創(chuàng)建與管理Active Directory

創(chuàng) 建Active Directory 2012網(wǎng)域

企業(yè)若想要讓大量的Windows 8以上版本的客戶端，在內(nèi)部網(wǎng)絡(luò)中獲得最佳的集中管理，建立由Windows Server 2012以上版本為基礎(chǔ)的Active Directory網(wǎng)域環(huán)境，便是最好的選擇。全新的Windows Server 2012采用了如同Windows 8的界面設(shè)計(jì)，因此在許多管理工具上的操作設(shè)計(jì)也有了一些改變，就以“服務(wù)器管理員”工具來(lái)說(shuō)，它全新的界面設(shè)計(jì)便是所有系統(tǒng)管理人員首要熟悉的重點(diǎn)。

在每一次操作系統(tǒng)完成登錄時(shí)，系統(tǒng)默認(rèn)會(huì)開啟“服務(wù)器管理員”界面，而在它首頁(yè)的“儀表板”中，可以點(diǎn)擊“新增角色及功能”的超連接，來(lái)創(chuàng)建全新的Windows Server 2012網(wǎng)域服務(wù)。在“安裝類型”頁(yè)面中，選取“角色型或功能型安裝”。點(diǎn)擊“下一步”。

在“服務(wù)器選取項(xiàng)目”頁(yè)面中，可以通過(guò)選取選定的Windows Server 2012服務(wù)器或脫機(jī)的虛擬硬盤文件，來(lái)作為服務(wù)器角色與功能安裝的目標(biāo)。關(guān)于這方面的彈性管理方式，也是Windows Server 2012在“服務(wù)器管理員”工具設(shè)計(jì)上的一大改進(jìn)。點(diǎn)擊“下一步”。

在“服務(wù)器角色”頁(yè)面中， 將“Active Directory網(wǎng)域服務(wù)”的項(xiàng)目勾選，勾選時(shí)，將會(huì)出現(xiàn)“新增角色及功能向?qū)А贝翱?，點(diǎn)擊“新增功能”并點(diǎn)擊“下一步”。在“功能”頁(yè)面中，基本上是不需要再勾選任何“功能”項(xiàng)目，除非您有其他管理功能的需求，可以在此頁(yè)面中一并加入安裝之中。點(diǎn)擊“下一步”。

在“確認(rèn)安裝選項(xiàng)”頁(yè)面中，可以看到即將安裝的網(wǎng)域服務(wù)以及所有與Active Directory相關(guān)的管理工具。在管理工具部分，后續(xù)管理員也可以自行在其他的Windows Server 2012主機(jī)上，通過(guò)“功能”的新增完成安裝，以利于遠(yuǎn)程的連接管理需求。至于給予Windows 8的遠(yuǎn)程服務(wù)器管理工具，則可以到以下官方網(wǎng)站來(lái)下載安裝。點(diǎn)擊“安裝”繼續(xù)。

https://www.microsoft.com/zh-CN/download/details.aspx?id=28972

設(shè)定Active Directory

完成Active Directory網(wǎng)絡(luò)服務(wù)角色安裝之后。如果要立即設(shè)置新域控制器，請(qǐng)點(diǎn)擊“將此服務(wù)器升級(jí)為域控制器”超連接，如果要之后再進(jìn)行設(shè)置，請(qǐng)點(diǎn)擊“關(guān)閉”。關(guān)于新域控制器的設(shè)置向?qū)В诤罄m(xù)要如何來(lái)進(jìn)行開啟，很簡(jiǎn)單，基本上只要回到“儀表板”頁(yè)面中，點(diǎn)擊上方的驚嘆號(hào)圖示，即可看到“將此服務(wù)器升級(jí)為域控制器”的超連接。

首先，在“部署設(shè)置”頁(yè)面中，先選取“新增樹系”，然后在“根域名稱”中輸入新的域名，點(diǎn)擊“下一步”準(zhǔn)備創(chuàng)建全新的樹系與網(wǎng)域。在“域控制器選項(xiàng)”頁(yè)面中，首先可以設(shè)置樹系功能等級(jí)與網(wǎng)域功能等級(jí)，關(guān)于此兩項(xiàng)設(shè)置必須按照后續(xù)可能會(huì)安裝的域控制器版本而定。也就是說(shuō)，如果您打算在此Active Directory中設(shè)置舊版的Windows Server 2003域控制器，那么樹系與網(wǎng)域功能等級(jí)都先選擇“Windows Server 2003”，直到這些主機(jī)都升級(jí)遷移至Windows Server 2012之后，再來(lái)通過(guò)Active Directory的相關(guān)管理工具進(jìn)行升級(jí)即可。

