AD域中的管理利器 ---- dsquery命令详解
AD常用命令以及概念
AD常用命令以及概念活动目录服务器常用命令合集如下:net accounts 查看第一台域控的计算机角色net accounts 查看计算机角色net share 查看共享netdom query fsmo 验证操作主机角色get-ADforest|FL globalcatalogs 查询当前林中所有全局编录服务器Get-ADDomaincontroller|FT name,ISglobalcatalog 验证登录域控制器是否为全局编录服务器dsquery site 查询当前域中所有的站点dsquery server :验证网络中有多少台域控dsquery server -isgc 验证网络中的全局编录服务器dsquery ou 查看创建的组织单位dsquery server -isgc 查看当前网络中已部署的所有域控制器dsquery computer -inactive 9 |dsmod computer -disabled yes 禁用63天以上没有登录过的计算机dcdiag /test:netlogons 查看sysvol共享权限AD域三层管理体系:备注:组织单元可以嵌套,即组织单元里创建组织单元。
组织单元和组的主要区别在于组织单元里的对象不能在属于其他组织单元,而组内的对象可以再属于其他组。
AD常用的LDAP名词解释:DN:区分名(Distinguished Name),一个条目的区分名称叫做“dn”或者叫做区分名,其中DN有三个属性,分别是CN,OU,DC 。
DC (Domain Component)CN:Common Name 通用名,一般为用户名或服务器名,最长可以到80个字符,可以为中文;OU:Organization Unit为组织单元,最多可以有四级,每级最长32个字符,可以为中文;O:Organization 为组织名,可以3—64个字符长C:Country为国家名,可选,为2个字符长UID: userid ,对象的属性为uid,例如员工的名字为:zsq,他的UID为:z02691,ldap查询的时候可以根据cn,也可以根据uid。
AD维护管理工具详解(六)ds系列命令
AD维护管理工具详解〔六)ds系列命令2021-11-03 15:25:30标签:ds详解命令工具维护管理一、Dsadd 用于在特定的目录分区上创立 Active Directory 对象类的实例。
这些类包括用户、计算机、联系人、组、组织单位和配额。
Dsadd 具备一个由以下内容组成的通用语法:dsadd <ObjectType> <ObjectDistinguishedName> attributes请注意,您创立的每个对象类型都有一组特定的开关,它们与该类型的属性相对应。
以下命令创立一个填充了各种属性的用户对象〔请注意以下所有内容位于一行〕:dsadd user cn=afuller,ou=IT,dc=contoso,dc=com–samID afuller –fn Andrew –ln Fuller –pwd *-memberOf cn=IT,ou=Groups,dc=contoso,dc=com "cn=Help Desk,ou=Groups,dc=contoso,dc=com" –desc "Marketing Director"–memberOf 开关要求指定应添加该用户的每个组的完整可分辨名称 (DN);如果要将用户添加到多个组,您可以添加多个 DN 并用空格分隔开。
任何元素如果包含空格〔如 Help Desk 组的 DN〕,那么该元素应该括在双引号中。
如果某个元素含有反斜杠〔如称为 IT\EMEA 的 OU〕,那么必须输入两次反斜杠:IT\\EMEA。
〔这些要求适用于所有的 ds* 工具。
〕如果使用 -pwd * 开关,那么系统将提示您在命令行输入用户密码。
您可以在该命令中指定密码 (-pwd P@ssword1),但是这样会在屏幕上或该命令嵌入到的任何文本或脚本文件中以纯文本形式显示该密码。
同样,您可以使用以下两个命令创立组对象和 OU:复制代码dsadd computer cn=WKS1,ou=Workstations,dc=contoso,dc=comdsadd ou "ou=Training OU,dc=contoso,dc=com"二、DsmodDsmod 用于修改现有对象,它的使用方法与 dsadd 非常相似,您需要根据要修改的对象的类型使用不同的子菜单和语法。
公司的ad域解析
公司的ad域解析Active Directory(AD)域是许多企业中用于管理网络环境的关键组成部分。
在这篇文档中,我们将详细探讨公司中AD域解析的相关概念、设置过程及其重要性。
### 什么是AD域解析?在了解AD域解析之前,我们需要先明白什么是AD域。
Active Directory 域是一个目录服务,由微软开发,用于Windows Server操作系统。
它存储有关网络中所有用户、计算机和其他资源的信息,并提供了一个集中管理这些资源的方式。
AD域解析指的是在网络中将域名解析为对应的IP地址的过程,这样用户就可以通过容易记忆的域名来访问网络中的资源,而不是记住复杂的IP地址。
### AD域解析的重要性1.**集中管理**:通过AD域解析,网络管理员可以在一个中心位置管理所有的DNS记录,确保整个网络中的设备能够高效、准确地解析域名。
2.**安全性和权限控制**:AD域提供了精细的权限控制,可以限制哪些用户或组可以访问特定的网络资源。
3.**易于访问**:用户无需知道后端服务器的具体IP地址,通过简单的域名即可访问资源,提高了工作效率。
4.**移动和变更管理**:当服务器IP地址发生变更时,只需在AD域中更新相应的DNS记录,无需通知每个用户。
### AD域解析的设置过程1.**安装和配置DNS服务**:- 在Windows Server上安装DNS服务。
- 配置DNS服务器以指向AD域控制器。
2.**创建DNS区域**:- 在DNS管理器中创建正向和反向查找区域。
- 设置区域委派,如果有多台DNS服务器。
3.**添加DNS记录**:- 根据需要添加A记录(将域名解析为IP地址)。
- 添加CNAME记录,用于创建域名的别名。
4.**更新AD集成区域**:- 将DNS区域设置为AD集成区域,确保DNS记录与AD中的信息同步。
