SERVER 2012R2

BenutzerverwaltungGruppenverwaltungKennwortrichtlinienOrganisationseinheitRechte & FreigabenAnmeldemethoden

Directory Service

In dem Artikel Organisationseinheiten habe ich Dir gezeigt, wie Organisationseinheiten, Benutzer und Gruppen in der grafischen Oberfläche angelegt werden.
Doch es geht auch anders!

Hier werde ich nun eine ganz andere Vorgehensweise darstellen, wie OU, Benutzer und Gruppen angelegt werden können. Diese Vorgehensweise erleichtert die Arbeit beim Anlegen bei einer Vielzahl von Objekten.
In der grafischen Oberfläche muss quasi alles einzeln von statten gehen. Active Directory lässt sich auch über die Eingabeaufforderung oder Administrator: Windows PowerShell bedienen.

Um diese Arbeit umzusetzen, stehen ein paar Befehlszeilen zur Verfügung, die man sich aneignen sollte.

Befehl dsadd

Mit dem Befehl dsadd ist es möglich Objekte in Active Directory anzulegen. Die bekanntesten und meist verwendeten Objekte sind Organisationseinheiten (OU), Benutzer (User) und Gruppen (Group).
In Verbindung mit weiteren Befehlen, gibt man an, welches Objekt angelegt werden soll.

  • dsadd ou: erstellt eine Organisationseinheit.
  • dsadd user: erstellt einen Benutzer.
  • dsadd group: erstellt eine Gruppe.

Wer schon mal über die grafische Oberfläche einen Benutzer angelegt hat, weiß wie viele Attribute für einen Benutzer zur Verfügung stehen.

Alle Editierfelder wie Kontrollkästchen, Optionsfelder und Eingabefelder sind Attribute eines Objekts, die über die PowerShell angesprochen und mit Werten belegt werden können.
siehe Homepage: SelfADSI: Attribute für AD User

Hier kannst Du die Attribute anhand der Registerkarten des Utilities Active Directory User and Computer durchsuchen.

Es ist auch möglich mehrere Befehle untereinander einzufügen. Hierbei ist darauf zu achten, dass die jeweiligen Angaben mit einer sog. Pipe ( | ) getrennt werden.

Beispiel

dsadd ou ... | dsadd ou ... | dsadd ou ...

dsadd user ... | dsadd user ... | dsadd user ...

dsadd group ... | dsadd group ... | dsadd group ...

Dazu empfehle ich den Text-Editor der als Bordmittel zur Verfügung steht, oder die Freeware Notepad++ Portable.

Bei Notepad genießt man die Syntax-Hervorhebung und weitere Vorteile, was gegenüber dem Text-Editor nicht möglich ist. Beim Erfassen von mehreren Datensätzen können beim Text-Editor schnell Fehler passieren.
Anschließend nach dem Erfassen einfach nur den Text kopieren (Strg + C), die Konsole Administrator: Windows PowerShell öffnen und die Befehle reinkopieren (Klick mit rechter Maustaste) und mit der Taste ENTER bestätigen.


OU anlegen (dsadd ou)

WinServ2012 AD Organisationseinheit
Die Organisationseinheit (OU)

Wichtige Punkte

  • Die Reihenfolge des Anlegens beachten:
    1. OU anlegen
    2. Benutzer anlegen
    3. Gruppe anlegen
    4. Benutzer den Gruppen zuordnen
  • Die ganze Notierung wird in eine Zeile geschrieben und enthält keinen Zeilenumbruch.
  • Enthält die Organisationseinheit-DN Leerzeichen, dann müssen die Einträge in einen Anführungszeichen stehen. Der Pfad wird zwischen den Kommas ohne Leerzeichen notiert.

    Die OU in der die neue OU mit dsadd ou angelegt wird, muss bereits vorhanden sein.

    dsadd ou "OU=OU-Deutschland-West,OU=OU-Aussendienst,OU=OU-Organisation,…"

Wichtige Bezeichnungen

... die zum Einsatz kommen, wenn eine neue Organisationseinheit angelegt wird

  • dsadd ou <Organisationseinheit-DN>: Anlegen einer Organisationseinheit.
  • OU (Organisationseinheit): Name der Organisationseinheit.
  • DC (Domain Component): Teile des Domänennamen.

