Dienstprogramm Dsadd

Verwenden der Verzeichnisdienst-Befehlszeilenprogramme zum Verwalten von Active Directory-Objekten

Das Dienstprogramm Dsadd.
Das Dienstprogramm Dsadd fügt dem AD die allgemeinsten Objekttypen hinzu: Benutzer, Computer, Gruppen (Sicherheit oder Verteiler), OUs und sogar Kontakte. Es lassen sich viele gemeinsame, dem Objekt hinzuzufügende Attribute angeben, aber der Befehl unterstützt nicht alle möglichen Objekte. Microsoft-Artikel, So wird´s gemacht (322684)

User anlegen:

dsadd user cn=erichtest,ou=test05,ou=itzw,dc=nwtraders,dc=msft

dsadd war erfolgreich:cn=erichtest,ou=test05,ou=itzw,dc=nwtraders,dc=msft

oder gleich so:

User anlegen mit Eigenschaften (Vor-,Nachname, Vollständiger Name, em@il, Abteilung) und aktiv, Benutzerkennwort nie abläuft, Profilepfad, zu einer Gruppe hinzufügen

dsadd user cn=erichtest,ou=test05,ou=itzw,dc=nwtraders,dc=msft -upn koerbel@nwtraders.msft -fn Erich -ln Koerbel -display ErichKoerbel -email office@xn--krbel-jua.at -dept Student -disabled no -pwdneverexpires yes -profile \\london\profile\Körbel -memberof cn=Domänen-Admins,cn=users,dc=nwtraders,dc=msft

dsadd war erfolgreich:cn=erichtest,ou=test05,ou=itzw,dc=nwtraders,dc=msft

Das Dienstprogramm Dsmod.
Das Dienstprogramm Dsmod modifiziert existierende AD-Benutzer, -Computer, -Gruppen, -OUs und -Kontakte. Zum Beispiel lassen sich die Zugehörigkeit oder der Gültigkeitsbereich einer Gruppe ändern. Die Option OU in Dsmod ist nicht so ganz so hilfreich wie die anderen Optionen; es lässt sich nicht mehr viel erreichen, als die Änderung der Beschreibung.

User modifizieren (Vor-,Nachname, Vollständiger Name, email, Abteilung)

dsmod user cn=erichtest,ou=test05,ou=itzw,dc=nwtraders,dc=msft -upn koerbel@nwtraders.msft -fn Erich -ln Koerbel -display ErichKoerbel -email office@xn--krbel-jua.at -dept Student

dsmod war erfolgreich:cn=erichtest,ou=test05,ou=itzw,dc=nwtraders,dc=msft

User aktivieren / deaktivieren no / yes

dsmod user cn=erichtest,ou=test05,ou=itzw,dc=nwtraders,dc=msft -disabled no

dsmod war erfolgreich:cn=erichtest,ou=test05,ou=itzw,dc=nwtraders,dc=msft

mehrere User aktivieren / deaktivieren no / yes

dsmod user "cn=erichtest,ou=test05,ou=itzw,dc=nwtraders,dc=msft" "cn=usertest,ou=test05,ou=itzw,dc=nwtraders,dc=msft" -disabled no

dsmod war erfolgreich:cn=erichtest,ou=test05,ou=itzw,dc=nwtraders,dc=msft

Passwort zurücksetzen

dsmod user cn=erichtest,ou=test05,ou=itzw,dc=nwtraders,dc=msft -pwd A1b2C3d4 -mustchpwd yes

dsmod war erfolgreich:cn=erichtest,ou=test05,ou=itzw,dc=nwtraders,dc=msft

Das Dienstprogramm Dsquery.
Für den Abruf von Informationen aus acht Windows-2003-AD-Objekten (Sites, Subnets, Server, Computer, OUs, Gruppen, Benutzer und Kontakte) gibt es zwei neue Befehlszeilen-Dienstprogramme. Dsquery ist für eine breiter angelegte Suche gedacht und unterstützt das Asterisk-Zeichen (*) als Stellvertreter, um nach allen Objekten zu suchen, die bestimmte Kriterien erfüllen. Dsget ist genauer; es wird verwendet, um die Eigenschaften eines bestimmten Objekts im Verzeichnis zu anzuzeigen.

