活动目录工具
1、ADFind
最好的活动目录查询工具之一,就像Win2003的Dsquery一样让人兴奋,由Joe Richards开发,可从其网站 [url]http://www.joeware.net[/url] 上下载其所开发的其他工具集。
具体使用方法可运行“Adfind /?”命令。
如查找Workstation组织单元中,名字以rallen开头的计算机对象,并且显示每个查找到的对象的name和whenCreated属性:
Adfind �Cb “ou=workstation,dc=rallencorp,dc=com” \
-f “(&(objectcategory=computer)(name=rallen*))” \
name whenCreated
可以使用-h选项来指定特定的域控制器,使用-gc选项来查找全局编录,使用-u和-up指定用户名和密码。
可以使用-root、-default、-config和-schema选项来把基准分辨名称(base distinguished name)分别设置成根域的默认命名上下文、默认域的默认命名上下文、配置命名上下文和构架命名上下文,如果使用了上述任一个,就不用再使用-b选项。
如在森林根域树下所有名字以“HR”开头的组中查找全局编录:
Adfind �Cgc �Croot �Cf “(&(objectcategory=computer)(name=HR*))” name另外,还可以使用-sort、-rsort选项对输出做基于属性值的排序或逆排序,可以使用-showdel选项来显示已被删除的选项,可以使用-elapsed选项来显示查询完成所花费的时间,可以使用-tdc选项来解码基于时间的大整数属性值。
2、AdMod
AdMod类似于微软的Dsmod、Dsmove和Dsrm命令行工具,可以使用Admod来修改(默认动作)、移动(-move选项)、重命名(-rename)、删除(-del和-treedelete)和反删除(-undel)对象,反删除仅在Win2003 AD中有效。
修改单个对象,需要用-b选项来指定基准分辨率名称,在命令的结尾处,需要用如下格式来指定属性动作:
“Attribute:Operation:Value(s)”
Attribute是需要修改的属性名。
Operation代表在该属性上所执行的动作,一共有5个可能的动作:
q 指定-字符,用来对某单值属性添加值;
q 包括-字符,用来清除某个单值或多值属性;
q 指定++字符,用来对某多值属性添加多个值;
q 包括--字符,用来删除某多值属性的一个或多个值;
q 不包括任何字符,用来更新某个单值或多值属性值。
Value(s)表示所想更新、添加或删除的字串值。
q 对于默认情况和+*作,只需指定一个值;
q 对于++和--*作,要用一个分号分隔的列表来指定多个值;
q 对于-*作,不需指定任何值。
譬如,如下命令把rallen用户帐号的scriptpath属性更新为login.vbs:
admod -b cn=rallen,cn=users,dc=rallencorp,dc=com “scriptpath::login.vbs”
下面是如何清除同一用户的scriptpath属性值:
admod -b cn=rallen,cn=users,dc=rallencorp,dc=com “scriptpath:-:”
下面的例子可以一次修改一批对象,从而清除默认域中所有用户的scriptpath属性值:
adfind �Cdefault �Cf “(&(objectcategory=person)(scriptpath=*))” �Cdsq | admod �Cunsafe “scriptpath:-:”
-dsq选项只返回匹配对象的可分辨名称,并且把它们各自在单独的行上排开,默认情况下,admod一次只能修改10个对象,可以指定-safety选项和所修改对象的数目,如果不想受任何限制,可以使用-unsafe选项。
3、OldCmp
使用OldCmp命令可以搜索、禁用或删除非活动计算机帐号。一个计算机对象的pwdLastSet属性存储着该计算机密码的老化日期,然后,pwdLastSet属性是一个大整数类型值,需要特别的计算才能得到正确的值。
OldCmp默认认为密码存在超过90天,就认为该计算机处于非活动状态,可以使用-age选项指定老化日期。
当使用OldCmp来执行一个搜索的时候,必须指定以下三种可能选项中的至少一种:
q -report,生成一张列有非活动计算机帐号的HTML报告列表;
q -delete,删除非活动计算机帐号;
q -disable,禁用非活动帐号。
OldCmp生成的HTML文件会被放到该工具的运行目录下,除非使用-file选项指定了一个替换位置;如果指定-sh选项,OldCmp会在生成HTML文件后自动打开它。
由于上述三个命令为同一人所写,所以都有类似的选项。
-safety选项用来限制所能删除或禁用的帐户数量,-forreal用来真正删除或者禁用帐户。
Oldcmp -report -file c:\inactive.html
oldcmp -delete -onlydisabled -safety 100 -forreal -append -file c:\deleted_comps.html
oldcmp -disable -age 180 -safety 100 -forreal -append -file c:\disabled_comps.html
4、Dsrevoke
活动目录可以很容易对特定帐号进行委派访问设置,但撤销委派访问却比较麻烦,微软提供的Dsrevoke工具可用来迭代组织单元的内容和删除一个特定安全主体所包含的所有访问控制条目,可在微软网站下载。
可以用Dsrevoke来搜索(/report选项)或者删除(/remove选项)包含有特定主体的访问控制列表,另外还需要使用/root选项指定一个开始搜索或删除的根。在命令行结尾还要写上想搜索或删除的安全主体的名称。
譬如,搜索workstations组织单元上所有包含Data Admins安全主体的访问控制条目:
dsrevoke /report /root
u=workstations,dc=rallencorp,dc=com “rallencorp\data admins”
遗憾的是,Dsresovke只能用在组织单元和域上,而不能作用于诸如默认的“计算机”(cn=computer)或“用户”(cn=users)之类的容器。
5、AdResore
当活动目录中的对象被删除的时候,并不是彻底地消失了,此时的对象只是成为一个“墓碑记录”,60(默认的墓碑记录生存周期)天后,墓碑记录才会被永久删除。
在Win2003发布之前,没有办法使墓碑记录复活。不过,可以使用Sysinternals的AdRestore工具部分恢复被删除的对象。
如果不加参数,AdRestore命令列举出当前域中所有被删除的对象。
6、ADMT
微软免费工具,用来在两个域之间迁移活动目录对象,避免了因为升级AD所带来的DC必须离线、升级失败后的不可恢复、升级时间有限等问题,而且ADMT还支持密码的迁移和SIDHistory。
7、NetDom
重置DC与其复制伙伴之间的安全通道,要重置安全通道,请在不能浏览或映射网络驱动器的DC上将“kerberos key密钥分发中心”服务设置为手动,并停止,以后视需要可再启动,然后,键入如下命令:
netdom resetpwd /server:复制伙伴服务器名 /userd:域名\管理员ID /password:*
复制伙伴服务器名:所在DC的FQDN或NetBIOS名;
域名\管理员ID :NetBIOS域名和管理员ID;
然后重起DC。