系列23-Operation AD Skills

1-dsadd

通过 dsadd 命令行的工具,管理员不仅可以创建用户,同时可以在创建用户的时候设置更多的用户属性

-------引用------------

网上很少有详细的资料使用DSADD的方式来批量创建帐户,那么我就把我近期使用DSADD批量创建用户的方式介绍给大家希望能给大家带来帮助。

首先在使用DSADD之前我们先来了解一下LDAP协议,目录服务使用LDAP这个公用协议来查找和定位对象,LDAP可以描述对象在那个域,对象在那个OU,对象自己的名字。通常它的语法为“OU=OU对象,CN=非域非OU对象,DC=域对象”。比如:CN=xd,OU=Sales,OU=gongsi,DC=china,DC=ds.

接下来我们来看一看DSADD的语法:

dsadd computer - 将计算机添加到目录

dsadd contact - 将联系人添加到目录

dsadd group - 将组添加到目录。

dsadd ou - 将组织单位添加到目录

dsadd user - 将用户添加到目录。

今天我们将重点来讨论如何使用Dsadd user来批量创建用户,其他的大家可以参考帮助。

语法

dsadd user UserDN [-samid SAMName] [-upn UPN] [-fn FirstName] [-mi Initial] [-ln LastName] [-display DisplayName] [-empid EmployeeID] [-pwd {Password | *}] [-desc Description] [-memberof Group;...] [-office Office] [-tel PhoneNumber] [-email Email] [-hometel HomePhoneNumber] [-pager PagerNumber] [-mobile CellPhoneNumber] [-fax FaxNumber] [-iptel IPPhoneNumber] [-webpg WebPage] [-title Title] [-dept Department] [-company Company] [-mgr Manager] [-hmdir HomeDirectory] [-hmdrv DriveLetter:] [-profile ProfilePath] [-loscr ScriptPath] [-mustchpwd {yes | no}] [-canchpwd {yes | no}] [-reversiblepwd {yes | no}] [-pwdneverexpires {yes | no}] [-acctexpires NumberOfDays] [-disabled {yes | no}] [{-s Server | -d Domain}] [-u UserName] [-p {Password | *}] [-q] [{-uc | -uco | -uci}]

参数

UserDN

必需。指定要添加的用户的可分辨名称。如果省略可分辨名称,则将从标准输入 (stdin) 中获取该名称。

-samid SAMName

指定 SAM 名称作为该用户的唯一 SAM 帐户名(例如,Linda)。如果未指定,dsadd 将尝试使用 UserDN 的公用名 (CN) 值的至多前 20 个字符创建 SAM 帐户名。

-upn UPN

指定要添加的用户的用户主体名称(例如,[email protected]ts.microsoft.com)。

-fn FirstName

指定要添加的用户的名字。

-mi Initial

指定要添加的用户的中间名首字母。

-ln LastName

指定要添加的用户的姓氏。

-display DisplayName

指定要添加的用户的显示名。

-empid EmployeeID

指定要添加的用户的雇员 ID。

-pwd {Password | *}

指定将用户密码设置为 Password 或 *。如果设置为 *,将提示您输入用户密码。

-desc Description

指定要添加的用户的描述。

-memberof GroupDN ...

指定希望用户加入的组的可分辨名称。

-office Office

指定要添加的用户的办公室位置。

-tel PhoneNumber

指定要添加的用户的电话号码。

-email Email

指定要添加的用户的电子邮件地址。

-hometel HomePhoneNumber

指定要添加的用户的家庭电话号码。

-pager PagerNumber

指定要添加的用户的寻呼机号码。

-mobile CellPhoneNumber

指定要添加的用户的移动电话号码。

-fax FaxNumber

指定要添加的用户的传真号码。

-iptel IPPhoneNumber

指定要添加的用户的 IP 电话号码。

-webpg WebPage

指定要添加的用户的 Web 页的 URL。

-title Title

指定要添加的用户的称谓。

-dept Department

指定要添加的用户的部门。

-company Company

指定要添加的用户的公司信息。

-mgr ManagerDN

指定要添加的用户的管理器的可分辨名称。

-hmdir HomeDirectory

指定要添加的用户的主目录位置。如果 HomeDirectory 是作为通用命名约定 (UNC) 路径给出,则必须使用 -hmdrv 参数指定要映射到此路径的驱动器号。

-hmdrv DriveLetter:

指定要添加的用户的主目录驱动器号(例如,E:)。

-profile ProfilePath

指定要添加的用户的配置文件路径。

-loscr ScriptPath

指定要添加的用户的登录脚本路径。

-mustchpwd {yes | no}

指定用户是否必须在下次登录时更改其密码(yes 必须更改,no 不必更改)。默认情况下,用户不必更改密码 (no)。

-canchpwd {yes | no}

指定用户是否可以更改其密码(yes 可以更改,no 根本不能更改)。默认情况下,允许用户更改密码 (yes)。如果 -mustchpwd 参数的值为 yes,则该参数的值必须为 yes。

-reversiblepwd {yes | no}

指定是否应使用可逆加密来存储用户密码(yes 表示应该,no 表示不应该)。默认情况下,用户不能使用可逆加密 (no)。

-pwdneverexpires {yes | no}

指定用户密码是否永不过期(yes 表示是,no 表示不是)。默认情况下,用户密码会过期 (no)。

-acctexpires NumberOfDays

指定从今天算起用户帐户将到期的天数。0 值表示将今天的结束时间设置为到期时间。正值表示将将来的时间设置为到期时间。负值表示将以前的时间设置为到期时间。值 never 将帐户设置为永不过期。例如,0 值表示该帐户在今天结束时过期。值 -5 表示该帐户 5 天前就已经到期,并将以前的时间设置为到期日期。值 5 表示该帐户将在 5 天后到期。

-disabled {yes | no}

指定是否禁用用户帐户登录(yes 禁用登录,no 允许登录)。默认情况下,启用用户帐户登录 (no)。

{-s Server | -d Domain}

连接到指定的远程服务器或域。默认情况下,计算机与登录域中的域控制器相连接。

-u UserName

指定用户要用于登录到远程服务器的用户名。默认情况下,-u 使用用户登录时的用户名。您可以使用下列任一格式指定用户名:

用户名(例如 Linda)

域\用户名(例如 widgets\Linda)

用户主体名称 (UPN)(例如 [email protected])

-p {Password | *}

指定使用密码或 * 登录到远程服务器。如果键入 *,将提示您输入密码。

-q

将所有输出降低为标准输出(安静模式)。

Dsadd user的语法内容比较多大家可以参考自己的实际情况去跟相应的参数。

我这里比如要创建一批公司为BW 部门为财务 属于B组 密码为[email protected]的用户

那么我们可以输入

Dsadd user “cn=1,ou=test,dc=china,dc=ds” ?company bw ?dept 财务 ?memberof “cn=b,ou=test,dc=china,dc=ds” ?pwd [email protected]

把这个语句在记事本中复制多条修改CN信息并保存为以BAT为后缀的批处理文件执行,OK。

2-csvde批量导入导出用户

使用 CSVDE 命令行工具,管理员可以轻松的批量导入和导出用户,大大提高创建用户的效率。

导出/导入命令举例:

3-LDIFDE批量导入导出用户

使用 LDIFDE 命令行工具,管理员可以轻松的批量导入和导出用户,大大提高创建用户的效率。

举例:

导入

命令完成后,帐户默认都是disable,必须手动enable下.

4-dsquery和dsmod批量修改用户属性

管理员可以通过 dsquery 和 dsmod 两个命令行的工具来批量启用用户帐户,并且批量重置密码等操作

4-Group operation

组的作用域: 可以定义组的成员来自于哪里

本地域:成员可以是本域用户和计算机对象,也可以是森林中所有对象,也可以是信任林中的对象

全局:当前域中的对象

通用:当前域中的对象,也可以是林中其他域的对象

管理组的命令有:dsadd group , dsget group ,dsmod group

Dsadd [dsget] [dsmod] group /? 可以查看具体命令

导入导出组的命令有:csvde /ldifde

Ldifde导入

5-命令加入域

使用 Windows PowerShell 命令,同样可以将计算机加入到域中,还可以设置更为丰富的信息,比如将计算机加入到指定的 OU,而不是默认的 Computers 容器中。

6-设置用户加域配额

默认情况下,普通域用户能够添加10台计算机到域中,作为安全设置,管理员可以将配额设置为0,不允许普通用户将计算机加入到域中

7-预先创建计算机帐号

管理员预先在活动目录中创建计算机帐号,那么可以选择任意的OU,同时,也可以指定特定的用户或者组有权限将计算机加入到域,提高安全性。

8-重定向默认容器

默认情况下,计算机加入域中,它的帐号将放置在 Computers 容器当中,管理员可以使用 redircmp 这个工具来重定向默认容器

9-离线加入域

在第二步的时候,client一定要去copy第一步生成的文件,文本格式可以为txt

10-批量导入|导出|管理计算机帐号

11-发布共享

管理员可以集中的在活动目录当中发布文件共享,打印机共享,统一管理,同时客户端也能够轻松地搜索到所需要的共享资源

12-密码策略

在 Windows Server 2008 R2 的域中,管理员可以依据不同的用户或者组,设置不同的密码策略,增强安全性的同时,也提供管理的灵活性

13-禁用域服务

管理员不需要进入域的还原模式,就可以禁用域服务,这样管理员就可以在不重启的状态下来对域服务器进行维护,比如去更新补丁,修改系统设置,完成操作之后,重启域服务,以最快的速度恢复服务