Beispiel

Es soll in der Domäne DieDomaene.ag eine neue Organisationseinheit OU-Deutschland West zur bereits bestehenden Organisationseinheit Aussendienst anhand der Administrator: PowerShell angelegt werden.

dsadd ou "OU=OU-Deutschland-West,OU=OU-Aussendienst,OU=OU-Organisation",DC=DieDomaene,DC=ag"

Erklärung

  1. Mit dem DN-Namen dsadd ou den Pfad angegeben in der die OU erzeugt werden soll.
  2. OU=Der Name der neuen Organisationseinheit
  3. OU= Die Organisationseinheit in der die OU erstellt werden soll.
  4. DC= Aufteilung des Domänennamen.
Ausnahme gibt es bei manchen Ordnern, wie Buildin, Computers und Users.
Hier wird dann folgende Befehlszeile geschrieben.
… "CN=Objektname,CN=Users,DC=DieDomaene,DC=ag"
und nicht
… "CN=Objektname,DC=Users,DC=DieDomaene,DC=ag"

Syntax und Parameter dsadd ou

Über die Administrator: Windows PowerShell lassen sich die Syntax und Parameter aufrufen.

  1. Öffne die Administrator: PowerShell.
  2. Gebe den Befehl dsadd ou /? ein, um sich die Syntax und Parameter anzeigen zu lassen.
    (Auszug aus der Administrator: Powershell)

Syntax:dsadd ou <Organisationseinheit-DN> [-desc <Beschreibung>]
[{-s <Server> : -d <Domäne>}] [-u <Benutzername>]
[-p {<Kennwort> : *}] [-q] [{-uc : -uco : -uci}]

Parameter

Wert Beschreibung
<Organisationseinheit-DN>

Erforderlich. Bestimmt den definierten Namen der
hinzuzufügenden Organisationseinheit.
Bei Auslassung des Zielobjekts wird die Standardeingabe (stdin) verwendet.
-desc <Beschreibung> Setzt die Beschreibung auf <Beschreibung>.
{-s <Server> | -d <Domäne>}

-s <Server> stellt eine Verbindung mit dem Active Directory-Domänencontroller/der LDS-Instanz mit dem Namen <Server> her.
-d <Domäne> stellt eine Verbindung mit dem Active Directory-Domänencontroller in Domäne <Domäne> her. Standard: ein Active Directory-Domänencontroller in der Anmeldedomäne.
-u <Benutzername>

Stellt die Verbindung unter <Benutzername> her.
Standard: der angemeldete Benutzer. Gültige Benutzernamen: Benutzername, Domäne\Benutzername oder Benutzerprinzipalname (UPN).
-p {<Kennwort> | *}

Kennwort für den Benutzer <Benutzername>. * fordert zur Kennworteingabe auf.
-q

Stiller Modus: Unterdrückt sämtliche Ausgaben und zeigt nur die Standardausgabe an.
{-uc | -uco | -uci}

-uc Legt fest, dass Eingabe von und Ausgabe an Pipe im Unicode-Format angezeigt werden.
-uco Legt fest, dass Ausgabe an Pipe oder in Datei im Unicode-Format angezeigt wird.
-uci Legt fest, dass Eingabe von Pipe oder Datei im Unicode-Format angezeigt wird.

Weitere Information

Technet Microsoft: dsadd ou


Benutzerkonto anlegen (dsadd user)

WinServ2012 AD Organisationseinheit
Die Organisationseinheit (OU)

Wichtige Punkte

  • Die Reihenfolge des Anlegens beachten:
    1. OU anlegen (Muss bereits vorhanden sein)
    2. Benutzer anlegen
    3. Gruppe anlegen
    4. Benutzer den Gruppen zuordnen
  • Die ganze Notierung wird in eine Zeile geschrieben und enthält keinen Zeilenumbruch.
  • Enthält der Benutzer-DN Leerzeichen, dann müssen die Einträge in einen Anführungszeichen stehen. Der Pfad wird zwischen den Kommas ohne Leerzeichen notiert.

    dsadd user "CN=Norbert Kreidt,OU=OU-Forschung,OU=OU-Organisation,…"
  • Ebenso wird auch ein Attribut (mit Leerzeichen) in Anführungszeichen gesetzt.
    z.B. -display "Norbert Kreidt"

    Die OU in der dsadd user angelegt wird, muss bereits vorhanden sein.

    dsadd user "CN=Norbert Kreidt,OU=OU-Forschung,OU=OU-Organisation,…"

Wichtige Bezeichnungen

... die zum Einsatz kommen, wenn ein neuer User angelegt wird

  • dsadd user <Benutzer-DN>: Anlegen eines Benutzerkontos.
    CN (common name): Der Name des Objekts das angelegt wird.
    OU (Organisationseinheit): Name der Organisationseinheit.
    DC (Domain Component): Teile des Domänennamen.
  • [-samid <SAM-Name>]: Der Benutzeranmeldename.
  • [-upn <UPN>] (Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)
  • [-fn <Vorname>]: (first Name)
  • [-ln <Nachname>]: (last Name)
  • [-display <Anzeigename>]
  • [-pwd {<Kennwort> : *}]

