場景
在桌面環境中,AD長作爲統一管理和認真的工具,因此對AD的維護和管理就非常重要,本文此處整理記錄下AD操作指令
操作
1)AD組策略驗證和更新:gpupdate /force
2)AD組策略更新失敗檢查:gpresult /H Gpreport.html
3) AD診斷:dcdiag ##分析在林或企業中DC的狀態;報告任何錯誤<含DNS配置
複製診斷工具:repadmin /showrepl ##診斷域間複製問題
4)查看fsmo角色:netdom query fsmo
5)AD管理工具:ntdsutil ##可更改ad還原模式密碼,刪除已廢除的ad的信息,轉移ad角色。
6)AD複製監視器:replmon.exe ##以圖像方式顯示覆制拓撲,監視複製狀態,強迫在DC間立即同步
7)AD資源權限查詢確認,使用ACL診斷工具:acldiag.exe
利用該工具確定用戶對AD資源是什麼權限;也可重置ACL爲默認狀態
dsacls.exe ##查看或修改目錄對象的ACL
8)AD操作:ldp.exe ##允許LDAP操作,如:連、綁、改、添、刪,to be performed against AD
9)AD對象管理:movetree.exe ##移動AD對象,如:在單個林中的DC間OU和用戶來完成域合併或組織架構重組
10)域信任關係管理:netdom.exe
11)Pdc列表:nltest.exe
12)檢查安全標識符:sdcheck.exe ##顯示任何AD對象的安全標識符
13)AD查找:search.vbs ##執行依賴於LDAP服務器的查找AD中的信息
14)setspn.exe ##讀、改、刪一個AD服務帳戶的SPN目錄屬性
15)在目錄中查找與指定搜索條件匹配的對象:dsquery
獲得特定對象的屬性,使用 dsget 命令;
注意:查詢模式中,你提供的值包含空格,請在文本兩邊使用引號;
eg:“CN=bruce li,CN=Users,DC=microsoft,DC=com”。多個值,這些值必須用空格隔開
eg1:dsquery user -name 用戶名 ##通過姓名查詢關鍵用戶
eg2:dsquery user -name 用戶名 -o samid ##通過姓名查詢輸出 SAMID(SAM Account,Name SAM 賬戶名)
eg3:dsquery user -name 用戶名 -o dn ##通過姓名查詢輸出 DN(Distinguished Name,區分名/目錄條目的名字)
eg4:dsquery user -samid 查詢出的samid -o rdn ##過 SAMID 查詢輸出 RDN(Relative Distinguished Name,可分辨名稱)
eg5:dsquery user -desc test ##通過查詢符合關鍵字爲 test 描述字段的用戶
eg6:dsquery user -stalepwd 200 ##查詢最近 200 天沒有修改密碼的用戶
eg7:dsquery user -disabled ##查詢已禁用的用戶
16)重置用戶密碼:
dsmod user “CN=何逸軒,OU=朝陽,OU=北京,OU=華北分部,OU=中國總部,OU=hexingxing,DC=hxx,DC=com” -pwd A1b2C3d4 -mustchpwd yes
17)顯示指定域組成員名單:
Get-ADGroupMember -Identity “中國總部_上海研發組” -Recursive | Get-ADUser -Properties Mail | Select-Object Name,Mail
18)獲取組成員詳細信息:Get-ADGroupMember -Identity “中國總部所有人員”
19)Search-ADAccount -PasswordNeverExpires ##搜索密碼永不過期的賬號
20)Search-ADAccount -AccountDisabled ##查詢已禁用的 AD 賬號、計算機、服務賬號
21)Search-ADAccount -AccountDisabled -UsersOnly ##僅搜索已禁用的 AD 賬戶
Search-ADAccount -AccountDisabled -ComputersOnly ##僅搜索已禁用的計算機賬號
Search-ADAccount -AccountExpired ##搜索已過期的 AD 賬號、計算機、服務賬號