5.**测试解析**:- 在客户端计算机上执行`nslookup`或`ping`命令,测试域名是否正确解析。
AD查询操作
AD查询操作關於LDAP的查詢:1、查询种类:A、(objectCategory=computer)B、(objectCategory=group)C、(objectCategory=user)D、(&(objectCategory=person)(objectClass=user))E、(objectcategory=contact)2、语法基础=---------------------(EQUALTO)等于eg:(givenName=Wendy)&-----------------------(logicalAND)和eg:(&(givenName=Wendy)(l=Q13000000))!-------------------------(logicalNOT)⾮eg:(!givenName=Wendy)*----------------------(wildcard)通配符eg:(givenName=We*)|---------------OR或者eg:(|(l=Q1300)(l=Q1200))eg:(&(givenName=Wen*)(|(l=Q1300*)(l=Q1200*)))◆查找被disable的user(拥有信箱)(&(msExchUserAccountControl=2)(!msExchMasterAccountSID=*))◆查询被disable的⽤户(所有)(&(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=2))◆查询有描述的计算机(&(objectCategory=computer)(description=*))◆查询有描述的组(&(objCategory=group)(description=*))◆查询所有的组-----开头为PCQ或者PSH(&(objectCategory=group)(|(cn=PSH*)(cn=PCQ*)))◆查询所属于群组的⽤户(&(objectCategory=user)(|(memberOf=CN=Pin,OU=Pry,OU=Function,OU=Groups,DC=WEN,DC=COM)(memberOf=CN=PP,OU=Pry,OU=Function,OU=Groups,DC=WEN,DC=CORM)))1、查询logonscript路径不是wendy.vbe的⽤户:(&(!scriptPath=wendy.vbe)(objectCategory=user))2、查詢被disabled的計算機(&(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=2))3、查詢時間戳早於2012年7⽉30⽇的電腦(&(objectCategory=computer)(lastLogonTimestamp<=129880800000000000))4、查询最后⼀次修改密码时间⼩于我们要查询的时间以及最后⼀次修改密码时间不为0的⽤户(objectcategory=user)(objectclass=user)(!pwdlastset<=0)(如果⽤户pwdlastset属性为0,说明⽤户属性中勾选了“下⼀次登录必须修改密码”的选项)⼀、参考:细说LastLogonTimeStampLastLogonTimeStamp的值会在所有域控制器间复制。
ad域管理
统一的身
份验证机
制,确保
只有合法
单点登录:
用户才能
AD域支持
访问资源
Single
Sign-On
(SSO),
用户只需
登录一次
即可访问
所有关联
资源访问
控制:通
过AD域内
的组和权
限设置,
实现对资
企业政策
源的访问
管理:通
控制
过AD域,
企业可以
实施和管
理各种政
策,如密
码策略、
软件分发
02
04
02
AD域的规划与部署
• 监控域性能:使用工具监控AD域的性能,及时发现和解决问题
扩展策略
• 添加子域:根据企业发展,将AD域划分为更多的子域
• 增加域控制器:在需要时,添加新的域控制器,提高AD域的可扩展性
• 跨域访问:实现与其他AD域的信任关系,实现跨域访问
03
AD域的用户与组管理
用户帐户的创建与管理
创建用户帐户
• 日志报告:生成日志报告,记录分析结果和改进措施
AD域的故障诊断与解决思路
故障诊断
解决思路
• 故障识别:识别AD域的故障现象和症状
• 检查配置:检查AD域的配置,确保配置正确无误
• 故障定位:确定故障发生的位置和原因
• 检查日志:分析AD域的日志,找出故障原因和线索
• 故障排除:采取相应的措施,排除故障
• 基本属性:如姓名、电子邮件和电话号码
• 打印权限:控制用户对打印机的访问权限
• 组织单位:将用户分配到特定的组织单位,便于管理
• 其他权限:控制用户对其他资源和功能的访问权限
• 其他属性:如IP地址、计算机名和登录时间
AD常用命令
A D A d m i n i s t r a t i v e S n a p-i n s A n d T o o l s常用A D管理组件和工具一、活动目录的管理插件有如下:Active Directory Users and ComputersActive Directory Domains and TrustsActive Directory Sites and ServicesActive Directory SchemaActive Directory Service Interfaces (ADSI)二、活动目录修改及查询命令dsadd命令(创建活动目录对象):用于在AD中创建OU、用户、组、联系人等对象,但是不能对AD中的对象进行修改,下面逐一进行介绍。
1、创建组织单位:命令格式:dsadd ou <OUDN> [-desc 描述] [{-s 服务器|-d 域}] [-u 用户名] [-p {密码|*}] [-q] [{-uc|-uoc|-uci}]注意:OU名称应为要创建的OU的LDAP绝对路径(DN,Distinguished Name),如果DN中包含空格,应该在路径两端使用双引号。