Die Syntax von Dsquery mit den allgemeinsten Parametern und ihren möglichen Werten ist in Bild 2 zu sehen. Für die ersten Parameter von Dsquerys lässt sich ein Startknoten (StartNode) für die Suche angeben; forestroot für den Einsatz des GC (Group Catalouge) oder domainroot (Standardwert), um an der Root der Domäne zu beginnen, zu der eine Verbindung besteht. Der Parameter –scope definiert die Tiefe der Suche: subtree (Standardwert) durchsucht subtrees unter dem Startknoten, onelevel durchsucht keine subtrees, und base durchsucht nur das im Startknoten angegebene Objekt. Der Parameter -filter ermöglicht die Angabe eines Abfragefilters für das Lightweight Directory Access Protocol (LDAP), wenn nur ein bestimmtes Objekt oder Attribut aufgefunden werden soll. Ein Beispiel für einen gültigen Suchfilter ist die folgende Kombination: (& (objectCategory=Person)(sn=smith*)). Der Parameter -attr gibt nur die in AttributeList angegebenen Attribute zurück, und der Parameter -attrs-only zeigt nur die Attribute an, die tatsächlich vorhanden sind, nicht aber ihre Werte. Der Parameter -l gibt die Ergebnisse in Form einer Liste statt als Standardtabellenformat aus.

alle User in OU aktivieren / deaktivieren no / yes

dsquery user "ou=test05,ou=itzw,dc=nwtraders,dc=msft" | dsmod user -disabled no

dsmod war erfolgreich:CN=Erich,OU=test05,OU=itzw,DC=nwtraders,DC=msft
dsmod war erfolgreich:CN=Körbel,OU=test05,OU=itzw,DC=nwtraders,DC=msft
dsmod war erfolgreich:CN=erichtest,OU=test05,OU=itzw,DC=nwtraders,DC=msft
dsmod war erfolgreich:CN=Domuser05,OU=test05,OU=itzw,DC=nwtraders,DC=msft

Das Dienstprogramm Dsrm.
Im Gegensatz zu den anderen Ds-Dienstprogrammen ist Dsrm relativ einfach: Es löscht ein durch seinen DN bestimmtes AD-Objekt. Neben den Optionen für alternative Berechtigungen und Serververbindungen, die auch alle anderen vorgestellten Hilfsprogramme gemeinsam benutzen, besitzt Dsrm nur zwei Optionen. Die Option -subtree gibt an, dass sowohl das spezifierte Objekt wie auch alle darunter liegenden Objekte gelöscht werden sollen. Wird die Option -subtree nicht verwendet, löscht Dsrm nur das Objekt. Der Parameter -exclude der Option -subtree stellt sicher, dass das Zielobjekt erhalten bleibt, während alle darunter liegenden gelöscht werden. Die Option -noprompt unterdrückt die Bestätigungsabfrage für den Löschvorgang.

User löschen

dsrm cn=erichtest,ou=test05,ou=itzw,dc=nwtraders,dc=msft -noprompt

dsrm war erfolgreich:cn=erichtest,ou=test05,ou=itzw,dc=nwtraders,dc=msft

Das Dienstprogramm Dsget.
Das Dienstprogramm Dsget dient der Anzeige bestimmter Eigenschaften von AD-Objekten. Wie bei allen anderen, mit AD zusammenhängenden Befehlszeilen-Dienstprogrammen, wird das Objekt ausgewählt, das durch den DN angezeigt werden soll. Der DN ist der DN des Objekts, nach dem gesucht wird und AttributeOptions listet aus 33 Attributen (zum Beispiel, -empid, -office) die jeweils gewünschten auf. Die An-zahl verfügbarer Attribute hängt von der Art der Objekt ab, nach denen gesucht wird.

User in welchen Gruppen Mitglied

dsget user CN=Körbel,OU=test05,OU=itzw,DC=nwtraders,DC=msft -memberof

"CN=Domänen-Benutzer,CN=Users,DC=nwtraders,DC=msft"
"CN=Domänen-Admins,CN=Users,DC=nwtraders,DC=msft"

Das Dienstprogramm Dsmove.
Das Dienstprogramm Dsmove verschiebt ein Objekt innerhalb einer Domäne. (Für das Verschieben von Objekten zwischen Domänen ist das Programm Movetree aus den Windows-Support-Tools auf der Windows-2003-CD-ROM notwendig.)

Dsmove besitzt zwei Optionen: -newname und -newparent. Die option -newname wird für die Umbenennung eines Objekts verwendet, wie hier:

dsmove CN=sdeuby,CN=users,CN= bigtex,CN=com -newname “CN=Sean Deuby”

Dabei ist zu beachten, dass zum Umbenennen eines Objekts mit der –newname-Option nur die Relative Distinguished Names (RDN: DNs sind strukturiert aufgebaut und bestehen aus einer geordneten Sequenz von relativen Namenskomponeten, wobei die Reihenfolge der RDNs in einem DN durch die Position des Eintrags in der Hierarchie des Verzeichnisses bestimmt wird.) des Objekts verwendet werden, nicht der vollständige DN. Soll nun das Objekt SDeuby innerhalb der Domäne in die früher erstellte OU Roughnecks verschoben werden, ist dazu die Option -newparent zu verwenden, wie im Folgenden gezeigt:

dsmove CN=sdeuby,CN=users,CN=big tex,CN=com -newparent OU=rough necks,DC=bigtex,DC=net

In diesem Fall muss dem Zielobjekt (SDeuby) durch Angabe des vollständigen DN des Parent-Objekts am Bestimmungsort (die OU Roughnecks in Bigtex.net) genau mitgeteilt werden, wohin es verschoben werden soll.