接著，確認(rèn)已勾選了“域名系統(tǒng)（DNS）服務(wù)器”，以及設(shè)置了目錄服務(wù)恢復(fù)模式的密碼。點(diǎn)擊“下一步”。在“DNS選項(xiàng)”頁(yè)面中，由于我們?cè)O(shè)置的是第一部域控制器，因此這個(gè)委派選項(xiàng)是不需要設(shè)置的。點(diǎn)擊“下一步”。

在“其他選項(xiàng)”頁(yè)面中，請(qǐng)輸入NetBIOS域名，也就是顯示在網(wǎng)絡(luò)鄰居中的名稱，一般來(lái)說(shuō)不需要修改采用默認(rèn)值即可。接著，您可以決定是否要自定義AD DS的數(shù)據(jù)庫(kù)與記錄文件的保存路徑，一般來(lái)說(shuō)采用默認(rèn)值即可。點(diǎn)擊“下一步”。

在“查看選項(xiàng)”頁(yè)面中，可以看到前面所完成的各項(xiàng)設(shè)置值，并且可以點(diǎn)擊“查看腳本”來(lái)復(fù)制Windows PowerShell的Sctipt范例，讓后續(xù)創(chuàng)建網(wǎng)域服務(wù)時(shí)可以直接修改與使用。

圖1是此網(wǎng)域控制創(chuàng)建的腳本范例，簡(jiǎn)單來(lái)說(shuō)就是下達(dá)Import-Module ADDSDeployment指令搭配Install-ADDSForest選項(xiàng)以及相關(guān)參數(shù)設(shè)置來(lái)完成，而我們只要將此腳本保存成為.ps1的擴(kuò)展名，然后在Windows PowerShell中執(zhí)行即可。

最后，在“先決條件檢查”頁(yè)面中，如果沒有出現(xiàn)錯(cuò)誤信息，即可點(diǎn)擊“安裝”完成新樹系的創(chuàng)建。待成功創(chuàng)建之后，需要立即重新啟動(dòng)。在完成Windows Server 2012網(wǎng)域服務(wù)的安裝之后，將可以在“開始”頁(yè)面中，看到Active Directory的相關(guān)管理工具，包括Active Directory管理中 心、Active Directory站臺(tái)及服務(wù)、Active Directory使用者及計(jì)算機(jī)、Active Directory網(wǎng)域及信任、ADSI編輯器、群組政策管理以及集成Active Directory管理的Windows PowerShell。

再回到“服務(wù)器管理員”界面，可以在AD DS節(jié)點(diǎn)頁(yè)面中，看到目前網(wǎng)域中所有域控制器的服務(wù)器，如果針對(duì)它按下鼠標(biāo)右鍵時(shí)，則可以選取所要開啟的相關(guān)Active Directory圖形管理工具或是命令工具。在此，我們可以開啟DCDiag命令行工具，通過(guò)搭配/s的參數(shù)來(lái)選定所要診斷的域控制器主機(jī)名，這樣，便可以立即診斷出此域控制器的健康狀態(tài)。

圖1 查看腳本

圖2 還原AD物件

善用Active Directory回收站

雖然Active Directory回收站功能早在Windows Server 2008 R2就已提供，但是當(dāng)時(shí)此功能從啟用到使用，都必須通過(guò)PowerShell命令來(lái)完成。而從Windows Server 2012版本開始，我們只要像在“Active Directory管理中心”界面中，就可以通過(guò)任務(wù)欄的“Enable Recycle Bin …”選項(xiàng)來(lái)啟用。

接著，在往后的使用上也非常簡(jiǎn)單，只要在相同的管理界面中進(jìn)入“Deleted Objects”管理，便可以選取任何已刪除的對(duì)象（如：使用者、群組）。如圖2所示，直接以鼠標(biāo)右鍵并點(diǎn)擊“Restore”或“Restore To”進(jìn)行還原，這樣，就不必?fù)?dān)心不小心誤刪了重要的用戶、群組或計(jì)算機(jī)等對(duì)象了。