用于管理Active Directory 的11 个基本工具- 我的番茄炒蛋- 博客园企业库|免费b2b网站

CSVDE

csvde –f ad.csv

csvde –f UsersOU.csv –d ou=Users,dc=contoso,dc=com

csvde –f UsersOnly.csv –d ou=Users,dc=contoso,dc=com –r 
    "(&(objectcategory=person)(objectclass=user))" –l 
    DN,objectClass,description

LDIFDE

Active Directory 还提供了另外一个用于执行批量用户操作的内置工具，称为 LDIFDE，与 CSVDE 相比，此工具更强大，更灵活。除了可以创建新对象外，LDIFDE 还可以修改和删除现有对象，甚至扩展 Active Directory 架构。LDIFDE 虽然具有灵活性，但为了实现这种灵活性却必须要使用扩展名为 .ldf 的 LDIF 文件作为输出文件，这种文件与简单的 CSV 文件相比，格式更复杂。（只需少量操作就可以配置好用户密码，我稍后将对此进行介绍。）

ldifde -f users.ldf -s DC1.contoso.com -d "ou=UsersOU,dc=contoso,dc=com"
       –r "(&(objectcategory=person)(objectclass=user))"

dn: CN=afuller, OU=UsersOU, DC=contoso, DC=com 
changetype: add 
cn: afuller
objectClass: user 
samAccountName: afuller  
dn: CN=rking, OU=UsersOU, DC=contoso, DC=com 
changetype: add 
cn: rking
objectClass: user 
samAccountName: rking

ldifde –i –f NewUsers.ldf –s DC1.contoso.com

dn: CN=afuller OU=UsersOU, DC=contoso, DC=com 
changetype: delete 
dn: CN=rking, OU=UsersOU, DC=contoso, DC=com 
changetype: delete

dn: cn=EmployeeID-example,cn=Schema,
cn=Configuration,dc=contoso,dc=com
changetype: add
adminDisplayName: EmployeeID-Example
attributeID: 1.2.3.4.5.6.6.6.7
attributeSyntax: 2.5.5.6
cn: Employee-ID
instanceType: 4
isSingleValued: True
lDAPDisplayName: employeeID-example

dsadd

dsadd <ObjectType> <ObjectDistinguishedName> attributes

dsadd user cn=afuller,ou=IT,dc=contoso,dc=com 
–samID afuller –fn Andrew –ln Fuller –pwd * 
-memberOf cn=IT,ou=Groups,dc=contoso,dc=com "cn=Help Desk,ou=Groups,
dc=contoso,dc=com" 
–desc "Marketing Director"

dsadd computer cn=WKS1,ou=Workstations,dc=contoso,dc=com
dsadd ou "ou=Training OU,dc=contoso,dc=com"

Dsmod

dsmod user "cn=afuller,ou=IT,dc=contoso,dc=com" –pwd P@ssw0rd1
    –mustchpwd yes

dsadd user "cn=afuller,ou=IT,dc=contoso,dc=com" –pwd P@ssw0rd1
    –mustchpwd yes

dsrm

dsrm cn=WKS1,ou=Workstations,dc=contoso,dc=com

dsrm ou=TrainingOU,dc=contoso,dc=com –subtree

dsrm ou=TrainingOU,dc=contoso,dc=com –subtree 
    –exclude

dsmove

dsmove "cn=Conn, Steve,ou=IT,dc=contoso,dc=com" 
    –newname "Steve Conn"

dsmove "cn=Conn, Steve,ou=IT,dc=contoso,dc=com" –newparent 
    ou=Training,dc=contoso,dc=com

dsmove "cn=Conn, Steve,ou=IT,dc=contoso,dc=com" –newname 
    "Steve Conn" –newparent ou=Training,dc=contoso,dc=com

Dsget 和 Dsquery

dsget user cn=afuller,ou=IT,dc=contoso,dc=com 
    –samAccountName –sid

dsquery <ObjectType> <StartNode> -s <Search Scope> -o <OutputFormat>

"cn=afuller,ou=Training,dc=contoso,dc=com"
"cn=rking,ou=ITTraining,ou=Training,dc=contoso,dc=com"

dsquery user ou=IT,dc=contoso,dc=com

dsquery subnet –name 10.1.*

dsquery subnet –site Corp

dsquery server –forest –isgc

dsquery server –hasfsmo pdc

dsquery user –description "Training" | dsmod 
    -description "Internal Development"

一些第三方产品

由于 Active Directory 基于 LDAP 标准，您可以使用任何支持 LDAP 的工具对其进行查询和修改。许多第三方供应商已发布了收费的工具，帮助您管理 Active Directory，但有时您会发现为社区免费提供的极具价值的工具。目录服务 MVP Joe Richards 创建的集合就是这种情况，可以从下载。在那里您将会发现大量具有不同功能的工具。我反复使用的有 adfind、admod 和 oldcmp 这三种工具。

Adfind 和 Admod

adfind –b <Search Base> -s <Search Scope> -f <Search Filter>
    attributesDesired

adfind –b dc=contoso,dc=com –s subtree –f (objectclass=computer) dn 
    description

adfind –b dc=contoso,dc=com –s subtree –f "(&(objectcategory=person)
    (objectclass=user))" dn description

使用 adfind 时，您将发现许多快捷操作符，可以减少许多键入内容。例如，-default 开关可以取代上一示例中的 -b dc=contoso,dc=com 并搜索整个域；-gc 搜索垃圾收集 (GC) 并返回 Active Directory 林中所有的用户。还可以使用 -rb 开关设置相对搜索库；如果要在 phl.east.us.contoso.com 域中搜索 Training OU，您可以通过仅仅指定 –default –rb ou=Training，而非 –b ou=Training, dc=phl,dc=east,dc=us,dc=contoso,dc=com，从而减少许多工作量。

adfind –default –rb cn=HelpDesk,ou=IT –asq member memberOf

顾名思义，admod 用于修改 Active Directory 中的对象。与 adfind 一样，不需要记住有特殊语法的特定子菜单；admod 在任何时候都使用相同的语法，与要处理的对象类型无关。还可以使用 admod 添加、移动、重命名、删除甚至恢复对象，只需通过添加相应的开关（如 -add、-rm、-move、-undel）即可实现。就像 dsquery 和 dsmod 一样，您也可以使用 | 字符将 adfind 查询的结果通过管道传送到 admod。

Oldcmp

创建帐户报表而不对其进行任何操作
禁用未使用的计算机帐户
将计算机帐户移动到另一个指定的 OU 中
xx删除计算机帐户

对于一个小型 Active Directory 环境或每次只执行一两个添加或更改操作的环境，GUI 工具（如 Active Directory 用户和计算机）可能足以满足日常管理需要。但是，如果您每天都要添加和修改大量对象，或者只是需要更加简化地管理任务解决方案，则改用命令行可以大大加快在 Active Directory 中创建、修改和删除对象的过程。您已经了解到，有许多灵活且功能强大的工具可以免费获得，它们或者内置于 Windows 中，或者可从 Active Directory 社区成员中下载。这些工具中的任何一个都能够大大提高 Active Directory 管理员的工作效率，与此同时，它们在您的日常工作中变得更加必要

posted on 2010-06-05 08:35 阅读(3) 所属分类:

60天内阅读排行