Beispiel

Es soll ein Benutzer Norbert Kreidt anhand der Administrator: PowerShell angelegt werden.

dsadd user "CN=Norbert Kreidt,OU=OU-Forschung,OU=OU-Organisation,DC=DieDomaene,DC=ag" -samid KreidtN -upn Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein. -fn Norbert -ln Kreidt -display "Norbert Kreidt" -pwd 1A2B3C

Erklärung

  1. Mit dem DN-Namen dsadd user wird der Pfad angegeben, wo der Benutzer erzeugt werden soll.
    CN= Name des neuen Benutzers.
    OU= Die Organisationseinheit, in der der Benutzer erstellt werden soll.
    DC= Aufteilung des Domänennamen.
  2. -samid KreidtN
    Der Name der bei der Anmeldung zur Domäne verwendet werden soll.
  3. -upn Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.
    Der Name setzt sich aus dem Anmeldenamen (-samid) und dem Benutzerprinzipalnamen-Suffix (UPN) zusammen.
  4. -fn Norbert -ln Kreidt
    firstname (dt.Vorname) und lastname (dt.Nachname)
  5. -display "Norbert Kreidt"
    Der Anzeigename.
  6. -pwd 1A2B3C
    Vergabe eines Passwort's. Wird dies nicht angegeben, wird das Konto deaktiviert angelegt.
Ausnahme gibt es bei manchen Ordnern, wie Buildin, Computers und Users.
Hier wird dann folgende Befehlszeile geschrieben.
… "CN=Objektname,CN=Users,DC=DieDomaene,DC=ag"
und nicht
… "CN=Objektname,DC=Users,DC=DieDomaene,DC=ag"

Syntax und Parameter dsadd user

Über die Administrator: Windows PowerShell lassen sich die Syntax und Parameter aufrufen.

  1. Öffne die Administrator: PowerShell.
  2. Gebe den Befehl dsadd user /? ein, um sich die Syntax und Parameter anzeigen zu lassen.
    (Auszug aus der Administrator: Powershell)

Syntax: dsadd user <Benutzer-DN> [-samid <SAM-Name>] [-upn <UPN>]
[-fn <Vorname>] [-mi <Initiale>] [-ln <Nachname>]
[-display <Anzeigename>] [-empid <Mitarbeiternr.>]
[-pwd {<Kennwort> | *}] [-desc <Beschreibung>] [-memberof <Gruppe ...>]
[-office <Büro>] [-tel <Rufnumner>] [-email <E-MAIL>]
[-hometel <privat>] [-pager <Pager>] [-mobile <Mobil>] [-fax <Fax>]
[-iptel <IP-Telefon>] [-webpg <Webseite>] [-title <Position>]
[-dept <Abteilung>] [-company <Firma>] [-mgr <Vorgesetzter>]
[-hmdir <Stammverzeichnis>] [-hmdrv <Laufwerkbuchstabe>]
[-profile <Profilpfad>] [-loscr <Skriptpfad>]
[-mustchpwd {yes | no}] [-canchpwd {yes | no}]
[-reversiblepwd {yes | no}] [-pwdneverexpires {yes | no}]
[-acctexpires <Taganzahl>] [-disabled {yes | no}]
[{-s <Server> | -d <Domäne>}] [-u <Benutzername>]
[-p {<Kennwort> | *}] [-q] [{-uc | -uco | -uci}]
[-fnp <VornamePhonetisch>] [-lnp <NachnamePhonetisch>]
[-displayp <AnzeigenamePhonetisch>]

Parameter

Wert Beschreibung
<Benutzer-DN>

Erforderlich. Definierter Name (DN) des
hinzuzufügenden Benutzers. Bei Auslassung des Zielobjekts wird die Standardeingabe (stdin) verwendet.
-samid <SAM-Name>

Setzt den SAM-Kontonamen des Benutzers auf
<SAM-Name>. Ohne Angabe wird versucht, einen SAM-Kontonamen mit den ersten 20 Zeichen des Werts für den allgemeinen Namen (CN) von <Benutzer-DN> zu erstellen.
-upn <UPN> Setzt den UPN-Wert auf <UPN>.
-fn <Vorname> Setzt den Vornamen des Benutzers auf <Vorname>.
-fnp <VornamePhonetisch>

