站内搜索
分类列表
本类阅读排行
本类推荐文章
广告
用于管理活动目录的11个基本工具
作者: 来源: 点击: 日期:2007-11-10 10:54:39
Subtree(默认方式)查询指定的 StartNode 及其所有子对象;onelevel 仅查询 StartNode 的直接子项;base 仅查询 StartNode 对象。
为了更好地理解搜索范围,假定有一个 OU,其中包含用户对象和一个子 OU,该子 OU 自身又包含其他对象。使用 subtree 范围将查询该 OU、包含在该 OU 内的所有用户对象和子 OU 及其内容。onelevel 范围仅查询包含在 OU 中的用户而不查询子 OU 及其内容。base 查询仅搜索 OU 本身而不查询其中包含的任何对象。
最后,您可以使用 Output Format 控制如何设置 dsquery 的结果的格式。默认情况下,dsquery 将返回与查询相匹配的所有对象的可分辨名称,如下所示:
"cn=afuller,ou=Training,dc=contoso,dc=com""cn=rking,ou=ITTraining,ou=Training,dc=contoso,dc=com"
要查询 IT OU 和任意子 OU 中包含的所有用户对象,请使用以下命令:
dsquery user ou=IT,dc=contoso,dc=com
您可以通过添加其他开关进一步细化此查询,如 -disabled(仅返回已禁用的用户帐户)、-inactive x(仅返回在过去 x 周或更久未登录的用户)或 -stalepwd x(仅返回在 x 天内或更久未更改其密码的用户)。
依据目录中对象的数目,在运行查询时您可能需要指定 -limit x 开关。默认情况下,dsquery 将会返回多达 100 个与查询细节相匹配的对象。您可以指定更大的数目(如 -limit 500),或使用 -limit 0 指示 dsquery 返回所有匹配对象。
也可以使用其他子菜单执行对其他对象类型的有用查询。考虑以下查询,此查询将返回在 Active Directory 站点和服务中定义的位于 10.1.x.x 地址空间中的每个子网:
dsquery subnet –name 10.1.*
或使用以下命令返回位于 Corp 站点中的每个子网:
dsquery subnet –site Corp
使用另一个子菜单,您可以很快确定林中配置为全局编录服务器的域控制器的数量:
dsquery server –forest –isgc
您还可以使用此语法帮助确定域中哪个域控制器承载主域控制器 (PDC) 模拟器灵活单主机操作 (FSMO) 角色:
dsquery server –hasfsmo pdc
与其他包含子菜单的 ds* 命令一样,您可以转到命令提示符并键入 dsquery user /?、dsquery computer /?、dsquery subnet /? 等查看特定 dsquery 子菜单中可用的所有开关。
另一个灵活的技巧是使用管道字符(在美式键盘上按下 shift 的同时按反斜杠即可)将 dsquery 的输出通过管道传送到其他工具(如 dsmod)中。例如,假设您的公司已将 Training 部门重命名为 Internal Development,现在您必须将每位相关用户的说明字段从旧部门名称更改为新名称。在单一命令行上,您可以查询具有 Training 的说明字段的用户对象,然后批量修改该说明字段,如下所示:
dsquery user –description "Training" dsmod -description "Internal Development"
一些第三方产品
由于 Active Directory 基于 LDAP 标准,您可以使用任何支持 LDAP 的工具对其进行查询和修改。许多第三方供应商已发布了收费的工具,帮助您管理 Active Directory,但有时您会发现为社区免费提供的极具价值的工具。目录服务 MVP Joe Richards 创建的集合就是这种情况,可以从 joeware.net/freetools 下载。在那里您将会发现大量具有不同功能的工具。我反复使用的有 adfind、admod 和 oldcmp 这三种工具。
Adfind 和 Admod
Adfind 和 admod 类似于 dsquery 和 dsmod;adfind 是 Active Directory 的命令行查询工具,admod 能够创建、删除或修改一个或多个 Active Directory 对象。
与具有多个子菜单并且开关依据对象类型而异的 ds* 工具不同,adfind 和 admod 具有一致的语法,与要尝试执行的查询或修改类型无关。adfind 的基本语法为:
adfind –b -s -f attributesDesired
所以对域中所有计算机对象的 DN 和说明的查询应为:
adfind –b dc=contoso,dc=com –s subtree –f (objectclass=computer) dn description
对所有用户对象的查询如下所示:
adfind –b dc=contoso,dc=com –s subtree –f "(&(objectcategory=person) (objectclass=user))" dn description
注意,除了 LDAP 查询的内容外,语法没有任何更改。
为了更好地理解搜索范围,假定有一个 OU,其中包含用户对象和一个子 OU,该子 OU 自身又包含其他对象。使用 subtree 范围将查询该 OU、包含在该 OU 内的所有用户对象和子 OU 及其内容。onelevel 范围仅查询包含在 OU 中的用户而不查询子 OU 及其内容。base 查询仅搜索 OU 本身而不查询其中包含的任何对象。
最后,您可以使用 Output Format 控制如何设置 dsquery 的结果的格式。默认情况下,dsquery 将返回与查询相匹配的所有对象的可分辨名称,如下所示:
"cn=afuller,ou=Training,dc=contoso,dc=com""cn=rking,ou=ITTraining,ou=Training,dc=contoso,dc=com"
要查询 IT OU 和任意子 OU 中包含的所有用户对象,请使用以下命令:
dsquery user ou=IT,dc=contoso,dc=com
您可以通过添加其他开关进一步细化此查询,如 -disabled(仅返回已禁用的用户帐户)、-inactive x(仅返回在过去 x 周或更久未登录的用户)或 -stalepwd x(仅返回在 x 天内或更久未更改其密码的用户)。
依据目录中对象的数目,在运行查询时您可能需要指定 -limit x 开关。默认情况下,dsquery 将会返回多达 100 个与查询细节相匹配的对象。您可以指定更大的数目(如 -limit 500),或使用 -limit 0 指示 dsquery 返回所有匹配对象。
也可以使用其他子菜单执行对其他对象类型的有用查询。考虑以下查询,此查询将返回在 Active Directory 站点和服务中定义的位于 10.1.x.x 地址空间中的每个子网:
dsquery subnet –name 10.1.*
或使用以下命令返回位于 Corp 站点中的每个子网:
dsquery subnet –site Corp
使用另一个子菜单,您可以很快确定林中配置为全局编录服务器的域控制器的数量:
dsquery server –forest –isgc
您还可以使用此语法帮助确定域中哪个域控制器承载主域控制器 (PDC) 模拟器灵活单主机操作 (FSMO) 角色:
dsquery server –hasfsmo pdc
与其他包含子菜单的 ds* 命令一样,您可以转到命令提示符并键入 dsquery user /?、dsquery computer /?、dsquery subnet /? 等查看特定 dsquery 子菜单中可用的所有开关。
另一个灵活的技巧是使用管道字符(在美式键盘上按下 shift 的同时按反斜杠即可)将 dsquery 的输出通过管道传送到其他工具(如 dsmod)中。例如,假设您的公司已将 Training 部门重命名为 Internal Development,现在您必须将每位相关用户的说明字段从旧部门名称更改为新名称。在单一命令行上,您可以查询具有 Training 的说明字段的用户对象,然后批量修改该说明字段,如下所示:
dsquery user –description "Training" dsmod -description "Internal Development"
一些第三方产品
由于 Active Directory 基于 LDAP 标准,您可以使用任何支持 LDAP 的工具对其进行查询和修改。许多第三方供应商已发布了收费的工具,帮助您管理 Active Directory,但有时您会发现为社区免费提供的极具价值的工具。目录服务 MVP Joe Richards 创建的集合就是这种情况,可以从 joeware.net/freetools 下载。在那里您将会发现大量具有不同功能的工具。我反复使用的有 adfind、admod 和 oldcmp 这三种工具。
Adfind 和 Admod
Adfind 和 admod 类似于 dsquery 和 dsmod;adfind 是 Active Directory 的命令行查询工具,admod 能够创建、删除或修改一个或多个 Active Directory 对象。
与具有多个子菜单并且开关依据对象类型而异的 ds* 工具不同,adfind 和 admod 具有一致的语法,与要尝试执行的查询或修改类型无关。adfind 的基本语法为:
adfind –b -s -f attributesDesired
所以对域中所有计算机对象的 DN 和说明的查询应为:
adfind –b dc=contoso,dc=com –s subtree –f (objectclass=computer) dn description
对所有用户对象的查询如下所示:
adfind –b dc=contoso,dc=com –s subtree –f "(&(objectcategory=person) (objectclass=user))" dn description
注意,除了 LDAP 查询的内容外,语法没有任何更改。
用于管理活动目录的11个基本工具 评论