由于 Active Directory 基于 LDAP 標準，您可以使用任何支持 LDAP 的工具對其進行查詢和修改。許多第三方供應(yīng)商已發(fā)布了收費的工具，幫助您管理 Active Directory，但有時您會發(fā)現(xiàn)為社區(qū)免費提供的極具價值的工具。目錄服務(wù) MVP Joe Richards 創(chuàng)建的集合就是這種情況，可以從 joeware.net/freetools 下載。在那里您將會發(fā)現(xiàn)大量具有不同功能的工具。我反復(fù)使用的有 adfind、admod 和 oldcmp 這三種工具。

　　Adfind 和 Admod

　　Adfind 和 admod 類似于 dsquery 和 dsmod；adfind 是 Active Directory 的命令行查詢工具，admod 能夠創(chuàng)建、刪除或修改一個或多個 Active Directory 對象。

　　與具有多個子菜單并且開關(guān)依據(jù)對象類型而異的 ds* 工具不同，adfind 和 admod 具有一致的語法，與要嘗試執(zhí)行的查詢或修改類型無關(guān)。adfind 的基本語法為：

　　adfind –b <Search Base> -s <Search Scope> -f <Search Filter> attributesDesired

　　所以對域中所有計算機對象的 DN 和說明的查詢應(yīng)為：

　　adfind –b dc=contoso，dc=com –s subtree –f （objectclass=computer） dn description

　　對所有用戶對象的查詢?nèi)缦滤荆?/P>

　　adfind –b dc=contoso，dc=com –s subtree –f "（&（objectcategory=person） （objectclass=user））" dn description

　　注意，除了 LDAP 查詢的內(nèi)容外，語法沒有任何更改。

　　使用 adfind 時，您將發(fā)現(xiàn)許多快捷操作符，可以減少許多鍵入內(nèi)容。例如，-default 開關(guān)可以取代上一示例中的 -b dc=contoso，dc=com 并搜索整個域；-gc 搜索垃圾收集 （GC） 并返回 Active Directory 林中所有的用戶。還可以使用 -rb 開關(guān)設(shè)置相對搜索庫；如果要在 phl.east.us.contoso.com 域中搜索 Training OU，您可以通過僅僅指定 –default –rb ou=Training，而非 –b ou=Training， dc=phl，dc=east，dc=us，dc=contoso，dc=com，從而減少許多工作量。

　　另外，adfind 還可以執(zhí)行在命令行中不能輕松管理的許多高級搜索功能，如圖 4 所示。

　　使用 –asq 開關(guān)“顯示 HelpDesk 成員的組成員身份”的示例如下所示：

　　adfind –default –rb cn=HelpDesk，ou=IT –asq member memberOf

　　顧名思義，admod 用于修改 Active Directory 中的對象。與 adfind 一樣，不需要記住有特殊語法的特定子菜單；admod 在任何時候都使用相同的語法，與要處理的對象類型無關(guān)。還可以使用 admod 添加、移動、重命名、刪除甚至恢復(fù)對象，只需通過添加相應(yīng)的開關(guān)（如 -add、-rm、-move、-undel）即可實現(xiàn)。就像 dsquery 和 dsmod 一樣，您也可以使用 | 字符將 adfind 查詢的結(jié)果通過管道傳送到 admod.

　　請注意，使用 admod 執(zhí)行恢復(fù)操作只能執(zhí)行邏輯刪除恢復(fù)操作，在此操作中大部分對象屬性已被刪除。要完全還原某個對象及其所有屬性，您仍需要執(zhí)行該對象的授權(quán)還原。

　　Oldcmp

　　還有一個 joeware 工具，我認為它是自動工具包中必不可少的一部分：oldcmp，該工具會掃描 Active Directory 數(shù)據(jù)庫，查找在指定周數(shù)內(nèi)未使用的計算機帳戶，而且可以執(zhí)行以下操作：

　　* 創(chuàng)建帳戶報表而不對其進行任何操作

　　* 禁用未使用的計算機帳戶

　　* 將計算機帳戶移動到另一個指定的 OU 中

　　* 完全刪除計算機帳戶

　　請注意，由于 oldcmp 可能會嚴重損壞您的目錄，因此它有許多內(nèi)置的安全功能。它不會刪除尚未禁用的任何帳戶（無需手動指定“No really， I mean it！”命令行開關(guān)）。無需指定類似的“No really， I mean it！”開關(guān)，每次修改對象不會超過 10 個，而且絕對不會對域控制器的計算機帳戶執(zhí)行任何操作。

　　現(xiàn)在，盡管工具的名稱易于誤導(dǎo)，但是 Joe 已更新了 oldcmp，以便對在特定時間內(nèi)未使用的用戶帳戶也能執(zhí)行相似的功能。

　　對于一個小型 Active Directory 環(huán)境或每次只執(zhí)行一兩個添加或更改操作的環(huán)境，GUI 工具（如 Active Directory 用戶和計算機）可能足以滿足日常管理需要。但是，如果您每天都要添加和修改大量對象，或者只是需要更加簡化地管理任務(wù)解決方案，則改用命令行可以大大加快在 Active Directory 中創(chuàng)建、修改和刪除對象的過程。您已經(jīng)了解到，有許多靈活且功能強大的工具可以免費獲得，它們或者內(nèi)置于 Windows 中，或者可從 Active Directory 社區(qū)成員中下載。這些工具中的任何一個都能夠大大提高 Active Directory 管理員的工作效率，與此同時，它們在您的日常工作中變得更加必要。