例如要在域中建立一个名为finance的OU,可以执行以下命令:C:\>dsadd ou ou=finance,dc=yjx,dc=com -desc "财务部"2、创建域用户帐户命令格式:dsadd user <UserDN> [-samid <SAMName>] -pwd {<Password>|*} –upn UPN例如要在域中建立一个名为mike的用户帐户,该用户将位于sales OU中,其显示名称为“mike yang”,则可以执行以下命令:C:\>dsadd user cn=mike,ou=sales,dc=yjx,dc=com -samid mike -pwd benet3.0 -display “mike yang”3、创建计算机帐户命令格式:dsadd computer <ComputerDN>要在域中的sales OU中建立一个名为client-2的计算机帐户,可以执行以下命令:C:\>dsadd computer cn=client-2,ou=sales,dc=yjx,dc=com要在域中的sales OU中建立一个名为client-3的计算机帐户,并设置计算机账户的描述信息为“测试工作站”,可以执行以下命令:C:\>dsadd computer cn=client-3,ou=sales,dc=yjx,dc=com -desc 测试工作站4、创建联系人命令格式:dsadd contact <ContactDN> [-fn <FirstName>] [-mi <Initial>] [-ln <LastName>] [-display <DisplayName>] [-desc <Description>]要在域中的sales OU中建立一个名为杨建新的联系人,执行以下命令:C:\>dsadd contact cn=杨建新,ou=sales,dc=yjx,dc=com -fn jianxin -ln yang -display 杨建新dsmod命令(修改活动目录对象):用于修改AD对象的属性,可以对OU、用户、组、联系人等对象进行修改。
AD域管理介绍ppt课件
域控服务器
更新服务器
客户机
系统更新
服务器定期向客户机更新信息,用户根据情况按需安装更新即可。
权限统一集中
AD域控制器
信审部
销售支持部
信息技术中心
综合保障部
营业部
部门OU策略部门管理者
部门OU策略部门管理者
部门OU策略部门管理者
部门OU策略部门管理者
部门OU策略部门管理者
分组1
分组2
允许访问
内部业务系统
共享文件
OA系统
论坛系统
FTP系统
内网计算机
共享打印机
邮件系统
为什么要做AD域管理
内网接入无保护
资源访问无控制
资源访问不统一
权限分配不合理
数据保护不安全
存在的问题
AD域管理的好处
数据信息的安全性
权限分配的严格性
数据保护的可靠性
资源使用的规范性
集中管理的简化性
资源访问的统一性
AD域管理介绍
什么是AD域AD域和工作组的区别为什么要做AD域AD域的好处AD域可以做什么
什么是AD域
AD(active directory)活动目录,指的是一组服务器和工作站的集合。
域将计算机、用户的账户密码集中放在一个数据库内,使得用户只使用一个账户和密码就能够访问网络中其他资源。
AD域和工作组的区别
多个账户多个组对应一个资源,账号和账号、组和组的权限各部相同。多个账户多个组对应多个资源,账号和账号、组和组的权限各部相同。
内网安全保护
若没有公司分配的账号,则无法接入公司内网。
外网资源
AD域控服务器
内网资源
非法用户
内网用户
ad域常用命令
ad域常用命令AD域(Active Directory Domain)是指在Windows操作系统中使用的一种目录服务。
它是一种分布式数据库,用于存储和管理网络中的资源和用户信息。
在AD域中,我们可以通过一些常用命令来管理和操作域控制器、用户、组等。
一、域控制器管理命令1. dcpromo:用于将服务器升级为域控制器,或者将域控制器降级为成员服务器。
2. nslookup:用于查询域控制器的IP地址和域名的解析情况。
3. netdom:用于管理域控制器的信任关系,包括建立、删除和修改信任关系。
二、用户管理命令1. dsadd user:用于创建新用户账户。
2. dsmod user:用于修改用户账户的属性,如密码、显示名称等。
3. dsquery user:用于查询用户账户的信息。
4. dsget user:用于获取用户账户的详细信息。
三、组管理命令1. dsadd group:用于创建新的安全组或分发组。
2. dsmod group:用于修改组的属性,如组的作用域、描述等。
3. dsquery group:用于查询组的信息。
4. dsget group:用于获取组的详细信息。
四、策略管理命令1. gpupdate:用于强制更新组策略。
2. gpresult:用于查看当前用户或计算机应用的组策略信息。
五、其他常用命令1. net user:用于管理本地用户账户,如创建、删除和修改本地用户。
2. net group:用于管理本地组,如创建、删除和修改本地组。
3. net share:用于管理共享文件夹,如创建、删除和修改共享。
需要注意的是,使用这些AD域常用命令时,需要具有足够的权限和管理员身份。
此外,为了确保命令的执行效果,应该在操作之前先做好相应的备份工作,并且仔细阅读命令的用法和参数说明。
总结:AD域常用命令是管理和操作域控制器、用户、组等的重要工具。
通过这些命令,我们可以方便地创建、修改和查询域中的资源和用户信息,实现对整个网络环境的有效管理。
AD域控制器的配置
排除方法:检查网络连接确保网络畅通;检查域控制器权限设置确保域控制器有权限访问资 源;检查用户账户设置确保账户有权限访问资源。
故障现象:无法修改域控制器设置 排除方法:检查域控制器权限设置确保域控制器有权限修改 设置;检查组策略设置确保组策略允许修改设置;检查用户账户设置确保账户有权限修改设置。
单击添加文本具体内容简明扼要地阐述您的观点。根据需 要可酌情增减文字添加文本
DCDig工具:检测D域控制器配置问题 ***dom工具: 查询D域控制器状态和配置信息
***dom工具:查询D域控制器状态和配置信息
DSI Edit工具:修改D域控制器配置信息
单击添加文本具体内容简明扼要地阐述您的观点。根据需 要可酌情增减文字添加文本
DSI Edit工具:修改D域控制器配置信息
单击添加文本具体内容简明扼要地阐述您的观点。根据需 要可酌情增减文字添加文本
DSI Edit工具:修改D域控制器配置信息
单击添加文本具体内容简明扼要地阐述您的观点。根据需 要可酌情增减文字添加文本