Setzt den phonetischen Vornamen des Benutzers auf <VornamePhonetisch>.
-mi <Initiale> Setzt die Initiale des zweiten Vornamens auf <Initiale>.
-ln <Nachname> Setzt den Nachnamen des Benutzers auf <Nachname>.
-lnp <NachnamePhonetisch> Setzt den phonetischen Nachnamen des Benutzers auf NachnamePhonetisch>.
-display <Anzeigename> Setzt den Anzeigenamen auf <Anzeigename>.
-displayp <AnzeigenamePhonetisch> Setzt den phonetischen Anzeigenamen des Benutzers auf <AnzeigenamePhonetisch>.
-empid <Mitarbeiternr.> Setzt die Mitarbeiternummer des Benutzers auf
<Mitarbeiternr.>.
-pwd {<Kennwort> | *} Setzt das Benutzerkennwort auf <Kennwort>.
* fordert zur Kennworteingabe auf.
-desc <Beschreibung> Setzt die Benutzerbeschreibung auf <Beschreibung>.
-memberof <Gruppe …> Fügt den Benutzer mindestens einer Gruppe
<Gruppe …> als Mitglied hinzu.
-office <Büro> Setzt das Büro des Benutzers auf <Büro>.
-tel <Rufnummer> Setzt die Rufnummer <Rufnummer>.
-email <E-Mail> Setzt die E-Mail-Adresse auf <E-Mail>.
-hometel <privat> Setzt die private Rufnummer des Benutzers auf
<privat>.
-pager <Pager> Setzt die Pagernummer auf <Pager>.
-mobile <Mobil> Setzt die mobile Rufnummer auf <Mobil>.
-fax <Fax> Setzt die Faxnummer des Benutzers auf <Fax>.
-iptel <IP-Telefon> Setzt die IP-Rufnummer auf <IP-Telefon>.
-webpg <Webseite> Setzt die Webseiten-URL auf <Webseite>.
-title <Position> Setzt die Position des Benutzers auf <Position>.
-dept <Abteilung> Setzt die Benutzerabteilung auf <Abteilung>.
-Company <Firma> Setzt die Firma auf <Firma>.
-mgr <Vorgesetzter> Setzt den Vorgesetzten auf <Vorgesetzter> (DN-Format).
-hmdir <Stammverzeichnis> Setzt das Stammverzeichnis des Benutzers auf <Stammverzeichnis>. Bei einem UNC-Pfad muss auch ein Laufwerkbuchstabe, der diesem Pfad zugeordnet wird, mit -hmdrv angegeben werden.
-hmdrv <Laufwerkbuchstabe:> Setzt den Stamm-Laufwerkbuchstaben auf <Laufwerkbuchstabe:>
-profile <Profilpfad> Setzt den Profilpfad auf <Profilpfad>.
-loser <Skriptpfad> Setzt den Anmeldeskriptpfad des Benutzers auf <Skriptpfad>.
-mustchpwd {yes | no} Legt fest, ob der Benutzer das Kennwort bei der
nächsten Anmeldung ändern muss. Standard: no.
-canchpwd {yes | no} Legt fest, ob der Benutzer das Kennwort ändern kann.
Diese Option sollte nicht "yes" sein, falls -mustchpwd "yes" ist. Standard: yes.
-reversiblepwd {yes | no} Legt fest, ob das Kennwort mit umkehrbarer Verschlüsselung gespeichert wird. Standard: no.
-pwdneverexpires {yes | no} Legt fest, ob das Benutzerkennwort ablaufen kann. Standard: no.
-acctexpires <Taganzahl> Lässt das Benutzerkonto in <Taganzahl> Tagen ablaufen.
Ein Wert von 0 bedeutet, dass das Konto am Ende des heutigen Tages abläuft;
Ein positiver Wert bedeutet, dass das Kennwort in der Zukunft abläuft;
Ein negativer Wert bedeutet, dass das Konto bereits abgelaufen ist und setzt das Ablaufsdatum in die Vergangenheit;
Die Zeichenfolge "never" bedeutet, dass das Konto niemals abläuft.
-disabled {yes | no} Legt fest, ob das Benutzerkonto deaktiviert ist. Standard: no.
{-s <Server> | -d <Domäne>} -s <Server> stellt eine Verbindung mit dem Active Directory-Domänencontroller/der LDS-Instanz mit dem Namen <Server> her.
-d <Domäne> stellt eine Verbindung mit dem Active Directory-Domänencontroller in der Domäne <Domäne> her.
Standard: ein Active Directory-Domänencontroller in der Anmeldedomäne.
-u <Benutzername> Stellt die Verbindung unter <Benutzername> her.
Standard: der angemeldete Benutzer.
Gültige Benutzernamenformate: Benutzername, Domäne\Benutzer oder VPN (User Principal Name).
-p {<Kennwort> | *} Kennwort des Benutzers <Benutzername>. * fordert zur
Kennworteingabe auf.
-q Stiller Modus: Unterdrückt sämtliche Ausgaben und zeigt nur die Standardausgabe an.
{-uc | -uco | -uci> -uc Legt fest, dass Eingabe von und Ausgabe an Pipe im Unicode-Format angezeigt werden.
-uco Legt fest, dass Ausgabe an Pipe oder in Datei im Unicode-Format angezeigt wird.
-uci Legt fest, dass Eingabe von Pipe oder Datei im Unicode-Format angezeigt wird.

