如何安装 Active Directory 用户和计算机 (ADUC)

Active Directory 用户和计算机 (ADUC) 控制台用于管理您的 Active Directory。它默认安装在域控制器上，但您也可以在其他服务器和计算机上安装 ADUC。

ADUC 是远程服务器管理工具 (RSAT) 的一部分，您只需单击几下即可轻松安装所需的管理控制台。例如，这允许您从自己的 Windows 11 工作站管理您的 Active Directory。

在本文中，我们将了解如何在其他服务器上安装 Active Directory 用户和计算机，并在 Windows 10 和 11 上借助 RSAT 工具安装 ADUC。我们还将了解一些基本功能，我有时间为您提供省钱小窍门！

安装 Active Directory 用户和计算机

安装域控制器时，默认情况下会添加 Active Directory 用户和计算机控制台。但您可能不想让所有帮助台技术人员访问域控制器，例如仅创建新用户或重置密码。

我们可以在任何成员服务器上安装 ADUC 控制台，甚至可以在 Windows 10 和 11 上安装。使用 Windows 10 或 11 时，您需要确保使用的是专业版或企业版。家庭版本当然不受支持，因为您无法将其加入域。

为了安装 Active Directory 用户和计算机控制台，我们将添加 RSAT 功能，它代表远程服务器管理工具。 RSAT 存在于总共 27 个工具中，但我们将仅安装以下工具：

• Active Directory 用户和计算机 (ADUC) - 在 Active Directory 中管理和创建用户和计算机对象

• PowerShell Active Directory 模块 - 允许您使用 PowerShell 管理您的 Active Directory

• Active Directory 域和信任 - 创建和管理域和林之间的信任

• Active Directory 站点和服务 - 用于管理站点和服务

• ADSI 编辑 - 允许您在属性级别修改 AD 对象

• Active Directory 管理中心 - 查看用于管理 AD 的 PowerShell 命令的历史记录。配置密码策略并查看 AD 垃圾箱

在 Windows 服务器上安装 ADUC

要将 ADUC 控制台添加到 Windows Server，我们将使用服务器管理器。

1. 打开服务器管理器（您可以在“开始”或任务栏上找到它）

2. 单击管理> 添加角色和功能

1. 单击下一步 (4x)，直到到达功能

2. 展开远程服务器管理工具

3. 展开角色管理工具和AD DS 和 AD LDS 工具

4. 选择AD DS 工具，我建议还安装适用于 PowerShell 的 Active Directory 模块

1. 单击并安装以安装 ADUC 工具。

安装新功能需要一两分钟。完成后，您可以在开始菜单的Windows 管理工具下找到 Active Directory 用户和计算机控制台。

Windows 11 上的 Active Directory 用户和计算机

您还可以使用 Windows 10 或 11 来管理您的 Active Directory。这样，您就不需要每次需要创建或修改用户对象时都登录域控制器。

要从 Windows 11 管理 AD，您需要在 RSAT 工具的帮助下安装 ADUC。就像在服务器上一样，这是我们可以轻松添加的功能。

1. 右键单击开始并打开设置

2. 转到应用并选择可选功能

3. 点击查看功能

1. 搜索RSAT

2. 选择RSAT：Active Directory 域服务和轻量级...

3. 单击下一步和安装以安装该功能

安装 RSAT 功能后，您将在 Windows 11 开始菜单中找到 Active Directory 用户和计算机控制台。

使用PowerShell

我们还可以借助 PowerShell 安装 RSAT 工具。使用PowerShell的优点是您可以轻松地将工具添加到远程服务器，而无需在每个设备上登录。

要使用 PowerShell 在 Windows 11 上安装 ADUC 工具，可以使用以下命令：

Add-WindowsCapability -Online -Name Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0

您可以通过以下方式验证安装：

Get-WindowsCapability -Name "Rsat.ActiveDirectory*" -Online | Select-Object -Property DisplayName, State

# Result
DisplayName                                                                         State
-----------                                                                         -----
RSAT: Active Directory Domain Services and Lightweight Directory Services Tools Installed

要使用 PowerShell 在 Windows Server 上安装 ADUC 工具，可以使用以下 PowerShell 命令：

Install-WindowsFeature RSAT-AD-PowerShell

使用 Active Directory 用户和计算机

ADUC 主要用于创建和管理用户帐户、计算机对象、组成员身份和重置密码。在小型环境中，所有这些任务通常由单个 IT 成员执行，但环境越大，您就越希望以有限的角色和委派进行工作。

让我们看一下如何在 ADUC 中执行其中一些任务。

创建用户帐户

创建新用户是您可以在 Active Directory 用户和计算机中执行的常见任务之一。首先，导航到要在其中创建新用户帐户的 OU 或容器。

1. 右键单击容器或组织单位 (OU)，然后选择新建> 用户

1. 在“新建对象 - 用户”对话框中输入所有详细信息，例如名称和登录名。

2. 在下一个屏幕上，输入密码。最佳做法是设置临时密码，并启用“用户下次登录时必须更改密码”。这样用户就可以配置一个只有他或她知道的强密码。

1. 单击下一步和完成创建用户。

用户帐户现已创建，但您通常尚未完成。如果打开新创建的用户对象，您将看到可以输入有关用户的更多信息，例如联系方式和职位。

您通常还需要使用户成为特定组的成员，以便用户能够访问所有必需的资源。

创建新用户的一种更简单的方法通常是复制现有用户。这样，所有组成员身份都会被复制，并且公司的地址详细信息（例如）也会复制到新用户。

重置、启用和禁用帐户

当用户输入错误密码超过 5 次时，该帐户可能会被 Active Directory 阻止。我们可以通过打开 ADUC 中用户对象的上下文菜单来简单地启用或禁用该帐户。

• 右键单击用户

• 选择启用帐户

同样的方法也可用于禁用帐户或重置密码。对于后者，您将需要为用户输入新的临时密码。

添加列

默认情况下，Active Directory 用户和计算机将仅显示用户名称、对象类型和描述。但是，向概述中添加更多列可能会很有用。例如，您可以在概览中显示用户的部门、职位或电话号码。

这样，如果您只想检查或验证某些信息，则不必打开每次使用。

要更改列，请单击查看> 添加/删除列，然后选择要包含的列。

显示高级属性

默认情况下，ADUC 将向您显示对象的基本容器和属性。对于大多数情况，这已经足够了，但在某些情况下，您需要修改特定属性。例如，当您需要设置 proxyAddresses 属性时。

要查看所有属性和容器，您需要启用 ADUC 中的高级功能。单击查看>高级功能以启用它。

设置委派访问

委派访问允许您向用户或组授予管理 Active Directory 中的一组特定用户、计算机、组或其他对象的权限。

例如，我们的 Active Directory 中有两个站点：Amsterdam 和 Olso。我们只想让奥斯陆的 IT 人员能够访问奥斯陆的 AD 对象。

1. 右键单击您想要授予委派访问权限的组织单位

2. 选择委派控制

3. 单击下一步，添加您想要授予访问权限的用户或安全组，然后单击下一步

1. 选择您想要授予的权限，例如，仅重置用户密码，或创建和删除帐户的完全访问权限。如果需要，您还可以创建自定义任务。

1. 选择权限后，单击下一步和完成分配权限。

寻找物体

在较大的环境中，有时可能很难找到特定的计算机或用户。您还可以使用 Active Directory 用户和计算机中的搜索功能来快速找到它，而不是单击所有 OU 或容器。

搜索功能从选定的容器或 OU 向下进行。因此，如果您选择默认的“用户”容器，那么它将仅在用户中搜索。

就我个人而言，我总是在域级别进行搜索。为此，只需右键单击您的域名(1)，然后选择“查找”。

在“查找”对话框中，您需要选择要搜索的内容(2)。默认情况下，选择用户、联系人和组。但您也可以搜索计算机、打印机或组织单位等。

输入您要搜索的名称或部分名称，然后单击立即查找

您还可以使用高级搜索选项，该选项允许您指定多个搜索条件。例如，我们可以找到具有特定职位的所有员工：

使用查询

Active Directory 用户和计算机中保存的查询通常是一个被忽视的功能，但它非常方便。它允许您在 Active Directory 中创建自定义搜索查询并保存它们。

您可以使用一些内置查询、使用高级搜索功能，甚至为搜索文件夹创建您自己的 LDAP 查询。

创建的一个简单示例是非活动帐户查询：

1. 右键单击已保存的查询并选择新建>查询

2. 输入名称（这就是它在侧边栏中的显示方式）

3. 选择您要运行查询的文件夹，例如您的用户

4. 单击定义查询

1. 选择自上次登录以来的天数，例如将其设置为 30 天。

2. 单击确定（两次）创建搜索查询并查看结果。

包起来

通过在计算机上安装 Active Directory 用户和计算机，您可以轻松管理 Active Directory，而无需每次都登录域控制器。

如果您不经常使用 PowerShell，请确保尝试“保存的查询”功能来创建您自己的集合。这些确实可以节省您日常工作的时间。

我希望这篇文章对您有所帮助，如果您有任何疑问，请在下面发表评论。