故障现象:无法登录域控制器 排除方法:检查网络连接确保网络畅通;检查DNS设置确保 DNS服务器地址正确;检查域控制器服务状态确保服务正常运行。
,
汇报人:
01 02 03 04 05
06
Prt One
Prt Two
D域控制器是ctive Direcry(活动目录)的核心组件负责管理和维护D域内的用户、计 算机、组等对象。
D域控制器通过LDP协议提供目录服务实现用户身份验证、资源访问控制等功能。
dsquery用法
dsquery用法dsquery 是一个命令行工具,用于在Active Directory中查询对象。
下面是一些常见的 dsquery 用法示例:1. 查询特定对象:- 查询用户:`dsquery user -samid "john.doe"`- 查询组: `dsquery group -name "sales"`2. 查询对象的属性:- 查询用户的邮箱:`dsquery user -samid "john.doe" | dsget user -email`- 查询组的描述:`dsquery group -name "sales" | dsget group -desc`3. 组合使用 dsquery 和 dsget:- 查询用户所在组:`dsquery user -samid "john.doe" | dsget user -memberof`- 查询组成员:`dsquery group -name "sales" | dsget group -members`4. 查询子对象:- 查询域下的所有用户:`dsquery user`- 查询组的成员:`dsquery group -name "sales" | dsget group -members`5. 根据条件查询对象:- 查询已禁用的用户:`dsquery user -disabled`- 查询密码过期的用户:`dsquery user -stalepwd [days]`,其中[days] 是密码过期天数的阈值- 查询不活动的用户:`dsquery user -inactive [weeks]`,其中[weeks] 是不活动时间的阈值以上是一些常见的 dsquery 用法示例,通过适当调整选项和参数,可以实现更精确的查询。
查询长期未登录的AD帐号
查询长期未登录的AD帐号接近年底,公司内部及外部的审计又开始了。
这次公司内部的审计人员比以往专业很多,问了很多帐号管理(申请,离职,公用帐号等方法的管理),确实让我小忙一把。
还真被他们稽核出不了问题。
对于个人帐号,全部上系统申请,参考HR数据库建立,同时在离职时HR系统自动禁用帐号,隔日发报表给相关人员进行统一删除。
对于公用帐号,有些部门之前申请的,即使不用了他们也不会通过IT部门去取消,所以公用帐号可能会一直在增加,但IT人员也无法去管理(帐户信息可能已经不准确)下面介绍一命令,在win2008如果有安装AD服务,该命令已经有包含。
dsquery 命令,dsquery user可查询AD 用户信息(我之前有一篇文章,dsquery computer可查询AD计算机帐户,两者处理的方式是一样的)以下是一条命令dsquery user "dc=contoso,dc=com" -scope subtree -inactive 13 -limit 1 | dsmove -newparent "ou=olduser,dc=contoso,dc=com"解释:dsquery user 查询AD user帐号"dc=contoso,dc=com" 为查询的AD路径-scope subtree为查询范围,此处为包含下级各目录-inactive 13 为13周未登录过的帐号,一般3个月强制变更密码,所以13周没登录的话这个帐号应该是没有在使用了-limit 1为一次操作一条记录(由于通过管道| 传给dsmove命令进行再次操作,所以此次只能为1)| 为管道操作符dsmove 将查询到的对象移到指定OU-newparent "ou=olduser,dc=contoso,dc=com" 为目标OU,用于存放查询到的用户对象一般情况下我在对AD用户及计算机帐号管理时,不会立即删除帐号,都会将他们移至一个OU,再将这个帐号全部禁用,再观察下1个月什么的。
ad域常用命令
ad域常用命令AD域常用命令AD域(Active Directory Domain)是Windows操作系统中常用的一种目录服务,用于管理网络中的用户、组、计算机等资源。
在AD 域中,管理员可以使用一系列的命令来管理和配置域中的对象。
本文将介绍AD域常用的一些命令,并对其功能和用法进行详细说明。
一、查询命令1. dsquery:用于查询AD域中的对象。
可以通过指定不同的参数来查询用户、组、计算机等对象。
例如,使用dsquery user命令可以查询AD域中的用户账户。
2. dsget:用于获取AD域中对象的详细信息。
与dsquery命令类似,可以指定不同的参数来获取用户、组、计算机等对象的详细属性。
例如,使用dsget user命令可以获取用户账户的详细信息。
3. net user:用于管理AD域中的用户账户。
可以通过指定不同的参数来创建、删除、修改用户账户的属性。
例如,使用net user命令可以创建新的用户账户。
4. net group:用于管理AD域中的组对象。
可以通过指定不同的参数来创建、删除、修改组对象的属性。
例如,使用net group命令可以创建新的组对象。
5. net computer:用于管理AD域中的计算机对象。
可以通过指定不同的参数来创建、删除、修改计算机对象的属性。
例如,使用net computer命令可以加入计算机到AD域中。
二、配置命令1. dsa.msc:用于打开AD域的管理工具。
可以通过运行dsa.msc命令来打开AD域用户和计算机的管理界面,从而可以进行各种配置和管理操作。
2. dcdiag:用于检测AD域中的域控制器的健康状态。
可以通过运行dcdiag命令来检测域控制器的运行情况,以及是否存在异常或错误。
3. repadmin:用于管理AD域中的复制操作。
可以通过指定不同的参数来查看、配置和监控域控制器之间的复制关系和复制状态。
4. nltest:用于测试AD域中的网络连接和认证。
dsrm命令批量删除AD域用户
