adcli — инструмент для выполнения действий в домене Active Directory.
Таблица 6.29. Основные команды adcli
|
Команда
|
Описание
|
|---|---|
|
info домен
|
Вывести информацию о домене
|
|
join домен
|
Присоединить данную машину к домену (создает учетную запись компьютера в домене и настраивает keytab для этой машины. Не настраивает службу аутентификации, например, sssd)
|
|
update
|
Обновляет пароль учетной записи компьютера на контроллере домена для локальной машины, записывает новые ключи в keytab и удаляет старые ключи
|
|
testjoin
|
Проверить, действителен ли пароль учетной записи компьютера
|
|
create-user [--domain=домен] пользователь
|
Создать учетную запись пользователя
|
|
delete-user [--domain=домен] пользователь
|
Удалить учетную запись пользователя
|
|
passwd-user [--domain=домен] пользователь
|
Установить (повторно) пароль пользователя
|
|
create-group [--domain=домен] группа
|
Создать группу
|
|
delete-group [--domain=домен] группа
|
Удалить группу
|
|
add-member [--domain=домен] группа пользователь или компьютер…
|
Добавить пользователей в группу
|
|
remove-member [--domain=домен] группа пользователь…
|
Удалить пользователей из группы
|
|
preset-computer [--domain=домен] компьютер…
|
Предустановить учетные записи компьютеров (предварительно создает одну или несколько учетных записей компьютеров в домене, чтобы позже компьютеры могли использовать их при присоединении к домену. При этом, машины могут присоединяться с помощью одноразового пароля или автоматически без пароля)
|
|
reset-computer [--domain=домен] компьютер
|
Сбросить учетную запись компьютера (если соответствующая машина присоединена к домену, её членство будет нарушено)
|
|
delete-computer [--domain=домен] компьютер
|
Удалить учетную запись компьютера
|
|
show-computer [--domain=домен] компьютер
|
Показать атрибуты учетной записи компьютера, хранящиеся в AD
|
|
create-msa [--domain=домен]
|
Создать управляемую учетную запись службы (MSA) в заданном домене AD (это бывает нужно, если компьютер не должен присоединяться к домену Active Directory, но к нему необходим LDAP доступ)
|
man adcli).
# adcli testjoin --help
# adcli info test.alt
[domain]
domain-name = test.alt
domain-short = TEST
domain-forest = test.alt
domain-controller = dc1.test.alt
domain-controller-site = Default-First-Site-Name
domain-controller-flags = pdc gc ldap ds kdc timeserv closest writable good-timeserv full-secret
domain-controller-usable = yes
domain-controllers = dc1.test.alt dc2.test.alt
[computer]
computer-site = Default-First-Site-Name
# adcli show-computer -D test.alt win2012
Password for Administrator@TEST.ALT:
sAMAccountName:
WIN2012$
userPrincipalName:
- not set -
msDS-KeyVersionNumber:
1
msDS-supportedEncryptionTypes:
28
dNSHostName:
win2012.test.alt
servicePrincipalName:
HOST/win2012.test.alt
RestrictedKrbHost/win2012.test.alt
HOST/WIN2012
RestrictedKrbHost/WIN2012
Dfsr-12F9A27C-BF97-4787-9364-D31B6C55EB04/win2012.test.alt
operatingSystem:
Windows Server 2012 R2 Standard
operatingSystemVersion:
6.3 (9600)
operatingSystemServicePack:
- not set -
pwdLastSet:
133294743593838200
userAccountControl:
4096
description:
- not set -
# adcli create-group -D test.alt -O OU=OU,dc=test,dc=alt testldap
Password for Administrator@TEST.ALT: