如何安装和使用Active Directory管理中心？

什么是 Active Directory 管理中心 (ADAC)？

Active Directory 管理中心 (ADAC) 是一个 Microsoft 工具，管理员可以使用它来管理 Active Directory 中的对象。 ADAC 在 Windows Server 2008 R2 及更高版本中可用。

ADAC 是 Windows PowerShell 之上的图形界面。这意味着每次通过 ADAC 执行操作时，Windows PowerShell cmdlet 都会在后台执行。

ADAC 与 Active Directory 用户和计算机 (ADUC) 有何不同？

ADAC 在很多方面都优于 ADUC：

• ADAC 比 ADUC 更面向任务，因此它可以帮助管理员以更少、更简单的步骤管理 Active Directory 任务。
• ADAC 支持增强的管理功能，可以简化管理员对林中多个域的处理。例如，ADUC 不允许管理员在创建新帐户时配置所有用户属性，但使用 ADAC，管理员可以一次性创建用户并添加其所有属性。
• 在 ADAC 中，密码重置和对象搜索等常用任务可直接在登录页面上使用。这些任务在 ADUC 中更加乏味；例如，要重置密码，您必须找到该对象，右键单击它，选择密码重置选项，然后键入新密码。

如何安装 ADAC？

要在 Windows Server 2019 上安装 Active Directory 管理工具，请执行以下步骤：

1. 启动服务器管理器：按 Windows + R 键启动“运行”对话框，在“打开”框中键入 servermanager，然后单击确定。

   

2. 在服务器管理器仪表板上的“快速启动”面板中，单击添加角色和功能。

   

3. 在“添加角色和功能”向导中，转到左侧的“安装类型”面板，然后选择基于角色或基于功能的安装。然后点击下一步。

   

4. 在“服务器选择”步骤中，选择从服务器池中选择服务器选项。然后选择要安装 Active Directory 管理工具的服务器并单击下一步。

   

5. 在“服务器角色”步骤中，保留默认设置并单击下一步。

   

6. 在“选择功能”步骤中，展开远程服务器管理工具，然后展开角色管理工具，并选中AD DS 和 AD LDS 工具复选框。单击下一步。如果系统提示您安装任何支持角色，请接受默认值并继续安装。

   

7. 在“确认”步骤中，检查您的选择并单击安装开始安装过程。

   

   您可以在左侧的“结果”面板中监控安装进度。

安装完成后无需重新启动服务器。您可以在服务器管理器的工具菜单下看到Active Directory管理工具。

ADAC 中引入了哪些功能？

ADAC 引入了三个管理功能：

• 活动目录回收站
• 细粒度的密码策略
• Windows PowerShell 历史记录查看器

活动目录回收站

在 Windows Server 2003 中，您可以通过逻辑删除恢复来恢复 Active Directory 删除的对象。然而，与复活的对象相关的属性（例如组成员身份）无法恢复。因此，IT 管理员不能依赖逻辑删除恢复意外删除的对象。

ADAC 中的回收站是逻辑删除恢复的增强版本，使管理员能够保留和恢复 Active Directory 中已删除的对象。启用回收站功能后，已删除对象的所有属性都将恢复为删除前相同的逻辑状态。例如，当您从 Active Directory 回收站还原用户时，他们将自动重新获得从目录中删除之前拥有的所有组成员身份和访问权限。

细粒度的密码策略

在 Windows Server 2008 之前，管理员只能为域中的所有用户设置一种类型的密码和帐户锁定策略。该策略是在域的默认域策略中指定的。如果组织希望为不同的用户制定不同的密码和帐户锁定策略，则必须创建密码过滤器或部署多个域，这两种选择的成本都很高。

通过 ADAC，管理员可以为不同的用户应用不同的密码和帐户锁定策略。例如，您可以对高特权帐户应用严格的策略，并为低特权用户帐户设置不太严格的策略，从而平衡生产力和安全性。

Windows Powershell 历史记录查看器

由于 ADAC 是基于 Windows PowerShell 构建的，因此在其用户界面中执行的每个操作都会生成一个 PowerShell 脚本，该脚本显示在 Windows PowerShell 历史记录查看器中。 IT 管理员可以使用此功能来学习脚本、创建自动化命令并减少重复任务，同时提高工作效率。

如何访问 ADAC？

要访问 ADAC，请执行以下操作：

1. 按Windows + R 键启动“运行”对话框。
2. 在打开框中键入dsac.exe。

3. 单击确定。

   

如何使用 ADAC？

ADAC 使您能够以先进且高效的方式执行各种常规 Active Directory 任务。当您启动 ADAC 控制台时，您将在登录页面的下部看到两个最常见的任务：重置密码和全局搜索。

您可以通过 ADAC 执行以下操作：

• 创建组织单位 (OU)
• 在特定 OU 中创建用户
• 重置用户密码
• 启用回收站
• 从目录中删除用户
• 恢复已删除的 AD 对象
• 查看 PowerShell 历史记录

创建组织单位

组织单位 (OU) 是 Active Directory 中的一个容器，可以容纳用户、计算机、组和其他 AD 对象。 OU 有助于保持目录整洁且结构良好。

要使用 ADAC 创建组织部门，请按照以下说明操作：

1. 在 ADAC 中，从左侧面板中选择一个域。在这里，我们选择了演示（本地）。

2. 在右侧的“任务”面板下，选择新建 > 组织单位。

   

3. 在出现的“创建组织单位”对话框中，指定新 OU 的名称和描述。这里我们选择Test-OU作为名称，Test OU for Demo作为描述。

   

