Управление учетными записями из командной строки
Вы можете включить или отключить учетную запись пользователя командой DSMOD USER с параметром -Disabled. Укажите -disabled yes для отключения учетной записи пользователя или -disabled по для ее включения
В следующем примере вы отключаете всех пользователей в OU
- dsquery user "0U=Users,DC=site1,DC=com" | dsmod user -disabled yes
Команда DSMOD USER сообщит об удачном или неудачном отключении для каждой учетной записи.
Восстановление просроченных учетных записей
Доменные учетные записи пользователей могут иметь конкретную дату окончания действия. Вы можете проверить эту дату командой DSGET USER с параметром -Acctexpires. Например, если вы хотите проверить дату окончания действия всех учетных записей пользователей в OU «Sales», введите:
- dsquery user "0U=Sales,DC=site1,DC=com" | dsget user -dn -acctexpires
В результате будут показаны даты окончания действия каждой учетной записи в OU «Sales» и соответствующие DN учетных записей, например:
- dn acctexpires CN=Mary Baker,0U=Sales,DC=site1,DC=com never CN=Bradley Beck,0U=Sales,DC=site1,DC=com 11/15/2006 CN=Ann Bebbe,OU=Sales,DC=site1,DC=com never CN=Max Benson,0U=Sales,DC=site1,DC=com 12/31/2006 dsget succeeded
Здесь учетные записи без ограничения срока действия имеют значение «never», а для остальных учетных записей указана конкретная дата, например 11/15/2006.
Если вам нужно изменить дату окончания срока действия учетной записи, вы можете сделать это командой DSMOD USER. Задайте параметр -Acctexpires с указанием числа дней, в течение которых учетная запись должна быть доступна. Например, если учетная запись должна быть доступна в течение следующих 60 дней, введите -acctexpires 60, например:
- dsquery user -name johnw | dsmod user -acctexpires 60
Если вы хотите удалить дату окончания срока действия учетной записи, используйте 0 в качестве значения, чтобы указать, что данная учетная запись никогда не устаревает, например:
- dsquery user -name johnw | dsmod user -acctexpires 0
Управление и восстановление паролей пользователей
Команда DSGET USER позволяет проверить параметры паролей в учетных записях пользователей. Обычно вам нужно знать, есть ли у пользователя право менять свой пароль, истекает ли срок его действия и применяется ли для пароля обратимое шифрование. Чтобы проверить эти настройки, используйте соответственно параметры -Canchpwd, - Pwdneverexpires и -Reversiblepwd. Также вам может понадобиться узнать, должен ли пользователь сменить свой пароль при следующем входе. Для этого укажите параметр -Mustchpwd. Например, если вы хотите проверить эти значения для всех учетных записей пользователей в контейнере Users, введите:
- dsquery user "CN=Users,DC=site1,DC=com" | dsget user -samid -canchpwd -pwdneverexpires -reversiblepwd -mustchpwd
Перемещение учетных записей пользователей
Обычно учетные записи пользователей размещаются в контейнере Users или в OU. Вы можете переместить учетную запись в другой контейнер или OU внутри се текущего домена командой DSMOVE. Укажите текущее DN учетной записи пользователя и задайте параметр -Newparent, чтобы определить новое размещение или DN родителя для учетной записи пользователя. Например, если бы вы захотели переместить учетную запись пользователя user1 из OU «Tech» в OU «Engineering», то могли бы указать DN учетной записи как "CN=user1,OU=Tech,DC=site1,DC=com" и предоставить DN родителя для нового расположения как "OU=Engineering,DC=site1,DC=com". Такая команда выглядела бы примерно так:
- dsmove "CN=user1,0U=Tech,DC=site1,DC=com" -newparent "OU=Engineering,DC=site1,DC=com"
Переименование учетных записей пользователей
Хотя переименовывать учетные записи пользователей довольно легко, не стоит делать этого бездумно. Переименовывая учетную запись, вы присваиваете ей новое простое имя. Это может понадобиться в случае свадьбы, развода или принятия новой фамилии пользователем. Например, если Nancy Anderson (nancya) выходит замуж, она может сменить свое имя пользователя на Nancy Buchanan (nancyb). Когда вы переименуете ее учетную запись, соответствующие привилегии и разрешения перейдут к этой записи. Поэтому файл, который был доступен nancya, теперь доступен nancyb (а у nancya такого доступа больше нет).
Для переименования учетных записей пользователей служит команда DSMOVE. Укажите DN учетной записи пользователя и через параметр -Newname задайте новое простое имя. Вы можете изменить имя пользователя с Nancy Anderson на Nancy Buchanan, введя:
- dsmove "CN=Nancy,0U=Marketing,DC=site1,DC=com" -newname "Nancy Buchanan"
Удаление учетных записей пользователей
Если учетная запись пользователя больше не нужна, ее можно удалить из Active Directory командой DSRM. В большинстве случаев нужно удалить лишь определенную учетную за
иись, например учетную запись для Mary. В таком случае вы указываете команде DSRM составное имя (DN) учетной записи пользователя, например:
- dsrm "CN=Mary,QU=Sales,DC=site1,DC=com"
По умолчанию DSRM требует подтверждать удаление. Если этот запрос вам не нужен, используйте параметр -Noprompt, например:
- dsrm "CN=Mary,0U=Sales,DC=site,DC=com" -noprompt