrm.
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=Mike Danseglio,CN=Users,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка отличительных имен).
• Чтобы задать значение для параметра описание, можно использовать подстановочный знак (*) (например, «NA*», «*BR» или «NA*BR»).
• Любое значение для параметра фильтр, заданное с помощью qlimit, будет читаться как строка. Этот параметр необходимо всегда заключать в кавычки. Любой ряд значений, заданный с помощью <=, = или >=, должен быть также заключен в кавычки (например, -qlimit "=100", -qlimit "<=99", -qlimit ">=101"). Чтобы найти неограниченную квоту, используйте значение «-1».
Примеры
Чтобы вывести список всех учетных записей текущего домена, имеющих назначенные им спецификации квот, введите:
dsquery quota domainroot
Чтобы вывести список пользователей с именами «Jon» в разделе домена «Sales», введите:
dsquery user -name jon* | dsquery quota domainroot -acct
dsquery partition
Находит объекты раздела в каталоге, отвечающие указанным критериям поиска. Если предварительно определенные условия поиска данной команды недостаточно точны, воспользуйтесь более общей версией команды запроса dsquery *.
Синтаксис
dsquery partition [-o (dn | rdn)] [-part фильтр] [(-s сервер| -d домен)][-u имя_пользователя] [-p (пароль|*)] [-q] [-r] [-gc] [-limit число_объектов] [(-uc | -uco | -uci)]
Параметры
-o (dn | rdn)
Определяет формат вывода списка записей, найденных в результате поиска. В следующей таблице перечислены и описаны эти форматы.
dn - Показывает отличительные имена каждой записи. Этот режим используется по умолчанию
rdn - Показывает относительные отличительные имена каждой записи.
-part фильтр
Находит объекты раздела, общее имя (CN) которого соответствует фильтру, заданному значением фильтр.
(-s сервер| -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-uимя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход в систему. Имя пользователя может быть задано в одном из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• основное имя пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль|*)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
-r
Указывает, что в ходе поиска используется рекурсия или поиск следует по ссылкам. По умолчанию поиск не следует по ссылкам.
-gc
Задает использование поиском глобального каталога Active Directory.
-limitчисло_объектов
Задает число объектов, соответствующих заданным условиям, которое должно быть возвращено. Если параметр число_объектов имеет значение 0, будут возвращены все найденные объекты. Если этот параметр не задан, по умолчанию возвращаются 100 первых результатов.
(-uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных.
Выводит справку в командной строке.
Заметки
• Результаты поиска с помощью команды dsquery могут быть переданы по каналу как входные данные для одного из других средств командной строки службы каталогов, например dsget, dsmod, dsmove или dsrm.
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=Mike Danseglio,CN=Users,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка отличительных имен).
• Чтобы задать значение для параметра описание, можно использовать подстановочный знак (*) (например, «NA*», «*BR» или «NA*BR»).
Примеры
Чтобы вывести список отличительных имен разделов каталога текущего леса, введите:
dsquery partition
Чтобы вывести список отличительных имен разделов каталога леса с именем, начинающимся с SQL, введите:
dsquery -part SQL*
dsquery *
Находит объекты в каталоге в соответствии с критериями, используя запрос LDAP.
Синтаксис
dsquery * [(отличительное_имя_объекта| forestroot | domainroot)] [-scope (subtree | onelevel | base)] [-filter фильтр_LDAP] [-attr (список_атрибутов|*)] [-attrsonly] [-l][(-s сервер| -d домен)] [-u имя_пользователя] [-p (пароль|*)] [-q] [-r] [-gc] [-limit число_объектов] [(-uc | -uco | -uci)]
Параметры
(отличительное_имя_объекта| forestroot | domainroot)
Указывает узел, с которого должен быть начат поиск. Можно указать корень леса (forestroot), корень домена (domainroot) или отличительное имя узла (отличительное_имя_объекта). Если задано значение forestroot, поиск выполняется в глобальном каталоге. По умолчанию используется значение domainroot.
-scope (subtree | onelevel | base)
Задает область поиска. Значение subtree задает в качестве области поддерево с корнем в начальном узле. Значение onelevel задает поиск только в дочерних объектах начального узла первого уровня. Значение base задает поиск в одном объекте, представленном как начальный узел. Если параметр начальный_узел имеет значение forestroot, единственная допустимая область поиска — поддерево. По умолчанию используется область поиска subtree.
-filterфильтр_LDAP
Указывает фильтр явного поиска фильтр_LDAP, заданный в формате фильтра поиска LDAP, используемого при данном поиске. Например, допустимым фильтром поиска могло бы быть условие (&(objectCategory=Person)(sn=smith*)). По умолчанию фильтр_LDAP имеет значение (objectClass=*).
-attr (список_атрибутов|*)
Указывает, что разделенные точкой с запятой отображаемые имена LDAP, включенные в список_атрибутов, являются единственными атрибутами каждой записи в списке результатов, который должен выводиться на экран. Если значение данного параметра задано звездочкой (*), в списке результатов отображаются все атрибуты объекта. Если выбран данный параметр, по умолчанию выходным форматом является формат списка, независимо от того, задан ли параметр -L. По умолчанию список_атрибутов является отличительным именем.
-attrsonly
Указывает, что отображаются только типы атрибутов, представленные в записях в списке результатов, а не их значения. По умолчанию отображаются и тип, и значение атрибута.
-l
Выводит записи в форме списка. По умолчанию записи отображаются в табличном формате. Дополнительные сведения об отображаемых форматах для данной команды см. в разделе «Примечания».
(-s сервер| -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-uимя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход в систему. Имя пользователя может быть задано в одном из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• основное имя пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль|*)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
-r
Указывает, что в ходе поиска используется рекурсия или поиск следует по ссылкам. По умолчанию поиск не следует по ссылкам.
-gc
Задает использование поиском глобального каталога Active Directory.
-limitчисло_объектов
Задает число объектов, соответствующих заданным условиям, которое должно быть возвращено. Если параметр число_объектов имеет значение 0, будут возвращены все найденные объекты. Если этот параметр не задан, по умолчанию возвращаются 100 первых результатов.
(-uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных.
Выводит справку в командной строке.
Заметки
• Результаты поиска с помощью команды dsquery могут быть переданы по каналу как входные данные для одного из других средств командной строки службы каталогов, например dsget, dsmod, dsmove или dsrm.
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=Mike Danseglio,CN=Users,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка отличительных имен).
Примеры
Чтобы вывести в форме таблицы имена учетных записей SAM, основные имена пользователей и отделов пользователей текущего домена с именем учетной записи SAM, начинающимся строкой «Jon», введите:
dsquery * domainroot -filter "((objectCategory=Person)(objectClass=User)(sAMAccountName=Jon*)) -attr sAMAccountName userPrincipalName department
Чтобы прочитать имена учетных записей SAM, основные имена пользователей и атрибуты департамента объекта с отличительным именем OU=Test,DC=Microsoft,DC=Com, введите:
dsquery * OU=Test,DC=Microsoft,DC=Com -scope base -attr sAMAccountName userPrincipalName department
Чтобы прочитать все атрибуты объекта с составным именем OU=Test,DC=Microsoft,DC=Com, введите следующую команду:
dsquery * OU=Test,DC=Microsoft,DC=Com -scope base -attr *
[newpage=Dsget]
Dsget
Показывает выбранные свойства указанного объекта в каталоге. Команды dsget включают:
• dsget computer
• dsget contact
• dsget group
• dsget ou
• dsget server
• dsget user
• dsget subnet
• dsget site
• dsget quota
• dsget partition
dsget computer
Отображает свойства компьютеров в каталоге. Имеется два варианта этой команды. Первый вариант позволяет просматривать свойства нескольких компьютеров. Второй вариант позволяет просматривать сведения о членстве одного компьютера.
Синтаксис
dsget computerразличающееся_имя_компьютера ...[-dn] [-samid][-sid][-desc][-loc][-disabled][(-s сервер | -d домен)][-u имя_пользователя] [-p (пароль | *)] [-c][-q][-l] [(-uc | -uco | -uci)][-partразличающееся_имя_раздела[-qlimit][-qused]]
dsget computer различающееся_имя_компьютера[-memberof [-expand]][(-s сервер | -d домен)][-u имя_пользователя] [-p (пароль | *)] [-c][-q][-l] [(-uc | -uco | -uci)]
Параметры
различающееся_имя_компьютера
Обязательный параметр. Задает различающиеся имена просматриваемого списка объектов компьютера. Если значения отсутствуют, они будут получены из стандартного устройства ввода (stdin) для поддержки передачи по каналу выходных данных другой команды на вход данной команды. Сравните с параметром различающееся_имя_компьютера в следующем варианте команд.
-dn
Показывает различающиеся имена компьютеров.
-samid
Показывает имена учетной записи SAM компьютера.
-sid
Показывает коды безопасности компьютера IDs (SIDs).
-desc
Показывает описания компьютеров.
-loc
Показывает размещение компьютеров.
-disabled
Показывает состояние учетных записей компьютера. Значение yes указывает, что учетная запись недействительна, значение no указывает, что учетная запись действительна.
Различающееся_имя_компьютера
Обязательный параметр. Задает различающееся имя одного обозреваемого компьютера.
-memberof
Показывает текущий список групп, членом которых является компьютер. Один конечный объект воспринимается только как входной параметр.
-expand
Показывает рекурсивно развернутый список групп, членом которых является компьютер. Этот параметр выбирает текущий список членства в группе компьютера и рекурсивно раскрывает каждую группу из списка для определения ее членства, а так же для получения полного закрытого набора групп.
( -s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-u имя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход. Имя пользователя может быть задано в одном из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• имя участника-пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-c
Создает отчет об ошибках, но продолжает обработку следующего объекта в списке аргументов, если указано несколько конечных объектов (непрерывный режим работы). Если этот параметр не задан, работа команды завершается при первой ошибке.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
-l
Выводит записи в форме списка. По умолчанию записи отображаются в табличном формате.
( -uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных. В следующей таблице перечислены и описаны эти форматы.
-part PartitionDN
Соединяет с разделом каталога с различающимся именем параметра различающееся_имя_раздела.
-qlimit
Показывает эффективные квоты компьютера в указанном разделе каталога.
-qused
Показывает, сколько квот использовал компьютер в указанном разделе каталога.
Выводит справку в командной строке.
Примечания
• Если конечный объект отсутствует в командной строке, он будет получен из стандартного устройства ввода (stdin). Данные стандартного устройства ввода могут быть получены с помощью клавиатуры, из перенаправленного файла или как выходные данные из канала от другой команды. Конец данных стандартного устройства ввода с клавиатуры или из файла помечается с помощью символа конца файла (CTRL+Z).
• Команда dsget позволяет просматривать свойства конкретного объекта в каталоге. Дополнительные сведения о использовании команды dsquery * для поиска объектов, соответствующих определенным критериям, см. по ссылке «См. также».
• Объекты, возвращенные в результате поиска с помощью команды dsquery, могут быть переданы по каналу команде dsget для получения их свойств. См. примеры.
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=DC2,OU=Domain Controllers,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка различающихся имен).
Примеры
Чтобы вывести описания всех компьютеров данного подразделения, имя которых начинается с «tst», введите:
dsquery computer OU=Test,DC=Microsoft,DC=Com -name tst* | dsget computer -desc
Чтобы вывести список рекурсивно развернутых групп, которым принадлежит «MyDBServer» данного компьютера, введите:
dsget computer CN=MyDBServer,CN=computers,DC=Microsoft,DC=Com -memberof -expand
dsget contact
Отображает различные свойства контакта в каталоге.
Синтаксис
dsget contactразличающееся_имя_контакта ...[-dn][-fn][-mi][-ln][-display][-desc][-office][-tel][-email][-hometel][-pager][-mobile][-fax][-iptel][-title][-dept][-company][(-s сервер | -d домен)][-u имя_пользователя] [-p (пароль | *)] [-c][-q][-l] [(-uc | -uco | -uci)]
Параметры
различающееся_имя_контакта
Обязательный параметр. Задает различающиеся имена просматриваемых объектов-контактов. Если значение отсутствует, оно будет взято из стандартного устройства ввода (stdin) для поддержки передачи по каналу выходных данных другой команды на вход данной команды.
-dn
Показывает различающиеся имена контактов.
-fn
Показывает имена контактов.
-mi
Показывает инициалы (отчество) контактов.
-ln
Показывает фамилии контактов.
-display
Показывает отображаемые имена контактов.
-desc
Показывает описания контактов.
-office
Показывает расположения комнат контактов.
-tel
Показывает номера телефонов контактов.
-email
Показывает адреса электронной почты контактов.
-hometel
Показывает номера домашних телефонов контактов.
-pager
Показывает номера пейджеров контактов.
-mobile
Показывает номера мобильных телефонов контактов.
-fax
Показывает номера факсов контактов.
-iptel
Показывает номера IP-телефонов контактов.
-title
Показывает должности контактов.
-dept
Показывает отделы контактов.
-company
Показывает сведения о компаниях контактов.
( -s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-u имя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход. Имя пользователя может быть задано в одном из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• имя участника-пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-c
Создает отчет об ошибках, но продолжает обработку следующего объекта в списке аргументов, если указано несколько конечных объектов (непрерывный режим работы). Если этот параметр не задан, работа команды завершается при первой ошибке.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
-l
Выводит записи в форме списка. По умолчанию записи отображаются в табличном формате.
( -uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных.
Выводит справку в командной строке.
Примечания
• Если конечный объект отсутствует в командной строке, он будет получен из стандартного устройства ввода (stdin). Данные стандартного устройства ввода могут быть получены с помощью клавиатуры, из перенаправленного файла или как выходные данные из канала от другой команды. Конец данных стандартного устройства ввода с клавиатуры или из файла помечается с помощью символа конца файла (CTRL+Z).
• Команда dsget позволяет просматривать свойства конкретного объекта в каталоге. Дополнительные сведения о использовании команды dsquery * для поиска объектов, соответствующих определенным критериям, см. по ссылке «См. также».
• Объекты, возвращенные в результате поиска с помощью команды dsquery, могут быть переданы по каналу команде dsget для получения их свойств.
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=Mike Danseglio,OU=Contacts,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка различающихся имен).
Примеры
Чтобы вывести описание или номер телефона контактов с именами Mike Danseglio и Don Funk, введите:
dsget contact "CN=Mike Danseglio,OU=Contacts,DC=Microsoft,DC=Com" "CN=Don Funk,OU=Contacts,DC=Microsoft,DC=Com" -desc -tel
dsget group
Отражает различные свойства группы, включая членов группы в каталоге. Имеется два варианта этой команды. Первый вариант позволяет просматривать свойства нескольких групп. Второй вариант позволяет просматривать сведения о членстве в одной группе.
Синтаксис
dsget groupразличающееся_имя_группы ...[-dn][-samid][-sid][-desc][-secgrp][-scope][(-s сервер | -d домен)][-u имя_пользователя] [-p (пароль | *)] [-c][-q][-l][(-uc | -uco | -uci)][-partразличающееся_имя_раздела[-qlimit][-qused]]
dsget group различающееся_имя_группы [(-memberof | -members)][-expand][(-s сервер | -d домен)][-u имя_пользователя][-p (пароль | *)] [-c][-q][-l] [(-uc | -uco | -uci)]
Параметры
Различающееся_имя_группы...
Обязательный параметр. Задает различающиеся имена просматриваемых объектов группы. Если значения отсутствуют, они будут получены из стандартного устройства ввода (stdin) для поддержки передачи по каналу выходных данных другой команды на вход данной команды. Сравните с параметром различающееся_имя_группы следующий вариант команд.
-dn
Показывает различающиеся имена групп.
-samid
Показывает имена учетных записей SAM у групп.
-sid
Показывает коды безопасности групп IDs (SIDs).
-desc
Показывает описания групп.
-secgrp
Показывает, являются ли группы группами безопасности (значение yes) или группами распространения (значение no).
-scope
Показывает, являются ли области групп локальными, глобальными или универсальными.
различающееся_имя_группы
Обязательный параметр. Задает различающееся имя обозреваемого компьютера.
( -memberof | -members)
Показывает текущий список групп, членом которых является группа (-memberof). Показывает текущий список членов группы (-members).
-expand
При использовании параметра -memberof данный параметр запрашивает повторный вывод рекурсивно развернутого списка групп, членом которого является данная группа. Этот параметр выбирает текущий список членства в группе и рекурсивно развертывает каждую группу из списка для определения ее членства, а так же для получения полного закрытого набора групп.
При использовании параметра -members данный параметр запрашивает повторный вывод рекурсивно развернутого списка членов группы. Этот параметр выбирает текущий список членов группы компьютера и рекурсивно раскрывает каждую группу из списка для определения ее членства, а так же для получения полного закрытого набора групп.
( -s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-u имя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию используется имя пользователя, с которым был выполнен вход в систему. Имя пользователя может быть задано в одном из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• имя участника-пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-c
Создает отчет об ошибках, но продолжает обработку следующего объекта в списке аргументов, если указано несколько конечных объектов (непрерывный режим работы). Если этот параметр не задан, работа команды завершается при первой ошибке.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
-l
Выводит записи в форме списка. По умолчанию записи отображаются в табличном формате.
( -uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных. В следующей таблице перечислены и описаны эти форматы.
-part PartitionDN
Соединяет с разделом каталога с различающимся именем параметра различающееся_имя_раздела.
-qlimit
Показывает эффективные квоты группы в указанном разделе каталога.
-qused
Показывает сколько квот использовано группой в указанном разделе каталога.
Выводит справку в командной строке.
Примечания
• Если конечный объект отсутствует в командной строке, он будет получен из стандартного устройства ввода (stdin). Данные стандартного устройства ввода могут быть получены с помощью клавиатуры, из перенаправленного файла или как выходные данные из канала от другой команды. Конец данных стандартного устройства ввода с клавиатуры или из файла помечается с помощью символа конца файла (CTRL+Z).
• Команда dsget позволяет просматривать свойства конкретного объекта в каталоге. Дополнительные сведения о использовании команды dsquery * для поиска объектов, соответствующих определенным критериям, см. по ссылке «См. также».
• Объекты, возвращенные в результате поиска с помощью команды dsquery, могут быть переданы по каналу команде dsget для получения их свойств. См. примеры.
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=USA Sales,OU=Distribution Lists,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка различающихся имен).
Примеры
Чтобы вывести описания всех групп данного подразделения, имя которых начинается с «adm», введите:
dsquery group OU=Test,DC=Microsoft,DC=Com -name adm* | dsget group -desc
Чтобы вывести рекурсивно развернутый список членов группы «Операторы архива», введите:
dsget group "CN=Backup Operators,OU=Test,DC=Microsoft,DC=Com" -members -expand
dsget ou
Отображает различные свойства подразделения в каталоге.
Синтаксис
dsget ouразличающееся_имя_подразделения ...[-dn] [-desc][(-s сервер | -d домен)][-u имя_пользователя] [-p (пароль | *)] [-c][-q][-l] [(-uc | -uco | -uci)]
Параметры
различающееся_имя_подразделения...
Обязательный параметр. Задает различающиеся имена просматриваемых подразделений. Если значения отсутствуют, они будут получены из стандартного устройства ввода (stdin) для поддержки передачи по каналу выходных данных другой команды на вход данной команды.
-dn
Показывает различающиеся имена подразделений.
-desc
Показывает описания подразделений.
( -s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-u имя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию используется имя пользователя, с которым был выполнен вход в систему. Имя пользователя может быть задано в одном из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• имя участника-пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-c
Создает отчет об ошибках, но продолжает обработку следующего объекта в списке аргументов, если указано несколько конечных объектов (непрерывный режим работы). Если этот параметр не задан, работа команды завершается при первой ошибке.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
-l
Выводит записи в форме списка. По умолчанию записи отображаются в табличном формате.
( -uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных.
Выводит справку в командной строке.
Примечания
• Если конечный объект отсутствует в командной строке, он будет получен из стандартного устройства ввода (stdin). Данные стандартного устройства ввода могут быть получены с помощью клавиатуры, из перенаправленного файла или как выходные данные из канала от другой команды. Конец данных стандартного устройства ввода с клавиатуры или из файла помечается с помощью символа конца файла (CTRL+Z).
• Команда dsget позволяет просматривать свойства конкретного объекта в каталоге. Дополнительные сведения о использовании команды dsquery * для поиска объектов, соответствующих определенным критериям, см. по ссылке «См. также».
• Объекты, возвращенные в результате поиска с помощью команды dsquery, могут быть переданы по каналу команде dsget для получения их свойств. См. примеры.
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "OU=Domain Controllers,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка различающихся имен).
Примеры
Чтобы вывести описания всех подразделений текущего домена, введите:
dsquery ou domainroot | dsget ou -desc
dsget server
С помощью этой команды можно просмотреть различные свойства контроллера домена, определенного в каталоге. Имеется три варианта этой команды. Первый вариант команды отображает общие свойства указанного контроллера домена. Второй вариант выводит список участников безопасности, имеющих самое большое число объектов каталога, на указанном контроллере домена. Третий вариант команды показывает список различающихся имен разделов каталога на указанном сервере.
Синтаксис
dsget serverразличающееся_имя_сервера ...[-dn] [-desc] [-dnsname] [-site] [-isgc][(-s сервер | -d домен)][-u имя_пользователя] [-p (пароль | *)] [-c][-q][-l] [(-uc | -uco | -uci)]
dsget serverразличающееся_имя_сервера[(-s сервер | -d домен)][-u имя_пользователя] [-p (пароль | *)] [-c][-q][-l] [(-uc | -uco | -uci)][-topobjownerПоказать]
dsget serverразличающееся_имя_сервера[(-s сервер | -d домен)][-u имя_пользователя] [-p (пароль | *)] [-c][-q][-l] [(-uc | -uco | -uci)][-partразличающееся_имя_раздела]
Параметры
различающееся_имя_сервера...
Обязательный параметр. Задает список различающихся имен просматриваемых объектов сервера. Если значения отсутствуют, они будут получены из стандартного устройства ввода (stdin) для поддержки передачи по каналу выходных данных другой команды на вход данной команды.
-dn
Показывает различающиеся имена серверов.
-desc
Показывает описания серверов.
-dnsname
Показывает имена DNS-узлов серверов.
-site
Показывает названия узлов, которым принадлежат серверы.
-isgc
Показывает, является ли сервер глобальным каталогом (значение yes) или нет (значение no).
( -s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-u имя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию используется имя пользователя, с которым был выполнен вход в систему. Имя пользователя может быть задано в одном из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• имя участника-пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-c
Создает отчет об ошибках, но продолжает обработку следующего объекта в списке аргументов, если указано несколько конечных объектов (непрерывный режим работы). Если этот параметр не задан, работа команды завершается при первой ошибке.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
-l
Выводит записи в форме списка. По умолчанию записи отображаются в табличном формате.
( -uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных. В следующей таблице перечислены и описаны эти форматы.
-part различающееся_имя_раздела
Соединяет с разделом каталога с различающимся именем параметра различающееся_имя_раздела.
-topobjowner Показать
Показывает отсортированный список участников безопасности (пользователей, компьютеров, групп безопасности и inetOrgPersons), владеющих самым большим числом объектов каталога во всех разделах каталога на сервере, и число принадлежащих им объектов каталога. Число отображаемых учетных записей в списке определяется параметром Показать. Чтобы вывести всех владельцев объектов, введите значение 0. Если параметр Показать не указан, число участников в списке по умолчанию составляет 10.
Выводит справку в командной строке.
Примечания
• Если конечный объект отсутствует в командной строке, он будет получен из стандартного устройства ввода (stdin). Данные стандартного устройства ввода могут быть получены с помощью клавиатуры, из перенаправленного файла или как выходные данные из канала от другой команды. Конец данных стандартного устройства ввода с клавиатуры или из файла помечается с помощью символа конца файла (CTRL+Z).
• Команда dsget позволяет просматривать свойства конкретного объекта в каталоге. Дополнительные сведения о использовании команды dsquery * для поиска объектов, соответствующих определенным критериям, см. по ссылке «См. также».
• Объекты, возвращенные в результате поиска с помощью команды dsquery, могут быть переданы по каналу команде dsget для получения их свойств. См. примеры.
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=My Server,CN=Servers,CN=Site10,CN=Sites,CN=Configuration,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка различающихся имен).
• Свойства, запрашиваемые данной командой, могут располагаться либо в объекте «Сервер» на контроллере домена, либо в соответствующем серверу объекте NTDSDSA.
Примеры
Чтобы найти все контроллеры домена с именем widgets.microsoft.com и вывести их имена узлов DNS, а также название узла, введите:
dsquery server -domain widgets.microsoft.com | dsget server -dnsname -site
Чтобы выяснить является ли котроллер с именем DC1 сервером глобального каталога, введите:
dsget server CN=DC1,CN=Servers,CN=Site10,CN=Sites,CN=Configuration,DC=Microsoft,DC=Com -isgc
Чтобы вывести отсортированный список участников безопасности, имеющих максимальное число объектов контроллера домена с именем server1.widgets.microsoft.com, введите:
dsget server CN=server1,CN=widgets,DC=Microsoft,DC=com -topobjowner
dsget user
Отображает различные свойства пользователя в каталоге. Имеется два варианта этой команды. Первый вариант позволяет просматривать свойства нескольких пользователей. Второй вариант позволяет просматривать сведения о членстве в группе одного пользователя.
Синтаксис
dsget userразличающееся_имя_пользователя ...[-dn][-samid] [-sid][-upn] [-fn] [-mi] [-ln] [-display] [-empid][-desc][-office] [-tel] [-email] [-hometel] [-pager] [-mobile][-fax] [-iptel][-webpg][-title][-dept][-company][-mgr][-hmdir][-hmdrv][-profile][-loscr][-mustchpwd][-canchpwd][-pwdneverexpires][-disabled][-acctexpires][-reversiblepwd][(-uc | -uco | -uci)][-partразличающееся_имя_раздела[-qlimit][-qused]]
dsget user различающееся_имя_пользователя[-memberof] [-expand][(-uc | -uco | -uci)]
Параметры
Различающееся_имя_пользователя
Обязательный параметр. Задает различающиеся имена просматриваемых объектов пользователя. Если значения отсутствуют, они будут получены из стандартного устройства ввода (stdin) для поддержки передачи по каналу выходных данных другой команды на вход данной команды. Сравните с параметром различающееся_имя_пользователя в следующем варианте команды.
-dn
Показывает различающиеся имена пользователей.
-samid
Показывает имена учетных записей SAM пользователей.
-sid
Показывает коды безопасности пользователей IDs (SIDs).
-upn
Показывает основные имена пользователей.
-fn
Показывает имена пользователей.
-mi
Показывает инициалы (отчество) пользователей.
-ln
Показывает фамилии пользователей.
-display
Показывает отображаемые имена пользователей.
-empid
Показывает коды сотрудников для пользователей.
-desc
Показывает описания пользователей.
-full
Показывает полные имена пользователей.
-office
Показывает расположения комнат пользователей.
-tel
Показывает номера телефонов пользователей.
-email
Показывает адреса электронной почты пользователей.
-hometel
Показывает номера домашних телефонов пользователей.
-pager
Показывает номера пейджеров пользователей.
-mobile
Показывает номера мобильных телефонов пользователей.
-fax
Показывает номера факсов пользователей.
-iptel
Показывает номера IP-телефонов пользователей.
-webpg
Показывает адреса веб-страниц (URLs) пользователей.
-title
Показывает должности пользователей.
-dept
Показывает отделы пользователей.
-company
Показывает сведения о компаниях пользователей.
-mgr
Показывает сведения о руководителях пользователей.
-hmdir
Показывает букву диска, с которой сопоставлен основной каталог пользователя, если путем к основному каталогу является путь UNC.
-hmdrv
Показывает имя диска основного каталога пользователя, представленного путем UNC.
-profile
Показывает пути к профилю пользователей.
-loscr
Показывает путь к сценарию входа пользователей.
-mustchpwd
Показывает, должны ли пользователи сменить свои пароли при следующем входе (значение yes) или нет (значение no).
-canchpwd
Показывает, могут ли пользователи менять свои пароли (значение yes) или нет (значение no).
-pwdneverexpires
Показывает, ограничены ли сроки действия паролей пользователей (значение no) или нет (значение yes).
-disabled
Показывает, запрещен ли вход с учетными записями пользователей (значение yes) или нет (значение no).
-acctexpires
Показывает даты истечения срока действия учетных записей пользователей. Если срок действия учетных записей не ограничен, отображается значение never.
-reversiblepwd
Показывает, могут ли сохраняться пароли пользователей, используя обратимое шифрование (значение yes) или нет (значение no).
различающееся_имя_пользователя
Обязательный параметр. Задает различающееся имя обозреваемого пользователя.
-memberof
Показывает текущий список групп, членом которых является пользователь.
-expand
Показывает рекурсивно развернутый список групп, членом которых является пользователь. Этот параметр выбирает текущий список членства в группе пользователя и рекурсивно развертывает каждую группу из списка для определения ее членства, а так же для получения полного закрытого набора групп.
( -uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных. В следующей таблице перечислены и описаны эти форматы.
-part PartitionDN
Соединяет с разделом каталога с различающимся именем параметра различающееся_имя_раздела.
-qlimit
Показывает эффективные квоты пользователя в указанном разделе каталога.
-qused
Показывает сколько квот использовано пользователем в указанном разделе каталога.
Выводит справку в командной строке.
Примечания
• Если конечный объект отсутствует в командной строке, он будет получен из стандартного устройства ввода (stdin). Данные стандартного устройства ввода могут быть получены с помощью клавиатуры, из перенаправленного файла или как выходные данные из канала от другой команды. Конец данных стандартного устройства ввода с клавиатуры или из файла помечается с помощью символа конца файла (CTRL+Z).
• Команда dsget позволяет просматривать свойства конкретного объекта в каталоге. Дополнительные сведения о использовании команды dsquery * для поиска объектов, соответствующих определенным критериям, см. по ссылке «См. также».
• Объекты, возвращенные в результате поиска с помощью команды dsquery, могут быть переданы по каналу команде dsget для получения их свойств. См. примеры.
• Параметр -canchpwd оценивает может ли пользователь изменить свой пароль. Эта оценка связана с тем, каким образом интерпретируются списки управления доступом (ACL) к объекту для получения положительного или отрицательного ответа. Достичь абсолютной уверенности, что пользователь может изменить пароль, можно только попытавшись это сделать. Этот неавторитетный ответ не относится к данному средству командной строки, но так же присущ диалоговому окну «Свойства пользователя» в окне «Active Directory — пользователи и компьютеры» из объекта «Консоль управления (MMC)».
• Если для команды пользователя dsget не указаны параметры конкретного свойства, в набор свойств пользователя по умолчанию включено следующее: различающееся имя, имя учетной записи SAM и описание.
• Если параметр -memberof не задан, изменяются все остальные параметры, и выводится только список членства пользователя.
Примеры
Чтобы найти всех пользователей данного подразделения с именем, начинающимся с «jon», и вывести их описания, введите:
dsquery user OU=Test,dc=ms,dc=tld -name jon* | dsget user -desc
Чтобы вывести список рекурсивно развернутых групп, которым принадлежит пользователь «Mike Danseglio», введите:
dsget user "CN=Mike Danseglio,CN=users,dc=ms,dc=tld" -memberof -expand
dsget subnet
Показывает свойства подсети, определенной в каталоге.
