如何访问Active Directory

教程

如果您在IT领域工作,您可能已经仔细研究过Microsoft Active Directory。但要设置和管理Active Directory (AD),您需要访问AD管理工具。

在本指南中,您将了解如何打开三个最重要的AD管理工具,即Active Directory用户和计算机(ADUC)、Active Directory管理中心(ADAC),还有更复杂配置选项的Active Directory站点和服务

如何打开Active Directory用户和计算机

让我们从域控制器(DC)上最受欢迎的工具开始,那就是Active Directory用户和计算机。要打开Active Directory用户和计算机,请登录域控制器,并从开始菜单中打开服务器管理器。现在,在服务器管理器的工具菜单中,点击Active Directory用户和计算机

要了解更多关于访问Active Directory和其他访问管理工具的方法的详细信息,请继续阅读!

威胁检测

Log360是ManageEngine的SIEM解决方案,集成了DLP和CASB功能,可以检测企业网络各个角落的威胁,涵盖终端点、防火墙、Web服务器、数据库、交换机、路由器,甚至云端来源。

Learn More

我可以使用哪些工具来配置和管理Active Directory?

在查看可以打开工具的位置之前,我将描述三个主要的图形用户界面工具,用于管理AD以及您可以使用它们做些什么!

Active Directory管理中心

Active Directory管理中心相对较新,是访问AD工具库中的一个工具,最早在Windows Server 2012中发布。它旨在为一些专业功能提供图形用户界面(GUI),使IT专业人员和管理员更容易处理AD中的日常任务。

The Active Directory Administrative Center

活动目录管理中心为活动目录回收站提供了图形用户界面。它还提供了一个图形化和高效的界面来管理细粒度密码策略

Creating a new ‘fine-grained password policy’ in the ADAC

还有一个工具叫做Windows PowerShell 历史记录查看器。它显示了在ADAC中执行操作时在幕后运行的PowerShell命令。太酷了!

Browsing the Windows PowerShell History pane

活动目录用户和计算机

Active Directory用户和计算机,绝对是访问AD最流行的工具,在域控制器上安装,并在Windows 10、Windows 11或其他成员Windows服务器中安装适当工具时作为远程访问工具添加。

The Active Directory Users and Computers app

您可以使用此工具通过各种选项和方法来操作您的AD环境,以完成日常的“IT专业人员”任务。查看我们在Petri上的指南如何安装Active Directory用户和计算机,以了解如何开始使用ADUC。

Active Directory站点和服务

Active Directory站点和服务(ADSS)用于管理您的AD域的逻辑网络布局。这是您创建和管理站点的地方 – 由网络IP子网指定的逻辑、通常是地理边界。

Active Directory Sites and Services

ADSS提供的服务包括一个接口来管理DC之间的复制

Managing multiple Sites in your Active Directory domain

如果您正在处理DC之间复制的故障排除,这是您应该查看的第一个地方!

威胁检测

Log360是ManageEngine的SIEM解决方案,具有集成的DLP和CASB功能,可检测企业网络的各个角落和部分的威胁,涵盖终端点、防火墙、Web服务器、数据库、交换机、路由器甚至云端来源。

Learn More

访问活动目录需要哪些权限?

如果您是标准的非管理员用户,在活动目录用户和计算机中可能只能“读取”目录内容(用户、计算机等)。要进行更改、添加用户和重置密码,您需要更多权限。

要访问ADUC,您至少需要对经过身份验证的用户具有“读取”访问权限。然后您可以要么将您的用户账户添加到域管理员组,要么使用ADUC中的控件委派向导为用户账户授予必要的权限。

Granting admins access to Active Directory via the Delegation of Control Wizard

活动目录的管理工具在哪里?

