场景
在桌面环境中,AD长作为统一管理和认真的工具,因此对AD的维护和管理就非常重要,本文此处整理记录下AD操作指令
操作
1)AD组策略验证和更新:gpupdate /force
2)AD组策略更新失败检查:gpresult /H Gpreport.html
3) AD诊断:dcdiag ##分析在林或企业中DC的状态;报告任何错误<含DNS配置
复制诊断工具:repadmin /showrepl ##诊断域间复制问题
4)查看fsmo角色:netdom query fsmo
5)AD管理工具:ntdsutil ##可更改ad还原模式密码,删除已废除的ad的信息,转移ad角色。
6)AD复制监视器:replmon.exe ##以图像方式显示复制拓扑,监视复制状态,强迫在DC间立即同步
7)AD资源权限查询确认,使用ACL诊断工具:acldiag.exe
利用该工具确定用户对AD资源是什么权限;也可重置ACL为默认状态
dsacls.exe ##查看或修改目录对象的ACL
8)AD操作:ldp.exe ##允许LDAP操作,如:连、绑、改、添、删,to be performed against AD
9)AD对象管理:movetree.exe ##移动AD对象,如:在单个林中的DC间OU和用户来完成域合并或组织架构重组
10)域信任关系管理:netdom.exe
11)Pdc列表:nltest.exe
12)检查安全标识符:sdcheck.exe ##显示任何AD对象的安全标识符
13)AD查找:search.vbs ##执行依赖于LDAP服务器的查找AD中的信息
14)setspn.exe ##读、改、删一个AD服务帐户的SPN目录属性
15)在目录中查找与指定搜索条件匹配的对象:dsquery
获得特定对象的属性,使用 dsget 命令;
注意:查询模式中,你提供的值包含空格,请在文本两边使用引号;
eg:“CN=bruce li,CN=Users,DC=microsoft,DC=com”。多个值,这些值必须用空格隔开
eg1:dsquery user -name 用户名 ##通过姓名查询关键用户
eg2:dsquery user -name 用户名 -o samid ##通过姓名查询输出 SAMID(SAM Account,Name SAM 账户名)
eg3:dsquery user -name 用户名 -o dn ##通过姓名查询输出 DN(Distinguished Name,区分名/目录条目的名字)
eg4:dsquery user -samid 查询出的samid -o rdn ##过 SAMID 查询输出 RDN(Relative Distinguished Name,可分辨名称)
eg5:dsquery user -desc test ##通过查询符合关键字为 test 描述字段的用户
eg6:dsquery user -stalepwd 200 ##查询最近 200 天没有修改密码的用户
eg7:dsquery user -disabled ##查询已禁用的用户
16)重置用户密码:
dsmod user “CN=何逸轩,OU=朝阳,OU=北京,OU=华北分部,OU=中国总部,OU=hexingxing,DC=hxx,DC=com” -pwd A1b2C3d4 -mustchpwd yes
17)显示指定域组成员名单:
Get-ADGroupMember -Identity “中国总部_上海研发组” -Recursive | Get-ADUser -Properties Mail | Select-Object Name,Mail
18)获取组成员详细信息:Get-ADGroupMember -Identity “中国总部所有人员”
19)Search-ADAccount -PasswordNeverExpires ##搜索密码永不过期的账号
20)Search-ADAccount -AccountDisabled ##查询已禁用的 AD 账号、计算机、服务账号
21)Search-ADAccount -AccountDisabled -UsersOnly ##仅搜索已禁用的 AD 账户
Search-ADAccount -AccountDisabled -ComputersOnly ##仅搜索已禁用的计算机账号
Search-ADAccount -AccountExpired ##搜索已过期的 AD 账号、计算机、服务账号