Weitere Information

Technet Microsoft: dsadd user


Gruppenkonto anlegen (dsadd group)

WinServ2012 AD Organisationseinheit
Die Organisationseinheit (OU)

Wichtige Punkte

  • Die Reihenfolge des Anlegens beachten:
    1. OU anlegen (Muss bereits vorhanden sein)
    2. Benutzer anlegen (Muss bereits vorhanden sein)
    3. Gruppe anlegen
    4. Benutzer den Gruppen zuordnen
  • Die ganze Notierung wird in eine Zeile geschrieben und enthält keinen Zeilenumbruch.
  • Enthält die Gruppen-DN Leerzeichen, dann müssen die Einträge in einen Anführungszeichen stehen. Der Pfad wird zwischen den Kommas ohne Leerzeichen notiert.

    Die OU in der die dsadd group angelegt wird, muss vorhanden sein.
    Die Benutzer die der neuen Gruppe zugeordnet werden, müssen bereits vorhanden sein.

    dsadd group "CN=GG-Training1,OU=OU-Training,OU=OU-Organisation,…"

Wichtige Bezeichnungen die zum Einsatz kommen, wenn eine neue Gruppe angelegt wird

  • dsadd group<Gruppen-DN>: Anlegen einer Gruppe.
    CN (common name): Der Name des Objekts das angelegt wird.
    OU (Organisationseinheit): Name der Organisationseinheit.
    DC (Domain Component): Teile des Domänennamen.
  • [-scope {l : g : u}]: Bestimmen des Gruppenbereichs Local = l, Global = g, Universell = u;
  • [-secgrp {yes : no}]: Bestimmen der Sicherheitsgruppe. Standard: yes
  • [-members <Mitglied …>]: Fügt min. ein Mitglied ein. Verwendung über DN=;

Beispiel

Es soll eine Gruppe Training1 mit einem Benutzer Norbert Kreidt anhand der Administrator: PowerShell angelegt werden.

dsadd group "CN=GG-Training1,OU=OU-Training,OU=OU-Organisation,DC=DieDomaene,DC=ag" -samid GG-Training1 -scope g -secgrp yes -members "CN= Norbert Kreidt,OU=OU-Forschung,OU=OU-Organisation,DC=DieDomaene,DC=ag"

Erklärung

  1. Mit dem DN-Namen dsadd group den Pfad angegeben in der die Gruppe erzeugt werden soll.
    CN= Name der neuen Gruppe. Die Bezeichnung GG vor der Bezeichnung Training1 soll verdeutlichen, dass es sich um eine globale Gruppe handelt.
    OU= Die Organisationseinheit in der die Gruppe erstellt werden soll.
    DC= Aufteilung des Domänennamen.
  2. -samid GG-Training1
    Der Name muss sich mit dem Namen aus Punkt 1 (… group "CN=GG-Training1..) spiegeln.
  3. -scope g
    Bestimmen des Gruppenbereichs (Local = l, Global = g, Universell = u);
  4. -secgrp yes
    Bestimmen der Sicherheitsgruppe. Standard: yes
  5. -members "CN= Norbert Kreidt,OU=Lager,OU=Organisation,DC=stammdom,DC=ag"
    Mit der Sytax -members wird der Pfad angegeben, in der sich der Benutzer befindet.
    CN= Name des Benutzer.
    OU= Organisationseinheit in der der Nutzer zu finden ist. Der Benutzer (Norbert Kreidt) ist bereits vorhanden. Es muss hier der Pfad angegeben werden, in dem sich der Benutzer bereits befindet. Da er lediglich nur der Gruppe zugeordnet wird.
    DC= Aufteilung des Domänennamen.
Ausnahme gibt es bei manchen Ordnern, wie Buildin, Computers und Users.
Hier wird dann folgende Befehlszeile geschrieben.
… "CN=Objektname,CN=Users,DC=DieDomaene,DC=ag"
und nicht
… "CN=Objektname,DC=Users,DC=DieDomaene,DC=ag"

Syntax und Parameter dsadd group

Über die Administrator: Windows PowerShell lassen sich die Syntax und Parameter aufrufen.

