Product SiteDocumentation Site

6.19.4. adcli

adcli — инструмент для выполнения действий в домене Active Directory.

Таблица 6.31. Основные команды adcli

Команда
Описание
info домен
Вывести информацию о домене
join домен
Присоединить данную машину к домену (создает учетную запись компьютера в домене и настраивает keytab для этой машины. Не настраивает службу аутентификации, например, sssd)
update
Обновляет пароль учетной записи компьютера на контроллере домена для локальной машины, записывает новые ключи в keytab и удаляет старые ключи
testjoin
Проверить, действителен ли пароль учетной записи компьютера
create-user [--domain=домен] пользователь
Создать учетную запись пользователя
delete-user [--domain=домен] пользователь
Удалить учетную запись пользователя
passwd-user [--domain=домен] пользователь
Установить (повторно) пароль пользователя
create-group [--domain=домен] группа
Создать группу
delete-group [--domain=домен] группа
Удалить группу
add-member [--domain=домен] группа пользователь или компьютер…
Добавить пользователей в группу
remove-member [--domain=домен] группа пользователь…
Удалить пользователей из группы
preset-computer [--domain=домен] компьютер…
Предустановить учетные записи компьютеров (предварительно создает одну или несколько учетных записей компьютеров в домене, чтобы позже компьютеры могли использовать их при присоединении к домену. При этом, машины могут присоединяться с помощью одноразового пароля или автоматически без пароля)
reset-computer [--domain=домен] компьютер
Сбросить учетную запись компьютера (если соответствующая машина присоединена к домену, её членство будет нарушено)
delete-computer [--domain=домен] компьютер
Удалить учетную запись компьютера
show-computer [--domain=домен] компьютер
Показать атрибуты учетной записи компьютера, хранящиеся в AD
create-msa [--domain=домен]
Создать управляемую учетную запись службы (MSA) в заданном домене AD (это бывает нужно, если компьютер не должен присоединяться к домену Active Directory, но к нему необходим LDAP доступ)
Получить дополнительную информацию можно на справочной странице adcli(8) (man adcli).
Пример получения дополнительной информации о подкоманде:
# adcli testjoin --help
Получение информации о домене:
# adcli info test.alt
[domain]
domain-name = test.alt
domain-short = TEST
domain-forest = test.alt
domain-controller = dc1.test.alt
domain-controller-site = Default-First-Site-Name
domain-controller-flags = pdc gc ldap ds kdc timeserv closest writable good-timeserv full-secret
domain-controller-usable = yes
domain-controllers = dc1.test.alt dc2.test.alt
[computer]
computer-site = Default-First-Site-Name
Показать атрибуты учетной записи компьютера:
# adcli show-computer -D test.alt win2012
Password for Administrator@TEST.ALT:
sAMAccountName:
 WIN2012$
userPrincipalName:
 - not set -
msDS-KeyVersionNumber:
 1
msDS-supportedEncryptionTypes:
 28
dNSHostName:
 win2012.test.alt
servicePrincipalName:
 HOST/win2012.test.alt
 RestrictedKrbHost/win2012.test.alt
 HOST/WIN2012
 RestrictedKrbHost/WIN2012
 Dfsr-12F9A27C-BF97-4787-9364-D31B6C55EB04/win2012.test.alt
operatingSystem:
 Windows Server 2012 R2 Standard
operatingSystemVersion:
 6.3 (9600)
operatingSystemServicePack:
 - not set -
pwdLastSet:
 133294743593838200
userAccountControl:
 4096
description:
 - not set -
Создать группу testldap в подразделении OU:
# adcli create-group -D test.alt -O OU=OU,dc=test,dc=alt testldap
Password for Administrator@TEST.ALT: