我必须承认,当第一次有人要我写一篇文章介绍Windows Server 2008 R2的活动目录管理中心(Active Directory Administrative Cente,ADAC)时,我并不是很乐意。ADAC的早期版本没有给我留下太深的印象,但我还是决定要好好研究一下。结果,我不得不对所发现的东西感到惊喜。
虽然还不完美,但是现在的ADAC绝对比已经使用了10年的时间的活动目录用户和计算机(Active Directory Users and Computers)管理单元要好得多,尤其是处在大型和复杂的环境中时。当然,如果您愿意花钱购买第三方工具,那你就没必要使用ADAC。
虽然活动目录管理中心只有在Windows 2008 R2版上才可以使用,但你可以用它来管理Windows Server 2003和Windows Server 2008域。我曾在一个有Windows Server 2003根域和Windows Server 2008、2008 R2域的环境下做过测试,在此我强烈推荐你试试这个多域功能。
ADAC是活动目录域服务(Active Directory Domain Services,AD DS)工具之一,而活动目录域服务则是Windows Server 2008 R2远程服务器管理工具的一部分。ADAC可以通过开始菜单上的管理工具选项来访问,也可以直接在服务器管理器的AD DS工具列表下找到它。
在我看来,活动目录管理中心在Windows Server 2008 R2中最重要的功能有如下几项:
◆ADAC基于Windows PowerShell命令行,PowerShell脚本集成环境又增强了这个功能。
◆ADAC包含一个“平坦”的属性树,能够减少您的操作量。
◆ADAC拥有极佳的可定制性:
常用的任务会显示在最前面以方便访问,此项功能以后还将变得更加强大。
你可以使用各个域的组织单元和容器来构建导航树,而不用切换整个域的上下文(这一点非常好)。
◆它的查询能力很强大,即使对刚入门的管理员来说也够简单,而且还能进行复杂的LDAP查询。
◆与活动目录用户和计算机管理单元相比,ADAC的多域管理能力更加出众。
◆多林(multi-forest)管理功能允许你管理所有东西,并有所保障。注意,每一个域至少要有一个安装活动目录网络服务的域控制器(DC)。你可以在微软Windows 2003和2008服务器下载列表中找到活动目录网络服务。
◆在ADAC中,常用功能(如,修改密码)将更加简单。
◆ADAC还提供了一个对象属性编辑器,从而减少使用ADSI或LDP.exe的次数。
到目前,我们已经介绍了Windows Server 2008 R2新款AD管理中心的好处,那么,接下来让我们进一步看看这些重要功能的细节。
#p#
管理中心概况——在主窗体上,一些特殊的“视窗”让你可以管理常用任务。这些可以通过“添加内容”选项来控制。可惜的是,目前只有密码修改、全局搜索和“入门”可供使用。微软许诺将会增加更多内容,如果真能如此,该选项无疑会让我们在访问常用任务时快速而简单。
添加导航节点——此链接会打开一个对话框(如图A),可以浏览所有受信的域、 容器和组织单元。在ADAC中,它们可以独立地加入到导航树里。在下面的例子中,我已经在同一个林里不同的三个域中加入了组织单元,但如果有其它可用林,它们也可以加入进来。这项功能让我们可以在所有域内对容器进行自定义的安排。
图A 在AD管理中心添加导航节点
以“平坦”的方式显示用户对象属性——这些属性被排列成易于查看的格式,与AD用户和计算机管理单元相比,这可以减少点击量,也使得这些属性更易查找。此外,扩展工具包里还包括一个属性编辑器(如图B所示),这可以减少为查看或编辑属性而使用ADSI编辑工具的次数。
图B ADAC中的属性编辑器
活动目录查询改进——全局查询(Global Query)选项功能强大,对善于构建LDAP查询的人来说尤其如此。有了这个选项,你可以从导航节点中选择多个搜索范围(见图C中圈出的部分)。你还可以在导航窗口中单击节点,然后构建查询语句进行查询。
图C ADAC的全局查询选项
在图D中,用户界面包含带复选框的过滤选项,可以保存并应用到其他上下文中。对于那些不熟悉LDAP过滤的管理员来说,该选项简单易用。注意,图中红圈处是查询的“保存”和“重置”项,红色方框中的则是过滤选项。要想去除某一过滤项,点击它旁边的红色的“X”即可。这里的任何改变都会立即发起搜索,然而要想执行全局搜索则需要单击“应用”按钮。
图D ADAC的过滤器选项
活动目录管理中心非常直观,界面布局也很符合逻辑。而且,它还可以允许用户自定义某些功能、支持PowerShell命令行,将来还会更加灵活。然而,ADAC仍有需要提高的地方,包括:
◆增加用户界面上可执行的PowerShell命令数量,同Exchange Server 2007一样。例如,你可以在交换管理控制台上新建一个邮箱,交换管理控制台会存储能够完成此项操作的PowerShell命令。如果你并不熟悉PowerShell,那么该功能会非常有用,因为你只需要在用户界面上点击几个按钮,就能获得对应的PowerShell命令,然后你使用这些命令了就可以了。
◆我还希望看到微软在管理中心概况部分添加更多的“视窗”。如果能够自定义 这些“视窗”那就更好了。
◆把AD用户与计算机管理单元中的可用任务包含进来应该会很不错,比如复制、重命名用户,以及改变FSMO角色等(虽然我更喜欢使用NTDSUtil)。
◆在使用ADAC的过程中,有一点让我感到十分讨厌:在管理多个域的时候,我不 能修改认证。也许这是可以修改的,但我还有没找到方法。如果能在用户界面添加一个“RunAs”选项的话,那就十分方便了。
总而言之,微软在活动目录管理中心上做了很多改进。不过,我觉得大型企业并不会去使用它,因为他们多半已经采购了更加成熟的第三方工具。尽管如此,ADAC仍然会有用武之地,我依然会向许多仍在使用AD用户与计算机管理单元的管理员们推荐这款新工具,因为它能给管理员带来巨大帮助。
【编辑推荐】