Синтаксис
dsget subnetразличающееся_имя_подсети ...[-dn][-desc] [-loc] [-site][(-s сервер | -d домен)][-u имя_пользователя] [-p (пароль | *)][-c][-q][-l] [(-uc | -uco | -uci)]
Параметры
различающееся_имя_подсети...
Обязательный параметр. Задает общие имена одной или нескольких обозреваемых подсетей.
-dn
Показывает различающиеся имена подсетей. Если значения отсутствуют, они будут получены из стандартного устройства ввода (stdin) для поддержки передачи по каналу выходных данных другой команды на вход данной команды.
-desc
Показывает описания подсетей.
-loc
Показывает размещение подсетей.
-site
Показывает названия узлов, ассоциированных с подсетями.
( -s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-u имя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию используется имя пользователя, с которым был выполнен вход в систему. Имя пользователя может быть задано в одном из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• имя участника-пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-c
Создает отчет об ошибках, но продолжает обработку следующего объекта в списке аргументов, если указано несколько конечных объектов (непрерывный режим работы). Если этот параметр не задан, работа команды завершается при первой ошибке.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
-l
Выводит записи в форме списка. По умолчанию записи отображаются в табличном формате.
( -uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных.
Выводит справку в командной строке.
Примечания
• Если конечный объект отсутствует в командной строке, он будет получен из стандартного устройства ввода (stdin). Данные стандартного устройства ввода могут быть получены с помощью клавиатуры, из перенаправленного файла или как выходные данные из канала от другой команды. Конец данных стандартного устройства ввода с клавиатуры или из файла помечается с помощью символа конца файла (CTRL+Z).
• Команда dsget позволяет просматривать свойства конкретного объекта в каталоге. Дополнительные сведения о использовании команды dsquery * для поиска объектов, соответствующих определенным критериям, см. по ссылке «См. также».
• Объекты, возвращенные в результате поиска с помощью команды dsquery, могут быть переданы по каналу команде dsget для получения их свойств.
• Если введенное значение содержит пробелы, его следует заключить в кавычки.
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка общих имен).
Примеры
Чтобы отобразить дополнительные свойства подсетей 206.73.118.0/24 и 207.209.68.0/24, введите:
dsget subnet "206.73.118.0/24" "207.209.68.0/24"
dsget site
Отображает различные свойства узла, определенного в каталоге.
Синтаксис
dsget site общее_имя_узла ...[-dn] [-desc] [-autotopology] [-cachegroups] [-prefGCsite][(-s сервер | -d домен)][-u имя_пользователя] [-p (пароль | *)] [-c][-q][-l] [(-uc | -uco | -uci)]
Параметры
общее_имя_узла...
Обязательный параметр. Задает общее имя одного или нескольких обозреваемых узлов. Если значения отсутствуют, они будут получены из стандартного устройства ввода (stdin) для поддержки передачи по каналу выходных данных другой команды на вход данной команды.
-dn
Показывает различающиеся имена узлов.
-desc
Показывает описания узлов.
-autotopology
Показывает, включена ли автоматическая генерация топологии между указанными узлами (значение yes) или нет (значение no).
-cachegroups
Показывает, выполняется ли кэширование членства в универсальной группе для данного узла (значение yes) или нет (значение no) для поддержки входов в систему, не проверяющих глобальный каталог.
-prefGCsite
Показывает имя узла предпочитаемого глобального каталога, используемое для обновления выполняемого кэширования членства в универсальной группе для контроллера домена узла.
( -s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-u имя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию используется имя пользователя, с которым был выполнен вход в систему. Имя пользователя может быть задано в одном из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• имя участника-пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-c
Создает отчет об ошибках, но продолжает обработку следующего объекта в списке аргументов, если указано несколько конечных объектов (непрерывный режим работы). Если этот параметр не задан, работа команды завершается при первой ошибке.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
-l
Выводит записи в форме списка. По умолчанию записи отображаются в табличном формате.
( -uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных.
Выводит справку в командной строке.
Примечания
• Если конечный объект отсутствует в командной строке, он будет получен из стандартного устройства ввода (stdin). Данные стандартного устройства ввода могут быть получены с помощью клавиатуры, из перенаправленного файла или как выходные данные из канала от другой команды. Конец данных стандартного устройства ввода с клавиатуры или из файла помечается с помощью символа конца файла (CTRL+Z).
• Команда dsget позволяет просматривать свойства конкретного объекта в каталоге. Дополнительные сведения о использовании команды dsquery * для поиска объектов, соответствующих определенным критериям, см. по ссылке «См. также».
• Объекты, возвращенные в результате поиска с помощью команды dsquery, могут быть переданы по каналу команде dsget для получения их свойств. См. примеры.
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=Mike Danseglio,CN=Users,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка различающихся имен).
Примеры
Чтобы найти все узлы в составе леса и вывести их описания, введите:
dsquery site | dsget site -dn -desc
dsget quota
Отображает свойства спецификации квот, определенной в каталоге. Спецификация квоты определяет какое максимальное число объектов каталога могут обладать данными участниками безопасности в указанном разделе каталога.
Синтаксис
dsget quota различающееся_имя_объекта ... [-dn] [-acct] [-qlimit] [(-s сервер | -d домен)][-u имя_пользователя] [-p (пароль | *)] [-c][-q][-l] [(-uc | -uco | -uci)]
Параметры
различающееся_имя_объекта ...
Обязательный параметр. Задает различающиеся имена просматриваемых объектов квот. Если значения отсутствуют, они будут получены из стандартного устройства ввода (stdin) для поддержки передачи по каналу выходных данных другой команды на вход данной команды.
-dn
Показывает различающиеся имена объектов квот.
-acct
Показывает различающиеся имена учетных записей, к которым применяются квоты.
-qlimit
Показывает предельную квоту для указанных квот. Значение неограниченной квоты «-1».
( -s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-u имя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию используется имя пользователя, с которым был выполнен вход в систему. Имя пользователя может быть задано в одном из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• имя участника-пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-c
Создает отчет об ошибках, но продолжает обработку следующего объекта в списке аргументов, если указано несколько конечных объектов (непрерывный режим работы). Если этот параметр не задан, работа команды завершается при первой ошибке.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
-l
Выводит записи в форме списка. По умолчанию записи отображаются в табличном формате.
( -uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных.
Выводит справку в командной строке.
Примечания
• Если конечный объект отсутствует в командной строке, он будет получен из стандартного устройства ввода (stdin). Данные стандартного устройства ввода могут быть получены с помощью клавиатуры, из перенаправленного файла или как выходные данные из канала от другой команды. Конец данных стандартного устройства ввода с клавиатуры или из файла помечается с помощью сочетания клавиш Control+Z или символа конца файла (EOF).
• Если дополнительные параметры не указаны, показываются все различающиеся имена спецификаций квот, учетных записей, к которым применяются квоты, а также предельные квоты.
• Команда dsget позволяет просматривать свойства конкретного объекта в каталоге. Дополнительные сведения о использовании команды dsquery * для поиска объектов, соответствующих определенным критериям, см. по ссылке «См. также».
• Объекты, возвращенные в результате поиска с помощью команды dsquery, могут быть переданы по каналу команде dsget для получения их свойств. Дополнительные сведения по этой теме см. в разделе «Примеры».
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=Mike Danseglio,CN=Users,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка различающихся имен).
Примеры
Чтобы отобразить учетную запись, к которой применяется квота, и предельную квоту для спецификации квот «CN=quota1,dc=marketing,dc=northwindtraders,dc=com», введите:
dsget quota CN=quota1,dc=marketing,dc=northwindtraders,dc=com -acct -qlimit
dsget partition
Отображение свойств раздела каталога.
Синтаксис
dsget partition различающееся_имя_объекта ... [-dn] [-qdefault] [-qtmbstnwt] [-topobjownerПоказать] [(-s сервер | -d домен)][-u имя_пользователя] [-p (пароль | *)] [-c][-q][-l] [(-uc | -uco | -uci)]
Параметры
различающееся_имя_объекта ...
Обязательный параметр. Задает различающиеся имена (DN) просматриваемых объектов раздела. Если значения отсутствуют, они будут получены из стандартного устройства ввода (stdin) для поддержки передачи по каналу выходных данных другой команды на вход данной команды.
-dn
Показывает различающиеся имена объектов раздела каталога.
-qdefault
Показывает значение квоты по умолчанию, применяемое к любому участнику безопасности (например, пользователь, группа, компьютер или iNetOrgPerson), создавая объект в разделе каталога, если данный участник не управляется какой-либо конкретной спецификацией квот. Значение неограниченной квоты «-1».
-qtmbstnwt
Показывает процент, на который должен уменьшиться счетчик объекта захоронения при подсчете использования квот.
-topobjowner Показать
Показывает отсортированный список участников безопасности (пользователей, компьютеров, групп безопасности и inetOrgPersons), владеющих самым большим числом объектов в указанном разделе каталога на сервере, и число принадлежащих им объектов каталога. Параметр Показать задает число отображаемых учетных записей в списке. Чтобы вывести всех владельцев объектов, введите значение 0. Если параметр Показать не указан, число участников в списке по умолчанию составляет 10.
( -s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-u имя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию используется имя пользователя, с которым был выполнен вход в систему. Имя пользователя может быть задано в одном из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• имя участника-пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-c
Создает отчет об ошибках, но продолжает обработку следующего объекта в списке аргументов, если указано несколько конечных объектов (непрерывный режим работы). Если этот параметр не задан, работа команды завершается при первой ошибке.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
-l
Выводит записи в форме списка. По умолчанию записи отображаются в табличном формате.
( -uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных.
Выводит справку в командной строке.
Примечания
• Если конечный объект отсутствует в командной строке, он будет получен из стандартного устройства ввода (stdin). Данные стандартного устройства ввода могут быть получены с помощью клавиатуры, из перенаправленного файла или как выходные данные из канала от другой команды. Конец данных стандартного устройства ввода с клавиатуры или из файла помечается с помощью сочетания клавиш CTRL+Z или символа конца файла (EOF).
• Если не заданы никакие дополнительные параметры, выводится различающееся имя объекта раздела каталога.
• Если задан параметр -topobjowner, все остальные параметры изменяются таким образом, что отображаются только результаты работы параметра -topobjowner.
• Команда dsget позволяет просматривать свойства конкретного объекта в каталоге. Дополнительные сведения о использовании команды dsquery * для поиска объектов, соответствующих определенным критериям, см. по ссылке «См. также».
• Объекты, возвращенные в результате поиска с помощью команды dsquery, могут быть переданы по каналу команде dsget для получения их свойств. Дополнительные сведения по этой теме см. в разделе «Примеры».
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=Mike Danseglio,CN=Users,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка различающихся имен).
Примеры
Чтобы отобразить все разделы каталога в составе леса northwindtraders.com, начинающихся с «application», вместе с тремя первыми владельцами объектов из каждого раздела, введите: "CN=quota1,dc=marketing,dc=northwindtraders,dc=com". Затем введите:
dsquery server -forest -part application* | dsget server -part | dsget partition -topjobowner 3
[newpage=Ldifde]
Ldifde
Создает, изменяет и удаляет объекты папок на компьютерах с операционной системой Windows Server 2003 или Windows XP Professional;. Пользователь может также использовать Ldifde для расширения схемы, экспорта сведений Active Directory о пользователе и группе в другие приложения или службы и для заполнения Active Directory данными из других служб каталогов.
Синтаксис
Ldifde [-i] [-f имя_файла] [-s имя_сервера] [-c строка1 строка2] [-v] [-j путь] [-t номер_порта] [-d отличительное_имя_базы] [-r фильтр_LDAP] [-p область] [-l список_атрибутов_LDAP] [-o список_атрибутов_LDAP] [-g] [-m] [-n] [-k] [-a отличительное_имя_пользователя пароль] [-b имя_пользователя домен пароль] [-?]
Параметры
-i
Определяет режим работы программы. Если параметр не определен, по умолчанию программа работает в режиме экспорта.
-f имя_файла
Определяет имя файла для импорта или экспорта.
-s имя_сервера
Определяет контроллер домена, выполняющий операцию импорта или экспорта. По умолчанию Ldifde выполняется на контроллере домена, на котором установлена программа Ldifde.
-c строка1 строка2
Заменяет все встречающиеся значения строка1 на строка2. Обычно используется в случае, когда производится импорт данных из одного домена в другой и при этом необходимо заменить отличительное имя домена, производящего экспорт (строка1), именем импортирующего домена (строка2).
-v
Включение режима вывода дополнительной информации.
-j путь
Задает размещение файла журнала. По умолчанию используется текущий путь.
-t номер_порта
Определяет номер порта LDAP. По умолчанию используется порт LDAP 389. Портом глобального каталога является 3268.
-d отличительное_имя_базы
Задает отличительное имя базы поиска для экспорта данных.
-r фильтр_LDAP
Создает фильтр поиска LDAP для экспорта данных. Например, для экспорта всех пользователей с конкретной фамилией, можно использовать следующий фильтр -r (and(objectClass=Пользователь)(sn=Фамилия))
-p область
Задает область поиска. Может принимать значения: Base, OneLevel или SubTree.
-l список_атрибутов_LDAP
Задает список атрибутов, возвращаемых в результатах выборки экспорта. Если данный параметр пропущен, возвращаются все атрибуты.
-o список_атрибутов_LDAP
Задает список атрибутов, исключаемых из результатов запроса экспорта. Обычно этот параметр используется при экспорте объектов из Active Directory с последующим импортом в другой LDAP-совместимый каталог. Если какие-либо атрибуты не поддерживаются другим каталогом, их можно исключить из набора результатов с помощью данного параметра.
-g
Исключение постраничных поисков.
-m
Пропуск атрибутов, применяемых только к объектам Active Directory, таких как атрибуты ObjectGUID, objectSID, pwdLastSet и samAccountType.
-n
Исключение экспорта двоичных значений.
-k
Игнорирование ошибок во время выполнения импорта и продолжение обработки. Ниже приведен полный список пропускаемых ошибок:
• объект уже является членом группы;
• нарушение класса объекта (означающее, что указанный класс объекта не существует), если импортируемый объект не имеет других атрибутов;
• объект уже существует;
• нарушение ограничения;
• атрибут или значение уже существует.
• отсутствие бъекта;
-a отличительное_имя_пользователя пароль
Задает выполнение команды с использованием указанных параметров: отличительное_имя_пользователя и пароль. По умолчанию команда выполняется с использованием учетных данных, с которыми пользователь вошел в сеть.
-b имя_пользователя домен пароль
Задает выполнение команды с использованием указанных параметров имя_пользователя домен пароль. По умолчанию команда выполняется с использованием учетных данных, с которыми пользователь вошел в сеть.
Отображение меню команд.
Примечания
• При создании файла импорта для команды Ldifde, используйте значение changeType чтобы определить тип изменений в файле импорта. Доступны следующие значения changeType:
- add --- Указывает на то, что в файле импорта имеется новое содержимое
- modify --- Указывает на то, что существующее содержимое файла импорта изменилось.
- delete --- Указывает на то, что содержимое файла импорта было удалено.
Далее показан пример LDIF формата файла импорта, использующего значение add.
DN: CN=пример_пользователя,DC=имя_домена
changetype: add
CN: пример_пользователя
description: описание_файла
objectClass: пользователь
sAMAccountName: пример_пользователя
Примеры
Для извлечения только отличительного имени, обычного имени, имени пользователя, фамилии и номера телефона возвращаемых объектов, введите:
-l отличительное_имя, CN, указанное_имя, SN, телефон
Чтобы пропустить GUID объекта, введите:
-o когда_создан, когда_изменен, GUID_объекта
[newpage=Ntdsutil]
Ntdsutil
Ntdsutil.exe — средство командной строки, предоставляющее средства управления для Active Directory. С помощью программы Ntdsutil.exe можно осуществлять поддержку Active Directory базами данных, управление и контроль над операциями с единственным хозяином, а также удаление метаданных, оставленных контроллерами домена, которые были некорректно удалены из сети. Этот инструмент предназначен для использования опытными администраторами.
• Принудительное восстановление
• Configurable settings
• Domain management
• Files
• IPDeny List
• LDAP policies
• Metadata cleanup
• Roles
• Security account management
• Semantic database analysis
• Set DSRM Password
Принудительное восстановление
Восстанавливает контроллеры домена на определенный момент времени и отмечает объекты в Active Directory как управляющие по отношению к своим партнерам репликации. В лесах с функциональным уровнем Windows Server 2003 или промежуточным функциональным уровнем Windows Server 2003 этот параметр также восстанавливает обратные ссылки для ссылок, созданных после повышения функционального уровня. (Например, обновляются атрибуты членов групп, к которым принадлежит восстановленный объект пользователя.) На контроллерах домена, на которых работает версия Ntdsutil из комплекта программ поддержки Windows, поставляемых вместе с Windows Server 2003 с пакетом обновления 1 (SP1), принудительное восстановление создает файл LDIF (формат обмена данными LDAP), с помощью которого можно восстанавливать обратные ссылки для ссылок, созданных перед повышением функционального уровня.
В командной строке authoritative restore: введите любой из параметров, перечисленных в разделе Синтаксис.
Синтаксис
(create ldif file(s) from %s|restore database|restore database verinc %d|restore object %s|restore object verinc %d|restore subtree %s|restore subtree %s verinc %d)
Параметры
create ldif file(s) from %s
Доступен в версии Ntdsutil, входящей в комплект Windows Server 2003 SP1. Этот параметр создает файл LDIF, или файл обновлений ссылок, из созданного Ntdsutil текстового файла, имя которого указано в параметре %s. С помощью этого файла можно обновить обратные ссылки на объекты в домене, отличном от домена восстанавливаемого объекта. Например, с помощью этого файла можно восстановить членство в группе для пользователя в случае, если группа и пользователь относятся к разным доменам.
restore database
Отмечает весь файл Ntds.dit (разделы каталога домена и конфигурации, управляемые контроллером домена) как управляющий. Схему нельзя принудительно восстановить.
restore database verinc %d
Отмечает весь файл Ntds.dit (разделы каталога домена и конфигурации, управляемые контроллером домена) как управляющий и увеличивает номер версии на число дней после резервного копирования, умноженное на %d. Используйте этот параметр только для принудительного восстановления после предыдущего неверного принудительного восстановления, например в случае принудительного восстановления резервной копии, содержащей неполадку, которую требуется восстановить.
%d
Числовое значение, используемое вместо значения по умолчанию 100 000. Номер версии принудительно восстановленных объекта или базы данных увеличивается на это значение, умноженное на число дней, прошедшее с момента резервного копирования.
restore object %s
Отмечает объект %s как управляющий. При использовании версии Ntdsutil, входящей в комплект Windows Server 2003 SP1, этот параметр также создает текстовый файл, который содержит различающееся имя восстанавливаемого объекта и файл LDIF, с помощью которого можно восстанавливать обратные ссылки для принудительно восстановленных объектов (например, членство пользователей в группах).
restore object %s verinc %d
Отмечает объект %sкак управляющий и обновляет ссылки так же, как указано в описании параметра restore object %s, а также увеличивает номер версии на число дней с момента резервного копирования, умноженное на %d. Используйте этот параметр только для принудительного восстановления после предыдущего неверного принудительного восстановления, например в случае принудительного восстановления резервной копии, содержащей неполадку, которую требуется восстановить.
restore subtree%s
Отмечает поддерево %s (и все дочерние элементы поддерева) как управляющие. При использовании версии Ntdsutil, входящей в комплект Windows Server 2003 SP1, этот параметр также создает текстовый файл, который содержит различающиеся имена восстанавливаемых объектов и файл LDIF, с помощью которого можно восстанавливать обратные ссылки для принудительно восстановленных объектов (например, членство пользователей в группах).
restore subtree%sverinc%d
Отмечает поддерево %s (и все дочерние элементы поддерева) как управляющие и обновляет ссылки так же, как указано в описании параметра restore subtree %s, а также увеличивает номер версии на число дней с момента резервного копирования, умноженное на %d. Используйте этот параметр только для принудительного восстановления после предыдущего неверного принудительного восстановления, например в случае принудительного восстановления резервной копии, содержащей неполадку, которую требуется восстановить.
%s
Алфавитно-цифровая переменная, которая представляет собой либо различающееся имя восстанавливаемого объекта или поддерева, либо имя текстового файла, на основе которого создается файл LDIF.
quit
Возврат в предыдущее меню или выход из программы.
или help
Выводит справку в командной строке.
Примечания
• Режим восстановления контроллера домена с помощью программ архивации и восстановления, например программы Ntbackup или аналогичных программ других поставщиков, по умолчанию непринудительный. Это значит, что восстанавливаемый сервер приводится к текущему состоянию со своими репликами с помощью обычного механизма репликации. Например, если контроллер домена восстановлен из архива, который хранится на физическом носителе в течение двух недель, то при перезапуске обычный механизм репликации приводит контроллер домена к текущему состоянию в соответствии с его партнерами репликации.
• Принудительное восстановление можно производить в случае, если администратор случайно удалит подразделение, содержащее большое число пользователей. При случайном удалении подразделения восстановление сервера с физического носителя нельзя произвести с помощью обычного процесса репликации. Команда Authoritative restore позволяет отметить подразделение как управляющее и принудить процесс репликации восстановить его на всех контроллерах домена в данном домене.
Configurable settings
С помощью этой команды можно изменять срок жизни (TTL) динамических данных, размещенных в Active Directory. На приглашение командной строки configurable setting введите любой из параметров, перечисленных в разделе Синтаксис.
Синтаксис
(cancel changes|connections|list|set %s to %s|show values)
Параметры
cancel changes
Сбрасывает изменения, которые еще не были зафиксированы.
connections
Открывает подменю server connections.
list
Отображает список поддерживаемых настраиваемых параметров.
set%sto%s
Присваивает параметру %s1 значение %s2.
show values
Отображает значения настраиваемых параметров.
%s
Алфавитно-цифровая переменная, например имя домена или контроллера домена.
quit
Возврат в предыдущее меню или выход из программы.
или help
Выводит справку в командной строке.
Domain management
Позволяет администраторам, входящим в группу администраторов, подготавливать серверные и составные справочные объекты в каталоге. На приглашение командной строки domain management введите любой из параметров, перечисленных в разделе Синтаксис.
Синтаксис
(add nc replica %s %s|connections|create nc %s %s|remove nc replica %s %s|list|list nc information %s|list nc replicas %s|precreate %s %s|delete NC %s|select operation target|set nc reference domain %s %s|set nc reference domain %s %s|set nc replicate notification delay %s %d %d)
Параметры
add nc replica%s %s
Добавляет контроллер домена %s2 в набор реплик для раздела каталога приложений %s1. Если не указано значение %s2, по умолчанию используется контроллер домена, с которым имеется подключение.
connections
Открывает подменю Server connections.
create nc%s %s
Создает раздел каталога приложений %s1 на контроллере домена %s2. Если не указано значение %s2, используется текущее подключение к контроллеру домена. Чтобы не указывать аргумент, введите (NULL).
remove nc replica%s %s
Удаляет контроллер домена %s2 из набора репликаций для раздела каталога приложений %s1. Если не указано значение %s2, используется текущее подключение к контроллеру домена.
list
Отображает список всех известных контекстов именования — контекстов именований схем и конфигураций, а также всех доменных контекстов именования.
list nc information%s
Выводит на экран домен ссылок и задержки репликаций для раздела каталога приложений.
list nc replicas%s
Отображает список контроллеров домена в наборе репликаций для раздела каталога приложений %s. Следует учесть, что этот список может содержать реплики раздела каталога приложений, которые не обязательно полностью реплицированы.
precreate%s %s
Создает объект перекрестной ссылки для домена %s1, позволяя повысить сервер %s2 до контроллера домена в данном домене. Доменное имя необходимо указать, используя полное составное имя, а имя сервера — используя полное имя DNS.
delete nc%s
Удаляет раздел каталога приложений %s. Перед удалением раздела каталога приложений необходимо удалить все реплики, а их удаление реплицировать назад на хозяина именования домена.
select operation target
Открывает подменю Select operation target.
set nc reference domain%s %s
Устанавливает домен ссылок для раздела каталога приложений %s1 как домен %s2. Имя домена %s2 необходимо указать в формате доменных имен DNS. Пример: widgets.microsoft.com.
set nc replicate notification delay%s %d %d
Устанавливает задержки уведомления %s раздела каталога приложений. Задержка между уведомлениями первого контроллера домена об изменениях принимает значение %d1, а задержка между уведомлениями остальных контроллеров домена об изменениях — значение %d2.
%s
Алфавитно-цифровая переменная, например имя домена или контроллера домена.
%d
Числовая переменная, например время задержки репликации.
quit
Возврат в предыдущее меню или выход из программы.
или help
Выводит справку в командной строке.
Files
Предоставляет команды для управления данными службы каталогов и файлами журналов. Имя файла данных — Ntds.dit. На приглашение командной строки files: введите один из параметров, перечисленных в разделе Синтаксис.
Синтаксис
(compact to %s|header|info|integrity|move DB to %s|move logs to %s|recover|set path backup %s|set path db %s|set path logs %s|set path working dir %s)
Параметры
compact to%s (где %s — пустой каталог назначения)
Запускает программу Esentutl.exe, чтобы произвести сжатие существующего файла с данными, а затем записывает сжатый файл в указанную папку. Папка может быть удаленной. Ее можно подключить командой net use или другим аналогичным способом. После завершения сжатия следует сохранить в архив старый файл данных и заменить его новым сжатым файлом данных. Команда ESENT поддерживает удаленное сжатие, однако при этом только меняется порядок страниц в файле данных, и после сжатия пространство на диске не освобождается. (Служба каталогов регулярно проводит удаленное сжатие файлов).
header
Выводит на экран заголовок файла данных Ntds.dit. Эту команду используют сотрудники службы технической поддержки при анализе неполадок в базе данных.
info
Анализирует и создает отчеты о свободном пространстве на дисках, установленных в системе, а также считывает данные реестра и создает отчеты о размерах файлов данных и файлов журналов. (Служба каталогов обслуживает раздел реестра, в котором содержатся данные о расположении файлов данных, файлов журналов и рабочей папки службы каталогов).
integrity
Запускает программу Esentutl.exe для выполнения проверки целостности файла с данными. С ее помощью в базе данных можно обнаружить любое повреждение низкого уровня. Программа считывает каждый байт файла данных; поэтому может потребоваться много времени для обработки больших баз данных. Отметьте, что перед выполнением проверки целостности всегда необходимо выполнять восстановление.
move DB to%s (где %s — каталог назначения)
Перемещает файл данных Ntds.dit в новый каталог, определяемый параметром %s и обновляет реестр. После перезапуска служба каталогов использует это новое расположение.
move logs to%s(где%s — каталог назначения)
Перемещает файлы журналов службы каталогов в новую папку %s и обновляет реестр. После перезапуска системы служба каталогов использует это новое расположение.
recover
Запускает программу Esentutl.exe для выполнения мягкого восстановления базы данных. При мягком восстановлении производится сканирование файлов журналов и проверка наличия записей для всех завершенных транзакций. Программа архивации операционной системы Windows 2000 при необходимости очищает файлы журналов. Журналы используются для регистрации всех совершенных транзакций и сохраняются в случае сбоя системы или внезапного отключения питания. Следует добавить, что данные транзакций сохраняются сначала в файле журнала, а затем в файле данных. При загрузке после сбоя системы можно заново запустить журнал, чтобы произвести транзакции, которые сохранились в файле журнала, но не сохранились в файле данных.
set path backup%s (где %s — каталог назначения)
Устанавливает папку %s как каталог назначения для архивации с диска на диск. Для выполнения удаленной архивации с диска на диск в службе каталогов можно составить расписание.
set path db%s (где %s — каталог назначения)
Обновляет часть реестра, в которой указано расположение и имя файла данных. Эту команду следует использовать для восстановления контроллера домена, только если потерян файл данных и не производится восстановление посредством обычных процедур восстановления.
set path logs%s (где %s — каталог назначения)
Обновляет часть реестра, в которой указано расположение файлов журналов. Эту команду следует использовать для восстановления контроллера домена, только если потеряны файлы журналов и не производится восстановление посредством обычных процедур восстановления.
set path working dir%s (где %s — каталог назначения)
Устанавливает часть реестра, которая определяет рабочую папку службы каталогов, в папку %s.
%s
Алфавитно-цифровая переменная, например имя домена или контроллера домена.
quit
Возврат в предыдущее меню или выход из программы.
или help
Выводит справку в командной строке.
Внимание!
• Ошибка при изменении реестра может серьезно повредить систему. Перед изменением реестра создайте резервные копии всех важных данных.
Примечания
• Служба каталогов Active Directory реализована на основе диспетчера таблиц индексированного метода последовательного доступа (ISAM). Этот диспетчер таблиц используется также сервером Microsoft Exchange, службой репликации файлов, диспетчером настройки системы безопасности, сервером сертификации, службой WINS и другими компонентами Windows. Версия базы данных, которая используется в Windows 2000 и Windows Server 2003, Standard Edition, называется расширяемой системой хранения данных (Extensible Storage Engine, ESENT).
ESENT — система баз данных с транзакциями, использующая файлы журналов для поддержки семантики отката, с помощью которой обеспечивается выполнение транзакций в базу данных. Рекомендуется файлы данных и файлы журналов размещать на разных дисках. Это позволяет повышать быстродействие и, в случае повреждения данных на диске, производить восстановление.
• ESENT имеет собственный инструмент для определенных функций управления файлами баз данных — программу Esentutl.exe, которая установлена также в папке системный_корневой_каталог\System32. Некоторые команды управления файла Ntdsutil запускают программу Esentutl, избавляя от необходимости запоминать ее аргументы командной строки. В этих случаях открывается отдельное окно, в котором можно просматривать журнал большого объема, отображающий все индикаторы выполнения программы Esentutl.
Active Directory открывает файлы в монопольном режиме. Это означает, что файлы недоступны для управления, пока система работает как контроллер домена.
Чтобы управлять файлами службы каталогов
1. Запустите компьютер.
2. При появлении индикатора Запуск Windows нажмите клавишу F8.
3. В меню дополнительных вариантов загрузки Windows 2000 выберите пункт Восстановление службы каталогов.
Примечание
• Если запустить компьютер в режиме восстановления службы каталогов, контроллер домена временно будет работать как изолированный сервер. Это приведет к прекращению работы некоторых служб, особенно тех, которые интегрированы со службой каталогов. В этом режиме диспетчер учетных записей безопасности (SAM) использует минимальный набор определений пользователей и групп, хранящийся в реестре. В условиях недостаточной физической безопасности контроллера домена рекомендуется установить административный пароль для режима восстановления службы каталогов.
IPDeny List
Запрещает контроллеру домена принимать запросы LDAP от клиентов с указанными IP-адресами. На приглашение командной строки ipdeny list: введите любой из параметров, перечисленных в разделе Синтаксис.
Синтаксис
(add %s1 %s2|cancel|commit|connections|delete %d|show|test %s)
Параметры
add%s1 %s2
Добавляет запись в список запрещенных IP-адресов. В качестве первого параметра %s1 можно указать компонент узла или компонент сети IP-адреса. Если указан компонент узла, в качестве второго параметра %s2 следует указать NODE; если же указан компонент сети, вторым параметром следует указать маску подсети. См. раздел Пример. Чтобы принять указанные в команде add записи, следует выполнить команду Commit.
cancel
Сбрасывает все команды или удаления, которые не были приняты.
commit
Принимает все добавления или удаления для объекта политики LDAP.
connections
Открывает подменю server connections.
delete%d
Удаляет записи с указанным индексом %d. Для просмотра записей с соответствующими индексами служит команда show.