4. 单击确定。

您现在可以检查域并确认新 OU 是否存在。

在特定 OU 中创建用户

当新员工加入公司时，IT 管理员必须创建他们的用户帐户，以便他们可以访问公司的资源并开始工作。以下是如何使用 ADAC 在特定 OU 中创建用户帐户：

1. 双击要在其中创建用户帐户的 OU。在本例中，我们将在 Test-OU 容器中创建一个新的用户帐户。

2. 右键单击空白区域，将鼠标悬停在新建上，然后选择用户。

   

3. 填写必填字段并为新用户帐户设置密码。

   

4. 单击确定在选定的 OU 中创建用户。

   

重置用户密码

您可以使用 ADAC 快速重置用户密码：

1. 在左侧面板中，选择全局搜索。

2. 在搜索栏中输入用户名。在右侧的任务面板中，选择重置密码。

   

3. 输入符合您的域要求的新密码，然后选中用户下次登录时必须更改密码复选框。

   

4. 单击确定。

启用回收站快速恢复已删除的AD对象

如果您不小心从目录中删除了某个对象，则可以将其恢复 - 前提是您已启用回收站功能。以下是在 ADAC 中启用回收站功能的方法：

1. 在左侧面板中，选择要为其启用回收站的域。

2. 在右侧的任务面板中，选择启用回收站选项。

   

3. 当系统提示您确认操作时，请单击确定。

   

4. ADAC 将要求您刷新控制台。再次点击确定。

   

5. 按F5键刷新ADAC。您会注意到“启用回收站”选项现在呈灰色，这意味着该功能已为该域启用。

   

从目录中删除用户

1. 导航到所需的域并选择要从中删除用户的 OU。

2. 右键单击所需的用户并选择删除。

   

3. 系统将提示您一条确认消息。单击是。

   

恢复已删除的 AD 对象

1. 在左侧面板中，单击用户域右侧的箭头，然后选择已删除对象容器。

   

2. 右键单击要恢复的 AD 对象。要将对象添加到其原始 OU，请选择恢复选项。要将其恢复到不同的 OU，请选择恢复到选项并选择所需的容器。

   

3. 验证该对象是否已从“已删除对象”容器中消失。

   

4. 转到您恢复对象的 OU 并验证它是否在那里。

   

查看 Powershell 历史记录

ADAC 中的 PowerShell 历史记录有多种用途：

• 审核和跟踪 - 您可以查看对目录所做的所有更改。
• 补救措施 - 如果进行了未经授权的修改，您可以撤销它。
• 培训和脚本创建 - 您可以查看所有操作的 PowerShell cmdlet，这可以帮助您构建脚本以自动执行重复任务并提高 IT 工作效率。

要查看 ADAC 中的 PowerShell 历史记录：

• 导航到域。

• 双击Windows PowerShell 历史记录。

  

  

使用 Netwrix GroupID 改进 Active Directory 管理

虽然 ADAC 提供了一些有价值的功能，但许多组织更喜欢全面的 AD 管理工具：Netwrix GroupID。这种易于使用的解决方案使您能够执行 ADAC 可以执行的所有任务 - 甚至更多。

以下是 Netwrix GroupID 的一些关键功能：

• 无缝的用户配置和取消配置
• 强大的群组管理
• 恢复已删除的组
• 简化的密码管理
• 受控授权
• 彻底的报告

无缝用户配置和取消配置

通过将您的目录与 Excel 文件、HR 数据库或其他权威来源的数据同步，使您的目录保持最新。 Netwrix GroupID 从源读取新用户记录并自动在 Active Directory 中创建用户帐户。

此功能使用户配置和取消配置变得极其简单和可靠。新员工可以快速入职，而离职员工则可以迅速离职，从而取消他们的访问权限。

• 彻底的报告

强大的集团管理

Netwrix GroupID 使您能够动态管理您的 AD 组。只需为组创建一个查询，它将用于评估组成员资格。这通过最新的组成员身份增强了安全性。

Netwrix GroupID 还管理组生命周期：组在指定的时间内保持活动状态，并且在组过期之前通知所有者。如果所有者不续订该组，Netwrix GroupID 会自动使其过期，然后将其删除。

恢复已删除的组

Netwrix GroupID 使管理员能够恢复已删除的组，从而恢复所有组属性、成员身份和权限。组也会恢复到其原始容器中。

简化的密码管理

Netwrix GroupID 使业务用户能够自行执行以下操作：

• 重置他们的域帐户密码
• 更改他们的密码
• 解锁他们的帐户

用户可以在完成多重身份验证 (MFA) 后执行这些操作。

帮助台团队还可以为用户重置密码和解锁帐户。他们还可以访问仪表板和实时更新来审核和检查业务用户执行的任务。

受控委派

Netwrix GroupID 使管理员能够将某些目录管理任务委托给业务用户。用户可以管理他们的个人资料、帐户、群组、工作流程等等。

全面的报告

Active Directory 不附带任何报告工具，因此管理员必须手动滚动全局地址列表 (GAL) 来查找记录。

Netwrix GroupID 提供数百个有关 Active Directory 用户、计算机、组和联系人的富有洞察力的报告，例如：

• 群组及其最后修改时间
• 没有成员的团体
• 无所有者的组
• 用户及其拥有的对象
• 残疾用户
• 没有管理员的用户
• 从未登录过的用户
• 从未登录过网络的计算机
• 禁用的计算机及其操作系统