使用 Active Directory 管理中心启动 AD

管理用户和权限可能会很糟糕，特别是如果您刚开始担任管理员。但好消息是 Active Directory 管理中心 (ADAC) 即将推出。

无论是创建用户、重置密码还是更改用户权限，ADAC 都能胜任这项任务。在本教程中，您将学习如何以专业水平部署和利用 ADAC。

还觉得兴奋吗？继续阅读并开始您的 ADAC 管理员之旅！

一款免费的只读工具，可扫描您的 AD 并生成多个交互式报告，供您衡量密码策略针对暴力攻击的有效性。立即下载 Specops 密码审核器！

先决条件

如果您计划遵循本教程中的示例，请确保您拥有 Windows Server。本教程使用 Windows Server 2019，但更高版本也适用。

在 Windows Server 2019+ 上安装 Active Directory

Active Directory (AD) 是一种目录服务，使像您这样的管理员能够管理权限并控制对网络资源的访问。但由于默认情况下 AD 并未随 Windows Server 一起安装，因此您首先必须通过服务器管理器安装 AD。

1. 从开始菜单打开服务器管理器。

2. 在服务器管理器上，单击管理（右上角），然后选择添加角色和功能选项。弹出安装向导，您可以在其中安装 AD。

3. 勾选默认跳过此页面选项，然后单击下一步，因为此页面纯粹是介绍性的。

4. 在“安装类型”部分下，选择“基于角色或基于功能的安装”，因为您在单个服务器上工作，而不是 VDI 的一部分，然后单击“下一步”。

5. 现在，选择“从池中选择服务器”选项，选择相关服务器作为安装目标，然后单击“下一步”。

在此过程中，选择您希望作为 DC 的服务器至关重要。如果您在环境中的第一台主机上工作，则池中将只有一台服务器。但如果您位于具有现有服务的实时环境中，您将看到该环境中的其他服务器。

6. 勾选“Active Directory 域服务”选项，如果缺少相关功能，可能会弹出一个附加窗口。

7. 确认依赖关系，然后单击“添加功能”。

8. 确认已选择“Active Directory 域服务”选项，然后单击“下一步”。

9. 将“功能”部分中的所有内容保留为默认值，然后单击“下一步”。

10. 请随意查看 AD DS 介绍，然后单击“下一步”。

11. 确认您的安装选择，然后单击“安装”。这样做会启动 AD 在您的服务器上的安装。

12. 最后，安装完成后单击“关闭”。您已成功安装ADAC，从现在开始，您将体验灵活的AD管理。

配置AD安装

即使安装后，AD 仍然需要配置服务器才能升级为域控制器。这样做可以让您的服务器成为 AD 域的权威，这对于主机识别哪台服务器是域控制器至关重要。

1. 在服务器管理器上，选择标志旁边的黄色感叹号（右上角），然后单击“将此服务器提升为域控制器”链接。

Active Directory 域服务配置向导将打开，您将在其中配置新的域控制器。

2. 在部署配置下，选择添加新林选项。森林是 AD 用于定义域并将域分组在一起的构造。

指定根域名，然后单击“下一步”。本教程选择的根域名是 testdomain12.tk。

在本教程中，您将创建一个新的林，但也可以加入现有域来扩展您的空间。

3. 保留域控制器选项中的默认设置，仅定义您所需的密码。

如果您的服务器找不到 DNS 的权威父级，您将遇到以下警告消息。

此消息只是提醒您设置现有的 DNS 记录以正确解析您的域名。仅当您想要将域集成到现有基础架构中时，此操作才适用。

如果没有，并且您正在使用此服务器作为新的 DNS 父主机构建新的基础设施，请忽略此消息。

4. 取消选中“创建 DNS 委派”选项，然后单击“下一步”。

5. 现在，保留默认的 NetBIOS 域名，然后单击“下一步”。

默认情况下，向导将 NetBIOS 域名设置为您在第二步中在根域名中提供的域名的缩写版本。

尽管您可以更改 NetBIOS 域名，但最佳做法是将其保留为默认值，因为它与您的域相关。

6. 与前面的步骤一样，保留默认路径来定义安装的本地目录。

7. 检查安装选项，当您对一切感到满意时单击“下一步”。

8. 向导验证您的配置并确保一切准备就绪后，单击安装。

如果您看到“所有先决条件检查已成功通过”消息（如下所示），则可以继续安装。如果没有，请单击“显示更多”并进一步调查。

安装完成后，您的服务器将重新启动。

9. 最后，重新启动后打开服务器管理器并导航到“本地服务器”选项卡（左窗格）。您将看到工作组已更改为您的根域名 (testdomain12.tk)，这确认您的服务器现在位于该域中。

