如何安装和使用 Active Directory 用户和计算机 (ADUC)

什么是 Active Directory 用户和计算机 (ADUC)？

ADUC 是一个 Microsoft 管理控制台 (MMC) 管理单元，使管理员能够管理 Active Directory 对象及其属性。例如，他们可以：

• 更改密码。
• 重置用户帐户。
• 将用户添加到安全组。
• 创建和删除组织单位 (OU)
• 将 FSMO 角色（如 RID 主控、PDC 仿真器和基础结构主控）分配给域控制器。
• 创建和管理计算机、组和用户及其属性
• 委托对象的控制。
• 在 AD 中定义高级安全性和审核。

您可以在我们的 AD 初学者教程中找到有关 Active Directory 的更多信息。

AD 用户和计算机高级功能

如果您在 ADUC 中启用高级功能设置（如本文档后面所述），您还可以管理：

• 失物招领容器
• NTDS 配额
• 节目数据
• 系统信息

启用高级功能会向对象的属性页添加许多选项卡，包括已发布的证书、属性编辑器和密码复制。

如何启用 AD 用户和计算机

默认情况下，您的 Active Directory 域控制器 (DC) 将安装 ADUC。

远程服务器管理工具 (RSAT)

要远程管理服务器和其他计算机，您应该安装适用于 Windows 的远程服务器管理工具 (RSAT)，其中包括 ADUC。请注意，RSAT 只能安装在运行专业版或企业版 Windows 的计算机上。

RSAT 使管理员能够运行管理单元和工具来控制远程服务器或其他计算机上的功能、角色和角色服务。 RSAT 与从 Windows Server 2008 R2 开始的操作系统捆绑在一起。对于早期版本的 Windows Server 以及 Windows 7 和 Windows 8，RSAT 可以作为包含安装说明的包进行下载。

RSAT 软件包中包含的远程管理工具包括：

• Active Directory 用户和计算机 (ADUC) - 系统管理员广泛使用它来创建和管理 Active Directory 对象
• 活动目录管理中心 - 用于管理 AD 垃圾箱和密码策略并显示您的 PowerShell 历史记录
• Windows PowerShell 的 Active Directory 模块 - 提供用于管理 AD 的 PowerShell cmdlet
• Active Directory 域和信任 — 允许您管理功能级别、林功能级别和用户主体名称 (UPN)，以及林和域之间的信任
• Active Directory 站点和服务 — 允许您查看和管理您的站点和服务
• ADSI 编辑 - 提供一些管理 AD 对象的功能，但大多数专家建议使用 ADUC

如何在 Windows 成员服务器上安装 ADUC

要安装 ADUC，请使用服务器管理器（Windows Server 附带的管理工具）中的向导，如下所示：

1. 通过以下方式之一启动服务器管理器：

   • 单击任务栏上的服务器管理器图标，如下图：

     

2. 单击 Windows 开始 按钮并在搜索框中键入 服务器管理器。然后单击服务器管理器图标。

3. 要打开向导，请单击添加角色和功能。

   

4. 第一页描述了您可以使用该向导执行哪些操作以及使用它的先决条件。单击下一步继续。

   

5. 在下一页上，选择基于角色或基于功能的安装，然后单击下一步。

   

6. 从服务器池中选择服务器或虚拟硬盘。单击下一步。

   

7. 下一页列出了您可以安装的角色。我们将跳过此步骤，只需单击下一步。

   

8. 在下一页上，选择远程服务器管理工具和AD DS 和 AD LDS 工具，这将自动选择其他 Active Directory 管理工具。单击下一步。

   

9. 下一页显示正在安装的工具的摘要。选中如果需要，自动重新启动目标服务器复选框，因为某些角色和功能需要重新启动服务器。单击安装开始安装。

   

10. 在下一页中，您可以查看安装进度。随时点击关闭即可关闭向导；安装将作为正在运行的任务继续进行。

    

11. 安装成功后，打开服务器管理器，单击“工具”菜单，可以看到已安装的工具。以下屏幕截图显示了 Active Directory 用户和计算机以及其他管理工具：

    

如何在 Windows 客户端上安装 ADUC

如何在 Windows 工作站上安装 Active Directory 用户和计算机取决于您运行的 Windows 版本：Windows 11 或高于版本 1809 的 Windows 10 版本。

如何确定您的 Windows 版本

您可以按照以下任一步骤确定 Windows 版本。

• 在左侧导航窗格中，单击开始 > 设置 > 系统 > 关于。您将看到版本、版本和操作系统构建信息，如下所示：

  

