Управление учетными записями групп
Управление учетными записями групп из командной строки отличается от управления ими из оснастки Active Directory Groups and Computers (Active Directory - Группы и компьютеры) в основном тем, что командная строка предоставляет больше возможностей и упрощает одновременную работу со множеством учетных записей групп.
Если вам нужна информация об учетных записях групп, используйте команду DSQUERY GROUP. Эта команда позволяет вести поиск по простому имени, имени учетной записи в SAM и но описанию. Она также поддерживает символы подстановки в любых из этих полей. Команда DSQUERY GROUP выводит DN групп, удовлетворяющих условиям поиска; ее вывод может быть перенаправлен на вход других команд, в том числе DSGET GROUP.
Обычно вы будете использовать команды DSQUERY GROUP и DSGET GROUP совместно. Сначала с помощью DSQUERY GROUP вы получите DN одной или более групп, а затем выведете свойства соответствующих учетных записей через DSGET GROUP. Вот список наиболее полезных параметров DSGET GROUP:
- -Desc — отображает описание найденных учетных записей групп;
- -Dn — выводит DN найденных учетных записей групп;
- -Samid — выводит имена учетных записей в SAM для найденных учетных записей групп;
- -Scope — отображает область действия найденных учетных записей групп (локальная, глобальная или универсальная);
- -Secgrp — выводит yes (да), если группа является группой безопасности и по (нет), если это группа распространения;
- -Sid — отображает идентификаторы защиты для найденных учетных записей групп.
Как и другие команды DSGET, DSGET GROUP выводит результат в виде таблицы, и обычно нужно добавлять параметр -Dn или -Samid, чтобы идентифицировать группы в выходных данных. Например, если вы хотите найти все группы с именем, начинающимся с «marketing», воспользуйтесь командной строкой вида:
- dsquery group -name marketing* | dsget group -dn -scope -secgrp
Определение членства в группах
Определить членство в группах позволяет другой синтаксис команды DSGET GROUP, который включает дна дополнительных параметра: -Members и -Memberof. Параметр -Members сообщает, какие пользователи и группы принадлежат к данной группе, а параметр -Memberof — к каким группам принадлежит данная группа. Как работают эти параметры? Допустим, вы хотите перечислить текущих участников группы AllUsers. Для этого вы вводите:
- dsquery group -name AllUsers | dsget group -members
или сами указываете DN группы, например:
- dsget group "CN=AllUsers,CN=Users,DC=site1,DC=com' -members