  1. Öffne die Administrator: PowerShell.
  2. Gebe den Befehl dsadd group /? ein, um sich die Syntax und Parameter anzeigen zu lassen.
    (Auszug aus der Administrator: Powershell)

Syntax: dsadd group <Gruppen-DN> [-secgrp {yes | no}] [-scope {l | g | u}]
[-samid <SAM-Name>] [-desc <Beschreibung>] [-memberof <Gruppe …>]
[-members <Mitglied …>] [{-s <Server> | -d <Domäne>}]
[-u <Benutzername>] [-p {<Kennwort> | *}] [-q] [{-uc | -uco | -uci}]

Parameter

Wert Beschreibung
<Gruppen-DN> Erforderlich. Bestimmt den definierten Namen der hinzuzufügenden Gruppe. Bei Auslassung des Zielobjekts wird der Name der Standardeingabe (stdin) verwendet.
-secgrp {yes | no} Setzt diese Gruppe als Sicherheitsgruppe(yes) oder nicht (no). Standard: yes.
-scope {l | g | u} Bestimmt den Bereich dieser Gruppe: lokal, global
oder universell. Der universelle Bereich wird nicht unterstützt, falls sich die Domäne im gemischten Modus befindet. Standard: global.

-samid <SAM-Name> Setzt den SAM-Kontonamen der Gruppe auf <SAM-Name> (z.B. Operatoren).
-desc <Beschreibung> Setzt die Gruppenbeschreibung auf <Beschreibung>.
-memberof <Gruppe …> Fügt die Gruppe als Mitglied den Gruppen hinzu,
die in der durch Leerzeichen getrennten DN-Liste <Gruppe …> angegeben werden.
-members <Mitglied …> Fügt dieser Gruppe mindestens ein Mitglied hinzu.
Mitglieder werden in eine durch Leerzeichen getrennte Liste gesetzt
<Mitglied …>.
{-s <Server> | -d <Domäne>} -s <Server> stellt eine Verbindung mit dem Active Directory-Domänencontroller/der LDS-Instanz mit dem Namen <Server> her.
-d <Domäne> stellt eine Verbindung mit dem Active Directory-Domänencontroller in Domäne <Domäne> her.
Standard: ein Active Directory-Domänencontroller in der Anmeldedomäne.
-u <Benutzername> Stellt die Verbindung unter <Benutzername> her.
Standard: der angemeldete Benutzer. Gültige Benutzernamen: Benutzername, Domäne\Benutzername oder Benutzerprinzipalname (UPN).
-p {<Kennwort> | *} Kennwort für den Benutzer <Benutzername>. * fordert zur Kennworteingabe auf.
-q Stiller Modus: Unterdrückt sämtliche Ausgaben und
zeigt nur die Standardausgabe an.
{-uc | -uco | -uci} -uc Legt fest, dass Eingabe von und Ausgabe an Pipe
im Unicode-Format angezeigt werden.
-uco Legt fest, dass Ausgabe an Pipe oder in Datei im Unicode-Format angezeigt wird.
-uci Legt fest, dass Eingabe von Pipe oder Datei im Unicode-Format angezeigt wird.

Weitere Information

Technet Microsoft: dsadd group


Benutzer zu einer Gruppe (dsmod group)

Mit dem Befehl dsmod werden vorhanden Objekte bearbeitet. Deshalb werde ich nun einen Benutzer zu einer Gruppe hinzufügen.
Als Beispiel werde ich den Benutzer Norbert Kreidt zu einer vorhandenen Gruppe GG-Training2 hinzufügen.

dsmod group "CN=GG-Training2,OU=OU-Training,OU=OU-Organisation,DC=DieDomaene,DC=ag" -addmbr "CN=Norbert Kreidt,OU=OU-Forschung,OU=Organisation,DC=DieDomaene,DC=ag"

Erklärung

  1. Mit dem DN-Namen dsmod group den Pfad angegeben in der die Gruppe zu finden ist.
    CN= Name der vorhandenen Gruppe.
    OU= Die Organisationseinheit in der die Gruppe zu finden ist.
    DC= Aufteilung des Domänennamen.
  2. -addmbr
    Fügt der Gruppe einen Benutzer hinzu.
  3. CN= Name des vorhandenen Benutzers.
    OU= Die Organisationseinheit in der sich der Benutzer befindet.
    DC= Aufteilung des Domänennamen.

Syntax und Parameter dsmod group

Über die Administrator: Windows PowerShell lassen sich die Syntax und Parameter aufrufen.

