Die meisten Administratoren arbeiten über die Management Konsole zum anlegen, bearbeiten oder löschen von Benutzern, Gruppen oder Objekten. Dies ist sehr komfortabel. Jedoch das anlegen (oder ändern von Benutzerdaten) von mehreren (vielen) Benutzer über die Management Konsole ist nicht zu empfehlen. Sicherlich gibt es diverse Programme wie ADModify oder LDIFDE zum bearbeiten mehrere Objekte. Doch dies geht auch über die CMD. Mit der Einführung des Windows 2003 Server stehen uns die DS-Befehle zur Verfügung.
DSAdd – Hinzufügen von Objekten ins AD
DSQuery – AD-Abfrage nach bestimmten Objekten
DSMod – Vorhandende Objekte ändern
DSGet – Bestimme Eigenschaften von Objekten anzeigen
DSMove – Bewegen von Objekten
DSrm – Löschen von Objekten
Beispiele:
User in eine OU hinzufügen. Angabe von Vorname, Nachename, Webseite und pricipal Name
>dsadd user “CN=user1,OU=testou,DC=r33net,DC=local” -samid user1 -fn Vorname -ln Nachname -webpg www.r33net.de -pwd mypass -upn user1@r33net.local -pwdneverexpires yes
Geben Sie bei einigen Benutzerkonten folgendes an:
Das Passwort läuft niemals ab
>dsmod user “CN=user1,OU=testou,DC=r33net,DC=local” -pwdneverexpires yes
Das Konto läuft in 9 Tagen ab
>dsmod user “CN=user1,OU=testou,DC=r33net,DC=local” -acctexpires 9
Benutzer kann das Passwort nicht ändern
>dsmod user “CN=user1,OU=testou,DC=r33net,DC=local” -canchpwd no
Benutzer muss Passwort bei nächster Anmeldung ändern
>dsmod user “CN=user1,OU=testou,DC=r33net,DC=local” -mustchpwd yes
Deaktivieren von Benutzerkonten.
>dsmod user “CN=user1,OU=testou,DC=r33net,DC=local” -disabled yes
Das schöne an der Sache ist, dass wir mit dsquery Objekte suchen können und die Ergebnisse dann an einen weiteren Befehl z.B. dsmod übergeben können. Das erfolgt mit der eingabe einer “Pipe=|”
Lassen wir uns mit einem Befehl die Benutzerkonten anzeigen:
die einen Buchstaben “a” im Namen haben.
>dsquery user -name “a*”
bei denen das Passwort abläuft.
>dsquery user “OU=testou,DC=r33net,DC=local” | dsget user -pwdneverexpires -samid
bei denen die Benutzer das Passwort “bei der nächsten Anmeldung ändern” müssen
>dsquery user “OU=testou,DC=r33net,DC=local” | dsget user -mustchpwd -samid
die deaktiviert sind
>dsquery user “OU=testou,DC=r33net,DC=local” | dsget user -disabled -samid
bei denen das Konto abläuft
>dsquery user “OU=testou,DC=r33net,DC=local” | dsget user -acctexpires -samid
bei denen das Passwort mindestens 1 Tag lang nicht geändert wurde.
>dsquery user -stalepwd 1
Lassen Sie sich von einem Benutzerkonto die Gruppen anzeigen, in denen es Mitglied ist.
>dsquery user -name user1 | dsget user -memberof
Hier noch ein paar nützliche Befhele
Alle Benutzerkonten, die deaktiviert sind aktivieren
>dsquery user -name * -disabled | dsmod user -disabled no
Wenn die user in einer bestimmten OU aktiviert werden sollen dann folgenden syntax:
>dsquery user “OU=testou,DC=r33net,DC=local” -disabled | dsmod user -disabled no
Alle Benutzerprofile per dsmod ändern (Wobei jedes Benutzerprofil einen eigenen Ordner besitzt)
>dsquery user -name * | dsmod user -profile \\s1.r33net.local\profile\$username$
Profilpfad der user in einer bestimmten OU
>dsquery user “OU=testou,DC=r33net,DC=local” | dsmod user -profile \\s1.r33net.local\profile\$username$
Natürlich gibt es noch mehrere Einsatzmöglichkeiten. Weiter Infos findet Ihr hier