AD域控Dsquery查询命令详解与实例

"这篇文档是关于AD域控中Dsquery查询命令的实例汇总，提供了多种查询AD对象，如计算机、联系人等的方法，并详细解释了不同参数的使用。" Dsquery是Active Directory（AD）中一个强大的命令行工具，用于查询和定位目录服务中的对象。在AD管理中，Dsquery能够帮助管理员高效地找到特定的对象，从而进行管理和维护。以下是一些Dsquery命令的实例及其用途： 1. **查询计算机** - `-inactive`: 查找在过去特定时间内没有活动的计算机。例如，`dsquerycomputer-inactive4-limit0`将返回过去四周未使用的所有计算机。 - `-stalepwd`: 找到指定天数内未更改密码的计算机。例如，`dsquerycomputerou=test,dc=china,dc=com-stalepwd100-limit0`将显示100天未改密码的计算机。 - `-disabled`: 搜索已禁用的计算机账户。如`dsquerycomputerdomainroot-disabled-limit0`会列出所有禁用的计算机。 - `-name`和`-desc`: 结合使用可按名称和描述过滤计算机。例如，`dsquerycomputerdomainroot-disabled-nameP*-descms*-limit0`将返回名称以"P"开头且描述以"ms"开头的禁用计算机。 2. **查询其他属性** - `-o`: 指定输出格式，如DN（分辨名称）、RDN（相对分辨名称）、UPN（用户principal名）或SAMID（安全帐户管理器标识符）。默认为DN。 - `-ou`: 指定要搜索的组织单位。如`dsquerycomputerou=sales,dc=Microsoft,dc=com`将显示销售部门的所有计算机的DN。 - `-disabled`: 在特定OU中查找禁用的计算机，如`Dsquerycomputercn=computers,dc=book,dc=com–disabled`。 3. **查询联系人** - `dsquerycontact`: 可以用来查找目录中的联系人。例如，`Dsquerycontactdomainroot`将显示所有联系人的DN，而`Dsquerycontactdomainroot"name pp*"`则会找到名称以"pp"开头的联系人。 Dsquery命令的强大在于它可以灵活组合各种参数，适应不同的查询需求。通过指定不同的过滤条件，如`-limit`来控制返回的结果数量，或者`-o`来改变输出格式，管理员可以根据需要定制查询。对于大型AD环境，掌握Dsquery的使用技巧能够极大地提高工作效率。