  1. Öffne die Administrator: PowerShell.
  2. Gebe den Befehl dsmod group /? ein, um sich die Syntax und Parameter anzeigen zu lassen.
    (Auszug aus der Administrator: Powershell)

Syntax: dsmod group <Gruppen-DN ...> [-samid <SAM-Name>]
[-desc <Beschreibung>] [-secgrp {yes | no}] [-scope {1 | g | u}]
[{-addmbr | -rmmbr | -chmbr} <Mitglied ...>]
[{-s <Server> | -d <Domäne>}] [-u <Benutzername>]
[-p {<Kennwort> | *}] [-c] [-q] [{-uc | -uco | -uci}]

Parameter

Wert Beschreibung
<Gruppen-DN ...> Erforderlich/Standardeingabe. Definierter Name (DN) der zu bearbeitenden Gruppen.
Bei Auslassung des Zielobjekts wird die Standardeingabe (stdin) verwendet, damit das Weiterleiten der Ausgabe von einem anderen Befehl als Eingabe für diesen Befehl verwendet werden kann.
Falls <Gruppen-DN ...> und (Mitglied ...> zusammen verwendet werden, kann nur ein Parameter als Standardeingabe verwendet werden, wobei mindestens ein Parameter an der Befehlszeile angegeben werden muss.
-samid <SAM-Name> Setzt den SAM-Kontonamen der Gruppe auf <SAM-Name>.
-desc <Beschreibung> Setzt die Gruppenbeschreibung auf <Beschreibung>.
-secgrp {yes | no} Setzt den Gruppensicherheitstyp auf sicher (yes) oder nicht sicher (no).
-scope {l | g | u} Setzt den Gruppenbereich auf lokal (l), global (g) oder universal (u).
{-addmbr | -rmmbr | -chmbr} -addmbr fügt der Gruppe Mitglieder hinzu.
-rmmbr entfernt Mitglieder von der Gruppe.
-chmbr ändert (ersetzt) die gesamte Liste der Mitglieder in der Gruppe.
<Mitglied ...> Durch Leerzeichen getrennte Mitgliederliste, der Mitglieder hinzugefügt, von der Mitglieder entfernt und Mitglieder der Gruppe ersetzt werden können.
Bei Auslassung des Zielobjekts wird der Name der Standardeingabe (stdin) verwendet, damit das Weiterleiten der Ausgabe von einem anderen Befehl als Eingabe für diesen Befehl verwendet werden kann.
Die Mitgliederliste muss mit den Parametern -addmbr, -rmmbr und -chmbr bearbeitet werden.
Falls <Gruppen-DN ...> und {Mitglied ...> zusammen verwendet werden, kann nur ein Parameter als Standardeingabe verwendet werden, wobei mindestens ein Parameter auf der Befehlszeile angegeben werden muss.
{-s <Server> | -d <Domäne>} -s {Server} stellt eine Verbindung mit dem Active Directory-Domänencontroller/der LDS-Instanz namens {Server} her.
-d {Domäne} stellt eine Verbindung mit dem Active Directory-Domänencontroller in Domäne {Domäne} her. Standard: ein Active Directory-Domänencontroller in der Anmeldedomäne.
-u <Benutzername> Stellt die Verbindung unter (Benutzername) her.
Standard: der angemeldete Benutzer. Gültige Benutzernamen: Benutzername, Domäne\Benutzername oder Benutzerprinzipalname (UPN).
-p {<Kennwort> | *> Kennwort für den Benutzer <Benutzername>. * fordert zur Kennworteingabe auf.
-c Fortwährender Ausführungsmodus: Meldet Fehler, aber setzt den Vorgang mit dem nächsten Objekt in der Argumentenliste fort, wenn mehrere Zielobjekte angegeben sind. Ohne diese Option wird der Befehl beim ersten Fehler beendet.
-q Stiller Modus: Unterdrückt sämtliche Ausgaben und zeigt nur die Standardausgabe an.
-L Zeigt den Suchergebnissatz in einem Listenformat an. Standard: Tabellenformat.
{-uc | -uco | -uci} -uc Legt fest, dass Eingabe von und Ausgabe an Pipe im Unicode-Format angezeigt werden.
-uco Legt fest, dass Ausgabe an Pipe oder in Datei im Unicode-Format angezeigt wird.
-uci Legt fest, dass Eingabe von Pipe oder Datei im Unicode-Format angezeigt wird.

Weitere Information

Technet Microsoft: dsmod group


dsquery

Zum Beispiel den Befehl dsquery. Mit diesem Befehl kann man nach Objekte suchen die bereits in der Active-Directory angelegt wurden.

Möchte man herausfinden, welche Computer sich nach einer gewissen Zeit nicht mehr an der Domäne angemeldet haben, dann führt dich die Funktion -stalepwd in Verbindung mit dsquery ans Ziel. Aufgrund dessen, dass sich ein Kennwort alle 30-60 Tage ändert, machen wir uns dies zum Vorteil und suchen mit dem nachfolgenden Befehl alle Computer, die 60 Tage nicht mehr angemeldet waren.

dsquery computer forestroot -o samid -stalepwd 61


Weitere Befehle

Zu den bereits vorgestellten Befehlen gibt es noch viele andere Syntax und Parameter, die sich über das Administrator: Windows PowerShell aufrufen lassen.

