創(chuàng) 建Active Directory 2012網(wǎng)域

企業(yè)若想要讓大量的Windows 8以上版本的客戶端，在內(nèi)部網(wǎng)絡(luò)中獲得最佳的集中管理，建立由Windows Server 2012以上版本為基礎(chǔ)的Active Directory網(wǎng)域環(huán)境，便是最好的選擇。全新的Windows Server 2012采用了如同Windows 8的界面設(shè)計，因此在許多管理工具上的操作設(shè)計也有了一些改變，就以“服務(wù)器管理員”工具來說，它全新的界面設(shè)計便是所有系統(tǒng)管理人員首要熟悉的重點。

在每一次操作系統(tǒng)完成登錄時，系統(tǒng)默認(rèn)會開啟“服務(wù)器管理員”界面，而在它首頁的“儀表板”中，可以點擊“新增角色及功能”的超連接，來創(chuàng)建全新的Windows Server 2012網(wǎng)域服務(wù)。在“安裝類型”頁面中，選取“角色型或功能型安裝”。點擊“下一步”。

在“服務(wù)器選取項目”頁面中，可以通過選取選定的Windows Server 2012服務(wù)器或脫機(jī)的虛擬硬盤文件，來作為服務(wù)器角色與功能安裝的目標(biāo)。關(guān)于這方面的彈性管理方式，也是Windows Server 2012在“服務(wù)器管理員”工具設(shè)計上的一大改進(jìn)。點擊“下一步”。

在“服務(wù)器角色”頁面中， 將“Active Directory網(wǎng)域服務(wù)”的項目勾選，勾選時，將會出現(xiàn)“新增角色及功能向?qū)А贝翱冢c擊“新增功能”并點擊“下一步”。在“功能”頁面中，基本上是不需要再勾選任何“功能”項目，除非您有其他管理功能的需求，可以在此頁面中一并加入安裝之中。點擊“下一步”。

在“確認(rèn)安裝選項”頁面中，可以看到即將安裝的網(wǎng)域服務(wù)以及所有與Active Directory相關(guān)的管理工具。在管理工具部分，后續(xù)管理員也可以自行在其他的Windows Server 2012主機(jī)上，通過“功能”的新增完成安裝，以利于遠(yuǎn)程的連接管理需求。至于給予Windows 8的遠(yuǎn)程服務(wù)器管理工具，則可以到以下官方網(wǎng)站來下載安裝。點擊“安裝”繼續(xù)。

https://www.microsoft.com/zh-CN/download/details.aspx?id=28972

設(shè)定Active Directory

完成Active Directory網(wǎng)絡(luò)服務(wù)角色安裝之后。如果要立即設(shè)置新域控制器，請點擊“將此服務(wù)器升級為域控制器”超連接，如果要之后再進(jìn)行設(shè)置，請點擊“關(guān)閉”。關(guān)于新域控制器的設(shè)置向?qū)В诤罄m(xù)要如何來進(jìn)行開啟，很簡單，基本上只要回到“儀表板”頁面中，點擊上方的驚嘆號圖示，即可看到“將此服務(wù)器升級為域控制器”的超連接。

首先，在“部署設(shè)置”頁面中，先選取“新增樹系”，然后在“根域名稱”中輸入新的域名，點擊“下一步”準(zhǔn)備創(chuàng)建全新的樹系與網(wǎng)域。在“域控制器選項”頁面中，首先可以設(shè)置樹系功能等級與網(wǎng)域功能等級，關(guān)于此兩項設(shè)置必須按照后續(xù)可能會安裝的域控制器版本而定。也就是說，如果您打算在此Active Directory中設(shè)置舊版的Windows Server 2003域控制器，那么樹系與網(wǎng)域功能等級都先選擇“Windows Server 2003”，直到這些主機(jī)都升級遷移至Windows Server 2012之后，再來通過Active Directory的相關(guān)管理工具進(jìn)行升級即可。

接著，確認(rèn)已勾選了“域名系統(tǒng)（DNS）服務(wù)器”，以及設(shè)置了目錄服務(wù)恢復(fù)模式的密碼。點擊“下一步”。在“DNS選項”頁面中，由于我們設(shè)置的是第一部域控制器，因此這個委派選項是不需要設(shè)置的。點擊“下一步”。

在“其他選項”頁面中，請輸入NetBIOS域名，也就是顯示在網(wǎng)絡(luò)鄰居中的名稱，一般來說不需要修改采用默認(rèn)值即可。接著，您可以決定是否要自定義AD DS的數(shù)據(jù)庫與記錄文件的保存路徑，一般來說采用默認(rèn)值即可。點擊“下一步”。

在“查看選項”頁面中，可以看到前面所完成的各項設(shè)置值，并且可以點擊“查看腳本”來復(fù)制Windows PowerShell的Sctipt范例，讓后續(xù)創(chuàng)建網(wǎng)域服務(wù)時可以直接修改與使用。

圖1是此網(wǎng)域控制創(chuàng)建的腳本范例，簡單來說就是下達(dá)Import-Module ADDSDeployment指令搭配Install-ADDSForest選項以及相關(guān)參數(shù)設(shè)置來完成，而我們只要將此腳本保存成為.ps1的擴(kuò)展名，然后在Windows PowerShell中執(zhí)行即可。

最后，在“先決條件檢查”頁面中，如果沒有出現(xiàn)錯誤信息，即可點擊“安裝”完成新樹系的創(chuàng)建。待成功創(chuàng)建之后，需要立即重新啟動。在完成Windows Server 2012網(wǎng)域服務(wù)的安裝之后，將可以在“開始”頁面中，看到Active Directory的相關(guān)管理工具，包括Active Directory管理中 心、Active Directory站臺及服務(wù)、Active Directory使用者及計算機(jī)、Active Directory網(wǎng)域及信任、ADSI編輯器、群組政策管理以及集成Active Directory管理的Windows PowerShell。

再回到“服務(wù)器管理員”界面，可以在AD DS節(jié)點頁面中，看到目前網(wǎng)域中所有域控制器的服務(wù)器，如果針對它按下鼠標(biāo)右鍵時，則可以選取所要開啟的相關(guān)Active Directory圖形管理工具或是命令工具。在此，我們可以開啟DCDiag命令行工具，通過搭配/s的參數(shù)來選定所要診斷的域控制器主機(jī)名，這樣，便可以立即診斷出此域控制器的健康狀態(tài)。

圖1 查看腳本

圖2 還原AD物件

善用Active Directory回收站

雖然Active Directory回收站功能早在Windows Server 2008 R2就已提供，但是當(dāng)時此功能從啟用到使用，都必須通過PowerShell命令來完成。而從Windows Server 2012版本開始，我們只要像在“Active Directory管理中心”界面中，就可以通過任務(wù)欄的“Enable Recycle Bin …”選項來啟用。

接著，在往后的使用上也非常簡單，只要在相同的管理界面中進(jìn)入“Deleted Objects”管理，便可以選取任何已刪除的對象（如：使用者、群組）。如圖2所示，直接以鼠標(biāo)右鍵并點擊“Restore”或“Restore To”進(jìn)行還原，這樣，就不必?fù)?dān)心不小心誤刪了重要的用戶、群組或計算機(jī)等對象了。