Включение и отключение учетных записей

Управление учетными записями из командной строки

Вы можете включить или отключить учетную запись поль­зователя командой DSMOD USER с параметром -Disabled. Укажите -disabled yes для отключения учетной записи поль­зователя или -disabled по для ее включения

В следующем примере вы отключаете всех пользователей в OU

  • dsquery user "0U=Users,DC=site1,DC=com" | dsmod user -disabled yes

Команда DSMOD USER сообщит об удачном или неудач­ном отключении для каждой учетной записи.

Восстановление просроченных учетных записей

Доменные учетные записи пользователей могут иметь конк­ретную дату окончания действия. Вы можете проверить эту дату командой DSGET USER с параметром -Acctexpires. На­пример, если вы хотите проверить дату окончания действия всех учетных записей пользователей в OU «Sales», введите:

  • dsquery user "0U=Sales,DC=site1,DC=com" | dsget user -dn -acctexpires

В результате будут показаны даты окончания действия каждой учетной записи в OU «Sales» и соответствующие DN учетных записей, например:

  • dn acctexpires CN=Mary Baker,0U=Sales,DC=site1,DC=com never CN=Bradley Beck,0U=Sales,DC=site1,DC=com 11/15/2006 CN=Ann Bebbe,OU=Sales,DC=site1,DC=com never CN=Max Benson,0U=Sales,DC=site1,DC=com 12/31/2006 dsget succeeded

Здесь учетные записи без ограничения срока действия име­ют значение «never», а для остальных учетных записей указа­на конкретная дата, например 11/15/2006.

Если вам нужно изменить дату окончания срока действия учетной записи, вы можете сделать это командой DSMOD USER. Задайте параметр -Acctexpires с указанием числа дней, в течение которых учетная запись должна быть доступна. На­пример, если учетная запись должна быть доступна в течение следующих 60 дней, введите -acctexpires 60, например:

  • dsquery user -name johnw | dsmod user -acctexpires 60

Если вы хотите удалить дату окончания срока действия учет­ной записи, используйте 0 в качестве значения, чтобы указать, что данная учетная запись никогда не устаревает, например:

  • dsquery user -name johnw | dsmod user -acctexpires 0

Управление и восстановление паролей пользователей

Команда DSGET USER позволяет проверить параметры паро­лей в учетных записях пользователей. Обычно вам нужно знать, есть ли у пользователя право менять свой пароль, исте­кает ли срок его действия и применяется ли для пароля обра­тимое шифрование. Чтобы проверить эти настройки, исполь­зуйте соответственно параметры -Canchpwd, - Pwdneverex­pires и -Reversiblepwd. Также вам может понадобиться узнать, должен ли пользователь сменить свой пароль при следующем входе. Для этого укажите параметр -Mustchpwd. Например, если вы хотите проверить эти значения для всех учетных за­писей пользователей в контейнере Users, введите:

  • dsquery user "CN=Users,DC=site1,DC=com" | dsget user -samid -canchpwd -pwdneverexpires -reversiblepwd -mustchpwd

Перемещение учетных записей пользователей

Обычно учетные записи пользователей размещаются в контей­нере Users или в OU. Вы можете переместить учетную запись в другой контейнер или OU внутри се текущего домена коман­дой DSMOVE. Укажите текущее DN учетной записи пользо­вателя и задайте параметр -Newparent, чтобы определить но­вое размещение или DN родителя для учетной записи пользо­вателя. Например, если бы вы захотели переместить учетную запись пользователя user1 из OU «Tech» в OU «Engineering», то могли бы указать DN учетной записи как "CN=user1,OU=Tech,DC=site1,DC=com" и предоста­вить DN родителя для нового расположения как "OU=Engineering,DC=site1,DC=com". Такая команда выглядела бы примерно так:

  • dsmove "CN=user1,0U=Tech,DC=site1,DC=com" -newparent "OU=Engineering,DC=site1,DC=com"

Переименование учетных записей пользователей

Хотя переименовывать учетные записи пользователей доволь­но легко, не стоит делать этого бездумно. Переименовывая учетную запись, вы присваиваете ей новое простое имя. Это может понадобиться в случае свадьбы, развода или принятия новой фамилии пользователем. Например, если Nancy Ander­son (nancya) выходит замуж, она может сменить свое имя поль­зователя на Nancy Buchanan (nancyb). Когда вы переименуете ее учетную запись, соответствующие привилегии и разреше­ния перейдут к этой записи. Поэтому файл, который был дос­тупен nancya, теперь доступен nancyb (а у nancya такого дос­тупа больше нет).

Для переименования учетных записей пользователей слу­жит команда DSMOVE. Укажите DN учетной записи пользо­вателя и через параметр -Newname задайте новое простое имя. Вы можете изменить имя пользователя с Nancy Anderson на Nancy Buchanan, введя:

  • dsmove "CN=Nancy,0U=Marketing,DC=site1,DC=com" -newname "Nancy Buchanan"

Удаление учетных записей пользователей

Если учетная запись пользователя больше не нужна, ее мож­но удалить из Active Directory командой DSRM. В большин­стве случаев нужно удалить лишь определенную учетную за­

иись, например учетную запись для Mary. В таком слу­чае вы указываете команде DSRM составное имя (DN) учет­ной записи пользователя, например:

  • dsrm "CN=Mary,QU=Sales,DC=site1,DC=com"

По умолчанию DSRM требует подтверждать удаление. Если этот запрос вам не нужен, используйте параметр -Nop­rompt, например:

  • dsrm "CN=Mary,0U=Sales,DC=site,DC=com" -noprompt
2016  Командная строка Windows  
top Яндекс.Метрика