%d
Числовая переменная, например время задержки репликации.
show
Отображает список запрещенных IP-адресов.
test%s
Определяет, разрешен ли доступ к контроллеру домена с IP-адреса %s. Например, если в списке запрещенных IP-адресов указаны адреса с 192.168.100.0 по 255.255.255.0, при тестировании адреса 192.168.100.10 программа выдаст сообщение о том, что доступ запрещен.
%s
Алфавитно-цифровая переменная, например имя домена или контроллера домена.
quit
Возврат в предыдущее меню или выход из программы.
или help
Выводит справку в командной строке.
Примечания
• Аналогично административным ограничениям LDAP список запрещенных IP-адресов всего лишь изменяет объект политики LDAP по умолчанию. Если для контроллера домена или узла, в который он входит, не определена особая политика LDAP, к такому контроллеру применяется политика LDAP по умолчанию.
Примеры
Чтобы запретить доступ для узла с адресом 192.168.100.10, следует ввести команду
Add 192.168.100.10 NODE
Чтобы запретить доступ для всех узлов сети 192.168.100.0, следует ввести команду
Add 192.168.100.0 255.255.255.0
LDAP policies
Устанавливает административные политики LDAP для объекта политики очередей по умолчанию. На приглашение командной строки LDAP policies: введите любой из параметров, перечисленных в разделе Синтаксис.
Синтаксис
(cancel changes|commit changes|connections|list|set %s to %s|show values)
Параметры
cancel changes
Отмена всех изменений административных ограничений LDAP для политики очередей по умолчанию.
commit changes
Применяет все изменения административных ограничений для политики очередей по умолчанию.
connections
Открывает подменю Server connections.
list
Отображает список всех административных политик LDAP для контроллера домена.
set %s1 to %s2
Устанавливает для административной политики LDAP %s1 значение %s2.
show values
Отображает текущие и предполагаемые значения административных политик LDAP.
%s
Алфавитно-цифровая переменная, например имя домена или контроллера домена.
quit
Возврат в предыдущее меню или выход из программы.
или help
Выводит справку в командной строке.
Примечания
• В следующей таблице описаны административные политики LDAP. В круглых скобках указаны значения по умолчанию.
• Для проверки поддержки гарантий уровня обслуживания следует определить операционную политику для некоторых операций LDAP. Эта политика запрещает использовать операции, серьезно ухудшающие производительность сервера, и делает сервер более устойчивым к атакам на службу.
Политики LDAP реализуются с помощью объектов класса queryPolicy. Объекты политики запросов можно создавать в контейнере политик запросов, дочернем элементе контейнера службы каталогов в конфигурации контекста именования. Например: CN=Query-Policies, CN=Directory Service, CN=Windows NT, CN=Services (раздел каталога конфигурации).
Контроллер домена использует следующие три механизма применения политик LDAP.
- • Для контроллера домена может быть указана особая политика LDAP. Объект nTDSASettings включает в себя необязательный атрибут queryPolicyObject, который содержит составное имя политики запросов.
- • Если для контроллера домена не задана особая политика, к нему применяют политику запросов, назначенную узлу контроллера домена. Объект ntDSSiteSettings включает в себя необязательный атрибут queryPolicyObject, который содержит составное имя политики запросов.
- • Если не задана особая политика запросов для контроллера домена или узла, к контроллеру домена применяется политика запросов по умолчанию.
Объект политики запросов содержит многозначные атрибуты LDAPIPDenyList и LDAPAdminLimits. Программа Ntdsutil позволяет администраторам устанавливать административные политики LDAP и список запрещенных IP-адресов для объекта политики запросов по умолчанию.
Metadata cleanup
Очищает метаданные поврежденных контроллеров доменов. Когда в отказавшем контроллере домена хранится единственная копия одного или нескольких разделов каталогов доменов или приложений (они также называются контекстами именования), очистка метаданных приводит также к очистке метаданных для выбраных разделов каталогов доменов или приложений. При использовании версии Ntdsutil.exe, входящей в комплект Windows Server 2003 с пакетом обновления 1 (SP1), очистка метаданных также приводит к удалению подключений службы репликации файлов (FRS) и к попытке передать или перехватить все роли хозяина операций, принадлежащие исключенному контроллеру домена.
На приглашение командной строки metadata cleanup: введите любой из параметров, перечисленных в разделе Синтаксис.
Синтаксис
(connections|remove selected domain|remove selected naming context|remove selected server|remove selected server %s|remove selected server %s1 on %s2|select operation target)
Параметры
Примечание.
• При использовании версии Ntdsutil.exe, входящей в состав Windows Server 2003 SP1, можно удалить метаданные сервера командой remove selected server %s или remove selected server %s on %2, не вызывая предварительно подменю Server connections и Select operation target.
connections
Открывает подменю Server connections.
remove selected domain
Удаляет метаданные, связанные с доменом, выбранным в подменю Select operation target.
remove selected naming context
Удаляет метаданные, связанные с контекстом именования, выбранным в подменю Select operation target.
remove selected server
Удаляет метаданные, связанные с сервером, выбранным в подменю Select operation target.
remove selected server %s
В версии Ntdsutil.exe, входящей в комплект Windows Server 2003 SP1, эта команда удаляет метаданные каталога и FRS для отказавшего сервера %s из каталога на локальном узле и пытается передать или перехватить все роли хозяина операций, принадлежащие серверу %s , переназначив их локальному узлу.
remove selected server %s1 on %s2
В версии Ntdsutil.exe, входящей в комплект Windows Server 2003 SP1, эта команда подключается к серверу %s2, удаляет метаданные каталога и FRS для сервера %s1 из каталога на сервере %s2 и пытается передать или перехватить все роли хозяина операций, принадлежащие серверу %s1, переназначив их серверу %s2.
select operation target
Открывает подменю Select operation target.
quit
Возврат в предыдущее меню или выход из программы.
? или help
Выводит справку в командной строке.
Примечания
• Служба каталогов обслуживает различные метаданные всех доменов и серверов в лесу. Обычно домены и контроллеры доменов создаются посредством повышения роли с помощью мастера установки Active Directory, а удаляются посредством понижения роли с помощью того же инструмента. Чтобы запустить мастер установки Active Directory, в командной строке введите команду dcpromo.
Повышение и понижение роли предназначено для корректного удаления метаданных. Однако в каталоге некоторые контроллеры доменов могут быть списаны некорректно. В этом случае их метаданные не удаляются. Например, контроллер домена дал сбой, и вместо того, чтобы пытаться восстанавливать его, принимается решение удалить сервер. При этом некоторые данные контроллера домена останутся в каталоге. Тогда общая модель действий такова: подключиться к серверу для получения копии метаданных, которые не были удалены, выбрать их и затем удалить метаданные выбранного конечного объекта. Версия Ntdsutil.exe, входящая в состав Windows Server 2003 SP1, может автоматически выполнять подключение к указанному серверу и удалять метаданные выбранного конечного объекта на этом же шаге.
Внимание!
• Не удаляйте метаданные существующих доменов и контроллеров доменов.
Roles
Передает и присваивает роли хозяина операций. На приглашение командной строки roles: введите любой из параметров, перечисленных в разделе Синтаксис.
Синтаксис
(connections|seize domain naming master|seize infrastructure master|seize PDC|seize RID master|seize schema master|select operation target|transfer domain naming master|transfer infrastructure master|transfer PDC|transfer RID master|transfer schema master)
Параметры
connections
Открывает подменю Server connections.
seize domain naming master
Присваивает роль хозяина операций именования домена контроллеру домена, к которому имеется подключение, независимо от данных, связанных с ролью. Используйте только для восстановления.
seize infrastructure master
Присваивает роль хозяина операций инфраструктуры контроллеру домена, к которому имеется подключение, независимо от данных, связанных с ролью. Используйте только для восстановления.
seize PDC
Присваивает роль хозяина операций основного контроллера домена контроллеру домена, к которому имеется подключение, независимо от данных, связанных с ролью. Используйте только для восстановления.
seize RID master
Присваивает роль хозяина относительных идентификаторов контроллеру домена, к которому имеется подключение, независимо от данных, связанных с ролью. Используйте только для восстановления.
seize schema master
Присваивает роль хозяина операций схемы контроллеру домена, к которому имеется подключение, независимо от данных, связанных с ролью. Используйте только для восстановления.
select operation target
Открывает подменю Select operation target.
transfer domain naming master
Присваивает контроллеру домена, к которому имеется подключение, роль именования доменов посредством управляемой передачи.
transfer infrastructure master
Присваивает контроллеру домена, к которому имеется подключение, роль хозяина операций инфраструктуры посредством управляемой передачи.
transfer PDC
Присваивает контроллеру домена, к которому имеется подключение, роль хозяина операций основного контроллера домена посредством управляемой передачи.
transfer RID master
Присваивает контроллеру домена, к которому имеется подключение, роль хозяина относительных идентификаторов посредством управляемой передачи.
transfer schema master
Присваивает контроллеру домена, к которому имеется подключение, роль хозяина операций схемы посредством управляемой передачи.
quit
Возврат в предыдущее меню или выход из программы.
? или help
Выводит справку в командной строке.
Примечания
• Несмотря на то что Active Directory поддерживает администрирование с несколькими хозяевами, для некоторых операций можно назначать только одного хозяина. Для операций с несколькими хозяевами разрешение конфликтов означает, что после завершения репликации системы значение данного свойства данного объекта согласовано со всеми репликами. При этом некоторые данные, для которых невозможно произвести разрешение конфликта, являются ключевым для функционирования всей системы. Этими данными управляют индивидуальные контроллеры доменов, которые называются хозяевами операций. Этим контроллерам доменов назначаются отдельные роли хозяев операций.
Ниже перечислены пять ролей хозяев операций. Некоторые из них действуют в пределах всей организации, некоторые — в пределах домена.
- • Хозяин операций схемы. Для всей организации можно назначить одну роль хозяина операций схемы. Эта роль позволяет серверу хозяина операций принимать обновления схемы. Для обновлений схемы существуют другие ограничения.
- • Хозяин относительных идентификаторов. Для домена можно назначить одну роль хозяина относительных идентификаторов. В каждом контроллере домена в домене можно создавать участников безопасности. Каждому участнику безопасности присвоен относительный идентификатор. Каждому контроллеру домена назначен небольшой набор относительных идентификаторов из пула относительных идентификаторов домена. Роль хозяина относительных идентификаторов позволяет контроллеру домена выделять новые подпулы в пуле относительных идентификаторов домена.
- • Хозяин именования домена. Для всей организации можно назначить одну роль хозяина именования доменов. Роль хозяина именования доменов позволяет владельцу определять новые составные справочные объекты, представляющие домены в контейнере разделов.
- • Хозяин операций основного контроллера домена. Для домена можно назначить одну роль хозяина операций основного контроллера домена (PDC). Владелец роли в качестве основного контроллера домена Windows NT 4.0 осуществляет поддержку резервных контроллеров домена и клиентов Windows NT 4.0, используя более ранние версии Windows.
- • Хозяин инфраструктуры. В домене можно назначить только одну роль хозяина инфраструктуры. Владелец этой роли обеспечивает целостность данных объектов с атрибутами, содержащими составные имена других объектов, которые могут присутствовать в других доменах. Поскольку в Active Directory объекты можно перемещать и переименовывать, хозяин инфраструктуры периодически проверяет изменения объектов и обеспечивает целостность данных этих объектов.
• Роли хозяина операций может перемещать только администратор, они не перемещаются автоматически. Следует добавить, что перемещение ролей производится с помощью стандартных средств управления доступом. Поэтому следует очень внимательно контролировать расположение и перемещение ролей хозяев операций в организации. Например, если в организации интенсивно используются информационные технологии, роль хозяина схемы следует присвоить серверу информационного отдела и запретить перемещать ее, настроив соответствующим образом параметры таблицы управления доступом (ACL).
Управление ролями хозяина операций можно осуществлять двумя способами: присвоение и контролируемая передача.
Контролируемую передачу следует использовать, если требуется переместить роль с одного сервера на другой, например для отслеживания изменения политики вследствие изменения расположения роли или сбоя сервера по причине перезагрузки, перемещения или списания.
Присвоение используют, если не требуется восстановление сервера, на котором произошла неполадка. В этом случае даже если сервер будет восстановлен, он фактически уже не будет обладать этой ролью (несмотря на то, что это может быть указано в резервной копии). Сервер не смог бы получить уведомление о передаче роли другому серверу в то время, пока предыдущий хозяин был недоступен вследствие сбоя, а также в ходе восстановления, если бы эта передача роли была произведена. Восстановленный сервер снова может стать владельцем только в том случае, если кворум существующих серверов будет доступен в ходе восстановления, и решение о признании прежнего владельца будет согласовано со всеми серверами.
Подменю «Роли» в программе Ntdsutil служит для выполнения контролируемой передачи и восстановления ролей хозяев операций. Контролируемая передача — простая и безопасная операция. Если работают исходный сервер и сервер назначения, операционная система гарантирует автоматическую передачу маркера роли хозяина операций и соответствующих данных. Присвоение роли хозяина операций тоже простая операция, но менее безопасная. Она осуществляется просто с помощью сообщения определенному контроллеру домена о том, что ему присвоена определенная роль.
Внимание!
• Не производите присвоение серверу роли, если у этой роли в данной сети существует хозяин. Это может вызвать конфликт ключевых данных операционной системы. Если владелец роли хозяина операции временно недоступен, не назначайте эту роль другому контроллеру домена. Это может привести к тому, что два компьютера будут выполнять функции владельца роли, вследствие чего может произойти конфликт важных системных данных.
Security account management
Управляет идентификаторами безопасности (SID). На приглашение командной строки security account management: введите любой из параметров, перечисленных в разделе Синтаксис.
Синтаксис
(check duplicate SID|cleanup duplicate SID|connect to server %s|log file %s)
Параметры
check duplicate SID
Проверяет домены объектов, имеющих одинаковые идентификаторы безопасности.
cleanup duplicate SID
Удаляет все объекты, имеющие одинаковые идентификаторы безопасности, и заносит эти сведения в журнал.
connect to server%s
Подключается к серверу. В качестве параметра указывается имя NetBIOS или имя узла DNS.
log file%s
Задает файл журнала с именем %s. Если имя файла не указано, по умолчанию используется имя Dupsid.log.
%s
Алфавитно-цифровая переменная, например имя домена или контроллера домена.
quit
Возврат в предыдущее меню или выход из программы.
? или help
Выводит справку в командной строке.
Примечания
• Все учетные записи безопасности (пользователи, группы и компьютеры) определяются с помощью уникального идентификатора безопасности (SID). Уникальный идентификатор SID используется для определения учетных записей безопасности и выполнения проверок доступа к ресурсам, таким как файлы, папки, принтеры, почтовые ящики Exchange, базы данных сервера Microsoft SQL, объекты в Active Directory и другие данные, защищенные моделью безопасности Windows Server 2003, Standard Edition.
Идентификатор состоит из заголовка и набора относительных идентификаторов, определяющих домен и учетную запись безопасности. В пределах домена все контроллеры домена могут создавать учетные записи и уникальные идентификаторы безопасности для каждой записи. Каждый контроллер домена обслуживает пул относительных идентификаторов, которые используются при создании идентификаторов безопасности. При использовании пула относительных идентификаторов на 80 процентов контроллер домена отправляет хозяину относительных идентификаторов запрос на новый пул относительных идентификаторов. Это позволяет исключить возможность распределения одного и того же пула относительных идентификаторов на различных контроллерах доменов и предотвращает дублирование идентификаторов безопасности. Однако, поскольку дублирование пула относительных идентификаторов все же возможно, хотя и редко, необходимо идентифицировать учетные записи, для которых созданы одинаковые идентификаторы безопасности, чтобы предотвратить нежелательное применение безопасности.
Создание дублированных пулов относительных идентификаторов происходит, если администратор производит присвоение роли хозяина относительных идентификаторов, в то время как исходный хозяин относительных идентификаторов функционирует, но временно отключен от сети. В обычной практике после одного цикла репликаций роль хозяина относительных идентификаторов назначается только одному контроллеру домена. Однако, если до назначения роли два разных контроллера домена отправят запрос на новый пул относительных идентификаторов независимо друг от друга, им может быть выделен один и тот же пул относительных идентификаторов.
Semantic database analysis
Анализирует данные в соответствии с семантикой Active Directory. На приглашение командной строки semantic database analysis: введите любой из параметров, перечисленных в разделе Синтаксис.
Синтаксис
(get %d|go|verbose %s)
Параметры
get%d
Извлекает из файла Ntds.dit номер %d записи.
go
Запускает анализ семантики файла Ntds.dit. В результате создается отчет, который сохраняется в файле Dsdit.dmp.n в текущем каталоге, где n — целое число, увеличивающееся при каждом выполнении команды.
verbose%s
Включает и выключает режим подробного вывода.
%d
Числовая переменная, например время задержки репликации.
%s
Алфавитно-цифровая переменная, например имя домена или контроллера домена.
quit
Возврат в предыдущее меню или выход из программы.
или help
Выводит справку в командной строке.
Примечания
• В отличие от описанных ранее команд управления файлами, тестирующих целостность базы данных в соответствии с семантикой баз данных ESENT, команда semantic database analysis анализирует данные в соответствии с семантикой Active Directory. В результате создается отчет о количестве существующих записей, включая удаленные и фиктивные записи.
Примечание
• Не рекомендуется использовать эту команду, за исключением случаев, когда имеется запрос от корпорации Майкрософт на использование этой команды для дополнительной диагностики неполадок.
Set DSRM Password
Переустановка пароля режима восстановления службы каталогов (DSRM) на контроллере домена. На приглашение командной строки Переустановите пароль администратора DSRM: введите любой из параметров, перечисленных в разделе Синтаксис.
Синтаксис
Reset Password on server%s
Параметры
Reset Password on server%s
Переустанавливает пароль режима восстановления службы каталогов на контроллере домена. Для переустановки пароля на текущем сервере укажите пустое имя контроллера домена. После ввода этого параметра появится приглашение командной строки Введите пароль для учетной записи администратора режима восстановления службы каталогов:. Введите новый пароль режима восстановления службы каталогов.
%s
Алфавитно-цифровая переменная, например имя домена или контроллера домена.
quit
Возврат в предыдущее меню или выход из программы.
или help
Выводит справку в командной строке.
Примечания
• Начальный пароль режима восстановления службы каталогов устанавливается при запуске мастера установки Active Directory (команда Dcpromo) для повышения сервера до контроллера домена.
• Если контроллер домена работает в режиме восстановления службы каталогов, невозможно переустановить пароль режима восстановления службы каталогов на контроллере домена с помощью средства ntdsutil.
Примечания
• По умолчанию программа Ntdsutil.exe устанавливается в папку корневой_системный_каталог\System32.
• Если значение переменной содержит пробелы, заключите его в круглые скобки вместо кавычек, например:
connect to server (xxx yyy)
эта статья с Компьютерные сети и технологии
( http://www.xnets.ru/plugins/content/content.php?content.167 )
Администрирование Active Directory
vsit, Friday 08 June 2007 - 00:00:00
[newpage=Оглавление]
Управление Active Directory из командной строки
Для управления Active Directory можно использовать следующие средства командной строки.
| Средство | Описание |
Импорт и экспорт данных Active Directory в текстовом формате (разделитель – запятая). | |
Добавление пользователей, групп, компьютеров, контактов и подразделений в Active Directory. | |
Изменение существующего объекта определенного типа в каталоге. Возможно изменение объектов следующих типов: пользователи, группы, компьютеры, серверы, контакты и подразделения. | |
Удаление объектов указанного типа из Active Directory. | |
Переименование объекта без перемещения его по дереву каталога либо перемещение объекта из текущего размещения каталога в новое размещение в пределах одного контроллера домена. (Для перемещения между доменами служит средство командной строки Movetree.) | |
Запрос и поиск списка объектов в каталоге в соответствии с указанными условиями поиска. Воспользуйтесь основным режимом для запроса объекта любого типа либо специальным режимом для запроса объектов выбранных типов. С помощью этой команды возможен запрос объектов следующих типов: компьютеры, контакты, подсети, группы, подразделения, сайты, серверы и пользователи. | |
Отображение выбранных атрибутов объектов Active Directory определенных типов. Возможно отображение объектов следующих типов: компьютеры, контакты, подсети, группы, подразделения, серверы, сайты и пользователи. | |
Создание, изменение и удаление объектов каталога. Это средство также можно использовать для расширения схемы, экспорта сведений о пользователе или группе Active Directory в другие приложения или службы и внесения в Active Directory данных из других служб каталогов. | |
Средство управления Active Directory общего назначения. Программа Ntdsutil используется для обслуживания базы данных Active Directory, управления действиями одиночного хозяина операций и удаления метаданных, оставленных контроллерами домена, которые были удалены из сети без выполнения соответствующих операций. | |
Далее мы рассмотрим каждую из команд в отдельности
Статья взята с сайта MICROSOFT
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ru/library/ServerHelp/91559a2b-b666-442c-bdd2-df4b7c46983c.mspx?mfr=true
[newpage=CSVDE]
CSVDE
Csvde
Импорт и экспорт данных из Active Directory с помощью файлов, хранящих данные в формате CSV (comma-separated value). Кроме того, возможна поддержка пакетных операций на основе файлового стандарта CSV.
Синтаксис
Csvde [-i] [-f имя_файла] [-s имя_сервера] [-c строка1 строка2] [-v] [-j путь] [-t номер_порта] [-d составное_имя_базы] [-r фильтр_LDAP] [-p область] [-l список_атрибутов_LDAP] [-o список_атрибутов_LDAP] [-g] [-m] [-n] [-k] [-a различимое_имя_пользователя пароль] [-b имя_пользователя домен пароль]
Параметры
-i
Определяет режим работы программы. Если параметр не определен, по умолчанию программа работает в режиме экспорта.
-f имя_файла
Определяет имя файла для импорта или экспорта.
-s имя_сервера
Определяет контроллер домена, выполняющий операцию импорта или экспорта.
-c строка1 строка2
Заменяет все встречающиеся значения строка1 на строка2. Обычно используется в случае, когда производится импорт данных из одного домена в другой, и при этом необходимо заменить различающееся имя домена, производящего экспорт (строка1), именем импортирующего домена (строка2).
-v
Включает режим вывода дополнительной информации.
-j путь
Задает размещение файла журнала. По умолчанию используется текущий путь.
-t номер_порта
Определяет номер порта LDAP. По умолчанию используется порт LDAP 389. Портом глобального каталога является 3268.
-d составное_имя_базы
Задает составное имя базы поиска для экспорта данных.
-r фильтр_LDAP
Создает фильтр поиска LDAP для экспорта данных.
-p область
Задает область поиска. Может принимать значения: Base, OneLevel или SubTree.
-l список_атрибутов_LDAP
Задает список атрибутов, возвращаемых в результатах выборки экспорта. Если данный параметр пропущен, возвращаются все атрибуты.
-o список_атрибутов_LDAP
Задает список атрибутов, исключаемых из результатов выборки экспорта. Обычно этот параметр используется при экспорте объектов из Active Directory с последующим импортом в другой LDAP-совместимый каталог. Если какие-либо атрибуты не поддерживаются другим каталогом, их можно исключить из набора результатов с помощью данного параметра.
-g
Исключает постраничные поиски.
-m
Исключает атрибуты, применяемые только к объектам Active Directory, таким как ObjectGUID, objectSID, pwdLastSet и samAccountType.
-n
Исключает экспорт двоичных значений.
-k
Задает игнорирование ошибок во время выполнения импорта и продолжение обработки. Игнорируемыми ошибками являются следующие: «Объект уже существует», «Нарушение ограничения» и «Атрибут или значение уже существует».
-a составное_имя_пользователя пароль
Задает выполнение команды с использованием указанных значений составное_имя_пользователя и пароль. По умолчанию команда выполняется с использованием учетных данных, с которыми пользователь вошел в сеть.
-b имя_пользователя домен пароль
Определяет команду, выполняемую от имени имя_пользователя домен пароль. По умолчанию команда выполняется с использованием учетных данных, с которыми пользователь вошел в сеть.
-?
Отображает меню команд.
Примечания
- Для чтения и сохранения данных в формате CSV можно использовать такие приложения, как Microsoft Excel. Кроме того, для импорта и экспорта данных с использованием формата CSV могут применяться средства администрирования сервера Microsoft Exchange, а также ряд средств, не являющихся программами корпорации Майкрософт.
Данные в формате CSV образуют одну или несколько строк, значения в которых разделены запятыми. Первая строка (иногда называемая заголовком) файла CSV должна содержать имена всех атрибутов в том же порядке, что и данные в любой последующей строке. Например:
CN,имя,фамилия,описание
имя_1_пользователя_ для_подключения,имя_1_пользователя,фамилия_1_пользователя,диспетчер
имя_2_пользователя_ для_подключения,имя_2_пользователя,фамилия_2_пользователя,президент - Для создания фильтра поиска LDAP для экспорта данных можно использовать команду csvde -r. Например, следующий фильтр экспортирует всех пользователей с конкретной фамилией:
csvde -r (and(objectClass= пользователь )(sn= фамилия ))
[newpage=Dsadd]
Dsadd
Добавляет конкретные типы объектов в каталог. Команды dsadd включают:
- dsadd computer
- dsadd contact
- dsadd group
- dsadd ou
- dsadd user
- dsadd quota
dsadd computer
Добавляет один компьютер в каталог.
Синтаксис
dsadd computer различающееся_имя_компьютера[-samid имя_SAM] [-desc описание] [-locрасположение] [-memberof различающееся_имя_группы...] [(-s сервер | -d домен)] [-uимя_пользователя] [-p (пароль| *)] [-q] [(-uc | -uco | -uci)]
Параметры
различающееся_имя_компьютера
Обязательный параметр. Задает различающееся имя компьютера, который необходимо добавить. Если различающееся имя не указано, оно будет взято из стандартного устройства ввода (stdin).
-samid имя_SAM
Задает использование для компьютера имени SAM как уникального имени учетной записи SAM (например, TESTPC2$). Если этот параметр не указан, имя учетной записи SAM будет задано из значения атрибута общего имени, используемого в различающемся_имени_компьютера.
-desc описание
Задает описание компьютера, который необходимо добавить.
-loc размещение
Задает размещение компьютера, который необходимо добавить.
-memberof различающееся_имя_группы ...
Задает группы, членом которых станет компьютер.
(-s сервер | -d домен)
Налаживает подключение компьютера либо к указанному серверу, либо к домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-u имя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход. Имя пользователя может быть задано в одном из следующих форматов:
- имя пользователя (например, Linda);
- домен\имя пользователя (например, widgets\Linda);
- имя участника-пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
(-uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных. В следующей таблице перечислены и описаны эти форматы.
| Значение | Описание |
-uc | Задает формат Юникод для ввода из или вывода в канал (|). |
-uco | Задает формат Юникод для вывода в канал (|) или файл. |
-uci | Задает формат Юникод для ввода в канал (|) или файл. |
/?
Выводит справку в командной строке.
Примечания
- Если конечный объект отсутствует в командной строке, он будет получен из стандартного устройства ввода (stdin). Данные стандартного устройства ввода могут быть получены с помощью клавиатуры, из перенаправленного файла или как выходные данные из канала от другой команды. Конец данных стандартного устройства ввода с клавиатуры или из файла помечается с помощью символа конца файла (CTRL+Z).
- Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=DC 2,OU=Domain Controllers,DC=Microsoft,DC=Com").
- При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка различающихся имен).
dsadd contact
Добавляет один контакт в каталог.
Синтаксис
dsadd contact различающееся_имя_контакта [-fn имя] [-mi инициал] [-ln фамилия] [-display отображаемое_имя] [-desc описание] [-office комната] [-tel номер_телефона] [-email электронная_почта] [-hometel номер_домашнего_телефона] [-pager номер_пейджера] [-mobile номер_сотового_телефона] [-fax номер_факса] [-iptel номер_IP-телефона] [-title должность] [-dept отдел] [-company компания] [(-s сервер | -d домен)] [-u имя_пользователя] [-p (пароль | *)] [-q] [(-uc | -uco | -uci)]
Параметры
различающееся_имя_контакта
Обязательный параметр. Задает различающееся имя контакта, который необходимо добавить. Если различающееся имя не указано, оно будет взято из стандартного устройства ввода (stdin).
-fnимя
Задает имя добавляемого контакта.
-miинициал
Задает средний инициал добавляемого контакта.
-lnфамилия
Задает фамилию контакта добавляемого контакта.
-displayотображаемое_имя
Задает отображаемое имя добавляемого контакта.
-descописание
Задает описание добавляемого контакта.
-officeкомната
Задает местоположение комнаты добавляемого контакта.
-telномер_телефона
Задает номер телефона добавляемого контакта.
-emailэлектронная_почта
Задает адрес электронной почты добавляемого контакта.
-hometelномер_домашнего_телефона
Задает номер домашнего телефона добавляемого контакта.
-pagerномер_пейджера
Задает номер пейджера добавляемого контакта.
-mobileномер_сотового_телефона
Задает номер сотового телефона добавляемого контакта.
-faxномер_факса
Задает номер факса добавляемого контакта.
-iptelномер_IP-телефона
Задает номер IP-телефона добавляемого контакта.
-titleдолжность
Задает должность добавляемого контакта.
-deptотдел
Задает название отдела добавляемого контакта.
-companyкомпания
Задает информацию о компании добавляемого контакта.
(-s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-uимя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию используется имя пользователя, с которым был выполнен вход в систему. Имя пользователя может быть задано в одном из следующих форматов:
- имя пользователя (например, Linda);
- домен\имя пользователя (например, widgets\Linda);
- имя участника-пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
(uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных. В следующей таблице перечислены и описаны эти форматы.
| Значение | Описание |
-uc | Задает формат Юникод для ввода из или вывода в канал (|). |
-uco | Задает формат Юникод для вывода в канал (|) или файл. |
-uci | Задает формат Юникод для ввода в канал (|) или файл. |
/?
Выводит справку в командной строке.
Примечания
- Если конечный объект отсутствует в командной строке, он будет получен из стандартного устройства ввода (stdin). Данные стандартного устройства ввода могут быть получены с помощью клавиатуры, из перенаправленного файла или как выходные данные из канала от другой команды. Конец данных стандартного устройства ввода с клавиатуры или из файла помечается с помощью символа конца файла (CTRL+Z).
- Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=Mike Danseglio,CN=Users,DC=Microsoft,DC=Com").
- Эта команда поддерживает ограниченный набор обычно используемых атрибутов класса объекта.
dsadd group
Добавляет одну группу в каталог.
Синтаксисdsadd group различающееся_имя_группы[-secgrp (yes | no)] [-scope (l | g | u)] [-samid имя_SAM] [-desc описание] [-memberof группа...] [-members член...] [(-s сервер | -d домен)] [-u имя_пользователя] [-p (пароль| *)] [-q] [(-uc | -uco | -uci)]
Параметры
различающееся_имя_группы
Обязательный параметр. Задает различающееся имя группы, которую необходимо добавить. Если различающееся имя не указано, оно будет взято из стандартного устройства ввода (stdin).
