DC 常用指令

日期:


一、檢查網域狀況工具 (資料來源)

常用的 AD 診斷工具與常用指令
  • 查詢使用者密碼到期日
    • net user <username> /domain
    • ex:net user test01 /domain
  • 網域控制站診斷工具 (dcdiag.exe) – DCDiag
    • 詳細資訊。除了錯誤及警告的資訊外,也會呈現成功測試結果的資訊
      • DCDiag /v  
    • 只顯示錯誤訊息
      • DCDiag /q
    • 用於確認 DNS 狀況
      • DCDiag /test:dns 
    •  執行基本 DNS 測試 (包括網路連線能力、DNS 用戶端設定、服務可用性及區域存在性)。
      • DCDiag /DnsBasic
  • 執行與複寫相關的工作 (repadmin.exe) – Repadmin
    • 顯示複寫摘要的資料收集
      • Repadmin /replsummary 
    • 顯示每個對象複製夥伴和狀態
      • repadmin /showrepl
    • 顯示特定域控制器的複制夥伴
      • repadmin /showrepl <ServerName>
    • 僅顯示複製錯誤
      • repadmin /showrepl /errorsonly
    • 顯示複製隊列,如果您的環境較小,則通常為零
      • Repadmin /Queue
    • 如何強制Active Directory複製
      • 這將執行拉複製,這意味著它會將更新從DC2拉到DC1
        • repadmin /syncall dc1 /AeD
      • 在DC1上進行更改並希望將這些更改複製到其他DC
        • repadmin /syncall dc1 /APeD
    • 將結果導出到文本文件
      • repadmin /replsummary> c:\it\replsummary.txt
    • 查找DC上次備份的時間
      • Repadmin /showbackup *
    • 顯示尚未應答的呼叫
      • repadmin /showoutcalls *
    • 列出拓撲信息
      • repadmin /bridgeheads * /verbose
    • 站點間拓撲生成器報告
      • repadmin /istg * /verbose
  • 使用 Netdom.exe 工具 (netdom.exe) – NetDOM
    • netdom query fsmo //查詢五大角色
  • 網域安全通道公用程式 (nltest.exe) – NLTest
    • nltest /dsgetdc:<DomainName> /force
    • nltest /SC_RESET:<DomainName>\<PDCServerName>
    • 註: nltest 可用來重新建立用戶端與 DC 之間的安全通道,可以不用退出網域再重新加入。
二、帳號與群組
  • 建立AD帳號:
    • 方式一
      • dsadd user "cn=gavin,ou=wks,ou=sales,dc=test,dc=com" -samid Gavin -upn Gavin@test.com -pwd P@ssw0rd  
    • 方式二
      •  net user gavin P@ssw0rd /add /domain
        • /domain - 指建立網域帳號,若不加此參數則是建立本機帳號
        • /add - 新增使用者帳號
        • ※使用 net user 建立網域帳號,預設存放在 users 容器中
  • 加入群組成員
    • dsmod group "cn=IT Admins,ou=MIS,dc=test,dc=com" -addmbr "cn=gavin,ou=sales,dc=test,dc=com"
  • 設定帳號建立的 AD 預設存放路徑
    • redirusr ou=sales,dc=test,dc=com(此指令須在 DC 執行,且 AD 等級為 2003 才可支援)
    • net user gavin2 P@ssw0rd /add /domain
  • 設定電腦帳戶建立在 AD 中存放的預設路徑
    • redcmp ou=wks,ou=sales,dc=test,dc=com(此指令須在 DC 執行)
    • net computer \\wk01 /add

三、查詢
  • 如何查詢網域使用者帳號密碼的到期日
    • net user <username> /domain (後面的/domain是參數..請勿輸入你的domain名稱..直接照打即可)
  • 列出 OU 內的帳號並停用或啟用
    • dsquery user ou=sales,dc=test,dc=com | dsmod user -disabled yes <- 停用帳號
    • dsquery user ou=sales,dc=test,dc=com | dsmod user -disabled no <- 啟用帳號

四、GPO相關指令

  • 強執執行用戶GPO套用
  • gpupdate /force (被套用的電腦)
  • 查詢GPO套用結果:
  • gpresut /v | more

PS:無法套用原因:
1.可以在設定GPO時,可以額外指定安裝性篩選,增加指定Domain Users

2.你可以在 Client 電腦上輸入echo %LOGONSERVER%  指令查看一下 LOGONSERVER 這行訊息,是否有指定到您的網域中的 DC 做登入(怕您的 Client 端和網域沒連線),因為 Client 端有 Cache 會記錄您曾用過的密碼做登入。

3.確認有經過 DC 登入網域後輸入 gpresult 指令,這個指令會 show 您套用的 GPO 原則,請查看"已套用的群組原則物件"看是不是有套用到您要用的原則,如果一項都沒有的話表示您這個 Client 端一項原則都沒套用到。

4.接下來查看為何 Client 端沒有套用到任何 GPO,查看是不是電腦或使用者名稱放錯OU,放錯 OU 的話當然 GPO 是套用不起來的,或者是剛設定好 GPO後在用戶端下 gpupdate 的指令,所以 Client 還沒套用到,DC 在設定好 GPO 後要經過90分鐘才會將GPO套用到 Client,如果設定好後想馬上套用的話需要下 gpupdate /force 指令強制 Client 端套用 GPO。

留言

張貼留言