Управление членством в группах
Используя командную строку, легко управлять членством в группах для любой группы. Как и через GUI, вы можете добавлять или удалять пользователей, группы или компьютеры как члены нужной группы. Но утилиты командной строки предоставляют более «продвинутые» возможности, позволяя выполнять такие операции сразу над несколькими членами. Вы даже можете полностью заменить существующий список членов.
Единственной командной строкой можно, например, добавить всех 100 пользователей OU «Saless> в группу AllSales. Для этого вы должны получить список нужных учетных записей пользователей командой DSQUERY USER, а затем передать этот список на вход команде DSMOD GROUP. Для добавления членов в группу служит параметр -Addmbr, поэтому команда может выглядеть так:
- dsquery user "0U=Sales,DC=ny,DOsite,DOcom" | dsmod group "CN=AllSales, OOSales, DOny, DOsite, DOcom" -addmbr
Здесь вы получаете список всех учетных записей пользователей в OU домена site.com и передаете их на вход команды DSMOD GROUP. Затем команда DSMOD GROUP добавляет этих пользователей как членов в группу AllSales, которая находится в контейнере Sales домена site.com.
Другой способ применения параметра -Addmbr — самостоятельный ввод DN объектов, которые вы хотите добавить. Так, если вы хотите добавить группы SalesLocal и SalesGlobal в группу AllSales, воспользуйтесь командой:
- dsquery group -name AllSales | dsmod group -addmbr "CN=SalesLocal, OOSales, DOny, DO site, DOcom" "CN=SalesGlobal, OOSales, DOny, DOsite, DOcom"
Удаление членов из группы
Для удаления членов из групп предназначен параметр -Rmmbr. Как и -Addmbr, -Rmmbr принимает DN объектов из вывода DSQUERY USER или из списка, разделенного пробелами. Поэтому, если вы хотите удалить всех сотрудников отделов маркетинга и поддержки пользователей, один из способов сделать это выглядит так:
- dsquery user "OOMarketing, DOny, DOsite, DOcom" | dsmod group "CN=AllSales,OOSales, DOny, DOsite, DOcom" -rmmbr
Перемещение учетных записей групп
Как и учетные записи пользователей, учетные записи групп можно легко перемещать в другой контейнер или OU внутри текущего домена. Для этого укажите текущее DN группы командой DSMOVE, а затем задайте DN нового местонахождения учетной записи группы через параметр -Newparent. Например, если вы хотите переместить группу ProdDev из контейнера Users в OU «Developers», то должны указать DN учетной записи группы как "CN=ProdDev,CN=Users,DC=cpandl, DC=corn" и DN родителя для нового местонахождения как "OU=Developers,DC=cpandl,DC=com". Такая команда должна выглядеть так:
- dsmove "CN=ProdDev,CN=Users,DC=sitel,DC=com" -newparent "OU=Developers, DC=site, DOcom"
Удаление учетных записей групп
Чтобы удалить группу из Active Directory, применяйте команду DSRM. В большинстве случаев требуется удалить лишь конкретную группу, а не несколько групп, например с именами, начинающимися на «М». Вы удаляете группу, передав команде DSRM составное имя (DN) учетной записи группы:
dsrm "CN=AllSales,0U=Sales,DC=chicago,DC=site,DC=com"
По умолчанию DSRM запросит подтверждение па удаление. Если вы не хотите получать такой запрос, воспользуйтесь параметром -Noprompt, например:
- dsrm "CN=AllSales,0U=Sales,DC=chicago,DOsite,DOcom" -noprompt
В некоторых ситуациях может понадобиться удалить несколько групп сразу. Например, если при глобальной реорганизации компании отдел маркетинга передается другой компании, вам больше не потребуются группы, связанные с этим отделом. И если имена групп начинаются со слова «Магкеting», вы можете удалить их командой:
- dsquery group -name Marketing* | dsrm -c
Здесь вы передаете команде DSRM составные имена (DN) всех групп, которые начинаются со слова ^Marketing*. Добавление параметра -С позволяет продолжать работу даже при возникновении ошибки.
