创建与管理Active Directory

创 建Active Directory 2012网域

企业若想要让大量的Windows 8以上版本的客户端，在内部网络中获得最佳的集中管理，建立由Windows Server 2012以上版本为基础的Active Directory网域环境，便是最好的选择。全新的Windows Server 2012采用了如同Windows 8的界面设计，因此在许多管理工具上的操作设计也有了一些改变，就以“服务器管理员”工具来说，它全新的界面设计便是所有系统管理人员首要熟悉的重点。

在每一次操作系统完成登录时，系统默认会开启“服务器管理员”界面，而在它首页的“仪表板”中，可以点击“新增角色及功能”的超连接，来创建全新的Windows Server 2012网域服务。在“安装类型”页面中，选取“角色型或功能型安装”。点击“下一步”。

在“服务器选取项目”页面中，可以通过选取选定的Windows Server 2012服务器或脱机的虚拟硬盘文件，来作为服务器角色与功能安装的目标。关于这方面的弹性管理方式，也是Windows Server 2012在“服务器管理员”工具设计上的一大改进。点击“下一步”。

在“服务器角色”页面中， 将“Active Directory网域服务”的项目勾选，勾选时，将会出现“新增角色及功能向导”窗口，点击“新增功能”并点击“下一步”。在“功能”页面中，基本上是不需要再勾选任何“功能”项目，除非您有其他管理功能的需求，可以在此页面中一并加入安装之中。点击“下一步”。

在“确认安装选项”页面中，可以看到即将安装的网域服务以及所有与Active Directory相关的管理工具。在管理工具部分，后续管理员也可以自行在其他的Windows Server 2012主机上，通过“功能”的新增完成安装，以利于远程的连接管理需求。至于给予Windows 8的远程服务器管理工具，则可以到以下官方网站来下载安装。点击“安装”继续。

https://www.microsoft.com/zh-CN/download/details.aspx?id=28972

设定Active Directory

完成Active Directory网络服务角色安装之后。如果要立即设置新域控制器，请点击“将此服务器升级为域控制器”超连接，如果要之后再进行设置，请点击“关闭”。关于新域控制器的设置向导，在后续要如何来进行开启，很简单，基本上只要回到“仪表板”页面中，点击上方的惊叹号图示，即可看到“将此服务器升级为域控制器”的超连接。

首先，在“部署设置”页面中，先选取“新增树系”，然后在“根域名称”中输入新的域名，点击“下一步”准备创建全新的树系与网域。在“域控制器选项”页面中，首先可以设置树系功能等级与网域功能等级，关于此两项设置必须按照后续可能会安装的域控制器版本而定。也就是说，如果您打算在此Active Directory中设置旧版的Windows Server 2003域控制器，那么树系与网域功能等级都先选择“Windows Server 2003”，直到这些主机都升级迁移至Windows Server 2012之后，再来通过Active Directory的相关管理工具进行升级即可。

接着，确认已勾选了“域名系统（DNS）服务器”，以及设置了目录服务恢复模式的密码。点击“下一步”。在“DNS选项”页面中，由于我们设置的是第一部域控制器，因此这个委派选项是不需要设置的。点击“下一步”。

在“其他选项”页面中，请输入NetBIOS域名，也就是显示在网络邻居中的名称，一般来说不需要修改采用默认值即可。接着，您可以决定是否要自定义AD DS的数据库与记录文件的保存路径，一般来说采用默认值即可。点击“下一步”。

在“查看选项”页面中，可以看到前面所完成的各项设置值，并且可以点击“查看脚本”来复制Windows PowerShell的Sctipt范例，让后续创建网域服务时可以直接修改与使用。

图1是此网域控制创建的脚本范例，简单来说就是下达Import-Module ADDSDeployment指令搭配Install-ADDSForest选项以及相关参数设置来完成，而我们只要将此脚本保存成为.ps1的扩展名，然后在Windows PowerShell中执行即可。

最后，在“先决条件检查”页面中，如果没有出现错误信息，即可点击“安装”完成新树系的创建。待成功创建之后，需要立即重新启动。在完成Windows Server 2012网域服务的安装之后，将可以在“开始”页面中，看到Active Directory的相关管理工具，包括Active Directory管理中 心、Active Directory站台及服务、Active Directory使用者及计算机、Active Directory网域及信任、ADSI编辑器、群组政策管理以及集成Active Directory管理的Windows PowerShell。

再回到“服务器管理员”界面，可以在AD DS节点页面中，看到目前网域中所有域控制器的服务器，如果针对它按下鼠标右键时，则可以选取所要开启的相关Active Directory图形管理工具或是命令工具。在此，我们可以开启DCDiag命令行工具，通过搭配/s的参数来选定所要诊断的域控制器主机名，这样，便可以立即诊断出此域控制器的健康状态。

图1 查看脚本

图2 还原AD物件

善用Active Directory回收站

虽然Active Directory回收站功能早在Windows Server 2008 R2就已提供，但是当时此功能从启用到使用，都必须通过PowerShell命令来完成。而从Windows Server 2012版本开始，我们只要像在“Active Directory管理中心”界面中，就可以通过任务栏的“Enable Recycle Bin …”选项来启用。

接着，在往后的使用上也非常简单，只要在相同的管理界面中进入“Deleted Objects”管理，便可以选取任何已删除的对象（如：使用者、群组）。如图2所示，直接以鼠标右键并点击“Restore”或“Restore To”进行还原，这样，就不必担心不小心误删了重要的用户、群组或计算机等对象了。