  1. Öffne die Administrator: PowerShell.
  2. Gebe die nachfolgenden Befehle ein, um sich die Syntax und Parameter anzeigen zu lassen.

Hilfe für die Bearbeitung von bestehenden Objekten

  • dsmod Computer /?
    Hilfe für die Bearbeitung eines bestehenden Computers.
  • dsmod contact /?
    Hilfe für die Bearbeitung eines bestehenden Kontakts.
  • dsmod group /?
    Hilfe für die Bearbeitung einer bestehenden Gruppe.
  • dsmod ou/?
    Hilfe für die Bearbeitung einer bestehenden Organisationseinheit.
  • dsmod Server /?
    Hilfe für die Bearbeitung eines bestehenden Active Directory-Domänencontrollers bzw. einer bestehenden LDS-Instanz.
  • dsmod user /?
    Hilfe für die Bearbeitung eines bestehenden Benutzers.
  • dsmod quota /?
    Hilfe für die Bearbeiten einer Spezifikation eines bestehenden Datenträgerkontingents.
  • dsmod partition /?
    Hilfe für die Bearbeitung einer bestehenden Partition.

Hilfe des Verzeichnisdienst-Befehlszeilentools

  • dsadd /?
    Hilfe für das Hinzufügen von Objekten.
  • dsget /?
    Hilfe für das Anzeigen von Objekten.
  • dsmod /?
    Hilfe für das Bearbeiten von Objekten.
  • dsmove /?
    Hilfe für das Verschieben von Objekten.
  • dsquery /?
    Hilfe für das Suchen von Objekten.
  • dsrm /?
    Hilfe für das Löschen von Objekten.

Beispiel

Einen Benutzer (Norbert Kreidt) allen Administrator-Verteilergruppen hinzufügen
dsquery group "OU=OU-Verteiler,OU=OU-Organisation,DC=DieDomaene,DC=ag" -name adm* | dsmod group -addmbr "CN=Norbert Kreidt,CN=Benutzer,OU=OU-Organisation,DC=DieDomaene,DC=ag"

Alle Mitglieder der OU "OU-Marketing" der vorhanden Gruppe "GG-Training1" hinzufügen
dsquery user "OU=OU-Marketing,OU=OU-Organisation,DC=DieDomaene,DC=ag" | dsmod group "CN=GG-Training1,OU=OU-Training,OU=OU-Organisation,DC=DieDomaene,dc=ag" -addmbr

Alle Mitglieder der Gruppe "GG-Training1" der Gruppe "GG-Training2" hinzufügen
dsget group "CN=GG-Training1,OU=OU-Training,OU=OU-Organisation,DC=DieDomaene,DC=ag" -members | dsmod group "CN=GG-Training2,OU=OU-Training,OU=OU-Organisation,DC=DieDomaene,DC=ag" -addmbr

Drei Mitglieder einer Gruppe "GG-Training1" hinzufügen
dsmod group "CN=GG-Training1,OU=OU-Training,OU=OU-Organisation,DC=DieDomaene,DC=ag" -addmbr "CN=Norbert Kreidt,CN=Benutzer,OU=OU-Organisation,DC=DieDomaene,DC=ag" "CN=Horst Hansen,CN=Benutzer,OU=OU-Organisation,DC=DieDomaene,DC=ag" "CN=Steffen Schnuller,CN=Benutzer,OU=OU-Organisation,DC=DieDomaene,DC=ag"

Löschen von zwei Mitgliedern aus der bestehenden Gruppe "GG-Training1"
dsmod group "CN=GG-Training1,OU=Training,OU=OU-Organisation,DC=DieDomaene,DC=ag" -rmmbr "CN=Horst Hansen,CN=Benutzer,OU=OU-Organisation,DC=DieDomaene,DC=ag" "CN=Steffen Schnuller,CN=Benutzer,OU=OU-Organisation,DC=DieDomaene,DC=ag"

Konvertiertieren des Gruppentyps von mehreren Gruppen von "sicher" in "nicht sicher"
dsmod group "CN=GG-Training1,OU=OU-Training,OU=OU-Organisation,DC=DieDomaene,DC=ag" "CN=GG-Training2,OU=OU-Training,OU=OU-Organisation,DC=DieDomaene,DC=ag" "CN=GG-Training3,OU=OU-Training,OU=OU-Organisation,DC=DieDomaene,DC=ag" -secgrp no