• 右键单击开始菜单，然后单击系统。您将看到版本、版本和操作系统构建信息，如下所示：

  

在 Windows 10 版本 1809 及更高版本上安装 ADUC

1. 单击开始菜单，然后单击设置 > 应用程序。

   

2. 单击可选功能，然后单击添加功能。

   

3. 单击RSAT：Active Directory 域服务和轻量级目录服务工具。

   

4. 单击安装。

   

安装完成后，您将在 Windows 管理工具下的开始菜单中看到一个新项目。

使用命令行安装 ADUC

或者，如果您使用的是 Windows 10 版本 1809 或更高版本，则可以从命令行安装 ADUC，如下所示：

1. 单击开始（或按Win+R）。输入 cmd 并单击Enter。
2. 运行以下命令：

dism /online /enable-feature /featurename:RSATClient-Roles-AD
dism /online /enable-feature /featurename:RSATClient-Roles-AD-DS
dism /online /enable-feature /featurename:RSATClient-Roles-AD-DS-SnapIn

在 Windows 8 或 Windows 10 版本 1803 及更低版本上安装 ADUC

1. 从 Microsoft 下载中心下载适用于 Windows 10 版本 1803 及更低版本的远程服务器管理员工具并安装。

   

   

2. 单击 Windows 开始 按钮，然后单击控制面板 > 程序。在程序和功能下，点击打开或关闭 Windows 功能。

   

   

3. 在功能列表中向下滚动并展开角色管理工具 -> AD DS 和 AD LDS 工具。选中AD DS 工具。然后单击确定。

   

4. 系统安装完工具后，单击重新启动立即。

   

安装完成后，开始菜单中将出现Windows管理工具文件夹，ADUC将位于该文件夹中。

在旧版本的 Windows 上安装 ADUC

如果您使用的是旧版本的 Windows，则可以下载相应的 RSAT 软件包，然后使用控制面板中的添加 Windows 功能来添加必要的 MMC 管理单元。

请注意，如果您在运行 Windows 7 的计算机上安装 RSAT，则必须在安装 RSAT 后手动启用这些工具。转到开始> 控制面板 > 程序和功能，然后使用打开和关闭 Windows 功能。

如何修复 Windows 10 中的 RSAT 错误

RSAT 可能会因各种原因崩溃，包括更新失败、安装文件损坏或操作系统不兼容。此外，如果服务器管理员尝试修改其任何管理工具，尤其是 RSAT 的 Active Directory 管理中心 (ADAC) 组件，也可能会出现问题。以下是一些故障排除提示：

首先，确保您的操作系统拥有正确的 RSAT 版本。如果不是，请卸载 RSAT 并安装正确的版本。

如果您收到 RSAT 安装错误 0x800f0954：

1. 右键单击开始按钮 > 选择运行> 键入msc > 单击确定。
2. 在本地组策略编辑器中，导航至计算机配置 管理模板 系统。
3. 右键单击指定可选组件安装和组件修复的设置策略 > 将其设置为启用并选中复选框直接从 Windows 更新下载修复内容和可选功能而不是 Windows Server 更新服务 (WSUS)。
4. 单击应用> 单击确定。
5. 右键单击开始按钮 > 选择运行> 键入gpupdate > 单击确定。

RSAT 安装错误 0x80070003 通常与从不常见的位置进行安装有关。将安装文件复制到目标计算机的本地驱动器并继续。

ADUC 控制台组件

Active Directory 用户和计算机控制台有一些关键组件，使系统管理员可以轻松管理对象：

• 菜单栏：包含文件、操作、视图和帮助菜单
• 工具栏：包含执行快速操作的按钮，例如创建新用户或组以及显示/隐藏目录和操作窗格
• 目录（控制台树）窗格：显示您所连接的域的层次结构，以及可用容器和 OU 的列表
• 对象窗格：显示对象及其属性；您可以使用“视图”菜单编辑列
• 操作窗格：显示所选对象的详细信息并提供更多操作选项

ADUC 高级设置

默认情况下，ADUC 显示一些 OU 和其他容器。要使用其他容器，请单击查看菜单，然后单击高级功能。

然后您将看到其他属性。下面，您可以将普通视图（左侧）和高级视图（右侧）中的可用选项卡进行比较：

如何使用 ADUC 执行常见管理任务

创建组织单位 (OU)

请按照以下步骤创建组织单位：

1. 右键单击要在其下创建所需 OU 的域或 OU；然后点击新建 > 组织部门。

   