创建组织单位

组织单位（或 OU）是一个容器，旨在组织您的环境，保持整洁和安全。在为 OU 成员设置特定权限时，OU 特别有用。

要在域的主林目录中创建 OU：

1. 从“开始”菜单打开 Active Directory 管理中心 (ADAC)。

2. ADAC 打开后，从左侧窗格中选择您的托管域，如下所示。

3. 在“任务”面板（最右侧）中，选择所选域下的新建 —> 组织单位。这样做会打开一个对话框，您可以在其中配置新的 OU（第四步）。

如果默认情况下未显示“任务”面板，请单击“管理”（右上角）—>“任务窗格”。

4. 现在，为新 OU 指定名称和简短说明，然后单击“确定”以创建 OU。本教程使用 TestOU 作为 OU 的名称。

5. 最后，选择您的域，并确认新 OU 的存在，如下所示。

将用户添加到组织部门

员工入职时需要访问组织的资源。通常，您的第一个任务是在 AD 中添加用户帐户并稍后提供必要的权限。

要将用户添加到您的 OU：

1. 双击所需的目录或 OU。访问新创建的OU

2、接下来，在空白表格列表中右键—>新建—>用户，开始创建新用户。

3. 最后，填写必填字段（标有红色星号）以及用户密码，然后单击“确定”创建新用户。

全名和用户 SamAccountName 登录名是唯一的必填字段。但是，正如您通过可选字段的数量所看到的，有许多可自定义的字段可用。例如，全名、中间名缩写和姓氏将转换为用户的帐户和任何使用 SSO（AD 用户登录集成）的应用程序。

返回 ADAC 的主窗口，您将在 OU 中看到新创建的用户。

重置用户密码

也许其中一位用户忘记了密码（这种情况经常发生）。如果是这样，您需要找到相关用户并重置其密码。幸运的是，ADAC 能够胜任这项任务。

重置用户密码：

1. 打开 ADAC，突出显示用户所在的域，然后单击“任务”窗格中此节点选项下的“搜索”，如下所示。

全局搜索选项出现在左窗格中（步骤三）。

2. 接下来，单击“全局搜索”选项（左窗格），输入用户名（或任何用户标识属性，例如名字或姓氏），然后按 Enter 搜索用户。

3. 选择用户，然后单击任务面板中的重置密码。将打开一个对话框，您可以在其中重置用户密码（第四步）。

如果您要删除用户或任何 AD 对象，请选择“删除”选项。当员工离开公司时，删除 AD 中的用户帐户对于关闭访问至关重要，这样他们就无法重新登录造成严重破坏。

4. 最后，使用以下命令重置用户密码：

• 输入随机密码并确认密码。使密码符合您的组织要求。

• 勾选用户下次登录时必须更改密码登录选项，要求用户在登录帐户之前更改密码。

• 单击“确定”完成用户密码的重置。

恢复用户或任何 AD 对象

当您意外删除某个对象（例如用户或组）时，您需要恢复该对象。但如何呢？只要启用回收站，您就可以恢复任何对象。

因此，在对您的域进行任何重大更改之前，请务必先启用回收站：

1. 选择相关域（左窗格），然后单击任务窗格下的启用回收站选项，如下所示，以启用回收站。

2. 接下来，当出现以下消息提示时，单击“确定”以确认启用回收站。

3. 再次单击“确定”以确认更改。

4. 按F5键刷新ADAC，启用回收站选项现在呈灰色，表示回收站已启用。

您现在可以安全地删除对象并在必要时恢复它们。

5. 现在，使用以下命令删除用户：

• 导航到您的域。

• 选择用户所在的 OU。

• 右键单击该用户并选择删除选项以删除该用户。

6. 单击域旁边的右箭头图标（左窗格），然后选择“已删除对象”容器以查看所有已删除对象的列表。

7. 右键单击已删除对象列表中的用户，然后选择“还原”选项，将用户还原到其原始 OU。但如果您希望将用户还原到不同的容器/OU，请选择“还原到”选项。

如果您选择将用户恢复到其他位置，则会出现下面的弹出窗口，您可以在其中选择恢复位置。

一旦恢复，用户就会从“已删除对象”容器中消失。

8. 最后，单击您创建用户的 OU，您将看到用户回到该 OU 中。

在 ADAC 中查看 PowerShell 历史记录

假设您的一位同事对您的域控制器进行了未经授权的更改。当然，您需要查看历史记录并尽快了解进行了哪些更改，ADAC 可以提供帮助。

导航到您的域，然后单击底部的 WINDOWS POWERSHELL HISTORY 部分以展开该部分，因为该部分默认情况下处于最小化状态。

展开后，您可以看到 PowerShell 历史记录，因为 PowerShell 会针对您在 ADAC 中所做的所有更改运行命令。通过查看历史记录，您可以识别对您的域进行了哪些未经授权的更改，并最终撤销它们。

在下面，您可以看到使用 Remove-ADObject cmdlet 删除了一个对象（用户）。现在您可以将已删除的用户恢复到其 OU。

扩展组策略的功能并简化细粒度密码策略的管理。使用 Specops 密码策略将字典和密码短语设置定位到任何 GPO 级别、组、用户或计算机。免费试用！

结论

本教程旨在提高您从头开始管理 AD 实例的能力。做得好吗？您已经完成了实例的安装和配置、用户、对象和组织单位的管理，使您能够管理一个简单的环境。

现在，您可以放心地管理域中的对象，而不必担心它们是否被删除，因为您始终只需单击几下即可从回收站恢复它们。

如果您的大型组织变得一团糟，请考虑清理您的 AD。