-secgrp (yes | no)
Указывает, является ли добавляемая группа группой безопасности (yes) или группой распространения (no). По умолчанию, группа добавляется как группа безопасности (значение yes).
-scope (l | g | u)
Задает, является ли для домена добавляемая группа локальной (l), глобальной (g) или универсальной (u). Если домен находится в смешанном режиме, универсальная область не поддерживается. По умолчанию область группы назначается как глобальная.
-samidимя_SAM
Задает использование для данной группы имени SAM как уникального имени учетной записи SAM (например, operators). Если данный параметр не указан, он будет создан из относительного различающегося имени.
-descописание
Задает описание добавляемой группы.
-memberofгруппа ...
Задает группы, к которым следует добавить новую.
-membersчлен ...
Задает членов, чтобы добавить новую группу.
(-s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-uимя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход. Имя пользователя может быть задано в одном из следующих форматов:
- имя пользователя (например, Linda);
- домен\имя пользователя (например, widgets\Linda);
- имя участника-пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
(-uc | -uco| -uci)
Задает формат Юникод для выходных и входных данных. В следующей таблице перечислены и описаны эти форматы.
| Значение | Описание |
-uc | Задает формат Юникод для ввода из или вывода в канал (|). |
-uco | Задает формат Юникод для вывода в канал (|) или файл. |
-uci | Задает формат Юникод для ввода в канал (|) или файл. |
/?
Выводит справку в командной строке.
Примечания
- Если конечный объект отсутствует в командной строке, он будет получен из стандартного устройства ввода (stdin). Данные стандартного устройства ввода могут быть получены с помощью клавиатуры, из перенаправленного файла или как выходные данные из канала от другой команды. Конец данных стандартного устройства ввода с клавиатуры или из файла помечается с помощью символа конца файла (CTRL+Z).
- Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=Mike Danseglio,CN=Users,DC=Microsoft,DC=Com").
- При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка различающихся имен).
- Эта команда поддерживает ограниченный набор обычно используемых атрибутов класса объекта.
dsadd ou
Добавляет одно подразделение в каталог.
Синтаксис
dsadd ou различающееся_имя_подразделения [-desc описание] [(-s сервер | -d домен)][-u имя_пользователя] [-p (пароль | *)] [-q] [(-uc | -uco | -uci)]
Параметры
различающееся_имя_подразделения
Обязательный параметр. Задает различающееся имя добавляемого подразделения. Если различающееся имя не указано, оно будет взято из стандартного устройства ввода (stdin).
-descописание
Задает описание добавляемого подразделения.
(-s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-uимя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию используется имя пользователя, с которым был выполнен вход в систему. Имя пользователя может быть задано в одном из следующих форматов:
- имя пользователя (например, Linda);
- домен\имя пользователя (например, widgets\Linda);
- имя участника-пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
(-uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных. В следующей таблице перечислены и описаны эти форматы.
| Значение | Описание |
-uc | Задает формат Юникод для ввода из или вывода в канал (|). |
-uco | Задает формат Юникод для вывода в канал (|) или файл. |
-uci | Задает формат Юникод для ввода в канал (|) или файл. |
/?
Выводит справку в командной строке.
Примечания
- Если конечный объект отсутствует в командной строке, он будет получен из стандартного устройства ввода (stdin). Данные стандартного устройства ввода могут быть получены с помощью клавиатуры, из перенаправленного файла или как выходные данные из канала от другой команды. Конец данных стандартного устройства ввода с клавиатуры или из файла помечается с помощью символа конца файла (CTRL+Z).
- Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "OU=Domain Controllers,DC=Microsoft,DC=Com").
- Эта команда поддерживает ограниченный набор обычно используемых атрибутов класса объекта.
dsadd user
Добавляет одного пользователя в каталог.
Синтаксис
dsadd user различающееся_имя_пользователя [-samid SAM-имя] [-upn имя_участника_пользователя] [-fn имя] [-mi инициал] [-ln фамилия] [-display отображаемое_имя] [-empid код_сотрудника] [-pwd (пароль | *)] [-desc описание] [-memberof группа ...] [-office комната] [-tel номер_телефона] [-email электронная_почта] [-hometel домашний_номер_телефона] [-pager номер_пейджера] [-mobile номер_сотового телефона] [-fax номер_факса] [-iptel номер_IP-телефона] [-webpg веб-страница] [-title должность] [-dept отдел] [-company компания] [-mgr руководитель] [-hmdir домашняя_папка] [-hmdrv буква_диска:][-profile путь_к_профилю] [-loscr путь_к_сценарию] [-mustchpwd (yes | no)] [-canchpwd (yes | no)] [-reversiblepwd (yes | no)] [-pwdneverexpires (yes | no)] [-acctexpires число_дней] [-disabled (yes | no)] [(-s сервер| -d домен)] [-u имя_пользователя] [-p (пароль | *)] [-q] [(-uc | -uco | -uci)]
Параметры
различающееся_имя_пользователя
Обязательный параметр. Задает различающееся имя пользователя, которого необходимо добавить. Если различающееся имя не указано, оно будет взято из стандартного устройства ввода (stdin).
-samidимя_SAM
Задает имя SAM как уникальное имя учетной записи SAM для пользователя (например, Linda). Если оно не определено, dsadd будет пытаться создать SAM-имя учетной записи, используя до 20 первых символов значения различающееся_имя_пользователя.
-upnUPN
Задает основное имя добавляемого пользователя (например, Linda@widgets.microsoft.com).
-fnимя
Задает имя добавляемого пользователя.
-miинициал
Задает инициал (отчество) добавляемого пользователя.
-lnфамилия
Задает фамилию добавляемого пользователя.
-displayотображаемое_имя
Задает отображаемое имя добавляемого пользователя.
-empidкод_сотрудника
Задает код сотрудника у добавляемого пользователя.
-pwd (пароль | *)
Задает пароль пользователя для установки в пароль или *. Если введена звездочка (*), выводится приглашение для ввода пароля пользователя.
-descописание
Задает описание добавляемого пользователя.
-memberofразличающееся_имя_группы ...
Задает различающиеся имена групп, членом которых станет пользователь.
-officeкомната
Задает местоположение комнаты добавляемого пользователя.
-telномер_телефона
Задает номер телефона добавляемого пользователя.
-emailэлектронная_почта
Задает адрес электронной почты добавляемого пользователя.
-hometelдомашний_номер_телефона
Задает домашний номер телефона добавляемого пользователя.
-pagerномер_пейджера
Задает номер пейджера добавляемого пользователя.
-mobileномер_сотового_телефона
Задает номер сотового телефона добавляемого пользователя.
-faxномер_факса
Задает номер факса добавляемого пользователя.
-iptelномер_IP-телефона
Задает номер IP-телефона добавляемого пользователя.
-webpgвеб-страница
Задает адрес (URL) веб-страницы добавляемого пользователя.
-titleдолжность
Задает должность добавляемого пользователя.
-deptотдел
Задает отдел добавляемого пользователя.
-companyкомпания
Задает сведения о компании добавляемого пользователя.
-mgrразличающееся_имя_руководителя
Задает различающееся имя руководителя добавляемого пользователя.
-hmdirдомашняя_папка
Задает размещение домашней папки добавляемого пользователя. Если домашняя_папка задается как путь в стандартном формате записи имени (UNC), то необходимо указать букву диска для сопоставления с этим путем, используя параметр -hmdrv.
-hmdrvбуква_диска:
Задает букву диска с домашней папкой (например, Е) добавляемого пользователя.
-profileпуть_к_профилю
Задает путь к профилю добавляемое пользователя.
-loscrпуть_к_сценарию
Задает путь к сценарию входа добавляемое пользователя.
-mustchpwd (yes | no)
Указывает, должны ли пользователи сменить свои пароли при следующем входе (значение yes) или нет (значение no). По умолчанию, пользователю не нужно изменять пароль (значение no).
-canchpwd (yes | no)
Указывает, могут ли пользователи менять свои пароли (значение yes) или нет (значение no). По умолчанию пользователь может изменить пароль (значение yes). Этот параметр должен иметь значение yes, если параметр -mustchpwd имеет значение yes.
-reversiblepwd (yes | no)
Задает нужно ли сохранять пароль пользователя, используя обратимое шифрование (значение yes) или нет (значение no). По умолчанию пользователь не может использовать обратимое шифрование (значение no).
-pwdneverexpires (yes | no)
Указывает, ограничен ли срок действия пароля пользователя (значение yes) или нет (значение no). По умолчанию, срок действия пароля пользователя не ограничен (значение no).
-acctexpiresчисло_дней
Задает число дней, начиная с текущего, в течение которых будет действовать учетная запись пользователя. Значение 0 устанавливает окончание срока действия на конец текущего дня. Положительное значение указывает окончание срока действие в будущем. Отрицательное значение указывает окончание срока действие в прошлом. Значение никогда делает срок действия учетной записи неограниченным. Например, значение 0 указывает, что срок действия учетной записи истекает в конце текущего дня. Значение -5 указывает, что срок действия учетной записи истек 5 дней назад и задает дату окончания срока действия в прошлом. Значение 5 указывает, что срок действия учетной записи истекает через 5 дней.
-disabled (yes | no)
Указывает, запрещен ли вход с учетной записью пользователя (значение yes) или нет (значение no). Например, команда dsadd user CN=Nicolettep,CN=Users,DC=Widgets,DC=Microsoft,DC=Com pwd- Password1 -disabled no создает учетную запись пользователя Nicolettep во включенном состоянии. По умолчанию, вход с учетной записью пользователя запрещен (значение yes). Например, команда dsadd user CN=Nathanp,CN=Users,DC=Widgets,DC=Microsoft,DC=Com создает учетную запись пользователя Nathanp в отключенном состоянии.
(-s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-uимя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход. Имя пользователя может быть задано в одном из следующих форматов:
имя пользователя (например, Linda);
*домен\имя пользователя (например, widgets\Linda);
*имя участника-пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
(-uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных. В следующей таблице перечислены и описаны эти форматы.
/?
Выводит справку в командной строке.
Примечания
- Если конечный объект отсутствует в командной строке, он будет получен из стандартного устройства ввода (stdin). Данные стандартного устройства ввода могут быть получены с помощью клавиатуры, из перенаправленного файла или как выходные данные из канала от другой команды. Конец данных стандартного устройства ввода с клавиатуры или из файла помечается с помощью символа конца файла (CTRL+Z).
- Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=Mike Danseglio,CN=Users,DC=Microsoft,DC=Com").
- При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка различающихся имен).
- С помощью специального маркера $username$ (без учета регистра букв) можно подставлять учетную запись SAM в значения параметров -email, -hmdir, -profile и -webpg. Например, если имя учетной записи SAM «Denise», параметр -hmdir можно записать в следующих форматах:
-hmdir\users\Denise\home
-hmdir\users\$username$\home
- Использование надежных паролей во всех учетных записях пользователя помогает сократить угрозу безопасности.
dsadd quota
Добавляет спецификацию квоты в раздел каталога. Спецификация квоты определяет, какое максимальное число объектов каталога могут обладать данными участниками безопасности в указанном разделе каталога.
Синтаксис
dsadd quota -part различающееся_имя_раздела [-rdn относительное_различающееся_имя] -acct имя -qlimit значение [-desc описание] [(-s сервер | -d домен)] [-u имя_пользователя][-p (пароль | *)] [-q] [(-uc | -uco | -uci)]
Параметры
-partразличающееся_имя_раздела
Обязательный параметр. Задает различающееся имя раздела каталога, в котором требуется создать квоту. Если различающееся имя не указано, оно будет взято из стандартного устройства ввода (stdin).
-rdnотносительное_различающееся_имя
Задает различающееся имя создаваемой спецификации квот. Если параметр -rdn не указан, он задается как домен_имя_учетной_записи, используя домен и имя учетной записи участника безопасности, определенного параметром -acct.
-acctимя
Обязательный параметр. Задает участника безопасности (пользователь, группа, компьютер или InetOrgPerson), к которому будет применена спецификация квот. Для параметра имя могут быть использованы любые из следующих форм:
- Различающееся имя (DN) участника безопасности
- домен\имя_учетной_записи_SAM участника безопасности
-qlimitзначение
Обязательный параметр. Задает количество объектов в разделе каталога, которым может обладать участник безопасности. Чтобы задать неограниченную квоту, используйте значение -1.
-descописание
Задает описание добавляемой спецификации квоты.
(-s сервер | -d домен)
Налаживает подключение компьютера либо к указанному серверу, либо к домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-uимя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход. Имя пользователя может быть задано в одном из следующих форматов:
- имя пользователя (например, Linda);
- домен\имя пользователя (например, widgets\Linda);
- имя участника-пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование определенного пароля или * (звездочки) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
(-uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных.
/?
Выводит справку в командной строке.
Примечания
• Если конечный объект отсутствует в командной строке, он будет получен из стандартного устройства ввода (stdin). Данные стандартного устройства ввода могут быть получены с помощью клавиатуры, из перенаправленного файла или как выходные данные из канала от другой команды. Конец данных стандартного устройства ввода с клавиатуры или из файла помечается с помощью сочетания клавиш CTRL+Z или символа конца файла (EOF).
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=DC 2,OU=Domain Controllers,DC=Microsoft,DC=Com").
[newpage=Dsmod]
Dsmod
Изменение в каталоге существующего объекта определенного типа. Команды dsmod включают:
• dsmod computer
• dsmod contact
• dsmod group
• dsmod ou
• dsmod server
• dsmod user
• dsmod quota
• dsmod partition
dsmod computer
Изменяет атрибуты одного или нескольких существующих компьютеров в каталоге.
Синтаксис
dsmod computer Различающееся_имя_компьютера [-desc описание] [-loc размещение] [-disabled (yes | no)] [-reset] [(-s сервер | -d домен)] [-u имя_пользователя] [-p (пароль | *)] [-c] [-q] [(-uc | -uco | -uci)]
Параметры
отличительное_имя_компьютера
Задает изменяемые отличительные имена одного или нескольких компьютеров. Если значения отсутствуют, они будут получены из стандартного устройства ввода (stdin) для поддержки передачи по каналу выходных данных другой команды на вход данной команды.
-desc описание
Задает описание компьютера, требующее изменений.
-loc размещение
Задает размещение компьютера, требующее изменений.
-disabled (yes | no)
Указывает, отключена ли учетная запись компьютера для входа в систему (значение yes) или нет (значение no).
-reset
Переустанавливает учетные записи компьютера.
(-s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-u имя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход. Имя пользователя может быть задано в одном из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• основное имя пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-c
Создает отчет об ошибках, но продолжает обработку следующего объекта в списке аргументов, если указано несколько конечных объектов (непрерывный режим работы). Если этот параметр не задан, работа команды завершается при первой ошибке.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
(-uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных. В следующей таблице перечислены и описаны эти форматы.
| Значение | Описание |
-uc | Задает формат Юникод для ввода из или вывода в канал (|). |
-uco | Задает формат Юникод для вывода в канал (|) или файл. |
-uci | Задает формат Юникод для ввода из канала (|) или файла. |
/?
Выводит справку в командной строке.
Заметки
• Эта команда поддерживает ограниченный набор обычно используемых атрибутов класса объекта.
• Если вводимое значение содержит пробелы, его следует заключить в кавычки (например, "CN=DC2,OU=Domain Controllers,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка отличительных имен).
• Dsmod не поддерживает добавление участников безопасности одного леса в группы, расположенные в другом лесе, если оба леса объединены доверием лесов. Для добавления участников безопасности в доверии лесов можно использовать оснастку «Active Directory — пользователи и компьютеры».
Примеры
Чтобы сделать недействительными несколько учетных записей компьютера, введите:
dsmod computer CN=MemberServer1,CN=Computers,DC=Microsoft,DC=Com CN=MemberServer2,CN=Computers,DC=Microsoft,DC=Com -disabled yes
Чтобы переустановить несколько учетных записей компьютера, введите:
dsmod computer CN=MemberServer1,CN=Computers,DC=Microsoft,DC=Com CN=MemberServer2,CN=Computers,DC=Microsoft,DC=Com -reset
dsmod contact
Изменяет атрибуты одного или нескольких существующих контактов в каталоге.
Синтаксис
dsmod contact отличительное_имя_контакта [-fn имя] [-mi инициал] [-ln фамилия] [-display отображаемое_имя] [-desc описание] [-office комната] [-tel номер_телефона] [-email электронная_почта] [-hometel номер_домашнего_телефона] [-pager номер_пейджера] [-mobile номер_сотового_телефона] [-fax номер_факса] [-iptel номер_IP-телефона] [-title должность] [-dept отдел] [-company компания] [(-s сервер | -d домен)] [-u имя_пользователя][-p (пароль | *)] [-c] [-q] [(-uc | -uco | -uci)]
Параметры
отличительное_имя_контакта...
Обязательный параметр. Задает отличительные имена контактов, в которые требуется внести изменения. Если значения отсутствуют, они будут получены из стандартного устройства ввода (stdin) для поддержки передачи по каналу выходных данных другой команды на вход данной команды.
-fn имя
Задает имя контакта, требующее изменений.
-mi инициал
Задает инициал (отчество) контакта, требующий изменений.
-ln фамилия
Задает фамилию контакта, требующую изменений.
-display отображаемое_имя
Задает отображаемое имя контакта, требующее изменений.
-desc описание
Задает описание контакта, требующее изменений.
-office комната
Задает местоположение комнаты контакта, требующее изменений.
-tel номер_телефона
Задает номер телефона контакта, требующий изменений.
-email электронная_почта
Задает адрес электронной почты контакта, требующий изменений.
-hometel домашний_номер_телефона
Задает номер домашнего телефона контакта, требующий изменений.
-pager номер_пейджера
Задает номер пейджера контакта, требующий изменений.
-mobile номер_сотового_телефона
Задает номер мобильного телефона контакта, требующий изменений.
-fax номер_факса
Задает номер факса контакта, требующий изменений.
-iptel номер_IP-телефона
Задает номер IP-телефона контакта, требующий изменений.
-title должность
Задает должность контакта, требующую изменений.
-dept отдел
Задает отдел контакта, требующий изменений.
-company компания
Задает сведения о компании контакта, требующие изменений.
(-s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-u имя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход. Имя пользователя может быть задано в одном из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• основное имя пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-c
Создает отчет об ошибках, но продолжает обработку следующего объекта в списке аргументов, если указано несколько конечных объектов (непрерывный режим работы). Если этот параметр не задан, работа команды завершается при первой ошибке.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
(-uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных. В следующей таблице перечислены и описаны эти форматы.
| Значение | Описание |
-uc | Задает формат Юникод для ввода из или вывода в канал (|). |
-uco | Задает формат Юникод для вывода в канал (|) или файл. |
-uci | Задает формат Юникод для ввода из канала (|) или файла. |
/?
Выводит справку в командной строке.
Заметки
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=Mike Danseglio,OU=Contacts,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка отличительных имен).
• Dsmod не поддерживает добавление участников безопасности одного леса в группы, расположенные в другом лесе, если оба леса объединены доверием лесов. Для добавления участников безопасности в доверии лесов можно использовать оснастку «Active Directory — пользователи и компьютеры».
Примеры
Чтобы задать сведения о компаниях нескольких контактов, введите:
dsmod contact "CN=Mike Danseglio,OU=Contacts,DC=Microsoft,DC=Com" "CN=Denise Smith,OU=Contacts,DC=Microsoft,DC=Com" -company Microsoft
dsmod group
Изменяет атрибуты одной или нескольких существующих групп в каталоге.
Синтаксис
dsmod groupотличительное_имя_группы...[-samid имя_SAM] [-desc описание] [-secgrp (yes | no)] [-scope (l | g | u)] [(-addmbr | -rmmbr | -chmbr) отличительное_имя_члена_группы...] [(-s сервер | -d домен)] [-u имя_пользователя] [-p (пароль | *)] [-c] [-q] [(-uc | -uco | -uci)]
Параметры
отличительное_имя_группы...
Обязательный параметр. Задает отличительные имена групп, в которые требуется внести изменения. Если значения отсутствуют, они будут получены из стандартного устройства ввода (stdin) для поддержки передачи по каналу выходных данных другой команды на вход данной команды. Если параметры отличительное_имя_группы... и член_группы... используются вместе, из стандартного устройства ввода может быть получено значение только одного из них, поэтому, хотя бы один параметр должен быть задан в командной строке.
-samid имя_SAM
Задает изменяемые имена учетных записей SAM для групп.
-desc описание
Задает описания групп, требующие изменений.
-secgrp (yes | no)
Задает в качестве типов групп группу безопасности (yes) или группу распространения (no).
-scope (l | g | u)
Задает для области групп следующие значения: локальная, глобальная или универсальная. Универсальная область действия не поддерживается в смешанном режиме работы домена. Кроме того, локальная группа домена не может быть преобразована в глобальную группу и наоборот.
(-addmbr | -rmmbr | -chmbr) отличительное_имя_члена_группы...
Указывает, что члены группы, заданные параметром отличительное_имя_члена_группы..., добавляются, удаляются или заменяются в группе. При каждом вызове команды может быть задан только один из этих параметров. Параметр отличительное_имя_члена_группы... указывает отличительные имена одного или нескольких членов группы, которые добавляются, удаляются или заменяются в группе, заданной параметром отличительное_имя_группы. Каждому члену группы должно быть дано отличительное имя (например, CN=Mike Danseglio,OU=Users,DC=Microsoft,DC=Com). Список членов группы должен следовать за параметрами -addmbr, -rmmbr и -chmbr. Если значения отсутствуют, они будут получены из стандартного устройства ввода (stdin) для поддержки передачи по каналу выходных данных другой команды на вход данной команды. Если параметры отличительное_имя_группы... и член_группы... используются вместе, из стандартного устройства ввода может быть получено значение только одного из них, поэтому, хотя бы один параметр должен быть задан в командной строке.
(-s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-u имя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход. Имя пользователя может быть задано в любом из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• основное имя пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-c
Создает отчет об ошибках, но продолжает обработку следующего объекта в списке аргументов, если указано несколько конечных объектов (непрерывный режим работы). Если этот параметр не задан, работа команды завершается при первой ошибке.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
(-uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных. В следующей таблице перечислены и описаны эти форматы.
| Значение | Описание |
-uc | Задает формат Юникод для ввода из или вывода в канал (|). |
-uco | Задает формат Юникод для вывода в канал (|) или файл. |
-uci | Задает формат Юникод для ввода из канала (|) или файла. |
/?
Выводит справку в командной строке.
Заметки
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=USA Sales,OU=Distribution Lists,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка отличительных имен).
• Dsmod не поддерживает добавление участников безопасности одного леса в группы, расположенные в другом лесе, если оба леса объединены доверием лесов. Для добавления участников безопасности в доверии лесов можно использовать оснастку «Active Directory — пользователи и компьютеры».
Примеры
Чтобы добавить пользователя Mike Danseglio во все группы списка рассылки для администраторов, введите:
dsquery group "OU=Distribution Lists,DC=microsoft,DC=com" -name adm* | dsmod group -addmbr "CN=Mike Danseglio,CN=Users,DC=microsoft,DC=com"
Чтобы добавить всех членов из группы «US Info» в группу «Canada Info», введите:
dsget group "CN=US INFO,OU=Distribution Lists,DC=microsoft,DC=com" -members | dsmod group "CN=CANADA INFO,OU=Distribution Lists,DC=microsoft,DC=com" -addmbr
Чтобы преобразовать тип нескольких групп из группы безопасности в другой, введите:
dsmod group "CN=US Info,OU=Distribution Lists,DC=Microsoft,DC=Com" "CN=Canada Info,OU=Distribution Lists,DC=Microsoft,DC=Com" "CN=Mexico Info,OU=Distribution Lists,DC=Microsoft,DC=Com" -secgrp no
Чтобы добавить двух новых членов в группу «CN=US Info,OU=Distribution Lists,DC=Microsoft,DC=Com», введите:
dsmod group "CN=US Info,OU=Distribution Lists,DC=Microsoft,DC=Com" -addmbr "CN=Mike Danseglio,CN=Users,DC=Microsoft,DC=Com" "CN=Legal,OU=Distribution Lists,DC=Microsoft,DC=Com" "CN=Denise Smith,CN=Users,DC=Microsoft,DC=Com"
Чтобы добавить всех пользователей из подразделения «Marketing» в существующую группу с именем «Marketing Staff», введите:
dsquery user OU=Marketing,DC=Microsoft,DC=Com | dsmod group "CN=Marketing Staff,OU=Marketing,DC=Microsoft,DC=Com" -addmbr
Чтобы удалить двух членов из существующей группы «CN=US Info,OU=Distribution Lists,DC=Microsoft,DC=Com», введите:
dsmod group "CN=US Info,OU=Distribution Lists,DC=Microsoft,DC=Com" -rmmbr "CN=Mike Danseglio,CN=Users,DC=Microsoft,DC=Com" "CN=Legal,OU=Distribution Lists,DC=Microsoft,DC=Com"
dsmod ou
Изменяет атрибуты одного или нескольких существующих подразделений в каталоге.
Синтаксис
dsmod ou отличительное_имя_подразделения ... [-desc описание] [(-s сервер | -d домен)] [-u имя_пользователя] [-p (пароль | *)][-c] [-q] [(-uc | -uco | -uci)]
Параметры
отличительное_имя_подразделения...
Обязательный параметр. Задает отличительные имена подразделений, в которые требуется внести изменения. Если значения отсутствуют, они будут получены из стандартного устройства ввода (stdin) для поддержки передачи по каналу выходных данных другой команды на вход данной команды.
-desc описание
Задает описание подразделения, требующее изменений.
(-s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-u имя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход в систему. Имя пользователя может быть задано в любом из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• основное имя пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-c
Создает отчет об ошибках, но продолжает обработку следующего объекта в списке аргументов, если указано несколько конечных объектов (непрерывный режим работы). Если этот параметр не задан, работа команды завершается при первой ошибке.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
(-uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных. В следующей таблице перечислены и описаны эти форматы.
| Значение | Описание |
-uc | Задает формат Юникод для ввода из или вывода в канал (|). |
-uco | Задает формат Юникод для вывода в канал (|) или файл. |
-uci | Задает формат Юникод для ввода из канала (|) или файла. |
/?
Выводит справку в командной строке.
Заметки
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "OU=Domain Controllers,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка отличительных имен).
• Dsmod не поддерживает добавление участников безопасности одного леса в группы, расположенные в другом лесе, если оба леса объединены доверием лесов. Для добавления участников безопасности в доверии лесов можно использовать оснастку «Active Directory — пользователи и компьютеры».
Примеры
Чтобы изменить описание нескольких подразделений одновременно, введите:
dsmod ou "OU=Domain Controllers,DC=Microsoft,DC=Com" "OU=Resources,DC=Microsoft,DC=Com" "OU=Troubleshooting,DC=Microsoft,DC=Com" -desc "This is a test OU"
dsmod server
Изменяет свойства контроллера домена.
Синтаксис
dsmod server отличительное_имя_сервера... [-desc описание] [-isgc (yes | no)] [(-s сервер | -d домен)] [-u имя_пользователя] [-p (пароль | *)] [-c] [-q] [(-uc | -uco | -uci)]
Параметры
отличительное_имя_сервера...
Обязательный параметр. Задает отличительные имена одного или нескольких серверов, в которые требуется внести изменения. Если значения отсутствуют, они будут получены из стандартного устройства ввода (stdin) для поддержки передачи по каналу выходных данных другой команды на вход данной команды.
-desc описание
Задает описание сервера, требующее изменений.
-isgc (yes | no)
Указывает данный сервер как глобальный каталог (значение yes) или отключает его (значение no).
(-s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-u имя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход в систему. Имя пользователя может быть задано в любом из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• основное имя пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-c
Создает отчет об ошибках, но продолжает обработку следующего объекта в списке аргументов, если указано несколько конечных объектов (непрерывный режим работы). Если этот параметр не задан, работа команды завершается при первой ошибке.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
(-uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных. В следующей таблице перечислены и описаны эти форматы.
| Значение | Описание |
-uc | Задает формат Юникод для ввода из или вывода в канал (|). |
-uco | Задает формат Юникод для вывода в канал (|) или файл. |
-uci | Задает формат Юникод для ввода из канала (|) или файла. |
/?
Выводит справку в командной строке.
Заметки
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=My Server,CN=Servers,CN=Site10,CN=Sites,CN=Configuration,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка отличительных имен).
• Dsmod не поддерживает добавление участников безопасности одного леса в группы, расположенные в другом лесе, если оба леса объединены доверием лесов. Для добавления участников безопасности в доверии лесов можно использовать оснастку «Active Directory — пользователи и компьютеры».
Примеры
Чтобы включить контроллеры домена CORPDC1 и CORPDC9 как серверы глобального каталога, введите:
dsmod server "CN=CORPDC1,CN=Servers,CN=Site1,CN=Sites,CN=Configuration,DC=Microsoft,DC=Com" "CN=CORPDC9,CN=Servers,CN=Site2,CN=Sites,CN=Configuration,DC=Microsoft,DC=Com" -isgc yes
dsmod user
Изменяет атрибуты одного или нескольких существующих пользователей в каталоге.
Синтаксис
dsmod user отличительное_имя_пользователя... [-upn UPN] [-fn имя] [-mi инициалы] [-ln фамилия] [-display отображаемое_имя] [-empid код_работника] [-pwd (пароль | *)] [-desc описание] [-office комната] [-tel номер_телефона] [-email электронная_почта] [-hometel номер_домашнего_телефона] [-pager номер_пейджера] [-mobile номер_сотового_телефона] [-fax номер_факса] [-iptel номер_IP-телефона] [-webpg веб-страница] [-title должность] [-dept отдел] [-company компания] [-mgr руководитель] [-hmdir домашний_каталог] [-hmdrv буква_диска:] [-profile путь_к_профилю] [-loscr путь_к_сценарию] [-mustchpwd (yes | no)] [-canchpwd (yes | no)] [-reversiblepwd (yes | no)] [-pwdneverexpires (yes | no)] [-acctexpires количество_дней] [-disabled (yes | no)] [(-s сервер | -d домен)] [-u имя_пользователя] [-p (пароль | *)][-c] [-q] [(-uc | -uco | -uci)]
Параметры
отличительное_имя_пользователя...
Обязательный параметр. Задает отличительные имена пользователей, в которые требуется внести изменения. Если значения отсутствуют, они будут получены из стандартного устройства ввода (stdin) для поддержки передачи по каналу выходных данных другой команды на вход данной команды.
-upn UPN
Задает основные имена пользователей объектов пользователей, в которые требуется внести изменения (например, Linda@widgets.microsoft.com).
-fn имя
Задает имена объектов пользователей, требующие изменений.
-mi инициал
Задает инициалы (отчества) объектов пользователей, требующие изменений.
-ln фамилия
Задает фамилии объектов пользователей, требующие изменений.
-display отображаемое_имя
Задает отображаемые имена объектов пользователей, требующие изменений.
-empid код_сотрудника
Задает коды сотрудников объектов пользователей, требующие изменений.
-pwd (пароль | *)
Переустанавливает пароли объектов пользователей как параметр пароль или звездочка (*). Если введена звездочка (*), выводится приглашение для ввода пароля пользователя.
-desc описание
Задает описания объектов пользователей, требующие изменений.
-office комната
Задает местоположения комнат объектов пользователей, требующие изменений.
