創建與管理Active Directory

創 建Active Directory 2012網域

企業若想要讓大量的Windows 8以上版本的客戶端，在內部網絡中獲得最佳的集中管理，建立由Windows Server 2012以上版本為基礎的Active Directory網域環境，便是最好的選擇。全新的Windows Server 2012采用了如同Windows 8的界面設計，因此在許多管理工具上的操作設計也有了一些改變，就以“服務器管理員”工具來說，它全新的界面設計便是所有系統管理人員首要熟悉的重點。

在每一次操作系統完成登錄時，系統默認會開啟“服務器管理員”界面，而在它首頁的“儀表板”中，可以點擊“新增角色及功能”的超連接，來創建全新的Windows Server 2012網域服務。在“安裝類型”頁面中，選取“角色型或功能型安裝”。點擊“下一步”。

在“服務器選取項目”頁面中，可以通過選取選定的Windows Server 2012服務器或脫機的虛擬硬盤文件，來作為服務器角色與功能安裝的目標。關于這方面的彈性管理方式，也是Windows Server 2012在“服務器管理員”工具設計上的一大改進。點擊“下一步”。

在“服務器角色”頁面中， 將“Active Directory網域服務”的項目勾選，勾選時，將會出現“新增角色及功能向導”窗口，點擊“新增功能”并點擊“下一步”。在“功能”頁面中，基本上是不需要再勾選任何“功能”項目，除非您有其他管理功能的需求，可以在此頁面中一并加入安裝之中。點擊“下一步”。

在“確認安裝選項”頁面中，可以看到即將安裝的網域服務以及所有與Active Directory相關的管理工具。在管理工具部分，后續管理員也可以自行在其他的Windows Server 2012主機上，通過“功能”的新增完成安裝，以利于遠程的連接管理需求。至于給予Windows 8的遠程服務器管理工具，則可以到以下官方網站來下載安裝。點擊“安裝”繼續。

https://www.microsoft.com/zh-CN/download/details.aspx?id=28972

設定Active Directory

完成Active Directory網絡服務角色安裝之后。如果要立即設置新域控制器，請點擊“將此服務器升級為域控制器”超連接，如果要之后再進行設置，請點擊“關閉”。關于新域控制器的設置向導，在后續要如何來進行開啟，很簡單，基本上只要回到“儀表板”頁面中，點擊上方的驚嘆號圖示，即可看到“將此服務器升級為域控制器”的超連接。

首先，在“部署設置”頁面中，先選取“新增樹系”，然后在“根域名稱”中輸入新的域名，點擊“下一步”準備創建全新的樹系與網域。在“域控制器選項”頁面中，首先可以設置樹系功能等級與網域功能等級，關于此兩項設置必須按照后續可能會安裝的域控制器版本而定。也就是說，如果您打算在此Active Directory中設置舊版的Windows Server 2003域控制器，那么樹系與網域功能等級都先選擇“Windows Server 2003”，直到這些主機都升級遷移至Windows Server 2012之后，再來通過Active Directory的相關管理工具進行升級即可。

接著，確認已勾選了“域名系統（DNS）服務器”，以及設置了目錄服務恢復模式的密碼。點擊“下一步”。在“DNS選項”頁面中，由于我們設置的是第一部域控制器，因此這個委派選項是不需要設置的。點擊“下一步”。

在“其他選項”頁面中，請輸入NetBIOS域名，也就是顯示在網絡鄰居中的名稱，一般來說不需要修改采用默認值即可。接著，您可以決定是否要自定義AD DS的數據庫與記錄文件的保存路徑，一般來說采用默認值即可。點擊“下一步”。

在“查看選項”頁面中，可以看到前面所完成的各項設置值，并且可以點擊“查看腳本”來復制Windows PowerShell的Sctipt范例，讓后續創建網域服務時可以直接修改與使用。

圖1是此網域控制創建的腳本范例，簡單來說就是下達Import-Module ADDSDeployment指令搭配Install-ADDSForest選項以及相關參數設置來完成，而我們只要將此腳本保存成為.ps1的擴展名，然后在Windows PowerShell中執行即可。

最后，在“先決條件檢查”頁面中，如果沒有出現錯誤信息，即可點擊“安裝”完成新樹系的創建。待成功創建之后，需要立即重新啟動。在完成Windows Server 2012網域服務的安裝之后，將可以在“開始”頁面中，看到Active Directory的相關管理工具，包括Active Directory管理中 心、Active Directory站臺及服務、Active Directory使用者及計算機、Active Directory網域及信任、ADSI編輯器、群組政策管理以及集成Active Directory管理的Windows PowerShell。

再回到“服務器管理員”界面，可以在AD DS節點頁面中，看到目前網域中所有域控制器的服務器，如果針對它按下鼠標右鍵時，則可以選取所要開啟的相關Active Directory圖形管理工具或是命令工具。在此，我們可以開啟DCDiag命令行工具，通過搭配/s的參數來選定所要診斷的域控制器主機名，這樣，便可以立即診斷出此域控制器的健康狀態。

圖1 查看腳本

圖2 還原AD物件

善用Active Directory回收站

雖然Active Directory回收站功能早在Windows Server 2008 R2就已提供，但是當時此功能從啟用到使用，都必須通過PowerShell命令來完成。而從Windows Server 2012版本開始，我們只要像在“Active Directory管理中心”界面中，就可以通過任務欄的“Enable Recycle Bin …”選項來啟用。

接著，在往后的使用上也非常簡單，只要在相同的管理界面中進入“Deleted Objects”管理，便可以選取任何已刪除的對象（如：使用者、群組）。如圖2所示，直接以鼠標右鍵并點擊“Restore”或“Restore To”進行還原，這樣，就不必擔心不小心誤刪了重要的用戶、群組或計算機等對象了。