如果您在IT領域工作,您可能已經仔細研究了Microsoft Active Directory。但是,要設置和管理Active Directory(AD),您需要訪問AD管理工具。
在本指南中,您將學習如何打開三個最重要的AD管理工具,即Active Directory Users and Computers(ADUC)、Active Directory管理中心(ADAC),還有Active Directory網站和服務用於更複雜的配置選項。
如何打開Active Directory Users and Computers
讓我們從域控制器(DC)上最流行的工具Active Directory Users and Computers開始。要打開Active Directory Users and Computers,請登錄到域控制器,然後從 開始 菜單中打開Server Manager。現在,在Server Manager的工具 菜單中,點擊Active Directory Users and Computers。
有關訪問Active Directory和訪問管理工具的其他方法的更多詳細信息,請繼續閱讀!
Log360是ManageEngine的SIEM解決方案,具有集成的DLP和CASB功能,可檢測企業網絡各個角落的威脅,包括端點、防火牆、Web 服務器、數據庫、交換機、路由器甚至雲端來源。
我可以使用哪些工具來配置和管理Active Directory?
在介紹您可以打開這些工具的位置之前,我將描述用於管理AD的三個主要圖形用戶界面工具以及您可以使用它們進行的操作!
Active Directory 管理中心
Active Directory 管理中心是相對較新的工具之一,可用於訪問AD,首次與Windows Server 2012一起發布。它旨在為一些專業功能提供圖形用戶界面(GUI),以便IT專業人員和管理員更輕松地處理AD中的常規任務。
活動目錄管理中心提供用於活動目錄回收站的圖形用戶界面。它還提供了一個圖形化和高效的界面,用於管理細粒度密碼策略。
還有一個工具叫做Windows PowerShell 歷史檢視器。它顯示在執行 ADAC 操作時背後運行的 PowerShell 命令。太酷了!
活動目錄使用者和電腦
Active Directory Users and Computers,絕對是訪問 AD 的最受歡迎工具,安裝在域控制器上,並在安裝適當的工具時添加為遠程訪問工具,支持 Windows 10、Windows 11 或其他成員 Windows 伺服器。
您可以使用此工具來操作您的 AD 環境,以實現您的日常「IT 專業人員」任務的多種選項和方法。查看我們在 Petri 上的指南,了解有關如何開始使用 ADUC 的更多信息。
Active Directory Sites and Services
活動目錄站點和服務(ADSS)用於管理您的 AD 域的邏輯網路佈局。這是您創建和管理站點的地方 – 由網路 IP 子網指定的邏輯、通常是地理邊界。
ADSS 提供的服務包括一個界面,用於 管理 DC 之間的複製。
如果您正在處理 DC 之間的複製故障排除,這是您應該查看的第一個地方!
Log360是ManageEngine的SIEM解决方案,具有集成的DLP和CASB功能,可检测企业网络的威脅,覆盖端點、防火牆、Web伺服器、資料庫、交換機、路由器甚至雲端來源。
需要哪些許可權才能訪問Active Directory?
如果您是標準的非管理員用戶,在Active Directory Users and Computers中您只能能夠“讀取”目錄內容(用戶、計算機等),要做更多變更、添加用戶和重設密碼,您需要更多的許可權。
為了訪問ADUC,您至少需要對已驗證用戶 群組具有“讀取”訪問權限。然後,您可以將您的用戶帳戶添加到域管理員群組或使用ADUC中的控制委派精靈僅授予用戶帳戶必要的權限。
Active Directory的管理工具放在哪裡?
Active Directory的管理工具可在不同位置打開。以下是您可以找到工具的三個主要位置:
- 在域控制器上。
- 使用Windows中的遠程伺服器管理工具(RSAT)。
- 使用 PowerShell 的 AD 模組。
在域控制器上打開活動目錄管理工具
使用域控制器上的管理工具來管理 AD 不被 Microsoft 推薦。但這通常是在您只需要完成任務時的首選和高效方式。
ADUC 是其中一個管理工具(通過“開始”菜單訪問),在 Windows Server 域控制器上默認安裝。即在 Windows Server 上安裝 Active Directory 域服務角色 時。
登入域控制器需要哪些權限?
您需要最低用戶權限“本地登入”,這些權限可以通過不同方式授予給您:成為 本地管理員群組的成員 和成為 域管理員群組的成員 是兩個可能的選項。您也可以被授予在域控制器上的 遠程桌面用戶組的成員資格 來登入。
訪問域控制器所需的權限,除了打開來自加入您域的成員服務器或工作站的 AD 所需的權限之外。
在域控制器上查找AD管理工具的位置
正如我稍早提到的,您可以在「開始」功能表中的「管理工具」資料夾中找到所有的 AD 管理工具。
您也可以在「開始」功能表右側以磚塊形式找到它們,在完整應用程式清單中位於「Windows 管理工具」下方。
Log360,ManageEngine 的整合 DLP 和 CASB 功能的 SIEM 解決方案,可檢測企業網路的各個角落中的威脅,覆蓋端點、防火牆、網頁伺服器、資料庫、交換器、路由器,甚至雲端來源。
在 Windows 中安裝 AD 管理工具以存取 Active Directory
通過 DC 上的管理工具來管理 Active Directory 不被建議,因為這樣會增加您的 AD 網域受到威脅的風險。您應該試著將這些工具安裝在已加入 AD 的伺服器或工作站上。
但是,AD 管理工具在 Windows 中並非預設安裝。因此,這裡是您可以在 Windows 中安裝它們的方式:
如果您正在運行 Windows 10 1803 版本或之前的版本(您不應該是這樣,因為它們已經不再受支援!),您可以按照以下步驟操作:
- 下載適用於您的平台的 RSAT 工具。
- 運行下載的安裝程式包。
- 點擊您的 開始菜單,所有工具應該在管理工具下列出。
如果你運行的是 Windows 10 版本 1809或更新版本或 Windows 11,請按照以下步驟進行:
- 點擊 開始 -> 應用程式 -> 選用功能 -> 添加選用功能。
- 在列表中向下滾動,找到以“RSAT”開頭的項目。找到 “RSAT: Active Directory Domain Services and Lightweight Directory Services Tools。”
- 勾選該框以安裝它,然後點擊 安裝或 下一步。
就這樣!安裝完成後,這些工具將出現在您的開始菜單中的管理工具下。您可以在 Petri 上找到有關 如何在 Windows 上安裝遠端伺服器管理工具的更詳細說明。
安裝 Active Directory 的 PowerShell 模組
我們在這裡包含的最後一個工具是Windows PowerShell的Active Directory模組。這也包含在所有DC中,並包含在指定為‘RSAT: Active Directory域服務和輕量級目錄服務工具’的RSAT工具中。
您可以瀏覽關於如何在您的工作站或DC上安裝此模組的‘Get-ADUser’ PowerShell cmdlet的文章。
結論
Active Directory已經存在大約23年,自Windows 2000以來。現在有各種工具可用於訪問您的Active Directory信息。
Active Directory 使用者與電腦、Active Directory 管理中心、Active Directory 站台與服務,甚至 Windows 管理中心 現在都可以勝任。 後者多年來已經有很大的發展,現在您可以使用它來完成許多 AD 中的任務。
Log360,ManageEngine 的具備整合的 DLP 和 CASB 功能的 SIEM 解決方案,可以檢測企業網絡的各個角落中的威脅,包括端點、防火牆、Web 伺服器、資料庫、交換機、路由器,甚至是雲端來源。
相關文章: