Active Directory 用户和计算机 (ADUC) MMC 管理单元是进行 Active Directory 域管理的关键工具之一。ADUC(即 dsa.msc)管理单元主要用于执行典型的域管理任务,并负责管理 Active Directory 域中的用户、组、计算机以及组织单位。通常情况下,在部署 Active Directory 域服务 (AD DS) 角色时,当 Windows Server 升级为域控制器,ADUC 控制台会自动安装在 Windows Server 上。
ADUC 管理单元也可以作为远程服务器管理工具 (RSAT) 的一部分,在 Windows 10/11 桌面版上安装。RSAT 包含多种命令行工具、PowerShell 模块以及图形管理单元,旨在实现远程管理 Windows Server 主机、Active Directory 以及其他服务器角色和功能。
默认情况下,Windows 桌面操作系统版本(例如 Windows 11、10 和 8.1)并不预装 RSAT 工具(其中包括 ADUC 管理单元)。在 Windows 10 和 11 上,用户可以通过“设置”应用或利用 PowerShell 将 ADUC 作为 RSAT 的一部分进行安装。
提示:请注意,RSAT Active Directory 功能仅能在 Windows 10 或 11 的专业版和企业版上安装,家庭版不支持。
从 Windows 10 内部版本 1809 开始,用户可以通过现代设置应用程序将 RSAT 组件作为按需功能 (FoD) 进行安装。
若要在现代桌面版本的 Windows 上安装 ADUC 控制台,可以按照以下步骤操作:
点击开始菜单 > 设置 > 应用程序;
选择可选功能 > 添加功能;
在可选功能列表中,找到并选择 RSAT:Active Directory 域服务和轻量级目录工具,然后点击“安装”。
Windows 将从互联网下载 ADUC RSAT 二进制文件并完成安装。
安装 RSAT 后,系统可能需要重新启动才能使更改生效。
提示:对于早期 Windows 版本,RSAT 作为单独的 MSU 更新进行分发。用户需要从 Microsoft 网站手动下载并安装此更新。
此外,用户还可以通过“控制面板”>“打开或关闭 Windows 功能”小程序(可选功能.exe)来启用所需的 RSAT 功能。
在 Windows 10 和 11 上,用户还可以使用 PowerShell 安装 Active Directory 控制台。首先,打开提升权限的 PowerShell 控制台,并检查 RSAT Active Directory 功能是否已安装:
Get-WindowsCapability -Online | Where-Object {$_.Name -like “RSAT.ActiveDirectory*”}
以示例说明,未安装 RSAT:Active Directory 域服务和轻量级目录服务工具功能(状态 > NotPresent)。
若发现缺少 Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0 组件,可以使用以下命令进行安装:
Add-WindowsCapability -Online -Name Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0
用户还可以使用 DISM 命令安装 RSAT ADUC 功能:
DISM /Online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0
检查 AD RSAT 状态,状态应显示为已安装。
在最新版本的 Windows 中,RSAT 组件作为按需功能 (FoD) 提供。Windows 不会在本地驱动器上存储 RSAT 二进制文件,而是从 Microsoft 更新服务器下载所需的 RSAT 文件。如果计算机处于隔离环境中,安装 ADUC 管理单元时可能会出现错误:
0x800f0954
没有要安装的功能
为在脱机计算机上安装 RSAT 组件,用户可以使用适用于 Windows 10/11 版本的 FoD ISO 映像。FoD DVD 介质可从批量许可服务中心 (VLSC) 或 my.visualstudio.com 下载。
要离线安装 ADUC,用户需要将 FoD ISO 映像挂载到虚拟驱动器(例如驱动器 F:)并从本地介质运行 ADUC 功能安装:
Add-WindowsCapability -online -name Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0 -source -Source “F:” –LimitAccess
如果使用 WSUS 或 SCCM 将 Windows 更新部署到客户端设备,则必须启用特定的 GPO 选项,以确保按需功能(包括 ADUC)能够正确安装。
启用 GPO 选项“指定可选组件安装和组件修复的设置”,并勾选“直接从 Windows Update 而不是 Windows Server Update Services (WSUS) 下载修复内容和可选功能”复选框。
使用以下命令更新计算机上的组策略设置:gpupdate /force。
若缺少此选项,Windows 11 将尝试从本地 Windows 更新服务器获取 RSAT(错误 0x8024402c 和 0x800f081f)。
在 Windows 11 上,用户可以通过开始菜单 > 所有程序 > Windows 工具运行 Active Directory 管理单元。
在 Windows 10(及更早版本)上,AD 管理单元位于控制面板的管理工具部分。
如您所见,有一个指向 MMC 控制台 %SystemRoot%system32dsa 的新链接。
启动 Active Directory 用户和计算机管理单元。
或者,按 Win+R,输入 dsa.msc,然后点击“确定”启动 ADUC 控制台。
如果计算机已加入 Active Directory 域,ADUC 控制台在启动时会自动连接到 Active Directory 站点中最近的 DC。
如果控制台无法找到域控制器,请使用 PowerShell 命令获取 LogonServer 的名称:
$env:LOGONSERVER
在 ADUC 控制台中右键单击根目录,选择“更改域控制器”,从列表中选择您的登录 DC 服务器的名称。
始终使用距离您最近的域控制器。使用远程站点的域控制器时,RSAT 控制台可能会变慢。
如果要从非域计算机使用 dsa.msc 管理单元连接到 AD,则必须:
打开命令提示符并运行命令:
runas /netonly /user:Domain_NameDomain_USER mmc
在空的 MMC 控制台中,选择“文件”>“添加/删除管理单元”;
将 Active Directory 用户和计算机管理单元添加到右侧窗格,然后点击“确定”;
右键单击 ADUC > 连接到域并输入域名来连接到域。
因此,OU Active Directory 域的结构将显示在 ADUC 管理单元中。
您将看到一组标准的 Active Directory OU 和容器:
保存的查询 — 保存的搜索条件,允许快速重播 Active Directory 中的先前搜索(支持 LDAP 查询);
内置——内置用户帐户;
计算机 — 计算机帐户的默认容器;
域控制器——域控制器的默认容器;
foreignSecurityPrincipals — 包含有关来自受信任外部域的对象的信息。通常,当来自外部域的对象添加到当前域的组时,会创建这些对象;
用户 — 用户帐户的默认容器。
当您选择 OU 时,将看到它包含的对象的列表。ADUC 控制台可以显示安全组、联系人、用户和计算机。
根据域结构,ADUC 控制台可能包含其他容器。某些 AD 文件夹默认不显示。要显示它们,请在顶部菜单中选择“视图”>“高级功能”。
将出现以下附加文件夹:
LostAndFound — 失去所有者的目录对象;
NTDS 配额 — 目录服务引用信息;
程序数据 — 存储在 Microsoft 应用程序目录服务中的数据;
系统 — 内置系统参数。
在 ADUC 控制台中,您可以执行以下操作:
创建和管理用户帐户、计算机和 Active Directory 组;
搜索 AD 对象;
更改 Active Directory 中的用户密码或重置它;
创建组织单位并为 AD 对象构建层次结构。启用或禁用 OU 误删除保护;
将 OU 的管理权限委派给非管理域用户;
提升域功能级别,并将 FSMO 角色移至另一个域控制器。