这里需要主意的地方:千万不要让当前的帐户锁定掉,不然没办法登入,所以只能用还原模式的管理员和密码才可以登入

14-迁移FSMO角色

活动目录域环境中,运行着五个 FSMO 的角色,管理员可以依据需求,灵活地在不同的服务器之间迁移它们

通过命令行也可以操作:ntdsutil

15-修改目录还原密码

在目录还原模式当中,管理器可以对于域服务器进行离线维护,在将服务器提升为域服务器的时候,管理员可以设置目录还原模式的密码,同时管理员也可以使用ntdsutil工具来修改此密码

接下来就是让你输2次password了

16-升级域

管理员在升级域的时候,需要使用 adprep 这个命令行的工具,用它来扩展架构,扩展域

环境:dc1为windows 2003, dc2 为windows 2008, 角色:成员服务器

在Dc1上先决条件操作

先把 windows 2008光盘里的support\adprep的文件夹复制出来.

1:adprep32.exe /forestprep

2:adprep32.exe /domainprep (前提:提升windows 2003纯模式)

3:adprep32.exe /domainprep /gpprep

4:adprep32.exe /rodcprep (如果有RODC的话,必须执行这条命令)

Dc2 上操作:

Dcpromo 提升为域控

17-快照管理

活动目录的快照功能,能够简化管理员在还原活动目录数据时的操作,因为它提供了一种机制,允许管理员在恢复之前,预先查看快照当中的数据

Ntdsutil命令

   

18-备份数据库

活动目录的数据是非常重要的,使用 Windows Server backup 的功能,可以轻松的备份和还原活动目录当中的数据

添加项的时候,选择系统状态

Webadmin 命令来进行备份

19-创建站点的意义

活动目录当中的站点,能够优化域服务器之间的数据复制,同时也能够优化客户端的登录,做为最佳实践,建议在每个站点部署域服务器,同时使用活动目录站点和服务管理工具,轻松地管理和创建站点

20-站点复制

活动目录是一个多主机的架构,服务器之间的数据同步,是通过复制这一种机制来完成的,管理员可以在活动目录站点和服务管理工具中查看和配置复制。默认由KCC自动创建。

站点内复制:是没有压缩的复制,15s周期

站点间复制:由root bridge head服务器去复制压缩内容

用命令查看复制的状态:

21-AD回收站

使用活动目录回收站功能,管理员可以非常轻松地还原误删除的对象,就像在 windows 回收站中恢复误删除的文件一样简单高效。

前提条件:林功能级别和域功能级别必须是windows2008以上

启用命令:

还原命令:

22-授权和非授权还原

管理员可以通过目录还原模式,将备份的活动目录数据进行还原,非授权还原后,将从网络中其它域服务器复制同步,而授权还原后,网络中其它域服务器将从此服务器复制同步。

非授权还原:如果其他DC有最新的更改,就会复制到这台通过windows server backup还原的DC上

授权还原:执行了非授权还原后,我们可以指定特定的对象,把这些对象复制给其他DC

最后重启DC

23-信任关系

在一个森林当中,域之间的信任关系有三个特点:自动创建,双向信任,可传递,而对于不同森林之间,信任关系需要手工创建

前提准备2个林可以相互DNS解析

下一步 - 输入信任名称

双向信任

输入信任密码(信任密码双方必须是一样的) 先不传出传入信任 下一步直到完成

但在另一林上做的时候就必须要验证传出传入信任

时间: 2024-10-08 02:00:11

系列23-Operation AD Skills的相关文章

《Entity Framework 6 Recipes》中文翻译系列 (23) -----第五章 加载实体和导航属性之预先加载与Find()方法

翻译的初衷以及为什么选择<Entity Framework 6 Recipes>来学习,请看本系列开篇 5-2  预先加载关联实体 问题 你想在一次数据交互中加载一个实体和与它相关联实体. 解决方案 假设你有如图5-2所示的模型. 图5-2 包含Customer和与它相关联信息的实体 和5-1节一样,在模型中,有一个Customer实体,一个与它关联的CustomerType和多个与它关联的CustomerEamil.它与CustomerType的关系是一对多关系,这是一个实体引用(译注:Cu