dsrm命令批量删除AD域用户dsrm命令可以批量删除AD域用户,或批量删除禁用的AD域账户一、 dsrm命令删除AD域用户1.dsrm命令详细解释dsrm命令语法:dsrm UDN -noprompt -c其中 UDN 表示用户的识别名称-noprompt 表示删除过程中不提示信息-c 表示删除域账户过程中,遇到警告,错误继续执行命令dsrm不但可以删除域用户,还能删除域里的OU,组,联系人等,只要把UDN换成相应的ObjectDN即可2.dsrm命令删除AD域用户以删除域用户,还能删除域里的OU,组,联系人等,只要把UDN换成相应的ObjectDN即可。
dsrm命令删除AD域用户二、 dsquery user 命令查询AD域账户1.dsquery user 命令详细解释dsquery user 命令语法:dsquery user -name 查询用户的UDN-name 查询用户的UDN2.首先使用dsquery user命令,制作一份要删除账户的名单dsquery user -disabled | Export-CSV "c:\tools\DisabledAccountlist.txt" -NoTypeInformation -Encoding UTF8除了使用表格批量删除域账户外,dsrm还可以从管道获取要删除的域账户,下面分享两个常用的功能…三、批量删除AD域中禁用的账户可以使用下面的命令:dsquery user -disabled | dsrm -noprompt -c四、批量删除长期未登录用户可以使用下面的方法删除。
dsquery user -inactive 120 | dsrm -noprompt -c-inactive 表示多少周没有登录过-inactive 120 就是域用户120周没有登录过以上适用于windows server 2008, server 2012, server 2016/2019等域控服务器上,并以管理员的身份打开CMD界面。
管理员操作手册AD域控及组策略管理CTO
AD域控及组策略管理目录一、ActiveDirectory(AD)活动目录简介错误!未指定书签。
1、工作组与域的区别...................... 错误!未指定书签。
2、公司采用域管理的好处.................. 错误!未指定书签。
3、ActiveDirectory(AD)活动目录的功能..... 错误!未指定书签。
二、AD域控(DC)基本操作 .............. 错误!未指定书签。
1、登陆AD域控........................... 错误!未指定书签。
2、新建组织单位(OU).................... 错误!未指定书签。
3、新建用户.............................. 错误!未指定书签。
4、调整用户.............................. 错误!未指定书签。
5、调整计算机............................ 错误!未指定书签。
三、AD域控常用命令.................... 错误!未指定书签。
1、创建组织单位:(dsadd)................. 错误!未指定书签。
2、创建域用户帐户(dsadd)................. 错误!未指定书签。
3、创建计算机帐户(dsadd)................. 错误!未指定书签。
4、创建联系人(dsadd)..................... 错误!未指定书签。
5、修改活动目录对象(dsmod)............. 错误!未指定书签。
6、其他命令(dsquery、dsmove、dsrm)..... 错误!未指定书签。
四、组策略管理......................... 错误!未指定书签。
1、打开组策略管理器...................... 错误!未指定书签。
AD域的5大架构
五种角色架构AD域环境中五大主机角色在Win2003多主机复制环境中,任何域控制器理论上都可以更改ActiveDirectory中的任何对象。
但实际上并非如此,某些AD功能不允许在多台DC上完成,否则可能会造成AD数据库一致性错误,这些特殊的功能称为“灵活单一主机操作”,常用FSMO来表示,拥有这些特殊功能执行能力的主机被称为FSMO角色主机。
在Win2003 AD域中,FSMO有五种角色,分成两大类:森林级别(在整个林中只能有一台DC拥有访问主机角色)1:架构主机(Schema Master)2:域命令主机(Domain Naming Master)域级别(在域中只有一台DC拥有该角色3:PDC模拟器(PDC Emulator)4:RID主机(RID Master)5:基础架构主机(Infrastructure Master)1:架构主机控制活动目录整个林中所有对象和属性的定义,具有架构主机角色的DC是可以更新目录架构的唯一DC。
这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。
架构主机是基于目录林的,整个目录林中只有一个架构主机。
2:域命令主机向目录林中添加新域。
从目录林中删除现有的域。
添加或删除描述外部目录的交叉引用对象.3:PDC模拟器向后兼容低级客户端和服务器,担任NT系统中PDC角色时间同步服务源,作为本域权威时间服务器,为本域中其它DC以及客户机提供时间同步服务,林中根域的PDC模拟器又为其它域PDC模拟器提供时间同步!密码最终验证服务器,当一用户在本地DC登录,而本地DC验证本地用户输入密码无效时,本地DC会查询PDC模拟器,询问密码是否正确。
首选的组策略存放位置,组策略对象(GPO)由两部分构成:GPT和GPC,其中GPC存放在AD数据库中,GPT默认存放PDC模拟器在\\windows\sysvol\sysvol\<domainname>目录下,然后通过DFS复制到本域其它DC中。
02_部署全新AD DS域服务
部署全新AD DS域服务AD DS域服务是Windows Server 2008的核心服务,主要提供用户身份验证、检索、组织结构规划、部署企业策略等基础服务。
与Windows Server 2003中不同,Windows Server 2008中的AD DS域服务以服务的方式运行,可以在不停机的状态下停止AD DS域服务。
一、基本概念介绍1、独立服务器:指安装有Windows Server操作系统,但不是域成员,具有独立操作功能的服务器。
