来自  https://managingosx.wordpress.com/2010/01/14/add-a-user-to-the-admin-group-via-command-line-3-0/

dseditgroup

目录服务组记录操作工具。

句法
     dseditgroup [选项] [参数]组名

钥匙：
          选项：
             -o操作   执行（读取、创建、删除、编辑、检查成员）
                            给定组名的操作。
             -p 提示输入验证密码
             -q 禁用交互式验证
             -v 详细记录到标准输出

          参数：
             -m      用于检查成员选项的成员用户名
             -n nodename    组记录的目录节点位置
             -u username    使用管理员用户名进行身份验证
             -P密码    认证密码
             -a recordname  要添加的记录的名称
             -d recordname  要删除的记录的名称
             -t recordtype  要添加或删除的记录的类型
             -T grouptype   要创建或修改的组类型
             -L 与 ComputerGroups 并行维护 ComputerLists
             -i gid          gid 添加/替换
             -g guid         GUID 添加/替换
             -S sid          SID 添加/替换
             -r realname     realname 添加/替换
             -k关键字     要添加的关键字
             -c注释     注释添加/替换
             -s timetolive  添加/替换的存活秒数
             -fn | l 更改组的格式 - 'n' 为
                            新的组格式和旧的“l”
                            组格式

dseditgroup 允许在默认本地节点或指定的 DirectoryService 节点上操作单个命名组记录。

对于“读取”操作，请咨询身份验证搜索策略（/搜索节点）。

在讨论了每个操作和可能的参数之后，下面介绍了默认行为。

     选项及其说明：

     -o操作
              如果“读取”，那么指定组名的参数将是
              显示。这是默认选项。身份验证搜索
              将使用策略（/搜索节点）。

              如果“创建”，则使用指定的组名创建一个组
              默认本地节点或指定的 DirectoryService
              节点。

              如果“删除”，则删除具有指定组名的组
              默认本地节点或指定的 DirectoryService
              节点。

              如果“编辑”，则编辑具有指定组名的组
              默认本地节点或指定的 DirectoryService
              节点。

              如果 "checkmember" 然后检查用户是否使用 -m 或
              当前登录用户是指定组名的成员。
              认证搜索策略（/Search节点）用于查找
              该成员。指定节点（默认为认证
              搜索策略）用于查找组。如果指定节点
              不在身份验证搜索策略上，行为是
              不明确的。

     -p 将提示您输入密码以与
              指定的用户名。

     -q 这将禁用替换或删除的交互式验证
              操作。

     -v 这将启用 DirectoryService API 调用的日志记录和
              他们的返回码。

     参数及其说明：

     -m成员
              用于验证组成员身份的帐户的用户名
              使用 -o checkmember

     -n节点名
              目录服务节点名称，例如 /LDAPv3/ldap.company.com 和
              其默认值为本地节点。“。” 也可以用来
              指定本地节点。

     -u用户名
              对此具有管理权限的用户的用户名
              计算机。

     -P密码
              与指定用户名一起使用的密码。如果
              未指定，系统将提示您输入密码。

     -一个记录名
              要添加到由指定的组中的记录的名称
              团队名字。此名称与在
              使用此进行搜索时的身份验证搜索策略
              记录名称和给定的记录类型。

     -d记录名
              要从指定的组中删除的记录的名称
              团队名字。此名称与在
              使用此进行搜索时的身份验证搜索策略
              记录名称和给定的记录类型。

     -t记录类型
              要添加到组或从组中删除的记录类型
              由组名指定。有效值为用户、计算机、组、
              或计算机组。

     -T组类型
              要创建或修改的组记录的类型
              按组名字段。有效值为组或计算机组。

     -L 如果与计算机组一起使用也会维护计算机列表
              如果它存在，或者如果创建了计算机组，则创建它。

     -i gid   这是一个组 ID。如果没有，这将自动创建
              为创建指定。

     -g guid  这是 128 位 id 的文本表示。这将是
              如果没有为创建指定，则自动创建。

     -r实名
              这是一个简单的文本字符串。

     -k关键字
              这是一个简单的文本字符串。

     -c评论
              这是一个简单的文本字符串。

     -s生存时间
              此记录被视为有效的秒数
              缓存值。不会有自动创建的默认值
              如果没有为创建指定值。

默认行为

     dseditgroup 我的组

     这个简单版本的命令将默认为：

     dseditgroup -o 读取 -n 。-u $USER 我的组

     输出将是“mygroup”组记录的参数，如果
     shell 用户对本地节点的 name 组记录具有读取权限
     “我的组”。

例子

     dseditgroup 额外组

     dseditgroup -o 读取额外组

                    来自本地节点的组 extragroup 的属性
                    被显示。

     dseditgroup -o create -n /LDAPv3/ldap.company.com -u myusername -P
              mypassword -r "额外组" -c "一个不错的评论" -s 3600 -k "一些
              关键词”外群

                    组 extragroup 是从节点创建的
                    /LDAPv3/ldap.company.com 带有实名、评论、
                    生存时间（而不是默认的 14400 = 4 小时），以及
                    上面给出的关键字属性值，如果用户
                    myusername 提供了正确的密码并写入
                    使用权。

     dseditgroup -o 删除 -n /LDAPv3/ldap.company.com -u 我的用户名 -P
              我的密码额外组

                    从节点中删除组 extragroup
                    /LDAPv3/ldap.company.com 如果用户 myusername 有
                    提供了正确的密码并具有写入权限。

     dseditgroup -o 编辑 -n /LDAPv3/ldap.company.com -u 我的用户名 -p -a
              用户名 -t 用户额外组

                    来自节点的组 extragroup
                    /LDAPv3/ldap.company.com 将添加用户名，如果
                    用户名在搜索策略的用户记录中，并且
                    如果以交互方式显示正确的密码
                    用户 myusername 也需要具有写入权限。

     dseditgroup -o 编辑 -n /LDAPv3/ldap.company.com -u 我的用户名 -P -a
              mysubgroup -t 组外群

                    来自节点的组 extragroup
                    /LDAPv3/ldap.company.com 将添加 mysubgroup 如果
                    mysubgroup 在搜索策略的组记录中
                    如果用户 myusername 提供了正确的密码
                    并具有写入权限。

     dseditgroup -o 编辑 -n /LDAPv3/ldap.company.com -u 我的用户名 -p -d
              用户名 -t 用户额外组

                    来自节点的组 extragroup
                    /LDAPv3/ldap.company.com 将删除用户名，如果
                    以交互方式显示正确的密码
                    用户 myusername 也需要具有写入权限。

     dseditgroup -o 检查成员额外组

                    将写出一条消息，指定当前用户是否是
                    身份验证搜索中的 extragroup 成员
                    政策。

     dseditgroup -o 检查成员 -n 。外群

                    将写出一条消息，指定当前用户是否是
                    本地节点上的 extragroup 的成员。

     dseditgroup -n /LDAPv3/ldap.company.com -o checkmember -m user extragroup

                    将写出一条消息，指定是否用户（在
                    /Search) 是指定节点上的 extragroup 的成员
                    /LDAPv3/ldap.company.com。指定节点
                    /LDAPv3/ldap.company.com 需要在认证上
                    搜索策略以获取有效答案。

“不要浪费你的疯狂”~ Fiona Apple

相关 macOS 命令：

dscacheutil - 查询或刷新目录服务/DNS 缓存。
dsenableroot - 启用 root 访问。
dsmemberutil - 查看用户和组权限。

来自   https://ss64.com/osx/dseditgroup.html