-tel номер_телефона
Задает номера телефонов объектов пользователей, требующие изменений.
-email адрес_электронной_почты
Задает адреса электронной почты объектов пользователей, требующие изменений.
-hometel домашний_номер_телефона
Задает номера домашних телефонов объектов пользователей, требующие изменений.
-pager номер_пейджера
Задает номера пейджеров объектов пользователей, требующие изменений.
-mobile номер_сотового_телефона
Задает номера сотовых телефонов объектов пользователей, требующие изменений.
-fax номер_факса
Задает номера факсов объектов пользователей, требующие изменений.
-iptel номер_IP-телефона
Задает номера IP-телефонов объектов пользователей, требующие изменений.
-webpg веб-страница
Задает адреса веб-страниц (URLs) объектов пользователей, требующие изменений.
-title должность
Задает должности объектов пользователей, требующие изменений.
-dept отдел
Задает отделы объектов пользователей, требующие изменений.
-company компания
Задает сведения о компаниях объектов пользователей, требующие изменений.
-mgr руководитель
Задает отличительные имена руководителей объектов пользователей, требующие изменений.
Руководитель может быть задан только с использованием формата отличительного имени.
-hmdir домашняя_папка
Задает расположения домашних папок объектов пользователей, требующие изменений. Если параметр домашняя_папка представлен как имя UNC, необходимо указать подключенный диск данного пути, используя параметр -hmdrv.
-hmdrv буква_диска :
Задает буквы дисков с домашними папками (например, Е:) объектов пользователей, требующие изменений.
-profile путь_к_профилю
Задает пути к профилям объектов пользователей, требующие изменений.
-loscr путь_к_сценарию
Задает изменяемые пути к сценариям входа в систему для объектов пользователей.
-mustchpwd (yes | no)
Указывает, должны ли пользователи сменить свои пароли при следующем входе (значение yes) или нет (значение no).
-canchpwd (yes | no)
Указывает, могут ли пользователи менять свои пароли (значение yes) или нет (значение no). Этот параметр должен иметь значение yes, если параметр -mustchpwd имеет значение yes.
-reversiblepwd (yes | no)
Задает, нужно ли сохранять пароль пользователя, используя обратимое шифрование (значение yes) или нет (значение no).
-pwdneverexpires (yes | no)
Указывает, ограничен ли срок действия учетной записи пользователя (значение yes) или нет (значение no).
-acctexpires число_дней
Задает число дней, начиная с текущего, в течение которых будут действовать учетные записи пользователей. Значение 0 устанавливает окончание срока действия на конец текущего дня. Положительное значение задает окончание срока действия в будущем. Отрицательное значение задает окончание срока действия в прошлом. Значение никогда задает срок действия учетной записи неограниченным. Например, значение 0 указывает, что срок действия учетной записи истекает в конце текущего дня. Значение -5 указывает, что срок действия учетной записи истек 5 дней назад и задает дату окончания срока действия в прошлом. Значение 5 указывает, что срок действия учетной записи истекает через 5 дней.
-disabled (yes | no)
Указывает, запрещен ли вход с учетной записью пользователя (значение yes) или нет (значение no).
(-s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-u имя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход в систему. Имя пользователя может быть задано в любом из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• основное имя пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-c
Создает отчет об ошибках, но продолжает обработку следующего объекта в списке аргументов, если указано несколько конечных объектов (непрерывный режим работы). Если этот параметр не задан, работа команды завершается при первой ошибке.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
(-uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных. В следующей таблице перечислены и описаны эти форматы.
| Значение | Описание |
-uc | Задает формат Юникод для ввода из или вывода в канал (|). |
-uco | Задает формат Юникод для вывода в канал (|) или файл. |
-uci | Задает формат Юникод для ввода из канала (|) или файла. |
/?
Выводит справку в командной строке.
Заметки
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=Mike Danseglio,CN=Users,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка отличительных имен).
• С помощью специального маркера $username$ (нечувствительного к регистру ввода) можно перемещать имя SAM учетной записи в значение параметров -webpg, -profile, -hmdir и -email. Например, если имя SAM учетной записи — «Denise», параметр расположения -hmdir можно записать в следующих форматах:
-hmdir \users\Denise\home
-hmdir \users\$username$\home
• Эта команда поддерживает лишь ограниченный набор обычно используемых атрибутов класса объекта.
• Dsmod не поддерживает добавление участников безопасности одного леса в группы, расположенные в другом лесе, если оба леса объединены доверием лесов. Для добавления участников безопасности в доверии лесов можно использовать оснастку «Active Directory — пользователи и компьютеры».
Примеры
Чтобы переустановить пароль пользователя Don Funk и заставить его изменить пароль при следующем входе в сеть, введите:
dsmod user "CN=Don Funk,CN=Users,DC=Microsoft,DC=Com" -pwd A1b2C3d4 -mustchpwd yes
Чтобы переустановить пароли нескольких пользователей на простые пароли и заставить пользователей изменить свои пароли при следующем входе в сеть, введите:
dsmod user "CN=Don Funk,CN=Users,DC=Microsoft,DC=Com" "CN=Denise Smith,CN=Users,DC=Microsoft,DC=Com" -pwd A1b2C3d4 -mustchpwd yes
Чтобы отключить учетные записи нескольких пользователей одновременно, введите:
dsmod user "CN=Don Funk,CN=Users,DC=Microsoft,DC=Com" "CN=Denise Smith,CN=Users,DC=Microsoft,DC=Com" -disabled yes
Чтобы изменить пути к профилям нескольких пользователей на простой путь, используя маркер $username$, введите:
dsmod user "CN=Don Funk,CN=Users,DC=Microsoft,DC=Com" "CN=Denise Smith,CN=Users,DC=Microsoft,DC=Com" -profile \users\$username$\profile
dsmod quota
Изменяет атрибуты одной или нескольких существующих спецификаций квот в каталоге.
Синтаксис
dsmod quota отличительное_имя_квоты ... [-qlimit значение] [-desc описание] [(-s сервер | -d домен)] [-u имя_пользователя] [-p (пароль | *)] [-c] [-q] [(-uc | -uco | -uci)]
Параметры
отличительное_имя_квоты ...
Задает отличительные имена одной или нескольких спецификаций квот, в которые требуется внести изменения. Если значения отсутствуют, они будут получены из стандартного устройства ввода (stdin) для поддержки передачи по каналу выходных данных другой команды на вход данной команды.
-qlimit значение
Задает количество объектов в разделе каталога, которым может обладать участник безопасности с назначенной квотой объекта. Чтобы задать неограниченную квоту, используйте значение -1.
-desc описание
Задает описание спецификации квот, требующее изменений.
(-s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-u имя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход в систему. Имя пользователя может быть задано в любом из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• основное имя пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-c
Задает непрерывный режим работы. Создает отчет об ошибках, но продолжает обработку следующего объекта в списке аргументов, если указано несколько конечных объектов. Если параметр -c не задан, работа команды завершается при первой ошибке.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
(-uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных. В следующей таблице перечислены и описаны эти форматы.
| Значение | Описание |
-uc | Задает формат Юникод для ввода из или вывода в канал (|). |
-uco | Задает формат Юникод для вывода в канал (|) или файл. |
-uci | Задает формат Юникод для ввода из канала (|) или файла. |
/?
Выводит справку в командной строке.
Заметки
• Команда Dsmod quota поддерживает только ограниченный набор обычно используемых атрибутов класса объекта.
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=DC2,OU=Domain Controllers,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка различающихся имен).
• Dsmod не поддерживает добавление участников безопасности одного леса в группы, расположенные в другом лесе, если оба леса объединены доверием лесов. Для добавления участников безопасности в доверии лесов можно использовать оснастку «Active Directory — пользователи и компьютеры».
Примеры
Чтобы изменить значение предельной квоты для квоты с именем DN1 на значение 100, введите:
dsmod quota DN1 -qlimit 100
dsmod partition
Изменяет атрибуты одного или нескольких существующих разделов в каталоге.
Синтаксис
dsmod partition отличительное_имя_раздела ... [-qdefault значение] [-qtmbstnwt процент] [(-s сервер | -d домен)] [-u имя_пользователя] [-p (пароль | *)] [-c] [-q] [(-uc | -uco | -uci)]
Параметры
отличительное_имя_раздела ...
Задает отличительные имена, в которые требуется внести изменения, для одного и нескольких разделов каталога. Если значения отсутствуют, они будут получены из стандартного устройства ввода (stdin) для поддержки передачи по каналу выходных данных другой команды на вход данной команды.
-qdefault значение
Указывает, что значение квоты по умолчанию для раздела каталога задается параметром значение. Если для участников безопасности не существует спецификации квот, данное значение квоты по умолчанию будет применяться для каждого участника безопасности (пользователь, группа, компьютер или inetOrgPerson), владеющего объектом в разделе каталога. Чтобы задать неограниченную квоту, используйте значение -1.
-qtmbstnwt процент
Обязательный параметр. Устанавливает процент, на который должен уменьшиться счетчик объекта захоронения при подсчете использования квот. Процент задается параметром процент и должен находиться в пределах от 0 до 100. Например, значение 25 говорит о том, что объект захоронения считается как 25% от обычного объекта при подсчете использования квот. Если бы квота, назначенная пользователю, имела значение 100, пользователь мог иметь максимум 100 обычных объектов или 400 объектов захоронения в Active Directory.
(-s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-u имя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход в систему. Имя пользователя может быть задано в любом из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• основное имя пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-c
Создает отчет об ошибках, но продолжает обработку следующего объекта в списке аргументов, если указано несколько конечных объектов (непрерывный режим работы). Если этот параметр не задан, работа команды завершается при первой ошибке.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
(-uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных.
/?
Выводит справку в командной строке.
Заметки
• Эта команда поддерживает только ограниченный набор обычно используемых атрибутов класса объекта.
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=DC2,OU=Domain Controllers,DC=Microsoft,DC=Com").
• Квота по умолчанию применяется к любому участнику безопасности (например, пользователь, группа, компьютер или iNetOrgРerson), создающему объект в разделе каталога, если данный участник не охватывается какой-либо существующей спецификацией квот.
• Значение квоты по умолчанию для данного раздела каталога является атрибутом (таким как ms-DS-Default-Quota) специального контейнера класса ms-DS-Quota-Container, указанного параметром CN=NTDS Quotas,
• Вес квоты захоронения для данного раздела каталога (задается параметром -qtmbstnwt) является атрибутом (таким как ms-DS-Tombstone-Quota-Factor) специального контейнера класса (такого как ms-DS-Quota-Container), указанного параметром CN=NTDS Quotas,
• Dsmod не поддерживает добавление участников безопасности одного леса в группы, расположенные в другом лесе, если оба леса объединены доверием лесов. Для добавления участников безопасности в доверии лесов можно использовать оснастку «Active Directory — пользователи и компьютеры».
Примеры
Чтобы изменить значение предельной квоты по умолчанию для раздела каталога с именем NС1 на значение 1000, введите:
dsmod partition NC1 -qdefault 1000
[newpage=Dsrm]
Dsrm
Удаляет объект конкретного или любого типа из каталога.
Синтаксис
dsrm различающееся_имя_объекта [-subtree [-exclude]] [-noprompt] [(-s сервер | -d домен)] [-u имя_пользователя] [-p (пароль | *)][-c][-q][(-uc | -uco | -uci)]
Параметры
Различающееся имя объекта
Обязательный параметр. Различающиеся имена объектов, которые следует удалить. Если в командной строке не указано никакого значения, оно получается через стандартное устройство ввода.
-subtree [-exclude]
Указывает, что объект и все объекты, содержащиеся в поддереве под этим объектом, должны быть удалены. Параметр -exclude может быть определен только вместе с параметром -subtree для указания, что базовый объект, выданный параметром различающееся_имя_объекта, должен быть исключен из списка на удаление при удалении его поддерева. По умолчанию удаляется только указанный базовый объект.
-noprompt
Устанавливает дополнительный режим молчания, не запрашивающий подтверждение удаления каждого объекта. По умолчанию запрашивается подтверждение удаления каждого объекта.
(-s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-u имя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход. Имя пользователя может быть задано в одном из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• имя участника-пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-c
Создает отчет об ошибках, но продолжает обработку следующего объекта в списке аргументов, если указано несколько конечных объектов (непрерывный режим работы). Если этот параметр не задан, работа команды завершается при первой ошибке.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
(-uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных. В следующей таблице перечислены и описаны эти форматы.
| Значение | Описание |
-uc | Задает формат Юникод для ввода из или вывода в канал (|). |
-uco | Задает формат Юникод для вывода в канал (|) или файл. |
-uci | Задает формат Юникод для ввода в канал (|) или файл. |
/?
Вывод справочных сведений в командной строке.
Примечания
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=Mike Danseglio,CN=Users,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка различающихся имен).
Примеры
Чтобы удалить подразделение с именем «Marketing» и все объекты под ним, введите:
dsrm -subtree -noprompt -c OU=Marketing,DC=Microsoft,DC=Com
Чтобы удалить все объекты ниже подразделения с именем «Marketing» без самого подразделения, введите:
dsrm -subtree -exclude -noprompt -c "OU=Marketing,DC=Microsoft,DC=Com"
[newpage=Dsmove]
Dsmove
Перемещение одного объекта внутри домена из его текущего места в каталоге в новое или его переименование без перемещения в дереве каталога.
Синтаксис
dsmove различающееся_имя_объекта [-newname новое_имя] [-newparent различающееся_имя_родительского_объекта] [(-s сервер | -d домен)] [-u имя_пользователя] [-p (пароль | *)] [-q] [(-uc | -uco | -uci)]
Параметры
различающееся_имя_объекта
Обязательный параметр. Задает различающееся имя объекта, который следует переместить или переименовать. Если значение отсутствует, оно будет получено из стандартного устройства ввода (stdin) для поддержки передачи по каналу выходных данных другой команды на вход данной команды.
-newname новое_относительное_различающееся_имя_объекта
Переименовывает объект новым относительным различающимся именем.
-newparent различающееся_имя_родительского_объекта
Задает новое место, в которое необходимо переместить объект. Новое место указывается как различающееся имя нового родительского узла.
(-s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-u имя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход. Имя пользователя может быть задано в одном из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• имя участника-пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
(-uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных.
/?
Вывод справочных сведений в командной строке.
Примечания
• Чтобы получить сведения о перемещении объекта по домену, см. информацию о средстве командной строки — команде Movetree — в разделе Установка средств поддержки Windows.
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=Mike Danseglio,CN=Users,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка различающихся имен).
Примеры
Чтобы переименовать объект пользователя с Kim Akers на Kim Ralls, введите:
dsmove "CN=Kim Akers,OU=Sales,DC=Microsoft,DC=Com" -newname "Kim Ralls"
Чтобы переместить объект Kim Akers из Sales organization в Marketing organization, введите:
dsmove "CN=Kim Akers,OU=Sales,DC=Microsoft,DC=Com" -newparent OU=Marketing,DC=Microsoft,DC=Com
Чтобы одновременно переместить и переименовать, введите:
dsmove "CN=Kim Akers,OU=Sales,DC=Microsoft,DC=Com" -newparent OU=Marketing,DC=Microsoft,DC=Com -newname "Kim Ralls"
[newpage=Dsquery]
Dsquery
Посылает запросы Active Directory в соответствии с указанными условиями. С помощью каждой из следующих команд dsquery осуществляется поиск объектов конкретного типа, за исключением команды dsquery *, с помощью которой можно найти любой тип объекта.
• dsquery computer
• dsquery contact
• dsquery group
• dsquery ou
• dsquery site
• dsquery server
• dsquery user
• dsquery quota
• dsquery partition
• dsquery *
dsquery computer
Находит в каталоге компьютеры, отвечающие указанным критериям поиска.
Синтаксис
dsquery computer [(начальный_узел| forestroot | domainroot)] [-o (dn | rdn | samid)] [-scope (subtree | onelevel | base)] [-name имя] [-desc описание] [-samid имя_SAM] [-inactive число_недель] [-stalepwd число_дней] [-disabled] [(-s сервер| -d домен)] [-u имя_пользователя] [-p (пароль|*)] [-q] [-r] [-gc] [-limit число_объектов] [(-uc | -uco | -uci)]
Параметры
(начальный_узел| forestroot | domainroot)
Указывает узел, с которого должен быть начат поиск. Можно указать корень леса (forestroot), корень домена (domainroot) или отличительное имя узла (начальный_узел). Если задано значение forestroot, поиск выполняется в глобальном каталоге. По умолчанию используется значение domainroot.
-o (dn | rdn | samid)
Определяет формат вывода списка записей, найденных в результате поиска. Значение dn задает отображение отличительного имени каждой записи. Значение rdn задает отображение относительного отличительного имени каждой записи. Значение samid задает отображение учетной записи SAM каждой записи. По умолчанию используется формат dn.
-scope (subtree | onelevel | base)
Задает область поиска. Значение subtree задает в качестве области поддерево с корнем в начальном узле. Значение onelevel задает поиск только в дочерних объектах начального узла первого уровня. Значение base задает поиск в одном объекте, представленном как начальный узел. Если параметр начальный_узел имеет значение forestroot, единственная допустимая область поиска — поддерево. По умолчанию используется область поиска subtree.
-nameимя
Выполняет поиск компьютеров, атрибут имени которых (значение атрибута CN) соответствует значению имя. Например, «jon*», «*ith» или «j*th».
-descописание
Выполняет поиск узлов, атрибут описания которых соответствует значению описание. Например, «jon*», «*ith» или «j*th».
-samidимя_SAM
Выполняет поиск компьютеров, имя учетной записи SAM которых соответствует значению имя_SAM.
-inactive число_недель
Выполняет поиск всех компьютеров, которые не работали (устаревшие) указанное число недель.
-stalepwdчисло_дней
Выполняет поиск всех компьютеров, пароли которых не изменялись указанное число дней.
-disabled
Выполняет поиск всех компьютеров с отключенными учетными записями.
(-s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-uимя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход в систему. Имя пользователя может быть задано в одном из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• основное имя пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль|*)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
-r
Указывает, что в ходе поиска используется рекурсия или поиск следует по ссылкам. По умолчанию поиск не следует по ссылкам.
-gc
Задает использование поиском глобального каталога Active Directory.
-limitчисло_объектов
Задает число объектов, соответствующих заданным условиям, которое должно быть возвращено. Если параметр число_объектов имеет значение 0, будут возвращены все найденные объекты. Если этот параметр не задан, по умолчанию возвращаются 100 первых результатов.
(-uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных.
/?
Выводит справку в командной строке.
Заметки
• Результаты поиска с помощью команды dsquery могут быть переданы по каналу как входные данные для одного из других средств командной строки службы каталогов, например dsget, dsmod, dsmove или dsrm.
• Если предоставляемое значение содержит пробелы, его следует заключить в кавычки (например, "CN=Mike Danseglio,CN=Users,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка отличительных имен).
Примеры
Чтобы найти все компьютеры текущего домена с именами, начинающимися с «ms», и описанием, начинающимся с «desktop», а также вывести их отличительные имена, введите:
dsquery computer domainroot -name ms* -desc desktop*
Чтобы найти все компьютеры в подразделении, заданным значением OU=Sales,dc=microsoft,DC=Com, и вывести их отличительные имена, введите:
dsquery computer OU=Sales,DC=Microsoft,DC=Com
dsquery contact
Находит контакты в каталоге, отвечающие указанным критериям поиска.
Синтаксис
dsquery contact [(начальный_узел| forestroot | domainroot)] [-o (dn | rdn)] [-scope (subtree | onelevel | base)] [-name имя] [-desc описание] [(-s сервер| -d домен)] [-u имя_пользователя] [-p (пароль| *)] [-q] [-r] [-gc] [-limit число_объектов] [(-uc | -uco | -uci)]
Параметры
(начальный_узел| forestroot | domainroot)
Указывает узел, с которого должен быть начат поиск. Можно указать корень леса (forestroot), корень домена (domainroot) или отличительное имя узла (начальный_узел). Если задано значение forestroot, поиск выполняется в глобальном каталоге. По умолчанию используется значение domainroot.
-o (dn | rdn)
Определяет формат вывода списка записей, найденных в результате поиска. Значение dn задает отображение отличительного имени каждой записи. Значение rdn задает отображение относительного отличительного имени каждой записи.
-scope (subtree | onelevel | base)
Задает область поиска. Значение subtree задает в качестве области поддерево с корнем в начальном узле. Значение onelevel задает поиск только в дочерних объектах начального узла первого уровня. Значение base задает поиск в одном объекте, представленном как начальный узел. Если параметр начальный_узел имеет значение forestroot, единственная допустимая область поиска — поддерево. По умолчанию используется область поиска subtree.
-nameимя
Выполняет поиск контактов, атрибут имени которых (значение атрибута CN) соответствует значению имя. Например, «jon*», «*ith» или «j*th».
-descописание
Выполняет поиск контактов, атрибут описания которых соответствует значению описание. Например, «jon*», «*ith» или «j*th».
(-s сервер| -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-uимя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход в систему. Имя пользователя может быть задано в одном из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• основное имя пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль|*)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
-r
Указывает, что в ходе поиска используется рекурсия или поиск следует по ссылкам. По умолчанию поиск не следует по ссылкам.
-gc
Задает использование поиском глобального каталога Active Directory.
-limitчисло_объектов
Задает число объектов, соответствующих заданным условиям, которое должно быть возвращено. Если параметр число_объектов имеет значение 0, будут возвращены все найденные объекты. Если этот параметр не задан, по умолчанию возвращаются 100 первых результатов.
(-uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных
/?
Выводит справку в командной строке.
Заметки
• Результаты поиска с помощью команды dsquery могут быть переданы по каналу как входные данные для одного из других средств командной строки службы каталогов, например dsget, dsmod, dsmove или dsrm.
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=Mike Danseglio,CN=Users,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка отличительных имен).
Примеры
Чтобы найти все контакты текущего домена с именами, начинающимися с «te», и вывести их отличительные имена, введите:
dsquery contact domainroot -name te*
Чтобы найти все контакты в подразделении, заданным значением OU=Sales,DC=microsoft,DC=Com, и вывести их отличительные имена, введите:
dsquery contact OU=Sales,DC=Microsoft,DC=Com
dsquery group
Находит группы в каталоге, отвечающие указанным критериям поиска. Если предварительно определенные условия поиска данной команды недостаточно точны, воспользуйтесь более общей версией команды запроса dsquery *.
Синтаксис
dsquery group [(начальный_узел| forestroot | domainroot)] [-o (dn | rdn | samid)] [-scope (subtree | onelevel | base)] [-name фильтр] [-desc фильтр] [-samid фильтр] [(-s сервер| -d домен)] [-u имя_пользователя] [-p (пароль| *)] [-q] [-r] [-gc] [-limit число_объектов] [(-uc | -uco | -uci)]
Параметры
[(начальный_узел| forestroot | domainroot)
Указывает узел, с которого должен быть начат поиск. Можно указать корень леса (forestroot), корень домена (domainroot) или отличительное имя узла (начальный_узел). Если задано значение forestroot, поиск выполняется в глобальном каталоге. По умолчанию используется значение domainroot.
-o (dn | rdn | samid)
Определяет формат вывода списка записей, найденных в результате поиска. Значение dn задает отображение отличительного имени каждой записи. Значение rdn задает отображение относительного отличительного имени каждой записи. Значение samid задает отображение учетной записи SAM каждой записи. По умолчанию используется формат dn.
-scope (subtree | onelevel | base)
Задает область поиска. Значение subtree задает в качестве области поддерево с корнем в начальном узле. Значение onelevel задает поиск только в дочерних объектах начального узла первого уровня. Значение base задает поиск в одном объекте, представленном как начальный узел. Если параметр начальный_узел имеет значение forestroot, единственная допустимая область поиска — поддерево. По умолчанию используется область поиска subtree.
-nameимя
Выполняет поиск групп, атрибут имени которых (значение атрибута CN) соответствует значению имя. Например, «jon*», «*ith» или «j*th».
-descописание
Выполняет поиск групп, атрибут описания которых соответствует значению описание. Например, «jon*», «*ith» или «j*th».
-samidимя_SAM
Выполняет поиск групп, имя учетной записи SAM которых соответствует значению имя_SAM.
(-s сервер| -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-uимя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход в систему. Имя пользователя может быть задано в одном из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• основное имя пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль|*)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
-r
Указывает, что в ходе поиска используется рекурсия или поиск следует по ссылкам. По умолчанию поиск не следует по ссылкам.
-gc
Задает использование поиском глобального каталога Active Directory.
-limitчисло_объектов
Задает число объектов, соответствующих заданным условиям, которое должно быть возвращено. Если параметр число_объектов имеет значение 0, будут возвращены все найденные объекты. Если этот параметр не задан, по умолчанию возвращаются 100 первых результатов.
(-uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных.
/?
Выводит справку в командной строке.
Заметки
• Результаты поиска с помощью команды dsquery могут быть переданы по каналу как входные данные для одного из других средств командной строки службы каталогов, например dsget, dsmod, dsmove или dsrm.
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=Mike Danseglio,CN=Users,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка отличительных имен).
Примеры
Чтобы найти все группы текущего домена с именами, начинающимися с «ms», и описанием, начинающимся с «admin», а также вывести их отличительные имена, введите:
dsquery group domainroot -name ms* -desc admin*
Чтобы найти все группы домена, заданного значением DC=Microsoft,DC=Com, и вывести их отличительные имена, введите:
dsquery group DC=Microsoft,DC=Com
dsquery ou
Находит подразделения в каталоге, отвечающие указанным критериям поиска. Если предварительно определенные условия поиска данной команды недостаточно точны, воспользуйтесь более общей версией команды запроса dsquery *.
Синтаксис
dsquery ou [(начальный_узел| forestroot | domainroot)] [-o (dn | rdn)][-scope (subtree | onelevel | base)][-name имя] [-desc описание] [(-s сервер| -d домен)] [-u имя_пользователя] [-p (пароль| *)] [-q] [-r] [-gc] [-limit число_объектов] [(-uc | -uco | -uci)]
Параметры
(начальный_узел| forestroot | domainroot)
Указывает узел, с которого должен быть начат поиск. Можно указать корень леса (forestroot), корень домена (domainroot) или отличительное имя узла (начальный_узел). Если задано значение forestroot, поиск выполняется в глобальном каталоге. По умолчанию используется значение domainroot.
-o (dn | rdn)
Определяет формат вывода списка записей, найденных в результате поиска. Значение dn задает отображение отличительного имени каждой записи. Значение rdn задает отображение относительного отличительного имени каждой записи.
-scope (subtree | onelevel | base)
Задает область поиска. Значение subtree задает в качестве области поддерево с корнем в начальном узле. Значение onelevel задает поиск только в дочерних объектах начального узла первого уровня. Значение base задает поиск в одном объекте, представленном как начальный узел. Если параметр начальный_узел имеет значение forestroot, единственная допустимая область поиска — поддерево. По умолчанию используется область поиска subtree.
-nameимя
Выполняет поиск подразделений, атрибут имени которых (значение атрибута CN) соответствует значению имя. Например, «jon*», «*ith» или «j*th».
-descописание
Выполняет поиск подразделений, атрибут описания которых соответствует значению описание. Например, «jon*», «*ith» или «j*th».
(-s сервер| -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-uимя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход в систему. Имя пользователя может быть задано в одном из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• основное имя пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
-r
Указывает, что в ходе поиска используется рекурсия или поиск следует по ссылкам. По умолчанию поиск не следует по ссылкам.
-gc
Задает использование поиском глобального каталога Active Directory.
-limitчисло_объектов
Задает число объектов, соответствующих заданным условиям, которое должно быть возвращено. Если параметр число_объектов имеет значение 0, будут возвращены все найденные объекты. Если этот параметр не задан, по умолчанию возвращаются 100 первых результатов.
(-uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных.
/?
Выводит справку в командной строке.
Заметки
• Результаты поиска с помощью команды dsquery могут быть переданы по каналу как входные данные для одного из других средств командной строки службы каталогов, например dsget, dsmod, dsmove или dsrm.
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=Mike Danseglio,CN=Users,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка отличительных имен).
Примеры
Чтобы найти все подразделения текущего домена с именами, начинающимися с «ms», и описанием, начинающимся с «sales», а также вывести их отличительные имена, введите:
dsquery ou domainroot -name ms* -desc sales*
Чтобы найти все подразделения домена, заданного значением DC=Microsoft,DC=Com, и вывести их отличительные имена, введите:
dsquery ou DC=Microsoft,DC=Com
dsquery site
Находит узлы в каталоге, отвечающие указанным критериям поиска. Если предварительно определенные условия поиска данной команды недостаточно точны, воспользуйтесь более общей версией команды запроса dsquery *.
Синтаксис
dsquery site [-o (dn | rdn)] [-name имя] [-desc описание] [(-s сервер| -d домен)] [-u имя_пользователя] [-p (пароль|*)] [-q] [-r] [-gc] [-limit число_объектов] [(-uc | -uco | -uci)]
Параметры
-o (dn | rdn)
Определяет формат вывода списка записей, найденных в результате поиска. Значение dn задает отображение отличительного имени каждой записи. Значение rdn задает отображение относительного отличительного имени каждой записи.
-nameимя
Выполняет поиск узлов, атрибут имени которых (значение атрибута CN) соответствует значению имя. Например, «NA*» или «Europe*».
-descописание
Выполняет поиск узлов, атрибут описания которых соответствует значению описание. Например, «corp*» или «*nch».
(-s сервер| -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-uимя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход в систему. Имя пользователя может быть задано в одном из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• основное имя пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
-r
Указывает, что в ходе поиска используется рекурсия или поиск следует по ссылкам. По умолчанию поиск не следует по ссылкам.
-gc
Задает использование поиском глобального каталога Active Directory.
-limitчисло_объектов
Задает число объектов, соответствующих заданным условиям, которое должно быть возвращено. Если параметр число_объектов имеет значение 0, будут возвращены все найденные объекты. Если этот параметр не задан, по умолчанию возвращаются 100 первых результатов.
(-uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных.
/?
Выводит справку в командной строке.
Заметки
• Результаты поиска с помощью команды dsquery могут быть переданы по каналу как входные данные для одного из других средств командной строки службы каталогов, например dsget, dsmod, dsmove или dsrm.
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=Mike Danseglio,CN=Users,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка отличительных имен).
Примеры
Чтобы найти все узлы в Северной Америке с именем, начинающимся с «north», и вывести их отличительные имена, введите:
dsquery site -name north*
Чтобы вывести список относительных отличительных имен всех узлов, определенных в каталоге, введите:
dsquery site -o rdn
dsquery server
Находит контроллеры домена в соответствии с указанными критериями поиска. Если предварительно определенные условия поиска данной команды недостаточно точны, воспользуйтесь более общей версией команды запроса dsquery *.
Синтаксис
dsquery server [-o (dn | rdn)] [-forest] [-domain имя_домена] [-site имя_узла] [-name имя] [-desc описание] [-hasfsmo (schema | name | infr | pdc | rid)] [-isgc] [(-s сервер| -d домен)] [-u имя_пользователя] [-p (пароль|*)] [-q] [-r] [-gc] [-limit число_объектов] [(-uc | -uco | -uci)]
Параметры
-o (dn | rdn)
Определяет формат вывода списка записей, найденных в результате поиска. Значение dn задает отображение отличительного имени каждой записи. Значение rdn задает отображение относительного отличительного имени каждой записи. По умолчанию используется формат dn.