2、域控制器:指安装了活动目录(Active Directory)的服务器,主要负责管理用户对网络的各种各种权限。
3、成员服务器:独立服务器添加为域成员后就变成了成员服务器,主要用来充当应用服务器、web服务器、数据库服务器等。
4、服务器角色:在Windows Server 2008中,根据主要功能、用途的区别划分了16个角色,AD DS便是其中一个。
5、DNS:全名叫Domain Name Server(域名服务器),提供了一种将名称和IP地址相关联的方法,这样用户就可以通过较易记忆的域名来代替难以记忆的IP地址进行操作。
6、域:活动目录中的逻辑组织单元7、域树:域树由多个域组成,这些域共享同一表结构和配置,形成一个连续的名字空间。
树中的域通过信任关系连接起来,活动目录包含一个或多个域树。
域树中的域层次越深级别越低,一个“.”代表一个层次,如域 就比这个域级别低,因为它有两个层次关系,而只有一个层次。
而域双比级别低,道理一样。
他们都属于同一个域树。
就属于的子域。
域“” 就比“”这个域级别低,因为前者有两个层次关系,而后者只有一个层次。
域树中的域是通过双向可传递信任关系连接在一起的,因此在域树或树林中新创建的域可以立即与域树或树林中每个其他的域建立信任关系。
这些信任关系允许单一的登录过程,在域树或树林中的所有域上对用户进行身份验证,但这不一定意味着经过身份验证的用户在域树的所有域中都拥有相同的权利和权限。
AD常用命令
1、查询AD中,默认的密码策略如果接手一个新的AD环境,需要了解其密码策略如果,或是你忘了你所在组织AD的密码策略,我们一会去组策略管理控制台去查看,但有了PowerShell,会变得很简单,只需一个CMDLET: Get-ADDefaultDomainPasswordPolicy密码复杂性要注、锁定策略、密码长度、密码有效时间等,可以全部显示出来!2、查询AD中,那些用户被选中了“密码永不过期”的选顶在域管理中,我们一般都会配置一些策略,设置用户密码30天或是90天过期,强制修改密码,但有时,可能会在创建用户时,不小心选中了“密码永不过期”的选顶,这对信息安全来说,是不被允许的,或是说一个不安全的因素,如果通过AD管理工具去检查每个用户,是一个很繁琐的工具,但如果我们利用PowerShell,就可以很方便的一次性查询出AD中所有勾选了“密码记不过期”选顶的用户!Get-ADUser -Filter 'PasswordNeverExpires -eq $true' -Server DCHostname | select name将DChostname修改为你域的其中一台DC的主机名如果你的AD组织足够大,一次性会显示所有AD中的的用户,如果只查询某个指OU下的,可以加入限定条件,如:-searchbase ' OU=test,DC=Youdomain,DC=COM '将OU=Test修改为你其中一个OU的名字,将DC=Youdomain,DC=COM改为你的域名,如我的域名为,我要查东莞分公司用户所在OU:Get-ADUser -searchbase ' OU=Dongguan,DC=szmaxcent,DC=COM,DC=CN '-Filter'PasswordNeverExpires -eq $true' -Server DC001 | select name3、查询AD中,已锁定的用户如果某些用户因为密码问题导致账号锁定,我们也可以用PowerShell来查看当前域中,有那些账号是锁定状态:get-aduser -filter * -properties * | where {$_.lockedout} | ft name,lockedout当然,上面命令也可以参考上面加上限定条件,来指定OU!如果需要查询某个账号是否锁定:get-aduser johnsonxiang -properties * | ft name,lockedout如果红色方框显示为False,为正常状态,如果为Ture,即已锁定!如果要对已经锁定的账号解锁,直接用:Unlock-ADAccount -Identity johnsonxiang,当然前提是你要有对此锁定解锁的权限!4、查询AD中,成员为空AD组(针对用户)AD组织用久了,创建组越来越多,很多组已经没有任何成员了,也行不会再使用,我们可以将这些组找出来,如果确认不用的话,再将其删除!用PowerShell,可以很方便的,一次性将这些组全部列出来,命令如下:Get-ADGroup -Filter * -Properties Members | where { -not $_.Members} | select Name 同样,你也可以参考上面的语句,在前面加上限定条件,来查询指定OU。
AD常用命令
A D A d m i n i s t r a t i v e S n a p-i n s A n d T o o l s常用A D管理组件和工具一、活动目录的管理插件有如下:Active Directory Users and ComputersActive Directory Domains and TrustsActive Directory Sites and ServicesActive Directory SchemaActive Directory Service Interfaces (ADSI)二、活动目录修改及查询命令dsadd命令(创建活动目录对象):用于在AD中创建OU、用户、组、联系人等对象,但是不能对AD中的对象进行修改,下面逐一进行介绍。
1、创建组织单位:命令格式:dsadd ou <OUDN> [-desc 描述] [{-s 服务器|-d 域}] [-u 用户名] [-p {密码|*}] [-q] [{-uc|-uoc|-uci}]注意:OU名称应为要创建的OU的LDAP绝对路径(DN,Distinguished Name),如果DN中包含空格,应该在路径两端使用双引号。