活动目录的管理工具可以在不同位置打开。以下是您可以找到工具的三个主要位置:

  1. 在域控制器上。
  2. 使用Windows中的远程服务器管理工具(RSAT)。
  3. 使用 PowerShell 的 AD 模块。

在域控制器上打开 Active Directory 管理工具

微软不建议在域控制器上使用管理工具管理 AD。但这在你只需完成某些任务时通常是一个高效的方式。

ADUC 是 Windows Server 域控制器上默认安装的管理工具之一(可以通过“开始”菜单访问)。即在 Windows Server 上安装 Active Directory 域服务角色 时。

登录到域控制器需要哪些权限?

您需要具有‘本地登录’最低用户权限,这可以通过不同方式授予您:成为 本地管理员组的成员 和成为 域管理员组的成员 是两种可能的选项。您也可以被赋予在 DC 上可以登录的 远程桌面用户组 的成员资格。

访问域控制器的权限,需要额外的权限,以打开从加入到域的成员服务器或工作站访问 AD 所需的权限。

在域控制器上查找 AD 管理工具的位置

正如我稍早提到的,你可以在“开始”菜单的管理工具文件夹中找到所有的AD管理员工具。

ADUC in the Administrative Tools folder

你也可以在“开始”菜单右侧找到它们的磁贴,并在完整的应用程序列表中找到它们,路径为“Windows管理工具”。

威胁检测

Log360是ManageEngine的SIEM解决方案,具有集成的DLP和CASB功能,可检测企业网络各个角落的威胁,涵盖终端点、防火墙、Web服务器、数据库、交换机、路由器,甚至云端来源。

Learn More

Accessing Windows Administrative Tools in the Start Menu

在Windows中安装AD管理员工具以访问Active Directory

不建议通过DC上的管理员工具管理Active Directory,因为这样做会增加AD域受损的风险。您应该始终尝试将工具安装在加入AD的服务器或工作站上。

但是,默认情况下,Windows中并未安装AD管理员工具。因此,以下是在Windows中安装它们的方法:

如果您使用的是Windows 10版本1803或更早的版本(您不应该使用它们,因为它们已经不再受支持!),您可以按照以下步骤操作:

  1. 下载适用于您平台的RSAT工具
  2. 运行下载的安装程序包。
  3. 单击开始菜单,所有工具应在管理工具下列出。

如果您正在运行Windows 10 版本 1809或更新版本,或者Windows 11,请按照以下步骤操作:

  1. 单击开始 -> 应用 -> 可选功能 -> 添加可选功能
  2. 在列表中向下滚动,找到以“RSAT”为前缀的项目。找到‘RSAT:Active Directory 域服务和轻量目录服务工具’。
  3. 选中复选框进行安装,然后单击安装下一步

完成安装后,这些工具将位于开始菜单的管理工具下。您可以在 Petri 上找到有关如何在 Windows 上安装远程服务器管理工具的更详细说明。

安装 Active Directory 的 PowerShell 模块

我们在这里包含的最后一个工具是用于Windows PowerShell的Active Directory模块。这也包含在所有DC上,并包含在RSAT工具中,指定为“RSAT:Active Directory域服务和轻量级目录服务工具”。

Using the PowerShell module for Active Directory

您可以浏览我的文章关于‘Get-ADUser’ PowerShell cmdlet来了解如何在您的工作站或DC上安装此模块。

结论

Active Directory已经出现大约23年了,自Windows 2000以来。现在有各种工具可用于访问您的Active Directory信息。

活动目录用户和计算机,活动目录管理中心,活动目录站点和服务,甚至 Windows 管理中心 现在都能胜任。后者多年来发展迅速,现在可以完成令人惊讶的许多活动目录任务。

威胁检测

Log360,ManageEngine 的集成 DLP 和 CASB 能力的 SIEM 解决方案,可以在企业网络的各个角落探测威胁,涵盖终端点、防火墙、Web 服务器、数据库、交换机、路由器,甚至云服务。

Learn More

相关文章:

Source:
https://petri.com/how-to-access-active-directory/