2. 在名称字段中输入新 OU 的名称，并指定是否保护 OU 免遭意外删除。点击确定创建组织部门。

添加用户帐户

1. 选择要添加用户的域，然后展开其内容。

2. 右键单击要添加用户的容器（通常是用户），选择新建，然后单击用户。

   

3. 输入新用户的名字、姓氏和登录名。然后点击下一步。

   

4. 输入并确认用户的新密码。确保启用以下选项之一来控制用户必须如何管理其密码：

   • 用户下次登录时必须更改密码
5. 用户无法更改密码
6. 密码永不过期

7. 帐户已禁用
   点击下一步。

   

8. 确保您输入的所有内容均正确，然后单击完成。

   

启用和禁用用户帐户

您可以使用 ADUC 中的上下文菜单轻松禁用或启用用户帐户。

启用用户帐户：

• 右键单击已禁用的用户，然后单击启用帐户。

要禁用用户帐户：

• 右键单击要禁用的用户对象，然后单击禁用帐户。

创建组对象

请按照以下步骤使用 ADUC 创建组：

1. 右键单击要在其下创建新组的域或 OU。

2. 指定以下内容：

   • 组的名称和 Windows 2000 之前的名称
3. 组类型：分布式或安全

4. 组范围：域本地、全局或通用

   

5. 单击确定创建组。

将用户添加到组

1. 右键单击要将用户添加到组中的域，然后选择查找。
2. 在查找下拉列表中选择用户、联系人和组。

3. 输入要添加用户的群组名称，单击立即查找，在搜索结果中选择所需的群组，然后单击确定。

   

4. 转至操作 > 属性，然后单击成员选项卡。单击“添加”。

   

5. 键入要添加的用户的名称，然后单击“检查名称”。 （或者，您可以使用高级按钮逐一搜索用户。如果您指定多个用户，请使用分号分隔他们的姓名。）然后单击“确定”确认添加。

从组中删除用户

1. 右键单击要从中删除用户的域，然后选择查找。
2. 在查找下拉列表中选择用户、联系人和组。
3. 输入您要从中删除用户的组的名称，然后单击立即查找。
4. 右键单击所需的组并选择属性。

5. 转到成员选项卡，突出显示该用户，然后单击删除。

   

重置用户密码

1. 导航到用户域的用户文件夹。

2. 右键单击用户名，选择所有任务，然后选择重置密码。

   

3. 输入新密码，在确认密码框中再次输入，然后单击确定。

   

将用户移动到另一个 OU

1. 右键单击Active Directory 用户和计算机，然后选择连接到域。
2. 输入用户的域名称，然后单击确定。
3. 右键单击用户并选择移动。
4. 选择要将用户移动到的容器，然后单击确定。

更改用户的数据

1. 右键单击Active Directory 用户和计算机，然后选择连接到域。
2. 输入用户的域名称，然后单击确定。
3. 右键单击用户并选择属性。
4. 导航到包含要更改的数据的选项卡，进行编辑，然后单击确定。

更改组的类型和范围

要更改组的类型或范围，请执行以下步骤：

1. 右键单击所需的组并选择属性。

   

2. 在“常规”选项卡上，指定新的组类型和/或范围。然后点击确定。

   

查找目录中的对象

ADUC 提供了强大的搜索功能，可以在整个目录中查找对象。您可以使用“查找”对话框查找用户、联系人、组和 OU：

1. 右键单击域或 OU，然后单击查找。

   

2. 在“查找”对话框中，指定以下内容：

   • 在查找下拉列表中，选择用户、联系人和组。
3. 使用范围下拉列表，选择搜索位置：域或整个目录。
4. 要缩小搜索范围，请使用浏览按钮选择特定的 OU。

5. 在名称字段中，输入要查找的用户的名字或全名或群组的名称。
   单击立即查找。

   

6. 查看搜索结果。您可以双击对象来查看其属性。

将控制权委托给用户

使用 Active Directory 委派向导，您可以使用户或组执行特定任务，例如创建用户对象或管理特定域控制器。

请执行以下步骤将权限委托给特定用户：

1. 右键单击要向其中的对象分配权限的域或 OU。单击委派控制启动控制委派向导。

   

2. 欢迎页面描述了您可以使用此向导执行哪些操作。单击下一步。

   

3. 在下一页上，单击添加以搜索要应用权限的用户或组对象。

   

4. 输入您想要委派的用户或组的名称，然后单击检查名称。从匹配对象列表中选择所需的用户，然后单击确定。

   

5. 您现在将在选定的用户和组字段中看到该对象。单击下一步。

   

6. 在下一页上，选择委派以下常见任务单选按钮，然后单击其下方的一个或多个复选框。单击下一步。

   