-forest
Выполняет поиск всех контроллеров домена (объект-серверов), являющихся частью текущего леса.
-domain имя_домена
Выполняет поиск всех контроллеров домена (объект-серверов), являющихся частью домена с DNS-именем, заданным значением имя_домена. Необходимо отметить, что этот параметр необязательный, если требуется вывести все контроллеры текущего домена, при условии, что это единственный указанный критерий поиска.
-site имя_узла
Выполняет поиск всех контроллеров домена (объект-серверов), являющихся частью узла имя_узла.
-nameимя
Выполняет поиск объект-серверов, атрибут имени которых (значение атрибута CN) соответствует значению имя. Например, «jon*», «*ith» или «j*th».
-descописание
Выполняет поиск объект-серверов, атрибут описания которых соответствует значению описание. Например, «jon*», «*ith» или «j*th».
-hasfsmo (schema | name | infr | pdc | rid)
Выполняет поиск контроллера домена (объект-сервер), который удерживает запрашиваемую роль хозяина операций. Значение команды schema запрашивает хозяина схемы леса. Значение команды name запрашивает хозяина именования домена леса. Значение команды infr запрашивает хозяина инфраструктуры леса. Значение команды pdc запрашивает владельца роли основного контроллера домена (PDC) для домена, заданного параметром -domain (или используется текущий домен). Значение команды rid запрашивает хозяина относительных идентификаторов (RID master) домена, заданного параметром -domain (или используется текущий домен). Если ни один домен не указан с помощью параметра -domain, для роли хозяина операций команд infr, pdc и rid используется текущий домен.
-isgc
Выполняет поиск всех контроллеров домена (объект-серверов) в области, указанной любым из параметров -forest, -domain или -site, являющихся серверами глобального каталога. Если не указан ни один из параметров области, находит все глобальные каталоги текущего домена.
(-s сервер| -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-uимя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход в систему. Имя пользователя может быть задано в одном из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• основное имя пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль|*)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
-r
Указывает, что в ходе поиска используется рекурсия или поиск следует по ссылкам. По умолчанию поиск не следует по ссылкам.
-gc
Задает использование поиском глобального каталога Active Directory.
-limitчисло_объектов
Задает число объектов, соответствующих заданным условиям, которое должно быть возвращено. Если параметр число_объектов имеет значение 0, будут возвращены все найденные объекты. Если этот параметр не задан, по умолчанию возвращаются 100 первых результатов.
(-uc | -uco | -uci)
Здает формат Юникод для выходных и входных данных.
/?
Выводит справку в командной строке.
Заметки
• Результаты поиска с помощью команды dsquery могут быть переданы по каналу как входные данные для одного из других средств командной строки службы каталогов, например dsget, dsmod, dsmove или dsrm.
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=Mike Danseglio,CN=Users,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка отличительных имен).
Примеры
Чтобы найти все контроллеры текущего домена, введите:
dsquery server
Чтобы найти все контроллеры домена леса и вывести их относительные отличительные имена, введите:
dsquery server -o rdn -forest
Чтобы найти все контроллеры домена узла с именем United States и вывести их относительные отличительные имена, введите:
dsquery server -o rdn -site United States
Чтобы найти контроллер домена леса, удерживающий роль хозяина операций схемы, введите:
dsquery server –forest –hasfsmo schema
Чтобы найти все контроллеры домена widgets.microsoft.com, являющиеся серверами глобального каталога, введите:
dsquery server –domain widgets.microsoft.com -isgc
dsquery user
Находит пользователей в каталоге, отвечающих указанным критериям поиска. Если предварительно определенные условия поиска данной команды недостаточно точны, воспользуйтесь более общей версией команды запроса dsquery *.
Синтаксис
dsquery user [(начальный_узел| forestroot | domainroot)] [-o (dn | rdn | upn | samid)] [-scope (subtree | onelevel | base)] [-name имя] [-desc описание] [-upn UPN] [-samid имя_SAM] [-inactive число_недель] [-stalepwd число_дней] [-disabled] [(-s сервер| -d домен)] [-u имя_пользователя] [-p (пароль| *)] [-q] [-r] [-gc] [-limit число_объектов] [(-uc | -uco | -uci)]
Параметры
(начальный узел| forestroot | domainroot)
Указывает узел, с которого должен быть начат поиск. Можно указать корень леса (forestroot), корень домена (domainroot) или отличительное имя узла (начальный_узел). Если задано значение forestroot, поиск выполняется в глобальном каталоге. По умолчанию используется значение domainroot.
-o (dn | rdn | upn | samid)
Определяет формат вывода списка записей, найденных в результате поиска. Значение dn задает отображение отличительного имени каждой записи. Значение rdn задает отображение относительного отличительного имени каждой записи. Значение upn задает отображение основного имени пользователя каждой записи. Значение samid задает отображение учетной записи SAM каждой записи. По умолчанию используется формат dn.
-scope (subtree | onelevel | base)
Задает область поиска. Значение subtree задает в качестве области поддерево с корнем в начальном узле. Значение onelevel задает поиск только в дочерних объектах начального узла первого уровня. Значение base задает поиск в одном объекте, представленном как начальный узел. Если параметр начальный_узел имеет значение forestroot, единственная допустимая область поиска — поддерево. По умолчанию используется область поиска subtree.
-nameимя
Выполняет поиск пользователей, атрибут имени которых (значение атрибута CN) соответствует значению имя. Например, «jon*», «*ith» или «j*th».
-descописание
Выполняет поиск пользователей, атрибут описания которых соответствует значению описание. Например, «jon*», «*ith» или «j*th».
-upn UPN
Выполняет поиск пользователей, атрибут UPN которых соответствует значению UPN.
-samidимя_SAM
Выполняет поиск пользователей, имя учетной записи SAM которых соответствует значению имя_SAM.
-inactive число_недель
Выполняет поиск всех пользователей, которые были неактивными (устаревшие) указанное число недель.
-stalepwdчисло_дней
Выполняет поиск всех пользователей, пароли которых не изменялись указанное число дней.
-disabled
Выполняет поиск всех пользователей с отключенными учетными записями.
(-s сервер| -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-uимя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход в систему. Имя пользователя может быть задано в одном из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• основное имя пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль| *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
-r
Указывает, что в ходе поиска используется рекурсия или поиск следует по ссылкам. По умолчанию поиск не следует по ссылкам.
-gc
Задает использование поиском глобального каталога Active Directory.
-limitчисло_объектов
Задает число объектов, соответствующих заданным условиям, которое должно быть возвращено. Если параметр число_объектов имеет значение 0, будут возвращены все найденные объекты. Если этот параметр не задан, по умолчанию возвращаются 100 первых результатов.
(-uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных.
/?
Выводит справку в командной строке.
Заметки
• Результаты поиска с помощью команды dsquery могут быть переданы по каналу как входные данные для одного из других средств командной строки службы каталогов, например dsget, dsmod, dsmove или dsrm.
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=Mike Danseglio,CN=Users,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка отличительных имен).
Примеры
Чтобы вывести основные имена пользователей данного подразделения с именами, начинающимися с «Jon», и отключенными для входа учетными записями, введите:
dsquery user OU=Test,DC=Microsoft,DC=Com -o upn -name jon* -disabled
Чтобы вывести отличительные имена пользователей текущего домена с именами, заканчивающимися на «Smith», которые были неактивны 3 недели и более, введите:
dsquery user domainroot -name *smith -inactive 3
Чтобы вывести основные имена всех пользователей подразделения, заданного значением OU=Sales,DC=Microsoft,DC=Com, введите:
dsquery user OU=Sales,DC=Microsoft,DC=Com -o upn
dsquery quota
Находит спецификации квот в каталоге, отвечающие указанным критериям поиска. Спецификация квоты определяет какое максимальное число объектов каталога могут обладать данными участниками безопасности в указанном разделе каталога. Если предварительно определенные условия поиска данной команды недостаточно точны, воспользуйтесь более общей версией команды запроса dsquery *.
Синтаксис
dsquery quota (domainroot |отличительное_имя_объекта) [-o (dn | rdn)] [-acct имя] [-qlimit фильтр] [-desc описание] [(-s сервер| -d домен)] [-u имя_пользователя] [-p (пароль|*)] [-q] [-r] [-gc] [-limit число_объектов] [(-uc | -uco | -uci)]
Параметры
(domainroot |отличительное_имя_объекта)
Обязательный параметр. Указывает, где должен начаться поиск. Чтобы задать отличительное имя (DN), используйте параметр отличительное_имя_объекта или используйте параметр domainroot, чтобы указать корень текущего домена.
-o (dn | rdn)
Определяет формат вывода списка записей, найденных в результате поиска.
dn - Показывает отличительные имена каждой записи. Этот режим используется по умолчанию
rdn - Показывает относительные отличительные имена каждой записи.
-acct имя
Задает поиск спецификаций квот, назначенный участнику безопасности (пользователю, группе, компьютеру или InetOrgPerson), представленному параметром имя. Параметр -acct может быть представлен в виде отличительного имени участника безопасности или параметра домен\имя_учетной_записи_SAM участника безопасности.
-qlimit фильтр
Задает поиск спецификаций квот, предел которых соответствует значению фильтр.
-descописание
Выполняет поиск объектов, атрибут описания которых соответствует значению описание (например, «jon*», «*ith» или «j*th»).
(-s сервер| -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-uимя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход в систему. Имя пользователя может быть задано в одном из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• основное имя пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль|*)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
-r
Указывает, что в ходе поиска используется рекурсия или поиск следует по ссылкам. По умолчанию поиск не следует по ссылкам.
-gc
Задает использование поиском глобального каталога Active Directory.
-limitчисло_объектов
Задает число объектов, соответствующих заданным условиям, которое должно быть возвращено. Если параметр число_объектов имеет значение 0, будут возвращены все найденные объекты. Если этот параметр не задан, по умолчанию возвращаются 100 первых результатов.
(-uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных.
/?
Выводит справку в командной строке.
Заметки
• Результаты поиска с помощью команды dsquery могут быть переданы по каналу как входные данные для одного из других средств командной строки службы каталогов, например dsget, dsmod, dsmove или dsrm.
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=Mike Danseglio,CN=Users,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка отличительных имен).
• Чтобы задать значение для параметра описание, можно использовать подстановочный знак (*) (например, «NA*», «*BR» или «NA*BR»).
• Любое значение для параметра фильтр, заданное с помощью qlimit, будет читаться как строка. Этот параметр необходимо всегда заключать в кавычки. Любой ряд значений, заданный с помощью <=, = или >=, должен быть также заключен в кавычки (например, -qlimit "=100", -qlimit "<=99", -qlimit ">=101"). Чтобы найти неограниченную квоту, используйте значение «-1».
Примеры
Чтобы вывести список всех учетных записей текущего домена, имеющих назначенные им спецификации квот, введите:
dsquery quota domainroot
Чтобы вывести список пользователей с именами «Jon» в разделе домена «Sales», введите:
dsquery user -name jon* | dsquery quota domainroot -acct
dsquery partition
Находит объекты раздела в каталоге, отвечающие указанным критериям поиска. Если предварительно определенные условия поиска данной команды недостаточно точны, воспользуйтесь более общей версией команды запроса dsquery *.
Синтаксис
dsquery partition [-o (dn | rdn)] [-part фильтр] [(-s сервер| -d домен)][-u имя_пользователя] [-p (пароль|*)] [-q] [-r] [-gc] [-limit число_объектов] [(-uc | -uco | -uci)]
Параметры
-o (dn | rdn)
Определяет формат вывода списка записей, найденных в результате поиска. В следующей таблице перечислены и описаны эти форматы.
dn - Показывает отличительные имена каждой записи. Этот режим используется по умолчанию
rdn - Показывает относительные отличительные имена каждой записи.
-part фильтр
Находит объекты раздела, общее имя (CN) которого соответствует фильтру, заданному значением фильтр.
(-s сервер| -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-uимя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход в систему. Имя пользователя может быть задано в одном из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• основное имя пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль|*)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
-r
Указывает, что в ходе поиска используется рекурсия или поиск следует по ссылкам. По умолчанию поиск не следует по ссылкам.
-gc
Задает использование поиском глобального каталога Active Directory.
-limitчисло_объектов
Задает число объектов, соответствующих заданным условиям, которое должно быть возвращено. Если параметр число_объектов имеет значение 0, будут возвращены все найденные объекты. Если этот параметр не задан, по умолчанию возвращаются 100 первых результатов.
(-uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных.
/?
Выводит справку в командной строке.
Заметки
• Результаты поиска с помощью команды dsquery могут быть переданы по каналу как входные данные для одного из других средств командной строки службы каталогов, например dsget, dsmod, dsmove или dsrm.
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=Mike Danseglio,CN=Users,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка отличительных имен).
• Чтобы задать значение для параметра описание, можно использовать подстановочный знак (*) (например, «NA*», «*BR» или «NA*BR»).
Примеры
Чтобы вывести список отличительных имен разделов каталога текущего леса, введите:
dsquery partition
Чтобы вывести список отличительных имен разделов каталога леса с именем, начинающимся с SQL, введите:
dsquery -part SQL*
dsquery *
Находит объекты в каталоге в соответствии с критериями, используя запрос LDAP.
Синтаксис
dsquery * [(отличительное_имя_объекта| forestroot | domainroot)] [-scope (subtree | onelevel | base)] [-filter фильтр_LDAP] [-attr (список_атрибутов|*)] [-attrsonly] [-l][(-s сервер| -d домен)] [-u имя_пользователя] [-p (пароль|*)] [-q] [-r] [-gc] [-limit число_объектов] [(-uc | -uco | -uci)]
Параметры
(отличительное_имя_объекта| forestroot | domainroot)
Указывает узел, с которого должен быть начат поиск. Можно указать корень леса (forestroot), корень домена (domainroot) или отличительное имя узла (отличительное_имя_объекта). Если задано значение forestroot, поиск выполняется в глобальном каталоге. По умолчанию используется значение domainroot.
-scope (subtree | onelevel | base)
Задает область поиска. Значение subtree задает в качестве области поддерево с корнем в начальном узле. Значение onelevel задает поиск только в дочерних объектах начального узла первого уровня. Значение base задает поиск в одном объекте, представленном как начальный узел. Если параметр начальный_узел имеет значение forestroot, единственная допустимая область поиска — поддерево. По умолчанию используется область поиска subtree.
-filterфильтр_LDAP
Указывает фильтр явного поиска фильтр_LDAP, заданный в формате фильтра поиска LDAP, используемого при данном поиске. Например, допустимым фильтром поиска могло бы быть условие (&(objectCategory=Person)(sn=smith*)). По умолчанию фильтр_LDAP имеет значение (objectClass=*).
-attr (список_атрибутов|*)
Указывает, что разделенные точкой с запятой отображаемые имена LDAP, включенные в список_атрибутов, являются единственными атрибутами каждой записи в списке результатов, который должен выводиться на экран. Если значение данного параметра задано звездочкой (*), в списке результатов отображаются все атрибуты объекта. Если выбран данный параметр, по умолчанию выходным форматом является формат списка, независимо от того, задан ли параметр -L. По умолчанию список_атрибутов является отличительным именем.
-attrsonly
Указывает, что отображаются только типы атрибутов, представленные в записях в списке результатов, а не их значения. По умолчанию отображаются и тип, и значение атрибута.
-l
Выводит записи в форме списка. По умолчанию записи отображаются в табличном формате. Дополнительные сведения об отображаемых форматах для данной команды см. в разделе «Примечания».
(-s сервер| -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-uимя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход в систему. Имя пользователя может быть задано в одном из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• основное имя пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль|*)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
-r
Указывает, что в ходе поиска используется рекурсия или поиск следует по ссылкам. По умолчанию поиск не следует по ссылкам.
-gc
Задает использование поиском глобального каталога Active Directory.
-limitчисло_объектов
Задает число объектов, соответствующих заданным условиям, которое должно быть возвращено. Если параметр число_объектов имеет значение 0, будут возвращены все найденные объекты. Если этот параметр не задан, по умолчанию возвращаются 100 первых результатов.
(-uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных.
/?
Выводит справку в командной строке.
Заметки
• Результаты поиска с помощью команды dsquery могут быть переданы по каналу как входные данные для одного из других средств командной строки службы каталогов, например dsget, dsmod, dsmove или dsrm.
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=Mike Danseglio,CN=Users,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка отличительных имен).
Примеры
Чтобы вывести в форме таблицы имена учетных записей SAM, основные имена пользователей и отделов пользователей текущего домена с именем учетной записи SAM, начинающимся строкой «Jon», введите:
dsquery * domainroot -filter "((objectCategory=Person)(objectClass=User)(sAMAccountName=Jon*)) -attr sAMAccountName userPrincipalName department
Чтобы прочитать имена учетных записей SAM, основные имена пользователей и атрибуты департамента объекта с отличительным именем OU=Test,DC=Microsoft,DC=Com, введите:
dsquery * OU=Test,DC=Microsoft,DC=Com -scope base -attr sAMAccountName userPrincipalName department
Чтобы прочитать все атрибуты объекта с составным именем OU=Test,DC=Microsoft,DC=Com, введите следующую команду:
dsquery * OU=Test,DC=Microsoft,DC=Com -scope base -attr *
[newpage=Dsget]
Dsget
Показывает выбранные свойства указанного объекта в каталоге. Команды dsget включают:
• dsget computer
• dsget contact
• dsget group
• dsget ou
• dsget server
• dsget user
• dsget subnet
• dsget site
• dsget quota
• dsget partition
dsget computer
Отображает свойства компьютеров в каталоге. Имеется два варианта этой команды. Первый вариант позволяет просматривать свойства нескольких компьютеров. Второй вариант позволяет просматривать сведения о членстве одного компьютера.
Синтаксис
dsget computerразличающееся_имя_компьютера ...[-dn] [-samid][-sid][-desc][-loc][-disabled][(-s сервер | -d домен)][-u имя_пользователя] [-p (пароль | *)] [-c][-q][-l] [(-uc | -uco | -uci)][-partразличающееся_имя_раздела[-qlimit][-qused]]
dsget computer различающееся_имя_компьютера[-memberof [-expand]][(-s сервер | -d домен)][-u имя_пользователя] [-p (пароль | *)] [-c][-q][-l] [(-uc | -uco | -uci)]
Параметры
различающееся_имя_компьютера
Обязательный параметр. Задает различающиеся имена просматриваемого списка объектов компьютера. Если значения отсутствуют, они будут получены из стандартного устройства ввода (stdin) для поддержки передачи по каналу выходных данных другой команды на вход данной команды. Сравните с параметром различающееся_имя_компьютера в следующем варианте команд.
-dn
Показывает различающиеся имена компьютеров.
-samid
Показывает имена учетной записи SAM компьютера.
-sid
Показывает коды безопасности компьютера IDs (SIDs).
-desc
Показывает описания компьютеров.
-loc
Показывает размещение компьютеров.
-disabled
Показывает состояние учетных записей компьютера. Значение yes указывает, что учетная запись недействительна, значение no указывает, что учетная запись действительна.
Различающееся_имя_компьютера
Обязательный параметр. Задает различающееся имя одного обозреваемого компьютера.
-memberof
Показывает текущий список групп, членом которых является компьютер. Один конечный объект воспринимается только как входной параметр.
-expand
Показывает рекурсивно развернутый список групп, членом которых является компьютер. Этот параметр выбирает текущий список членства в группе компьютера и рекурсивно раскрывает каждую группу из списка для определения ее членства, а так же для получения полного закрытого набора групп.
( -s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-u имя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход. Имя пользователя может быть задано в одном из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• имя участника-пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-c
Создает отчет об ошибках, но продолжает обработку следующего объекта в списке аргументов, если указано несколько конечных объектов (непрерывный режим работы). Если этот параметр не задан, работа команды завершается при первой ошибке.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
-l
Выводит записи в форме списка. По умолчанию записи отображаются в табличном формате.
( -uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных. В следующей таблице перечислены и описаны эти форматы.
-part PartitionDN
Соединяет с разделом каталога с различающимся именем параметра различающееся_имя_раздела.
-qlimit
Показывает эффективные квоты компьютера в указанном разделе каталога.
-qused
Показывает, сколько квот использовал компьютер в указанном разделе каталога.
/?
Выводит справку в командной строке.
Примечания
• Если конечный объект отсутствует в командной строке, он будет получен из стандартного устройства ввода (stdin). Данные стандартного устройства ввода могут быть получены с помощью клавиатуры, из перенаправленного файла или как выходные данные из канала от другой команды. Конец данных стандартного устройства ввода с клавиатуры или из файла помечается с помощью символа конца файла (CTRL+Z).
• Команда dsget позволяет просматривать свойства конкретного объекта в каталоге. Дополнительные сведения о использовании команды dsquery * для поиска объектов, соответствующих определенным критериям, см. по ссылке «См. также».
• Объекты, возвращенные в результате поиска с помощью команды dsquery, могут быть переданы по каналу команде dsget для получения их свойств. См. примеры.
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=DC2,OU=Domain Controllers,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка различающихся имен).
Примеры
Чтобы вывести описания всех компьютеров данного подразделения, имя которых начинается с «tst», введите:
dsquery computer OU=Test,DC=Microsoft,DC=Com -name tst* | dsget computer -desc
Чтобы вывести список рекурсивно развернутых групп, которым принадлежит «MyDBServer» данного компьютера, введите:
dsget computer CN=MyDBServer,CN=computers,DC=Microsoft,DC=Com -memberof -expand
dsget contact
Отображает различные свойства контакта в каталоге.
Синтаксис
dsget contactразличающееся_имя_контакта ...[-dn][-fn][-mi][-ln][-display][-desc][-office][-tel][-email][-hometel][-pager][-mobile][-fax][-iptel][-title][-dept][-company][(-s сервер | -d домен)][-u имя_пользователя] [-p (пароль | *)] [-c][-q][-l] [(-uc | -uco | -uci)]
Параметры
различающееся_имя_контакта
Обязательный параметр. Задает различающиеся имена просматриваемых объектов-контактов. Если значение отсутствует, оно будет взято из стандартного устройства ввода (stdin) для поддержки передачи по каналу выходных данных другой команды на вход данной команды.
-dn
Показывает различающиеся имена контактов.
-fn
Показывает имена контактов.
-mi
Показывает инициалы (отчество) контактов.
-ln
Показывает фамилии контактов.
-display
Показывает отображаемые имена контактов.
-desc
Показывает описания контактов.
-office
Показывает расположения комнат контактов.
-tel
Показывает номера телефонов контактов.
Показывает адреса электронной почты контактов.
-hometel
Показывает номера домашних телефонов контактов.
-pager
Показывает номера пейджеров контактов.
-mobile
Показывает номера мобильных телефонов контактов.
-fax
Показывает номера факсов контактов.
-iptel
Показывает номера IP-телефонов контактов.
-title
Показывает должности контактов.
-dept
Показывает отделы контактов.
-company
Показывает сведения о компаниях контактов.
( -s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-u имя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию параметр -u использует имя, с которым пользователь осуществил вход. Имя пользователя может быть задано в одном из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• имя участника-пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-c
Создает отчет об ошибках, но продолжает обработку следующего объекта в списке аргументов, если указано несколько конечных объектов (непрерывный режим работы). Если этот параметр не задан, работа команды завершается при первой ошибке.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
-l
Выводит записи в форме списка. По умолчанию записи отображаются в табличном формате.
( -uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных.
/?
Выводит справку в командной строке.
Примечания
• Если конечный объект отсутствует в командной строке, он будет получен из стандартного устройства ввода (stdin). Данные стандартного устройства ввода могут быть получены с помощью клавиатуры, из перенаправленного файла или как выходные данные из канала от другой команды. Конец данных стандартного устройства ввода с клавиатуры или из файла помечается с помощью символа конца файла (CTRL+Z).
• Команда dsget позволяет просматривать свойства конкретного объекта в каталоге. Дополнительные сведения о использовании команды dsquery * для поиска объектов, соответствующих определенным критериям, см. по ссылке «См. также».
• Объекты, возвращенные в результате поиска с помощью команды dsquery, могут быть переданы по каналу команде dsget для получения их свойств.
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=Mike Danseglio,OU=Contacts,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка различающихся имен).
Примеры
Чтобы вывести описание или номер телефона контактов с именами Mike Danseglio и Don Funk, введите:
dsget contact "CN=Mike Danseglio,OU=Contacts,DC=Microsoft,DC=Com" "CN=Don Funk,OU=Contacts,DC=Microsoft,DC=Com" -desc -tel
dsget group
Отражает различные свойства группы, включая членов группы в каталоге. Имеется два варианта этой команды. Первый вариант позволяет просматривать свойства нескольких групп. Второй вариант позволяет просматривать сведения о членстве в одной группе.
Синтаксис
dsget groupразличающееся_имя_группы ...[-dn][-samid][-sid][-desc][-secgrp][-scope][(-s сервер | -d домен)][-u имя_пользователя] [-p (пароль | *)] [-c][-q][-l][(-uc | -uco | -uci)][-partразличающееся_имя_раздела[-qlimit][-qused]]
dsget group различающееся_имя_группы [(-memberof | -members)][-expand][(-s сервер | -d домен)][-u имя_пользователя][-p (пароль | *)] [-c][-q][-l] [(-uc | -uco | -uci)]
Параметры
Различающееся_имя_группы...
Обязательный параметр. Задает различающиеся имена просматриваемых объектов группы. Если значения отсутствуют, они будут получены из стандартного устройства ввода (stdin) для поддержки передачи по каналу выходных данных другой команды на вход данной команды. Сравните с параметром различающееся_имя_группы следующий вариант команд.
-dn
Показывает различающиеся имена групп.
-samid
Показывает имена учетных записей SAM у групп.
-sid
Показывает коды безопасности групп IDs (SIDs).
-desc
Показывает описания групп.
-secgrp
Показывает, являются ли группы группами безопасности (значение yes) или группами распространения (значение no).
-scope
Показывает, являются ли области групп локальными, глобальными или универсальными.
различающееся_имя_группы
Обязательный параметр. Задает различающееся имя обозреваемого компьютера.
( -memberof | -members)
Показывает текущий список групп, членом которых является группа (-memberof). Показывает текущий список членов группы (-members).
-expand
При использовании параметра -memberof данный параметр запрашивает повторный вывод рекурсивно развернутого списка групп, членом которого является данная группа. Этот параметр выбирает текущий список членства в группе и рекурсивно развертывает каждую группу из списка для определения ее членства, а так же для получения полного закрытого набора групп.
При использовании параметра -members данный параметр запрашивает повторный вывод рекурсивно развернутого списка членов группы. Этот параметр выбирает текущий список членов группы компьютера и рекурсивно раскрывает каждую группу из списка для определения ее членства, а так же для получения полного закрытого набора групп.
( -s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-u имя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию используется имя пользователя, с которым был выполнен вход в систему. Имя пользователя может быть задано в одном из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• имя участника-пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-c
Создает отчет об ошибках, но продолжает обработку следующего объекта в списке аргументов, если указано несколько конечных объектов (непрерывный режим работы). Если этот параметр не задан, работа команды завершается при первой ошибке.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
-l
Выводит записи в форме списка. По умолчанию записи отображаются в табличном формате.
( -uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных. В следующей таблице перечислены и описаны эти форматы.
-part PartitionDN
Соединяет с разделом каталога с различающимся именем параметра различающееся_имя_раздела.
-qlimit
Показывает эффективные квоты группы в указанном разделе каталога.
-qused
Показывает сколько квот использовано группой в указанном разделе каталога.
/?
Выводит справку в командной строке.
Примечания
• Если конечный объект отсутствует в командной строке, он будет получен из стандартного устройства ввода (stdin). Данные стандартного устройства ввода могут быть получены с помощью клавиатуры, из перенаправленного файла или как выходные данные из канала от другой команды. Конец данных стандартного устройства ввода с клавиатуры или из файла помечается с помощью символа конца файла (CTRL+Z).
• Команда dsget позволяет просматривать свойства конкретного объекта в каталоге. Дополнительные сведения о использовании команды dsquery * для поиска объектов, соответствующих определенным критериям, см. по ссылке «См. также».
• Объекты, возвращенные в результате поиска с помощью команды dsquery, могут быть переданы по каналу команде dsget для получения их свойств. См. примеры.
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=USA Sales,OU=Distribution Lists,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка различающихся имен).
Примеры
Чтобы вывести описания всех групп данного подразделения, имя которых начинается с «adm», введите:
dsquery group OU=Test,DC=Microsoft,DC=Com -name adm* | dsget group -desc
Чтобы вывести рекурсивно развернутый список членов группы «Операторы архива», введите:
dsget group "CN=Backup Operators,OU=Test,DC=Microsoft,DC=Com" -members -expand
dsget ou
Отображает различные свойства подразделения в каталоге.
Синтаксис
dsget ouразличающееся_имя_подразделения ...[-dn] [-desc][(-s сервер | -d домен)][-u имя_пользователя] [-p (пароль | *)] [-c][-q][-l] [(-uc | -uco | -uci)]
Параметры
различающееся_имя_подразделения...
Обязательный параметр. Задает различающиеся имена просматриваемых подразделений. Если значения отсутствуют, они будут получены из стандартного устройства ввода (stdin) для поддержки передачи по каналу выходных данных другой команды на вход данной команды.
-dn
Показывает различающиеся имена подразделений.
-desc
Показывает описания подразделений.
( -s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-u имя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию используется имя пользователя, с которым был выполнен вход в систему. Имя пользователя может быть задано в одном из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• имя участника-пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-c
Создает отчет об ошибках, но продолжает обработку следующего объекта в списке аргументов, если указано несколько конечных объектов (непрерывный режим работы). Если этот параметр не задан, работа команды завершается при первой ошибке.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
-l
Выводит записи в форме списка. По умолчанию записи отображаются в табличном формате.
( -uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных.
/?
Выводит справку в командной строке.
Примечания
• Если конечный объект отсутствует в командной строке, он будет получен из стандартного устройства ввода (stdin). Данные стандартного устройства ввода могут быть получены с помощью клавиатуры, из перенаправленного файла или как выходные данные из канала от другой команды. Конец данных стандартного устройства ввода с клавиатуры или из файла помечается с помощью символа конца файла (CTRL+Z).
• Команда dsget позволяет просматривать свойства конкретного объекта в каталоге. Дополнительные сведения о использовании команды dsquery * для поиска объектов, соответствующих определенным критериям, см. по ссылке «См. также».
• Объекты, возвращенные в результате поиска с помощью команды dsquery, могут быть переданы по каналу команде dsget для получения их свойств. См. примеры.
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "OU=Domain Controllers,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка различающихся имен).
Примеры
Чтобы вывести описания всех подразделений текущего домена, введите:
dsquery ou domainroot | dsget ou -desc
dsget server
С помощью этой команды можно просмотреть различные свойства контроллера домена, определенного в каталоге. Имеется три варианта этой команды. Первый вариант команды отображает общие свойства указанного контроллера домена. Второй вариант выводит список участников безопасности, имеющих самое большое число объектов каталога, на указанном контроллере домена. Третий вариант команды показывает список различающихся имен разделов каталога на указанном сервере.
Синтаксис
dsget serverразличающееся_имя_сервера ...[-dn] [-desc] [-dnsname] [-site] [-isgc][(-s сервер | -d домен)][-u имя_пользователя] [-p (пароль | *)] [-c][-q][-l] [(-uc | -uco | -uci)]
dsget serverразличающееся_имя_сервера[(-s сервер | -d домен)][-u имя_пользователя] [-p (пароль | *)] [-c][-q][-l] [(-uc | -uco | -uci)][-topobjownerПоказать]
dsget serverразличающееся_имя_сервера[(-s сервер | -d домен)][-u имя_пользователя] [-p (пароль | *)] [-c][-q][-l] [(-uc | -uco | -uci)][-partразличающееся_имя_раздела]
Параметры
различающееся_имя_сервера...
Обязательный параметр. Задает список различающихся имен просматриваемых объектов сервера. Если значения отсутствуют, они будут получены из стандартного устройства ввода (stdin) для поддержки передачи по каналу выходных данных другой команды на вход данной команды.
-dn
Показывает различающиеся имена серверов.
-desc
Показывает описания серверов.
-dnsname
Показывает имена DNS-узлов серверов.
-site
Показывает названия узлов, которым принадлежат серверы.
-isgc
Показывает, является ли сервер глобальным каталогом (значение yes) или нет (значение no).
( -s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-u имя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию используется имя пользователя, с которым был выполнен вход в систему. Имя пользователя может быть задано в одном из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• имя участника-пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-c
Создает отчет об ошибках, но продолжает обработку следующего объекта в списке аргументов, если указано несколько конечных объектов (непрерывный режим работы). Если этот параметр не задан, работа команды завершается при первой ошибке.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
-l
Выводит записи в форме списка. По умолчанию записи отображаются в табличном формате.
( -uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных. В следующей таблице перечислены и описаны эти форматы.
-part различающееся_имя_раздела
Соединяет с разделом каталога с различающимся именем параметра различающееся_имя_раздела.
-topobjowner Показать
Показывает отсортированный список участников безопасности (пользователей, компьютеров, групп безопасности и inetOrgPersons), владеющих самым большим числом объектов каталога во всех разделах каталога на сервере, и число принадлежащих им объектов каталога. Число отображаемых учетных записей в списке определяется параметром Показать. Чтобы вывести всех владельцев объектов, введите значение 0. Если параметр Показать не указан, число участников в списке по умолчанию составляет 10.
/?
Выводит справку в командной строке.
Примечания
• Если конечный объект отсутствует в командной строке, он будет получен из стандартного устройства ввода (stdin). Данные стандартного устройства ввода могут быть получены с помощью клавиатуры, из перенаправленного файла или как выходные данные из канала от другой команды. Конец данных стандартного устройства ввода с клавиатуры или из файла помечается с помощью символа конца файла (CTRL+Z).
• Команда dsget позволяет просматривать свойства конкретного объекта в каталоге. Дополнительные сведения о использовании команды dsquery * для поиска объектов, соответствующих определенным критериям, см. по ссылке «См. также».
• Объекты, возвращенные в результате поиска с помощью команды dsquery, могут быть переданы по каналу команде dsget для получения их свойств. См. примеры.
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=My Server,CN=Servers,CN=Site10,CN=Sites,CN=Configuration,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка различающихся имен).
• Свойства, запрашиваемые данной командой, могут располагаться либо в объекте «Сервер» на контроллере домена, либо в соответствующем серверу объекте NTDSDSA.
Примеры
Чтобы найти все контроллеры домена с именем widgets.microsoft.com и вывести их имена узлов DNS, а также название узла, введите:
dsquery server -domain widgets.microsoft.com | dsget server -dnsname -site
Чтобы выяснить является ли котроллер с именем DC1 сервером глобального каталога, введите:
dsget server CN=DC1,CN=Servers,CN=Site10,CN=Sites,CN=Configuration,DC=Microsoft,DC=Com -isgc
Чтобы вывести отсортированный список участников безопасности, имеющих максимальное число объектов контроллера домена с именем server1.widgets.microsoft.com, введите:
dsget server CN=server1,CN=widgets,DC=Microsoft,DC=com -topobjowner
dsget user
Отображает различные свойства пользователя в каталоге. Имеется два варианта этой команды. Первый вариант позволяет просматривать свойства нескольких пользователей. Второй вариант позволяет просматривать сведения о членстве в группе одного пользователя.
Синтаксис
dsget userразличающееся_имя_пользователя ...[-dn][-samid] [-sid][-upn] [-fn] [-mi] [-ln] [-display] [-empid][-desc][-office] [-tel] [-email] [-hometel] [-pager] [-mobile][-fax] [-iptel][-webpg][-title][-dept][-company][-mgr][-hmdir][-hmdrv][-profile][-loscr][-mustchpwd][-canchpwd][-pwdneverexpires][-disabled][-acctexpires][-reversiblepwd][(-uc | -uco | -uci)][-partразличающееся_имя_раздела[-qlimit][-qused]]
dsget user различающееся_имя_пользователя[-memberof] [-expand][(-uc | -uco | -uci)]
Параметры
Различающееся_имя_пользователя
Обязательный параметр. Задает различающиеся имена просматриваемых объектов пользователя. Если значения отсутствуют, они будут получены из стандартного устройства ввода (stdin) для поддержки передачи по каналу выходных данных другой команды на вход данной команды. Сравните с параметром различающееся_имя_пользователя в следующем варианте команды.
-dn
Показывает различающиеся имена пользователей.
-samid
Показывает имена учетных записей SAM пользователей.
-sid
Показывает коды безопасности пользователей IDs (SIDs).
-upn
Показывает основные имена пользователей.
-fn
Показывает имена пользователей.
-mi
Показывает инициалы (отчество) пользователей.
-ln
Показывает фамилии пользователей.
-display
Показывает отображаемые имена пользователей.
-empid
Показывает коды сотрудников для пользователей.
-desc
Показывает описания пользователей.
-full
Показывает полные имена пользователей.
-office
Показывает расположения комнат пользователей.
-tel
Показывает номера телефонов пользователей.
Показывает адреса электронной почты пользователей.
-hometel
Показывает номера домашних телефонов пользователей.
-pager
Показывает номера пейджеров пользователей.
-mobile
Показывает номера мобильных телефонов пользователей.
-fax
Показывает номера факсов пользователей.
-iptel
Показывает номера IP-телефонов пользователей.
-webpg
Показывает адреса веб-страниц (URLs) пользователей.
-title
Показывает должности пользователей.
-dept
Показывает отделы пользователей.
-company
Показывает сведения о компаниях пользователей.
-mgr
Показывает сведения о руководителях пользователей.
-hmdir
Показывает букву диска, с которой сопоставлен основной каталог пользователя, если путем к основному каталогу является путь UNC.
-hmdrv
Показывает имя диска основного каталога пользователя, представленного путем UNC.
-profile
Показывает пути к профилю пользователей.
-loscr
Показывает путь к сценарию входа пользователей.
-mustchpwd
Показывает, должны ли пользователи сменить свои пароли при следующем входе (значение yes) или нет (значение no).
-canchpwd
Показывает, могут ли пользователи менять свои пароли (значение yes) или нет (значение no).
-pwdneverexpires
Показывает, ограничены ли сроки действия паролей пользователей (значение no) или нет (значение yes).
-disabled
Показывает, запрещен ли вход с учетными записями пользователей (значение yes) или нет (значение no).
-acctexpires
Показывает даты истечения срока действия учетных записей пользователей. Если срок действия учетных записей не ограничен, отображается значение never.
-reversiblepwd
Показывает, могут ли сохраняться пароли пользователей, используя обратимое шифрование (значение yes) или нет (значение no).
различающееся_имя_пользователя
Обязательный параметр. Задает различающееся имя обозреваемого пользователя.
-memberof
Показывает текущий список групп, членом которых является пользователь.
-expand
Показывает рекурсивно развернутый список групп, членом которых является пользователь. Этот параметр выбирает текущий список членства в группе пользователя и рекурсивно развертывает каждую группу из списка для определения ее членства, а так же для получения полного закрытого набора групп.
( -uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных. В следующей таблице перечислены и описаны эти форматы.
-part PartitionDN
Соединяет с разделом каталога с различающимся именем параметра различающееся_имя_раздела.
-qlimit
Показывает эффективные квоты пользователя в указанном разделе каталога.
-qused
Показывает сколько квот использовано пользователем в указанном разделе каталога.
/?
Выводит справку в командной строке.
Примечания
• Если конечный объект отсутствует в командной строке, он будет получен из стандартного устройства ввода (stdin). Данные стандартного устройства ввода могут быть получены с помощью клавиатуры, из перенаправленного файла или как выходные данные из канала от другой команды. Конец данных стандартного устройства ввода с клавиатуры или из файла помечается с помощью символа конца файла (CTRL+Z).
• Команда dsget позволяет просматривать свойства конкретного объекта в каталоге. Дополнительные сведения о использовании команды dsquery * для поиска объектов, соответствующих определенным критериям, см. по ссылке «См. также».
• Объекты, возвращенные в результате поиска с помощью команды dsquery, могут быть переданы по каналу команде dsget для получения их свойств. См. примеры.
• Параметр -canchpwd оценивает может ли пользователь изменить свой пароль. Эта оценка связана с тем, каким образом интерпретируются списки управления доступом (ACL) к объекту для получения положительного или отрицательного ответа. Достичь абсолютной уверенности, что пользователь может изменить пароль, можно только попытавшись это сделать. Этот неавторитетный ответ не относится к данному средству командной строки, но так же присущ диалоговому окну «Свойства пользователя» в окне «Active Directory — пользователи и компьютеры» из объекта «Консоль управления (MMC)».
• Если для команды пользователя dsget не указаны параметры конкретного свойства, в набор свойств пользователя по умолчанию включено следующее: различающееся имя, имя учетной записи SAM и описание.
• Если параметр -memberof не задан, изменяются все остальные параметры, и выводится только список членства пользователя.
Примеры
Чтобы найти всех пользователей данного подразделения с именем, начинающимся с «jon», и вывести их описания, введите:
dsquery user OU=Test,dc=ms,dc=tld -name jon* | dsget user -desc
Чтобы вывести список рекурсивно развернутых групп, которым принадлежит пользователь «Mike Danseglio», введите:
dsget user "CN=Mike Danseglio,CN=users,dc=ms,dc=tld" -memberof -expand
dsget subnet
Показывает свойства подсети, определенной в каталоге.
Синтаксис
dsget subnetразличающееся_имя_подсети ...[-dn][-desc] [-loc] [-site][(-s сервер | -d домен)][-u имя_пользователя] [-p (пароль | *)][-c][-q][-l] [(-uc | -uco | -uci)]
Параметры
различающееся_имя_подсети...
Обязательный параметр. Задает общие имена одной или нескольких обозреваемых подсетей.
-dn
Показывает различающиеся имена подсетей. Если значения отсутствуют, они будут получены из стандартного устройства ввода (stdin) для поддержки передачи по каналу выходных данных другой команды на вход данной команды.
-desc
Показывает описания подсетей.
-loc
Показывает размещение подсетей.
-site
Показывает названия узлов, ассоциированных с подсетями.
( -s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-u имя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию используется имя пользователя, с которым был выполнен вход в систему. Имя пользователя может быть задано в одном из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• имя участника-пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-c
Создает отчет об ошибках, но продолжает обработку следующего объекта в списке аргументов, если указано несколько конечных объектов (непрерывный режим работы). Если этот параметр не задан, работа команды завершается при первой ошибке.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
-l
Выводит записи в форме списка. По умолчанию записи отображаются в табличном формате.
( -uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных.
/?
Выводит справку в командной строке.
Примечания
• Если конечный объект отсутствует в командной строке, он будет получен из стандартного устройства ввода (stdin). Данные стандартного устройства ввода могут быть получены с помощью клавиатуры, из перенаправленного файла или как выходные данные из канала от другой команды. Конец данных стандартного устройства ввода с клавиатуры или из файла помечается с помощью символа конца файла (CTRL+Z).
• Команда dsget позволяет просматривать свойства конкретного объекта в каталоге. Дополнительные сведения о использовании команды dsquery * для поиска объектов, соответствующих определенным критериям, см. по ссылке «См. также».
• Объекты, возвращенные в результате поиска с помощью команды dsquery, могут быть переданы по каналу команде dsget для получения их свойств.
• Если введенное значение содержит пробелы, его следует заключить в кавычки.
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка общих имен).
Примеры
Чтобы отобразить дополнительные свойства подсетей 206.73.118.0/24 и 207.209.68.0/24, введите:
dsget subnet "206.73.118.0/24" "207.209.68.0/24"
dsget site
Отображает различные свойства узла, определенного в каталоге.
Синтаксис
dsget site общее_имя_узла ...[-dn] [-desc] [-autotopology] [-cachegroups] [-prefGCsite][(-s сервер | -d домен)][-u имя_пользователя] [-p (пароль | *)] [-c][-q][-l] [(-uc | -uco | -uci)]
Параметры
общее_имя_узла...
Обязательный параметр. Задает общее имя одного или нескольких обозреваемых узлов. Если значения отсутствуют, они будут получены из стандартного устройства ввода (stdin) для поддержки передачи по каналу выходных данных другой команды на вход данной команды.
-dn
Показывает различающиеся имена узлов.
-desc
Показывает описания узлов.
-autotopology
Показывает, включена ли автоматическая генерация топологии между указанными узлами (значение yes) или нет (значение no).
-cachegroups
Показывает, выполняется ли кэширование членства в универсальной группе для данного узла (значение yes) или нет (значение no) для поддержки входов в систему, не проверяющих глобальный каталог.
-prefGCsite
Показывает имя узла предпочитаемого глобального каталога, используемое для обновления выполняемого кэширования членства в универсальной группе для контроллера домена узла.
( -s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-u имя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию используется имя пользователя, с которым был выполнен вход в систему. Имя пользователя может быть задано в одном из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• имя участника-пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-c
Создает отчет об ошибках, но продолжает обработку следующего объекта в списке аргументов, если указано несколько конечных объектов (непрерывный режим работы). Если этот параметр не задан, работа команды завершается при первой ошибке.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
-l
Выводит записи в форме списка. По умолчанию записи отображаются в табличном формате.
( -uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных.
/?
Выводит справку в командной строке.
Примечания
• Если конечный объект отсутствует в командной строке, он будет получен из стандартного устройства ввода (stdin). Данные стандартного устройства ввода могут быть получены с помощью клавиатуры, из перенаправленного файла или как выходные данные из канала от другой команды. Конец данных стандартного устройства ввода с клавиатуры или из файла помечается с помощью символа конца файла (CTRL+Z).
• Команда dsget позволяет просматривать свойства конкретного объекта в каталоге. Дополнительные сведения о использовании команды dsquery * для поиска объектов, соответствующих определенным критериям, см. по ссылке «См. также».
• Объекты, возвращенные в результате поиска с помощью команды dsquery, могут быть переданы по каналу команде dsget для получения их свойств. См. примеры.
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=Mike Danseglio,CN=Users,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка различающихся имен).
Примеры
Чтобы найти все узлы в составе леса и вывести их описания, введите:
dsquery site | dsget site -dn -desc
dsget quota
Отображает свойства спецификации квот, определенной в каталоге. Спецификация квоты определяет какое максимальное число объектов каталога могут обладать данными участниками безопасности в указанном разделе каталога.
Синтаксис
dsget quota различающееся_имя_объекта ... [-dn] [-acct] [-qlimit] [(-s сервер | -d домен)][-u имя_пользователя] [-p (пароль | *)] [-c][-q][-l] [(-uc | -uco | -uci)]
Параметры
различающееся_имя_объекта ...
Обязательный параметр. Задает различающиеся имена просматриваемых объектов квот. Если значения отсутствуют, они будут получены из стандартного устройства ввода (stdin) для поддержки передачи по каналу выходных данных другой команды на вход данной команды.
-dn
Показывает различающиеся имена объектов квот.
-acct
Показывает различающиеся имена учетных записей, к которым применяются квоты.
-qlimit
Показывает предельную квоту для указанных квот. Значение неограниченной квоты «-1».
( -s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-u имя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию используется имя пользователя, с которым был выполнен вход в систему. Имя пользователя может быть задано в одном из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• имя участника-пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-c
Создает отчет об ошибках, но продолжает обработку следующего объекта в списке аргументов, если указано несколько конечных объектов (непрерывный режим работы). Если этот параметр не задан, работа команды завершается при первой ошибке.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
-l
Выводит записи в форме списка. По умолчанию записи отображаются в табличном формате.
( -uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных.
/?
Выводит справку в командной строке.
Примечания
• Если конечный объект отсутствует в командной строке, он будет получен из стандартного устройства ввода (stdin). Данные стандартного устройства ввода могут быть получены с помощью клавиатуры, из перенаправленного файла или как выходные данные из канала от другой команды. Конец данных стандартного устройства ввода с клавиатуры или из файла помечается с помощью сочетания клавиш Control+Z или символа конца файла (EOF).
• Если дополнительные параметры не указаны, показываются все различающиеся имена спецификаций квот, учетных записей, к которым применяются квоты, а также предельные квоты.
• Команда dsget позволяет просматривать свойства конкретного объекта в каталоге. Дополнительные сведения о использовании команды dsquery * для поиска объектов, соответствующих определенным критериям, см. по ссылке «См. также».
• Объекты, возвращенные в результате поиска с помощью команды dsquery, могут быть переданы по каналу команде dsget для получения их свойств. Дополнительные сведения по этой теме см. в разделе «Примеры».
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=Mike Danseglio,CN=Users,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка различающихся имен).
Примеры
Чтобы отобразить учетную запись, к которой применяется квота, и предельную квоту для спецификации квот «CN=quota1,dc=marketing,dc=northwindtraders,dc=com», введите:
dsget quota CN=quota1,dc=marketing,dc=northwindtraders,dc=com -acct -qlimit
dsget partition
Отображение свойств раздела каталога.
Синтаксис
dsget partition различающееся_имя_объекта ... [-dn] [-qdefault] [-qtmbstnwt] [-topobjownerПоказать] [(-s сервер | -d домен)][-u имя_пользователя] [-p (пароль | *)] [-c][-q][-l] [(-uc | -uco | -uci)]
Параметры
различающееся_имя_объекта ...
Обязательный параметр. Задает различающиеся имена (DN) просматриваемых объектов раздела. Если значения отсутствуют, они будут получены из стандартного устройства ввода (stdin) для поддержки передачи по каналу выходных данных другой команды на вход данной команды.
-dn
Показывает различающиеся имена объектов раздела каталога.
-qdefault
Показывает значение квоты по умолчанию, применяемое к любому участнику безопасности (например, пользователь, группа, компьютер или iNetOrgPerson), создавая объект в разделе каталога, если данный участник не управляется какой-либо конкретной спецификацией квот. Значение неограниченной квоты «-1».
-qtmbstnwt
Показывает процент, на который должен уменьшиться счетчик объекта захоронения при подсчете использования квот.
-topobjowner Показать
Показывает отсортированный список участников безопасности (пользователей, компьютеров, групп безопасности и inetOrgPersons), владеющих самым большим числом объектов в указанном разделе каталога на сервере, и число принадлежащих им объектов каталога. Параметр Показать задает число отображаемых учетных записей в списке. Чтобы вывести всех владельцев объектов, введите значение 0. Если параметр Показать не указан, число участников в списке по умолчанию составляет 10.
( -s сервер | -d домен)
Устанавливает подключение к указанному удаленному серверу или домену. По умолчанию компьютер подключается к контроллеру домена в домене входа.
-u имя_пользователя
Задает имя пользователя для входа на удаленный сервер. По умолчанию используется имя пользователя, с которым был выполнен вход в систему. Имя пользователя может быть задано в одном из следующих форматов:
• имя пользователя (например, Linda);
• домен\имя пользователя (например, widgets\Linda);
• имя участника-пользователя (UPN) (например, Linda@widgets.microsoft.com).
-p (пароль | *)
Задает использование пароля или звездочки (*) для входа на удаленный сервер. Если введена звездочка (*), выводится приглашение для ввода пароля.
-c
Создает отчет об ошибках, но продолжает обработку следующего объекта в списке аргументов, если указано несколько конечных объектов (непрерывный режим работы). Если этот параметр не задан, работа команды завершается при первой ошибке.
-q
Запрещает вывод на стандартное устройство вывода (автоматический режим).
-l
Выводит записи в форме списка. По умолчанию записи отображаются в табличном формате.
( -uc | -uco | -uci)
Задает формат Юникод для выходных и входных данных.
/?
Выводит справку в командной строке.
Примечания
• Если конечный объект отсутствует в командной строке, он будет получен из стандартного устройства ввода (stdin). Данные стандартного устройства ввода могут быть получены с помощью клавиатуры, из перенаправленного файла или как выходные данные из канала от другой команды. Конец данных стандартного устройства ввода с клавиатуры или из файла помечается с помощью сочетания клавиш CTRL+Z или символа конца файла (EOF).
• Если не заданы никакие дополнительные параметры, выводится различающееся имя объекта раздела каталога.
• Если задан параметр -topobjowner, все остальные параметры изменяются таким образом, что отображаются только результаты работы параметра -topobjowner.
• Команда dsget позволяет просматривать свойства конкретного объекта в каталоге. Дополнительные сведения о использовании команды dsquery * для поиска объектов, соответствующих определенным критериям, см. по ссылке «См. также».
• Объекты, возвращенные в результате поиска с помощью команды dsquery, могут быть переданы по каналу команде dsget для получения их свойств. Дополнительные сведения по этой теме см. в разделе «Примеры».
• Если введенное значение содержит пробелы, его следует заключить в кавычки (например, "CN=Mike Danseglio,CN=Users,DC=Microsoft,DC=Com").
• При вводе нескольких значений для параметра разделяйте их пробелами (например, при вводе списка различающихся имен).
Примеры
Чтобы отобразить все разделы каталога в составе леса northwindtraders.com, начинающихся с «application», вместе с тремя первыми владельцами объектов из каждого раздела, введите: "CN=quota1,dc=marketing,dc=northwindtraders,dc=com". Затем введите:
dsquery server -forest -part application* | dsget server -part | dsget partition -topjobowner 3
[newpage=Ldifde]
Ldifde
Создает, изменяет и удаляет объекты папок на компьютерах с операционной системой Windows Server 2003 или Windows XP Professional;. Пользователь может также использовать Ldifde для расширения схемы, экспорта сведений Active Directory о пользователе и группе в другие приложения или службы и для заполнения Active Directory данными из других служб каталогов.
Синтаксис
Ldifde [-i] [-f имя_файла] [-s имя_сервера] [-c строка1 строка2] [-v] [-j путь] [-t номер_порта] [-d отличительное_имя_базы] [-r фильтр_LDAP] [-p область] [-l список_атрибутов_LDAP] [-o список_атрибутов_LDAP] [-g] [-m] [-n] [-k] [-a отличительное_имя_пользователя пароль] [-b имя_пользователя домен пароль] [-?]
Параметры
-i
Определяет режим работы программы. Если параметр не определен, по умолчанию программа работает в режиме экспорта.
-f имя_файла
Определяет имя файла для импорта или экспорта.
-s имя_сервера
Определяет контроллер домена, выполняющий операцию импорта или экспорта. По умолчанию Ldifde выполняется на контроллере домена, на котором установлена программа Ldifde.
-c строка1 строка2
Заменяет все встречающиеся значения строка1 на строка2. Обычно используется в случае, когда производится импорт данных из одного домена в другой и при этом необходимо заменить отличительное имя домена, производящего экспорт (строка1), именем импортирующего домена (строка2).
-v
Включение режима вывода дополнительной информации.
-j путь
Задает размещение файла журнала. По умолчанию используется текущий путь.
-t номер_порта
Определяет номер порта LDAP. По умолчанию используется порт LDAP 389. Портом глобального каталога является 3268.
-d отличительное_имя_базы
Задает отличительное имя базы поиска для экспорта данных.
-r фильтр_LDAP
Создает фильтр поиска LDAP для экспорта данных. Например, для экспорта всех пользователей с конкретной фамилией, можно использовать следующий фильтр -r (and(objectClass=Пользователь)(sn=Фамилия))
-p область
Задает область поиска. Может принимать значения: Base, OneLevel или SubTree.
-l список_атрибутов_LDAP
Задает список атрибутов, возвращаемых в результатах выборки экспорта. Если данный параметр пропущен, возвращаются все атрибуты.
-o список_атрибутов_LDAP
Задает список атрибутов, исключаемых из результатов запроса экспорта. Обычно этот параметр используется при экспорте объектов из Active Directory с последующим импортом в другой LDAP-совместимый каталог. Если какие-либо атрибуты не поддерживаются другим каталогом, их можно исключить из набора результатов с помощью данного параметра.
-g
Исключение постраничных поисков.
-m
Пропуск атрибутов, применяемых только к объектам Active Directory, таких как атрибуты ObjectGUID, objectSID, pwdLastSet и samAccountType.
-n
Исключение экспорта двоичных значений.
-k
Игнорирование ошибок во время выполнения импорта и продолжение обработки. Ниже приведен полный список пропускаемых ошибок:
• объект уже является членом группы;
• нарушение класса объекта (означающее, что указанный класс объекта не существует), если импортируемый объект не имеет других атрибутов;
• объект уже существует;
• нарушение ограничения;
• атрибут или значение уже существует.
• отсутствие бъекта;
-a отличительное_имя_пользователя пароль
Задает выполнение команды с использованием указанных параметров: отличительное_имя_пользователя и пароль. По умолчанию команда выполняется с использованием учетных данных, с которыми пользователь вошел в сеть.
-b имя_пользователя домен пароль
Задает выполнение команды с использованием указанных параметров имя_пользователя домен пароль. По умолчанию команда выполняется с использованием учетных данных, с которыми пользователь вошел в сеть.
-?
Отображение меню команд.
Примечания
• При создании файла импорта для команды Ldifde, используйте значение changeType чтобы определить тип изменений в файле импорта. Доступны следующие значения changeType:
- add --- Указывает на то, что в файле импорта имеется новое содержимое
- modify --- Указывает на то, что существующее содержимое файла импорта изменилось.
- delete --- Указывает на то, что содержимое файла импорта было удалено.
Далее показан пример LDIF формата файла импорта, использующего значение add.
DN: CN=пример_пользователя,DC=имя_домена
changetype: add
CN: пример_пользователя
description: описание_файла
objectClass: пользователь
sAMAccountName: пример_пользователя
Примеры
Для извлечения только отличительного имени, обычного имени, имени пользователя, фамилии и номера телефона возвращаемых объектов, введите:
-l отличительное_имя, CN, указанное_имя, SN, телефон
Чтобы пропустить GUID объекта, введите:
-o когда_создан, когда_изменен, GUID_объекта
[newpage=Ntdsutil]
Ntdsutil
Ntdsutil.exe — средство командной строки, предоставляющее средства управления для Active Directory. С помощью программы Ntdsutil.exe можно осуществлять поддержку Active Directory базами данных, управление и контроль над операциями с единственным хозяином, а также удаление метаданных, оставленных контроллерами домена, которые были некорректно удалены из сети. Этот инструмент предназначен для использования опытными администраторами.
• Принудительное восстановление
• Configurable settings
• Domain management
• Files
• IPDeny List
• LDAP policies
• Metadata cleanup
• Roles
• Security account management
• Semantic database analysis
• Set DSRM Password
Принудительное восстановление
Восстанавливает контроллеры домена на определенный момент времени и отмечает объекты в Active Directory как управляющие по отношению к своим партнерам репликации. В лесах с функциональным уровнем Windows Server 2003 или промежуточным функциональным уровнем Windows Server 2003 этот параметр также восстанавливает обратные ссылки для ссылок, созданных после повышения функционального уровня. (Например, обновляются атрибуты членов групп, к которым принадлежит восстановленный объект пользователя.) На контроллерах домена, на которых работает версия Ntdsutil из комплекта программ поддержки Windows, поставляемых вместе с Windows Server 2003 с пакетом обновления 1 (SP1), принудительное восстановление создает файл LDIF (формат обмена данными LDAP), с помощью которого можно восстанавливать обратные ссылки для ссылок, созданных перед повышением функционального уровня.
В командной строке authoritative restore: введите любой из параметров, перечисленных в разделе Синтаксис.
Синтаксис
(create ldif file(s) from %s|restore database|restore database verinc %d|restore object %s|restore object verinc %d|restore subtree %s|restore subtree %s verinc %d)
Параметры
create ldif file(s) from %s
Доступен в версии Ntdsutil, входящей в комплект Windows Server 2003 SP1. Этот параметр создает файл LDIF, или файл обновлений ссылок, из созданного Ntdsutil текстового файла, имя которого указано в параметре %s. С помощью этого файла можно обновить обратные ссылки на объекты в домене, отличном от домена восстанавливаемого объекта. Например, с помощью этого файла можно восстановить членство в группе для пользователя в случае, если группа и пользователь относятся к разным доменам.
restore database
Отмечает весь файл Ntds.dit (разделы каталога домена и конфигурации, управляемые контроллером домена) как управляющий. Схему нельзя принудительно восстановить.
restore database verinc %d
Отмечает весь файл Ntds.dit (разделы каталога домена и конфигурации, управляемые контроллером домена) как управляющий и увеличивает номер версии на число дней после резервного копирования, умноженное на %d. Используйте этот параметр только для принудительного восстановления после предыдущего неверного принудительного восстановления, например в случае принудительного восстановления резервной копии, содержащей неполадку, которую требуется восстановить.
%d
Числовое значение, используемое вместо значения по умолчанию 100 000. Номер версии принудительно восстановленных объекта или базы данных увеличивается на это значение, умноженное на число дней, прошедшее с момента резервного копирования.
restore object %s
Отмечает объект %s как управляющий. При использовании версии Ntdsutil, входящей в комплект Windows Server 2003 SP1, этот параметр также создает текстовый файл, который содержит различающееся имя восстанавливаемого объекта и файл LDIF, с помощью которого можно восстанавливать обратные ссылки для принудительно восстановленных объектов (например, членство пользователей в группах).
restore object %s verinc %d
Отмечает объект %sкак управляющий и обновляет ссылки так же, как указано в описании параметра restore object %s, а также увеличивает номер версии на число дней с момента резервного копирования, умноженное на %d. Используйте этот параметр только для принудительного восстановления после предыдущего неверного принудительного восстановления, например в случае принудительного восстановления резервной копии, содержащей неполадку, которую требуется восстановить.
restore subtree%s
Отмечает поддерево %s (и все дочерние элементы поддерева) как управляющие. При использовании версии Ntdsutil, входящей в комплект Windows Server 2003 SP1, этот параметр также создает текстовый файл, который содержит различающиеся имена восстанавливаемых объектов и файл LDIF, с помощью которого можно восстанавливать обратные ссылки для принудительно восстановленных объектов (например, членство пользователей в группах).
restore subtree%sverinc%d
Отмечает поддерево %s (и все дочерние элементы поддерева) как управляющие и обновляет ссылки так же, как указано в описании параметра restore subtree %s, а также увеличивает номер версии на число дней с момента резервного копирования, умноженное на %d. Используйте этот параметр только для принудительного восстановления после предыдущего неверного принудительного восстановления, например в случае принудительного восстановления резервной копии, содержащей неполадку, которую требуется восстановить.
%s
Алфавитно-цифровая переменная, которая представляет собой либо различающееся имя восстанавливаемого объекта или поддерева, либо имя текстового файла, на основе которого создается файл LDIF.
quit
Возврат в предыдущее меню или выход из программы.
?
Выводит справку в командной строке.
Примечания
• Режим восстановления контроллера домена с помощью программ архивации и восстановления, например программы Ntbackup или аналогичных программ других поставщиков, по умолчанию непринудительный. Это значит, что восстанавливаемый сервер приводится к текущему состоянию со своими репликами с помощью обычного механизма репликации. Например, если контроллер домена восстановлен из архива, который хранится на физическом носителе в течение двух недель, то при перезапуске обычный механизм репликации приводит контроллер домена к текущему состоянию в соответствии с его партнерами репликации.
• Принудительное восстановление можно производить в случае, если администратор случайно удалит подразделение, содержащее большое число пользователей. При случайном удалении подразделения восстановление сервера с физического носителя нельзя произвести с помощью обычного процесса репликации. Команда Authoritative restore позволяет отметить подразделение как управляющее и принудить процесс репликации восстановить его на всех контроллерах домена в данном домене.
Configurable settings
С помощью этой команды можно изменять срок жизни (TTL) динамических данных, размещенных в Active Directory. На приглашение командной строки configurable setting введите любой из параметров, перечисленных в разделе Синтаксис.
Синтаксис
(cancel changes|connections|list|set %s to %s|show values)
Параметры
cancel changes
Сбрасывает изменения, которые еще не были зафиксированы.
connections
Открывает подменю server connections.
list
Отображает список поддерживаемых настраиваемых параметров.
set%sto%s
Присваивает параметру %s1 значение %s2.
show values
Отображает значения настраиваемых параметров.
%s
Алфавитно-цифровая переменная, например имя домена или контроллера домена.
quit
Возврат в предыдущее меню или выход из программы.
?
Выводит справку в командной строке.
Domain management
Позволяет администраторам, входящим в группу администраторов, подготавливать серверные и составные справочные объекты в каталоге. На приглашение командной строки domain management введите любой из параметров, перечисленных в разделе Синтаксис.
Синтаксис
(add nc replica %s %s|connections|create nc %s %s|remove nc replica %s %s|list|list nc information %s|list nc replicas %s|precreate %s %s|delete NC %s|select operation target|set nc reference domain %s %s|set nc reference domain %s %s|set nc replicate notification delay %s %d %d)
Параметры
add nc replica%s %s
Добавляет контроллер домена %s2 в набор реплик для раздела каталога приложений %s1. Если не указано значение %s2, по умолчанию используется контроллер домена, с которым имеется подключение.
connections
Открывает подменю Server connections.
create nc%s %s
Создает раздел каталога приложений %s1 на контроллере домена %s2. Если не указано значение %s2, используется текущее подключение к контроллеру домена. Чтобы не указывать аргумент, введите (NULL).
remove nc replica%s %s
Удаляет контроллер домена %s2 из набора репликаций для раздела каталога приложений %s1. Если не указано значение %s2, используется текущее подключение к контроллеру домена.
list
Отображает список всех известных контекстов именования — контекстов именований схем и конфигураций, а также всех доменных контекстов именования.
list nc information%s
Выводит на экран домен ссылок и задержки репликаций для раздела каталога приложений.
list nc replicas%s
Отображает список контроллеров домена в наборе репликаций для раздела каталога приложений %s. Следует учесть, что этот список может содержать реплики раздела каталога приложений, которые не обязательно полностью реплицированы.
precreate%s %s
Создает объект перекрестной ссылки для домена %s1, позволяя повысить сервер %s2 до контроллера домена в данном домене. Доменное имя необходимо указать, используя полное составное имя, а имя сервера — используя полное имя DNS.
delete nc%s
Удаляет раздел каталога приложений %s. Перед удалением раздела каталога приложений необходимо удалить все реплики, а их удаление реплицировать назад на хозяина именования домена.
select operation target
Открывает подменю Select operation target.
set nc reference domain%s %s
Устанавливает домен ссылок для раздела каталога приложений %s1 как домен %s2. Имя домена %s2 необходимо указать в формате доменных имен DNS. Пример: widgets.microsoft.com.
set nc replicate notification delay%s %d %d
Устанавливает задержки уведомления %s раздела каталога приложений. Задержка между уведомлениями первого контроллера домена об изменениях принимает значение %d1, а задержка между уведомлениями остальных контроллеров домена об изменениях — значение %d2.
%s
Алфавитно-цифровая переменная, например имя домена или контроллера домена.
%d
Числовая переменная, например время задержки репликации.
quit
Возврат в предыдущее меню или выход из программы.
?
Выводит справку в командной строке.
Files
Предоставляет команды для управления данными службы каталогов и файлами журналов. Имя файла данных — Ntds.dit. На приглашение командной строки files: введите один из параметров, перечисленных в разделе Синтаксис.
Синтаксис
(compact to %s|header|info|integrity|move DB to %s|move logs to %s|recover|set path backup %s|set path db %s|set path logs %s|set path working dir %s)
Параметры
compact to%s (где %s — пустой каталог назначения)
Запускает программу Esentutl.exe, чтобы произвести сжатие существующего файла с данными, а затем записывает сжатый файл в указанную папку. Папка может быть удаленной. Ее можно подключить командой net use или другим аналогичным способом. После завершения сжатия следует сохранить в архив старый файл данных и заменить его новым сжатым файлом данных. Команда ESENT поддерживает удаленное сжатие, однако при этом только меняется порядок страниц в файле данных, и после сжатия пространство на диске не освобождается. (Служба каталогов регулярно проводит удаленное сжатие файлов).
header
Выводит на экран заголовок файла данных Ntds.dit. Эту команду используют сотрудники службы технической поддержки при анализе неполадок в базе данных.
info
Анализирует и создает отчеты о свободном пространстве на дисках, установленных в системе, а также считывает данные реестра и создает отчеты о размерах файлов данных и файлов журналов. (Служба каталогов обслуживает раздел реестра, в котором содержатся данные о расположении файлов данных, файлов журналов и рабочей папки службы каталогов).
integrity
Запускает программу Esentutl.exe для выполнения проверки целостности файла с данными. С ее помощью в базе данных можно обнаружить любое повреждение низкого уровня. Программа считывает каждый байт файла данных; поэтому может потребоваться много времени для обработки больших баз данных. Отметьте, что перед выполнением проверки целостности всегда необходимо выполнять восстановление.
move DB to%s (где %s — каталог назначения)
Перемещает файл данных Ntds.dit в новый каталог, определяемый параметром %s и обновляет реестр. После перезапуска служба каталогов использует это новое расположение.
move logs to%s(где%s — каталог назначения)
Перемещает файлы журналов службы каталогов в новую папку %s и обновляет реестр. После перезапуска системы служба каталогов использует это новое расположение.
recover
Запускает программу Esentutl.exe для выполнения мягкого восстановления базы данных. При мягком восстановлении производится сканирование файлов журналов и проверка наличия записей для всех завершенных транзакций. Программа архивации операционной системы Windows 2000 при необходимости очищает файлы журналов. Журналы используются для регистрации всех совершенных транзакций и сохраняются в случае сбоя системы или внезапного отключения питания. Следует добавить, что данные транзакций сохраняются сначала в файле журнала, а затем в файле данных. При загрузке после сбоя системы можно заново запустить журнал, чтобы произвести транзакции, которые сохранились в файле журнала, но не сохранились в файле данных.
set path backup%s (где %s — каталог назначения)
Устанавливает папку %s как каталог назначения для архивации с диска на диск. Для выполнения удаленной архивации с диска на диск в службе каталогов можно составить расписание.
set path db%s (где %s — каталог назначения)
Обновляет часть реестра, в которой указано расположение и имя файла данных. Эту команду следует использовать для восстановления контроллера домена, только если потерян файл данных и не производится восстановление посредством обычных процедур восстановления.
set path logs%s (где %s — каталог назначения)
Обновляет часть реестра, в которой указано расположение файлов журналов. Эту команду следует использовать для восстановления контроллера домена, только если потеряны файлы журналов и не производится восстановление посредством обычных процедур восстановления.
set path working dir%s (где %s — каталог назначения)
Устанавливает часть реестра, которая определяет рабочую папку службы каталогов, в папку %s.
%s
Алфавитно-цифровая переменная, например имя домена или контроллера домена.
quit
Возврат в предыдущее меню или выход из программы.
?
Выводит справку в командной строке.
Внимание!
• Ошибка при изменении реестра может серьезно повредить систему. Перед изменением реестра создайте резервные копии всех важных данных.
Примечания
• Служба каталогов Active Directory реализована на основе диспетчера таблиц индексированного метода последовательного доступа (ISAM). Этот диспетчер таблиц используется также сервером Microsoft Exchange, службой репликации файлов, диспетчером настройки системы безопасности, сервером сертификации, службой WINS и другими компонентами Windows. Версия базы данных, которая используется в Windows 2000 и Windows Server 2003, Standard Edition, называется расширяемой системой хранения данных (Extensible Storage Engine, ESENT).
ESENT — система баз данных с транзакциями, использующая файлы журналов для поддержки семантики отката, с помощью которой обеспечивается выполнение транзакций в базу данных. Рекомендуется файлы данных и файлы журналов размещать на разных дисках. Это позволяет повышать быстродействие и, в случае повреждения данных на диске, производить восстановление.
• ESENT имеет собственный инструмент для определенных функций управления файлами баз данных — программу Esentutl.exe, которая установлена также в папке системный_корневой_каталог\System32. Некоторые команды управления файла Ntdsutil запускают программу Esentutl, избавляя от необходимости запоминать ее аргументы командной строки. В этих случаях открывается отдельное окно, в котором можно просматривать журнал большого объема, отображающий все индикаторы выполнения программы Esentutl.
Active Directory открывает файлы в монопольном режиме. Это означает, что файлы недоступны для управления, пока система работает как контроллер домена.
Чтобы управлять файлами службы каталогов
1. Запустите компьютер.
2. При появлении индикатора Запуск Windows нажмите клавишу F8.
3. В меню дополнительных вариантов загрузки Windows 2000 выберите пункт Восстановление службы каталогов.
Примечание
• Если запустить компьютер в режиме восстановления службы каталогов, контроллер домена временно будет работать как изолированный сервер. Это приведет к прекращению работы некоторых служб, особенно тех, которые интегрированы со службой каталогов. В этом режиме диспетчер учетных записей безопасности (SAM) использует минимальный набор определений пользователей и групп, хранящийся в реестре. В условиях недостаточной физической безопасности контроллера домена рекомендуется установить административный пароль для режима восстановления службы каталогов.
IPDeny List
Запрещает контроллеру домена принимать запросы LDAP от клиентов с указанными IP-адресами. На приглашение командной строки ipdeny list: введите любой из параметров, перечисленных в разделе Синтаксис.
Синтаксис
(add %s1 %s2|cancel|commit|connections|delete %d|show|test %s)
Параметры
add%s1 %s2
Добавляет запись в список запрещенных IP-адресов. В качестве первого параметра %s1 можно указать компонент узла или компонент сети IP-адреса. Если указан компонент узла, в качестве второго параметра %s2 следует указать NODE; если же указан компонент сети, вторым параметром следует указать маску подсети. См. раздел Пример. Чтобы принять указанные в команде add записи, следует выполнить команду Commit.
cancel
Сбрасывает все команды или удаления, которые не были приняты.
commit
Принимает все добавления или удаления для объекта политики LDAP.
connections
Открывает подменю server connections.
delete%d
Удаляет записи с указанным индексом %d. Для просмотра записей с соответствующими индексами служит команда show.
%d
Числовая переменная, например время задержки репликации.
show
Отображает список запрещенных IP-адресов.
test%s
Определяет, разрешен ли доступ к контроллеру домена с IP-адреса %s. Например, если в списке запрещенных IP-адресов указаны адреса с 192.168.100.0 по 255.255.255.0, при тестировании адреса 192.168.100.10 программа выдаст сообщение о том, что доступ запрещен.
%s
Алфавитно-цифровая переменная, например имя домена или контроллера домена.
quit
Возврат в предыдущее меню или выход из программы.
?
Выводит справку в командной строке.
Примечания
• Аналогично административным ограничениям LDAP список запрещенных IP-адресов всего лишь изменяет объект политики LDAP по умолчанию. Если для контроллера домена или узла, в который он входит, не определена особая политика LDAP, к такому контроллеру применяется политика LDAP по умолчанию.
Примеры
Чтобы запретить доступ для узла с адресом 192.168.100.10, следует ввести команду
Add 192.168.100.10 NODE
Чтобы запретить доступ для всех узлов сети 192.168.100.0, следует ввести команду
Add 192.168.100.0 255.255.255.0
LDAP policies
Устанавливает административные политики LDAP для объекта политики очередей по умолчанию. На приглашение командной строки LDAP policies: введите любой из параметров, перечисленных в разделе Синтаксис.
Синтаксис
(cancel changes|commit changes|connections|list|set %s to %s|show values)
Параметры
cancel changes
Отмена всех изменений административных ограничений LDAP для политики очередей по умолчанию.
commit changes
Применяет все изменения административных ограничений для политики очередей по умолчанию.
connections
Открывает подменю Server connections.
list
Отображает список всех административных политик LDAP для контроллера домена.
set %s1 to %s2
Устанавливает для административной политики LDAP %s1 значение %s2.
show values
Отображает текущие и предполагаемые значения административных политик LDAP.
%s
Алфавитно-цифровая переменная, например имя домена или контроллера домена.
quit
Возврат в предыдущее меню или выход из программы.
?
Выводит справку в командной строке.
Примечания
• В следующей таблице описаны административные политики LDAP. В круглых скобках указаны значения по умолчанию.
| Значение | Описание |
InitRecvTimeout | Начальное время ожидания (120 секунд) |
MaxConnections | Максимальное количество открытых подключений (5000) |
MaxConnIdleTime | Максимальное время простоя соединения (900 секунд) |
MaxActiveQueries | Максимальное количество одновременно активных запросов (20) |
MaxNotificationPerConnection | Максимальное число уведомлений, которые может запросить клиент, для данного подключения (5) |
MaxPageSize | Максимальный размер страницы для ответов LDAP (1000 записей) |
MaxQueryDuration | Максимальное время выполнения запроса контроллером домена (120 секунд) |
MaxTempTableSize | Максимальный размер временного хранилища, используемого для выполнения запросов (10000 записей) |
MaxResultSetSize | Максимальный размер файла с результатами запросов LDAP (262144 байта) |
MaxPoolThreads | Максимальное число потоков, созданных контроллером домена для обработки запроса (4 для одного обработчика) |
MaxDatagramRecv | Максимальное количество датаграмм, которые контроллер домена может обрабатывать одновременно (1024) |
• Для проверки поддержки гарантий уровня обслуживания следует определить операционную политику для некоторых операций LDAP. Эта политика запрещает использовать операции, серьезно ухудшающие производительность сервера, и делает сервер более устойчивым к атакам на службу.
Политики LDAP реализуются с помощью объектов класса queryPolicy. Объекты политики запросов можно создавать в контейнере политик запросов, дочернем элементе контейнера службы каталогов в конфигурации контекста именования. Например: CN=Query-Policies, CN=Directory Service, CN=Windows NT, CN=Services (раздел каталога конфигурации).
Контроллер домена использует следующие три механизма применения политик LDAP.
- • Для контроллера домена может быть указана особая политика LDAP. Объект nTDSASettings включает в себя необязательный атрибут queryPolicyObject, который содержит составное имя политики запросов.
- • Если для контроллера домена не задана особая политика, к нему применяют политику запросов, назначенную узлу контроллера домена. Объект ntDSSiteSettings включает в себя необязательный атрибут queryPolicyObject, который содержит составное имя политики запросов.
- • Если не задана особая политика запросов для контроллера домена или узла, к контроллеру домена применяется политика запросов по умолчанию.
Объект политики запросов содержит многозначные атрибуты LDAPIPDenyList и LDAPAdminLimits. Программа Ntdsutil позволяет администраторам устанавливать административные политики LDAP и список запрещенных IP-адресов для объекта политики запросов по умолчанию.
Metadata cleanup
Очищает метаданные поврежденных контроллеров доменов. Когда в отказавшем контроллере домена хранится единственная копия одного или нескольких разделов каталогов доменов или приложений (они также называются контекстами именования), очистка метаданных приводит также к очистке метаданных для выбраных разделов каталогов доменов или приложений. При использовании версии Ntdsutil.exe, входящей в комплект Windows Server 2003 с пакетом обновления 1 (SP1), очистка метаданных также приводит к удалению подключений службы репликации файлов (FRS) и к попытке передать или перехватить все роли хозяина операций, принадлежащие исключенному контроллеру домена.
На приглашение командной строки metadata cleanup: введите любой из параметров, перечисленных в разделе Синтаксис.
Синтаксис
(connections|remove selected domain|remove selected naming context|remove selected server|remove selected server %s|remove selected server %s1 on %s2|select operation target)
Параметры
Примечание.
• При использовании версии Ntdsutil.exe, входящей в состав Windows Server 2003 SP1, можно удалить метаданные сервера командой remove selected server %s или remove selected server %s on %2, не вызывая предварительно подменю Server connections и Select operation target.
connections
Открывает подменю Server connections.
remove selected domain
Удаляет метаданные, связанные с доменом, выбранным в подменю Select operation target.
remove selected naming context
Удаляет метаданные, связанные с контекстом именования, выбранным в подменю Select operation target.
remove selected server
Удаляет метаданные, связанные с сервером, выбранным в подменю Select operation target.
remove selected server %s
В версии Ntdsutil.exe, входящей в комплект Windows Server 2003 SP1, эта команда удаляет метаданные каталога и FRS для отказавшего сервера %s из каталога на локальном узле и пытается передать или перехватить все роли хозяина операций, принадлежащие серверу %s , переназначив их локальному узлу.
remove selected server %s1 on %s2
В версии Ntdsutil.exe, входящей в комплект Windows Server 2003 SP1, эта команда подключается к серверу %s2, удаляет метаданные каталога и FRS для сервера %s1 из каталога на сервере %s2 и пытается передать или перехватить все роли хозяина операций, принадлежащие серверу %s1, переназначив их серверу %s2.
select operation target
Открывает подменю Select operation target.
quit
Возврат в предыдущее меню или выход из программы.
? или help
Выводит справку в командной строке.
Примечания
• Служба каталогов обслуживает различные метаданные всех доменов и серверов в лесу. Обычно домены и контроллеры доменов создаются посредством повышения роли с помощью мастера установки Active Directory, а удаляются посредством понижения роли с помощью того же инструмента. Чтобы запустить мастер установки Active Directory, в командной строке введите команду dcpromo.
Повышение и понижение роли предназначено для корректного удаления метаданных. Однако в каталоге некоторые контроллеры доменов могут быть списаны некорректно. В этом случае их метаданные не удаляются. Например, контроллер домена дал сбой, и вместо того, чтобы пытаться восстанавливать его, принимается решение удалить сервер. При этом некоторые данные контроллера домена останутся в каталоге. Тогда общая модель действий такова: подключиться к серверу для получения копии метаданных, которые не были удалены, выбрать их и затем удалить метаданные выбранного конечного объекта. Версия Ntdsutil.exe, входящая в состав Windows Server 2003 SP1, может автоматически выполнять подключение к указанному серверу и удалять метаданные выбранного конечного объекта на этом же шаге.
Внимание!
• Не удаляйте метаданные существующих доменов и контроллеров доменов.
Roles
Передает и присваивает роли хозяина операций. На приглашение командной строки roles: введите любой из параметров, перечисленных в разделе Синтаксис.
Синтаксис
(connections|seize domain naming master|seize infrastructure master|seize PDC|seize RID master|seize schema master|select operation target|transfer domain naming master|transfer infrastructure master|transfer PDC|transfer RID master|transfer schema master)
Параметры
connections
Открывает подменю Server connections.
seize domain naming master
Присваивает роль хозяина операций именования домена контроллеру домена, к которому имеется подключение, независимо от данных, связанных с ролью. Используйте только для восстановления.
seize infrastructure master
Присваивает роль хозяина операций инфраструктуры контроллеру домена, к которому имеется подключение, независимо от данных, связанных с ролью. Используйте только для восстановления.
seize PDC
Присваивает роль хозяина операций основного контроллера домена контроллеру домена, к которому имеется подключение, независимо от данных, связанных с ролью. Используйте только для восстановления.
seize RID master
Присваивает роль хозяина относительных идентификаторов контроллеру домена, к которому имеется подключение, независимо от данных, связанных с ролью. Используйте только для восстановления.
seize schema master
Присваивает роль хозяина операций схемы контроллеру домена, к которому имеется подключение, независимо от данных, связанных с ролью. Используйте только для восстановления.
select operation target
Открывает подменю Select operation target.
transfer domain naming master
Присваивает контроллеру домена, к которому имеется подключение, роль именования доменов посредством управляемой передачи.
transfer infrastructure master
Присваивает контроллеру домена, к которому имеется подключение, роль хозяина операций инфраструктуры посредством управляемой передачи.
transfer PDC
Присваивает контроллеру домена, к которому имеется подключение, роль хозяина операций основного контроллера домена посредством управляемой передачи.
transfer RID master
Присваивает контроллеру домена, к которому имеется подключение, роль хозяина относительных идентификаторов посредством управляемой передачи.
transfer schema master
Присваивает контроллеру домена, к которому имеется подключение, роль хозяина операций схемы посредством управляемой передачи.
quit
Возврат в предыдущее меню или выход из программы.
? или help
Выводит справку в командной строке.
Примечания
• Несмотря на то что Active Directory поддерживает администрирование с несколькими хозяевами, для некоторых операций можно назначать только одного хозяина. Для операций с несколькими хозяевами разрешение конфликтов означает, что после завершения репликации системы значение данного свойства данного объекта согласовано со всеми репликами. При этом некоторые данные, для которых невозможно произвести разрешение конфликта, являются ключевым для функционирования всей системы. Этими данными управляют индивидуальные контроллеры доменов, которые называются хозяевами операций. Этим контроллерам доменов назначаются отдельные роли хозяев операций.
Ниже перечислены пять ролей хозяев операций. Некоторые из них действуют в пределах всей организации, некоторые — в пределах домена.
- • Хозяин операций схемы. Для всей организации можно назначить одну роль хозяина операций схемы. Эта роль позволяет серверу хозяина операций принимать обновления схемы. Для обновлений схемы существуют другие ограничения.
- • Хозяин относительных идентификаторов. Для домена можно назначить одну роль хозяина относительных идентификаторов. В каждом контроллере домена в домене можно создавать участников безопасности. Каждому участнику безопасности присвоен относительный идентификатор. Каждому контроллеру домена назначен небольшой набор относительных идентификаторов из пула относительных идентификаторов домена. Роль хозяина относительных идентификаторов позволяет контроллеру домена выделять новые подпулы в пуле относительных идентификаторов домена.
- • Хозяин именования домена. Для всей организации можно назначить одну роль хозяина именования доменов. Роль хозяина именования доменов позволяет владельцу определять новые составные справочные объекты, представляющие домены в контейнере разделов.
- • Хозяин операций основного контроллера домена. Для домена можно назначить одну роль хозяина операций основного контроллера домена (PDC). Владелец роли в качестве основного контроллера домена Windows NT 4.0 осуществляет поддержку резервных контроллеров домена и клиентов Windows NT 4.0, используя более ранние версии Windows.
- • Хозяин инфраструктуры. В домене можно назначить только одну роль хозяина инфраструктуры. Владелец этой роли обеспечивает целостность данных объектов с атрибутами, содержащими составные имена других объектов, которые могут присутствовать в других доменах. Поскольку в Active Directory объекты можно перемещать и переименовывать, хозяин инфраструктуры периодически проверяет изменения объектов и обеспечивает целостность данных этих объектов.
• Роли хозяина операций может перемещать только администратор, они не перемещаются автоматически. Следует добавить, что перемещение ролей производится с помощью стандартных средств управления доступом. Поэтому следует очень внимательно контролировать расположение и перемещение ролей хозяев операций в организации. Например, если в организации интенсивно используются информационные технологии, роль хозяина схемы следует присвоить серверу информационного отдела и запретить перемещать ее, настроив соответствующим образом параметры таблицы управления доступом (ACL).
Управление ролями хозяина операций можно осуществлять двумя способами: присвоение и контролируемая передача.
Контролируемую передачу следует использовать, если требуется переместить роль с одного сервера на другой, например для отслеживания изменения политики вследствие изменения расположения роли или сбоя сервера по причине перезагрузки, перемещения или списания.
Присвоение используют, если не требуется восстановление сервера, на котором произошла неполадка. В этом случае даже если сервер будет восстановлен, он фактически уже не будет обладать этой ролью (несмотря на то, что это может быть указано в резервной копии). Сервер не смог бы получить уведомление о передаче роли другому серверу в то время, пока предыдущий хозяин был недоступен вследствие сбоя, а также в ходе восстановления, если бы эта передача роли была произведена. Восстановленный сервер снова может стать владельцем только в том случае, если кворум существующих серверов будет доступен в ходе восстановления, и решение о признании прежнего владельца будет согласовано со всеми серверами.
Подменю «Роли» в программе Ntdsutil служит для выполнения контролируемой передачи и восстановления ролей хозяев операций. Контролируемая передача — простая и безопасная операция. Если работают исходный сервер и сервер назначения, операционная система гарантирует автоматическую передачу маркера роли хозяина операций и соответствующих данных. Присвоение роли хозяина операций тоже простая операция, но менее безопасная. Она осуществляется просто с помощью сообщения определенному контроллеру домена о том, что ему присвоена определенная роль.
Внимание!
• Не производите присвоение серверу роли, если у этой роли в данной сети существует хозяин. Это может вызвать конфликт ключевых данных операционной системы. Если владелец роли хозяина операции временно недоступен, не назначайте эту роль другому контроллеру домена. Это может привести к тому, что два компьютера будут выполнять функции владельца роли, вследствие чего может произойти конфликт важных системных данных.
Security account management
Управляет идентификаторами безопасности (SID). На приглашение командной строки security account management: введите любой из параметров, перечисленных в разделе Синтаксис.
Синтаксис
(check duplicate SID|cleanup duplicate SID|connect to server %s|log file %s)
Параметры
check duplicate SID
Проверяет домены объектов, имеющих одинаковые идентификаторы безопасности.
cleanup duplicate SID
Удаляет все объекты, имеющие одинаковые идентификаторы безопасности, и заносит эти сведения в журнал.
connect to server%s
Подключается к серверу. В качестве параметра указывается имя NetBIOS или имя узла DNS.
log file%s
Задает файл журнала с именем %s. Если имя файла не указано, по умолчанию используется имя Dupsid.log.
%s
Алфавитно-цифровая переменная, например имя домена или контроллера домена.
quit
Возврат в предыдущее меню или выход из программы.
? или help
Выводит справку в командной строке.
Примечания
• Все учетные записи безопасности (пользователи, группы и компьютеры) определяются с помощью уникального идентификатора безопасности (SID). Уникальный идентификатор SID используется для определения учетных записей безопасности и выполнения проверок доступа к ресурсам, таким как файлы, папки, принтеры, почтовые ящики Exchange, базы данных сервера Microsoft SQL, объекты в Active Directory и другие данные, защищенные моделью безопасности Windows Server 2003, Standard Edition.
Идентификатор состоит из заголовка и набора относительных идентификаторов, определяющих домен и учетную запись безопасности. В пределах домена все контроллеры домена могут создавать учетные записи и уникальные идентификаторы безопасности для каждой записи. Каждый контроллер домена обслуживает пул относительных идентификаторов, которые используются при создании идентификаторов безопасности. При использовании пула относительных идентификаторов на 80 процентов контроллер домена отправляет хозяину относительных идентификаторов запрос на новый пул относительных идентификаторов. Это позволяет исключить возможность распределения одного и того же пула относительных идентификаторов на различных контроллерах доменов и предотвращает дублирование идентификаторов безопасности. Однако, поскольку дублирование пула относительных идентификаторов все же возможно, хотя и редко, необходимо идентифицировать учетные записи, для которых созданы одинаковые идентификаторы безопасности, чтобы предотвратить нежелательное применение безопасности.
Создание дублированных пулов относительных идентификаторов происходит, если администратор производит присвоение роли хозяина относительных идентификаторов, в то время как исходный хозяин относительных идентификаторов функционирует, но временно отключен от сети. В обычной практике после одного цикла репликаций роль хозяина относительных идентификаторов назначается только одному контроллеру домена. Однако, если до назначения роли два разных контроллера домена отправят запрос на новый пул относительных идентификаторов независимо друг от друга, им может быть выделен один и тот же пул относительных идентификаторов.
Semantic database analysis
Анализирует данные в соответствии с семантикой Active Directory. На приглашение командной строки semantic database analysis: введите любой из параметров, перечисленных в разделе Синтаксис.
Синтаксис
(get %d|go|verbose %s)
Параметры
get%d
Извлекает из файла Ntds.dit номер %d записи.
go
Запускает анализ семантики файла Ntds.dit. В результате создается отчет, который сохраняется в файле Dsdit.dmp.n в текущем каталоге, где n — целое число, увеличивающееся при каждом выполнении команды.
verbose%s
Включает и выключает режим подробного вывода.
%d
Числовая переменная, например время задержки репликации.
%s
Алфавитно-цифровая переменная, например имя домена или контроллера домена.
quit
Возврат в предыдущее меню или выход из программы.
?
Выводит справку в командной строке.
Примечания
• В отличие от описанных ранее команд управления файлами, тестирующих целостность базы данных в соответствии с семантикой баз данных ESENT, команда semantic database analysis анализирует данные в соответствии с семантикой Active Directory. В результате создается отчет о количестве существующих записей, включая удаленные и фиктивные записи.
Примечание
• Не рекомендуется использовать эту команду, за исключением случаев, когда имеется запрос от корпорации Майкрософт на использование этой команды для дополнительной диагностики неполадок.
Set DSRM Password
Переустановка пароля режима восстановления службы каталогов (DSRM) на контроллере домена. На приглашение командной строки Переустановите пароль администратора DSRM: введите любой из параметров, перечисленных в разделе Синтаксис.
Синтаксис
Reset Password on server%s
Параметры
Reset Password on server%s
Переустанавливает пароль режима восстановления службы каталогов на контроллере домена. Для переустановки пароля на текущем сервере укажите пустое имя контроллера домена. После ввода этого параметра появится приглашение командной строки Введите пароль для учетной записи администратора режима восстановления службы каталогов:. Введите новый пароль режима восстановления службы каталогов.
%s
Алфавитно-цифровая переменная, например имя домена или контроллера домена.
quit
Возврат в предыдущее меню или выход из программы.
?
Выводит справку в командной строке.
Примечания
• Начальный пароль режима восстановления службы каталогов устанавливается при запуске мастера установки Active Directory (команда Dcpromo) для повышения сервера до контроллера домена.
• Если контроллер домена работает в режиме восстановления службы каталогов, невозможно переустановить пароль режима восстановления службы каталогов на контроллере домена с помощью средства ntdsutil.
Примечания
• По умолчанию программа Ntdsutil.exe устанавливается в папку корневой_системный_каталог\System32.
• Если значение переменной содержит пробелы, заключите его в круглые скобки вместо кавычек, например:
connect to server (xxx yyy)
эта статья с Компьютерные сети и технологии
( http://www.xnets.ru/plugins/content/content.php?content.167 )