Android学习系列(23)--App主界面实现

在上篇文章<Android学习系列(22)--App主界面比较>中我们浅略的分析了几个主界面布局,选了一个最大众化的经典布局.今天我们就这个经典布局,用代码具体的实现它. 1.预览图先看下最终的界面设计图:    上面顶部是一个9patch背景图片+标题文字:下面底部是5个tab标签,表示应用的5大模块.中间内容部分则是各个模块的具体内容,可以再分类,或者直接显示内容. 2.准备素材按照上篇文章的界面,我们需要事先提供两大方面的素材:顶部+底部.顶部的素材非常简单,最重要的是背景(9patch

Skype For Business 2015综合部署系列二:AD域部署等Skype 安装先决条件

本篇博文进入Skype for business 2015 综合部署系列的第二部分:配置AD域环境.安装Ca证书.配置自动申请证书策略 .创建文件共享 ,添加Skype DNS相关记录 . AD域环境部署 进入server 服务器系统,配置网络IP(因它既是第一个域控,也是DNS服务器,因此DNS配置指向它自己),如下图所示: 验证计算机名称及Ip地址 打开服务器管理器,添加角色"Active Directory域服务" 确认角色无误,点击下一步安装 点击"将此服务器提升为域

08-看图理解数据结构与算法系列(2-3树)

2-3树 2-3树,是最简单的B-树,其中2.3主要体现在每个非叶子节点都有2个或3个子节点,B-树即是平衡树,平衡树是为了解决不平衡树查询效率问题,常见的二叉平衡书有AVL树,它虽然提高了查询效率,但是插入操作效率不高,因为它需要再每次插入节点后维护树的平衡,而为了解决查询效率同时有兼顾插入效率,于是提出了2-3树. 2-3树特点 2-3树是一棵平衡树,但不是二叉平衡树. 对于高度相同的2-3树和二叉树,2-3树的节点数要大于满二叉树,因为有些节点可能有三个子节点. 2-3树可以是一棵空树.

夯实Java基础系列23:一文读懂继承、封装、多态的底层实现原理

本系列文章将整理到我在GitHub上的<Java面试指南>仓库,更多精彩内容请到我的仓库里查看 https://github.com/h2pl/Java-Tutorial 喜欢的话麻烦点下Star哈 文章首发于我的个人博客: www.how2playlife.com 从JVM结构开始谈多态 Java 对于方法调用动态绑定的实现主要依赖于方法表,但通过类引用调用和接口引用调用的实现则有所不同.总体而言,当某个方法被调用时,JVM 首先要查找相应的常量池,得到方法的符号引用,并查找调用类的方法表以

小酌重构系列[23]&mdash;&mdash;封装条件

概述 当条件判断语句较为复杂时(有多个不同的检查项),就像下面这幅图所表示的,会使得代码的可读性会大打折扣,也难以清晰地传达判断意图. 再者,当判断逻辑变更时,我们不得不去修改if语句里面的判断代码.如果判断写得有问题,则会影响方法的正确性,也会给该方法的单元测试带来一些障碍. 我们可以根据检查项是否需要参数来封装条件,如果检查项不需要参数,则可以将其提取为属性:如果需要参数,则将其提取为方法.本文要讲的重构策略"封装条件"是基于"提取方法"这个重构策略的. 示例

Bootstrap系列 -- 23. 图片

图像在网页制作中也是常要用到的元素,在Bootstrap框架中对于图像的样式风格提供以下几种风格: 1.img-responsive:响应式图片,主要针对于响应式设计 2.img-rounded:圆角图片 3.img-circle:圆形图片 4.img-thumbnail:缩略图片 <div class="container"> <div class="row"> <div class="col-sm-4">

小酌重构系列[23]——封装条件

当条件判断语句较为复杂时(有多个不同的检查项),就像下面这幅图所表示的,会使得代码的可读性会大打折扣,也难以清晰地传达判断意图. 再者,当判断逻辑变更时,我们不得不去修改if语句里面的判断代码.如果判断写得有问题,则会影响方法的正确性,也会给该方法的单元测试带来一些障碍. 我们可以根据检查项是否需要参数来封装条件,如果检查项不需要参数,则可以将其提取为属性:如果需要参数,则将其提取为方法.本文要讲的重构策略“封装条件”是基于“提取方法”这个重构策略的. 示例 重构前 这个示例中,PerformC

[Android学习系列23]关于应用的版本升级的一些事

Android应用的自动升级.更新模块的实现 http://blog.csdn.net/xjanker2/article/details/6303937 http://www.duobei.com/course/1067640645 Android常用开放接口的原理及使用方法 http://www.duobei.com/course/9303137085