例如要在域中建立一个名为finance的OU,可以执行以下命令:C:\>dsadd ou ou=finance,dc=yjx,dc=com -desc "财务部"2、创建域用户帐户命令格式:dsadd user <UserDN> [-samid <SAMName>] -pwd {<Password>|*} –upn UPN例如要在域中建立一个名为mike的用户帐户,该用户将位于sales OU中,其显示名称为“mike yang”,则可以执行以下命令:C:\>dsadd user cn=mike,ou=sales,dc=yjx,dc=com -samid mike -pwd benet3.0 -display “mike yang”3、创建计算机帐户命令格式:dsadd computer <ComputerDN>要在域中的sales OU中建立一个名为client-2的计算机帐户,可以执行以下命令:C:\>dsadd computer cn=client-2,ou=sales,dc=yjx,dc=com要在域中的sales OU中建立一个名为client-3的计算机帐户,并设置计算机账户的描述信息为“测试工作站”,可以执行以下命令:C:\>dsadd computer cn=client-3,ou=sales,dc=yjx,dc=com -desc 测试工作站4、创建联系人命令格式:dsadd contact <ContactDN> [-fn <FirstName>] [-mi <Initial>] [-ln <LastName>] [-display <DisplayName>] [-desc <Description>]要在域中的sales OU中建立一个名为杨建新的联系人,执行以下命令:C:\>dsadd contact cn=杨建新,ou=sales,dc=yjx,dc=com -fn jianxin -ln yang -display 杨建新dsmod命令(修改活动目录对象):用于修改AD对象的属性,可以对OU、用户、组、联系人等对象进行修改。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
AD域中的管理利器---- dsquery命令详解应用到: Windows Server 2003, Windows Server 2003 R2,Windows Server 2003 with SP1, Windows Server 2003 with SP2Dsquery按照指定的条件查询 Active Directory。
下列每个dsquery命令都查找指定对象类型的对象,dsquery *除外,它可以查询任何对象类型。
dsquery computerdsquery contactdsquery groupdsquery oudsquery sitedsquery serverdsquery userdsquery quotadsquery partitiondsquery *dsquery computer在目录中查找与指定的搜索条件相匹配的计算机。
语法dsquery computer [{StartNode|forestroot |domainroot}] [-o {dn |rdn |samid}] [-scope {subtree |onelevel |base}] [-name Name] [-desc Description] [-samid SAMN ame] [-inactive NumberOfWeeks] [-stalepwd NumberOfDays] [-disabled] [{-s Server |-d Domain}] [-u UserName] [-p {Password|*}] [-q] [-r] [-gc] [-limit NumberOfObject s] [{-uc |-uco |-uci}]参数{StartNode|forestroot | domainroot}指定节点,从该节点开始搜索。
您可以指定林根目录(forestroot)、域根目录 (domainroot) 或节点的可分辨名称 (StartNode)。
如果指定了forestroot,则使用全局编录完成搜索。
默认值为 domainroot。
-o {dn |rdn |samid}指定搜索所找到的条目列表的显示格式。
值dn显示每个条目的可分辨名称。
值rdn显示每个条目的相对可分辨名称。
值samid显示每个条目的 SAM 帐户名。
默认情况下,使用dn格式。
-scope {subtree |onelevel |base}指定搜索范围。
值subtree表示搜索范围是开始节点上的一个子树。
值onelevel表示仅开始节点的直接子项。
值base表示由开始节点代表的单一对象。
如果将forestroot指定为StartNode,则子树是唯一的有效范围。
默认情况下,搜索范围是subtree。
-name Name搜索其名称属性(CN 属性的值)与Name相匹配的计算机。
例如,“jon*”或“*ith”或“j*th”。
-desc Description搜索其描述属性与Description相匹配的计算机。
例如,“jon*”或“*ith”或“j*th”。
-samid SAMName搜索其 SAM 帐户名与SAMName相匹配的计算机。
-inactive NumberOfWeeks 搜索在指定周数内处于非活动状态(陈旧的)的全部计算机。
-stalepwd NumberOfDays搜索在指定天数内未更改密码的全部计算机。
-disabled 搜索被禁用帐户的全部计算机。
{-s Server |-d Domain}连接到指定远程服务器或域。
默认情况下,计算机与登录域中的域控制器相连接。
-u UserName指定用户用以登录远程服务器的用户名。
默认情况下,-u使用用户登录时的用户名。
您可以使用下列任何一种格式指定用户名:用户名(例如 Linda)域\用户名(例如 widgets\Linda)用户主体名称 (UPN)(例如 Linda@)-p {Password|*}指定使用密码还是 * 登录到远程服务器。
如果键入*,系统将提示输入密码。
-q 取消到标准输出的所有输出(安静模式)。
-r 指定搜索期间搜索将使用递归或跟踪参照。
默认情况下,在搜索期间搜索将不跟踪参照。
-gc 指定搜索使用 Active Directory 全局编录。
-limit NumberOfObjects指定将返回与给定条件匹配的对象的个数。
如果NumberOfObjects的值为 0,则返回所有匹配的对象。
如果未指定该参数,则默认显示前 100 条结果。
{-uc| -uco| -uci} 指定以 Unicode 格式输出或输入数据。
下表列出并描述了每一种格式。