7. 选择委托范围：

   • 选择此文件夹、此文件夹中的现有对象以及在此文件夹中创建新对象将向所选文件夹或 OU 上的对象授予所有权限。

8. 选择仅文件夹中的以下对象使您可以将权限仅委派给您指定的文件夹中的对象。
   单击下一步。

   

9. 选择您要委派的权限，然后单击下一步。

   

10. 检查您的更改并单击完成。

    

创建并保存查询

您可以使用 ADUC 控制台中的“已保存查询”功能构建复杂的 LDAP 查询。您可以保存这些查询并将其用于：

• 快速找到AD对象。
• 快速完成日常 AD 对象管理活动，例如选择在特定 Exchange 服务器上拥有邮箱的公司的所有员工或显示域中所有禁用帐户的列表。
• 使用来自不同 Active Directory OU 的对象执行活动。
• 执行批量锁定/解锁、启用/禁用、移动、删除和重命名活动。
• 绕过 Active Directory 的 OU 层次结构并在平面表视图中收集所有必需的对象。

请执行以下步骤来创建操作的查询：

1. 右键单击要执行搜索操作的域或 OU，然后选择新建 -> 查询。

   

2. 提供查询的名称和描述。 （如果要选择不同的 OU，请单击浏览。）然后单击定义查询打开另一个用于定义查询的对话框。

   

3. 使用查找下拉列表选择常见查询，例如：

   • 用户、联系人和组
4. 电脑
5. 打印机
6. 共享文件夹
7. 组织单位
8. 自定义搜索

9. 常见查询

   

10. 使用用户、计算机或组选项卡定义您的查询。例如，在“用户”选项卡下，您可以通过以下方式获得限制查询的选项：

    • 禁用帐户
11. 永不过期的密码

12. 自用户上次登录域以来的天数
    点击确定创建您的查询。

    

使用上下文菜单执行其他操作

当您单击对象或单击中间窗格中的空白区域时，ADUC 中的上下文菜单就会出现。此菜单显示您所选对象类型的常用命令和选项。以下是不同类型对象的上下文菜单示例：

领域

欧

用户

团体

电脑

接触

Netwrix 如何提供帮助

虽然 ADUC 对于管理员来说是一个有价值的工具，但对于帮助台技术人员和业务用户来说可能很难访问，更不用说使用了。 Netwrix GroupID 使您能够轻松创建基于 Web 的门户，从而轻松执行创建和编辑组和用户等任务，而无需管理员的任何帮助。

您可以根据每个用户的角色控制他们可以查看和更改的内容。为了确保数据完整性，您可以定义工作流程以在应用更改之前验证提供的信息。

常问问题

什么是 Active Directory 用户和计算机 (ADUC)？

ADUC 是一个 Microsoft 管理控制台 (MMC) 管理单元，使管理员能够管理 Active Directory 对象及其属性。例如，他们可以：

• 更改密码。
• 重置用户帐户。
• 将用户添加到安全组。
• 创建和删除组织单位 (OU)。
• 处理 FSMO 角色，例如 RID 主控、PDC 仿真器和基础设施主控。
• 创建和管理计算机、组和用户及其属性。
• 委托对象的控制。
• 在 AD 中定义高级安全性和审核。

您可以在我们的 AD 初学者教程中找到有关 Active Directory 基础知识的更多信息。

如何在 Windows 10 上获取 Active Directory 用户和计算机？

在 Windows 10 版本 1809 或更高版本中，您可以通过转到设置>应用和功能可选功能>添加功能来启用 ADUC。在旧版本的 Windows 中，要获取 ADUC，您需要手动下载并安装远程服务器管理工具 (RSAT) 包。

什么是远程服务器管理工具？

远程服务器管理工具使您能够从 Windows 计算机远程管理 Windows Server 服务和功能。它拥有大量工具，包括 ADUC、Windows PowerShell 的 Active Directory 模块和 Active Directory 管理中心 (ADAC)。

如何在 Windows 10 上安装 RSAT？

从 2018 年 10 月更新 Windows 10 开始，RSAT 作为一组“按需功能”包含在内，因此您无需安装它。您只需转至设置> 应用程序和功能 >可选功能>添加功能来启用所需的特定RSAT工具。

如果您使用的是早期版本的 Windows，则需要手动下载并安装 RSAT。

如何打开 Active Directory 用户和计算机控制台？

要启动 ADUC 控制台，请执行以下操作之一：

• 转到开始 > 单击运行 > 键入dsa. msc > 按Enter。
• 单击开始 > 导航至管理工具 > 单击Active Directory 用户和计算机。