值描述-uc为从管道 (|) 输入或输出到管道 (|) 指定 Unicode 格式。
-uco指定以 Unicode 格式输出到管道 (|) 或文件。
-uci指定以 Unicode 格式从管道 (|) 或文件输入。
/? 在命令提示符下显示帮助。
注释dsquery搜索的结果可作为其他目录服务命令行工具之一的管道输入,例如dsget、dsmod、dsmove或dsrm。
如果您提供的值包含空格,请用引号将内容引起来(例如,"CN=Mike Danseglio,CN=Users,DC=Microsoft,DC=Com")。
如果要提供多个值给一个参数,请使用空格分隔多个值(例如,可分辨名称列表)。
示例若要在当前域中查找所有名称以“ms”开头且描述以“desktop”开头的计算机,并显示其可分辨的名称,请键入:dsquery computer domainroot -name ms* -desc desktop*若要在由 OU=Sales,dc=microsoft,DC=Com 指定的组织单位中查找所有计算机并显示他们的可分辨名称,请键入:dsquery computer OU=Sales,DC=Microsoft,DC=Comdsquery contact在目录中查找与指定的搜索条件相匹配的联系人。
语法dsquery contact [{StartNode|forestroot |domainroot}] [-o {dn |rdn}] [-scope {su btree |onelevel |base}] [-name Name] [-desc Description] [{-s Server|-d Domain}] [ -u UserName] [-p {Password|*}] [-q] [-r] [-gc] [-limit NumberOfObjects] [{-uc |-uco |-uci}]参数{StartNode|forestroot |domainroot}指定节点,从该节点开始搜索。
您可以指定林根目录(forestroot)、域根目录 (domainroot) 或节点的可分辨名称 (StartNode)。
如果指定了forestroot,则使用全局编录完成搜索。
默认值为 domainroot。
-o {dn |rdn}指定搜索所找到的条目列表的显示格式。
值dn显示每个条目的可分辨名称。
值rdn显示每个条目的相对可分辨名称。
-scope {subtree |onelevel |base}指定搜索范围。
值subtree 表示搜索范围是开始节点上的一个子树。
值onelevel表示仅开始节点的直接子项。
值base 表示由开始节点代表的单一对象。
如果将forestroot指定为StartNode,则子树是唯一的有效范围。
默认情况下,搜索范围是subtree。
-name Name搜索其名称属性(CN 属性的值)与Name相匹配的联系人。
例如,“jon*”或“*ith”或“j*th”。
-desc Description搜索其描述属性与Description相匹配的联系人。
例如,“jon*”或“*ith”或“j*th”。
{-s Server|-d Domain}连接到指定远程服务器或域。
默认情况下,计算机与登录域中的域控制器相连接。
-u UserName指定用户用以登录远程服务器的用户名。
默认情况下,-u使用用户登录时的用户名。
您可以使用下列任何一种格式指定用户名:用户名(例如 Linda)域\用户名(例如 widgets\Linda)用户主体名称 (UPN)(例如 Linda@)-p {Password|*}指定使用密码还是 * 登录到远程服务器。
如果键入*,系统将提示输入密码。
-q 取消到标准输出的所有输出(安静模式)。
-r 指定搜索期间搜索将使用递归或跟踪参照。
默认情况下,在搜索期间搜索将不跟踪参照。
-gc 指定搜索使用 Active Directory 全局编录。
-limit NumberOfObjects指定将返回与给定条件匹配的对象的个数。
如果NumberOfObjects的值为 0,则返回所有匹配的对象。
如果未指定该参数,则默认显示前 100 条结果。
{-uc |-uco |-uci}指定以 Unicode 格式输出或输入数据。
下表列出并描述了每一种格式。
值描述-uc为从管道 (|) 输入或输出到管道 (|) 指定 Unicode 格式。
-uco指定以 Unicode 格式输出到管道 (|) 或文件。
-uci指定以 Unicode 格式从管道 (|) 或文件输入。
/? 在命令提示符下显示帮助。
注释dsquery搜索的结果可作为其他目录服务命令行工具之一的管道输入,例如dsget、dsmod、dsmove或dsrm。
如果您提供的值包含空格,请用引号将内容引起来(例如,"CN=Mike Danseglio,CN=Users,DC=Microsoft,DC=Com")。
如果要提供多个值给一个参数,请使用空格分隔多个值(例如,可分辨名称列表)。
示例若要在当前域中查找所有名称以“te”开头的联系人并显示其可分辨的名称,请键入:dsquery contact domainroot -name te*若要在由 OU=Sales,DC=microsoft,DC=Com 指定的组织单位中查找所有联系人并显示其可分辨的名称,请键入:dsquery contact OU=Sales,DC=Microsoft,DC=Comdsquery group在目录中查找与指定的搜索条件相匹配的组。
如果该命令中预定义的搜索条件不充分,可以使用该查询命令的更常规的形式dsquery *。
语法dsquery group [{StartNode|forestroot |domainroot}] [-o {dn |rdn |samid}] [-sco pe {subtree |onelevel | base}] [-name Filter] [-desc Filter] [-samid Filter] [{-s Serv er|-d Domain}] [-u UserName] [-p {Password|*}] [-q] [-r] [-gc] [-limit NumberOfObje cts] [{-uc |-uco |-uci}]参数[{StartNode|forestroot |domainroot} 指定节点,从该节点开始搜索。