Windows Server 2008 R2活動目錄的重要功能
我必須承認(rèn),當(dāng)?shù)谝淮斡腥艘覍懸黄恼陆榻BWindows Server 2008 R2的活動目錄管理中心(Active Directory Administrative Cente,ADAC)時,我并不是很樂意。ADAC的早期版本沒有給我留下太深的印象,但我還是決定要好好研究一下。結(jié)果,我不得不對所發(fā)現(xiàn)的東西感到驚喜。
雖然還不完美,但是現(xiàn)在的ADAC絕對比已經(jīng)使用了10年的時間的活動目錄用戶和計算機(jī)(Active Directory Users and Computers)管理單元要好得多,尤其是處在大型和復(fù)雜的環(huán)境中時。當(dāng)然,如果您愿意花錢購買第三方工具,那你就沒必要使用ADAC。
雖然活動目錄管理中心只有在Windows 2008 R2版上才可以使用,但你可以用它來管理Windows Server 2003和Windows Server 2008域。我曾在一個有Windows Server 2003根域和Windows Server 2008、2008 R2域的環(huán)境下做過測試,在此我強(qiáng)烈推薦你試試這個多域功能。
ADAC是活動目錄域服務(wù)(Active Directory Domain Services,AD DS)工具之一,而活動目錄域服務(wù)則是Windows Server 2008 R2遠(yuǎn)程服務(wù)器管理工具的一部分。ADAC可以通過開始菜單上的管理工具選項來訪問,也可以直接在服務(wù)器管理器的AD DS工具列表下找到它。
在我看來,活動目錄管理中心在Windows Server 2008 R2中最重要的功能有如下幾項:
◆ADAC基于Windows PowerShell命令行,PowerShell腳本集成環(huán)境又增強(qiáng)了這個功能。
◆ADAC包含一個“平坦”的屬性樹,能夠減少您的操作量。
◆ADAC擁有極佳的可定制性:
常用的任務(wù)會顯示在最前面以方便訪問,此項功能以后還將變得更加強(qiáng)大。
你可以使用各個域的組織單元和容器來構(gòu)建導(dǎo)航樹,而不用切換整個域的上下文(這一點非常好)。
◆它的查詢能力很強(qiáng)大,即使對剛?cè)腴T的管理員來說也夠簡單,而且還能進(jìn)行復(fù)雜的LDAP查詢。
◆與活動目錄用戶和計算機(jī)管理單元相比,ADAC的多域管理能力更加出眾。
◆多林(multi-forest)管理功能允許你管理所有東西,并有所保障。注意,每一個域至少要有一個安裝活動目錄網(wǎng)絡(luò)服務(wù)的域控制器(DC)。你可以在微軟Windows 2003和2008服務(wù)器下載列表中找到活動目錄網(wǎng)絡(luò)服務(wù)。
◆在ADAC中,常用功能(如,修改密碼)將更加簡單。
◆ADAC還提供了一個對象屬性編輯器,從而減少使用ADSI或LDP.exe的次數(shù)。
到目前,我們已經(jīng)介紹了Windows Server 2008 R2新款A(yù)D管理中心的好處,那么,接下來讓我們進(jìn)一步看看這些重要功能的細(xì)節(jié)。
#p#
管理中心概況——在主窗體上,一些特殊的“視窗”讓你可以管理常用任務(wù)。這些可以通過“添加內(nèi)容”選項來控制。可惜的是,目前只有密碼修改、全局搜索和“入門”可供使用。微軟許諾將會增加更多內(nèi)容,如果真能如此,該選項無疑會讓我們在訪問常用任務(wù)時快速而簡單。
添加導(dǎo)航節(jié)點——此鏈接會打開一個對話框(如圖A),可以瀏覽所有受信的域、 容器和組織單元。在ADAC中,它們可以獨立地加入到導(dǎo)航樹里。在下面的例子中,我已經(jīng)在同一個林里不同的三個域中加入了組織單元,但如果有其它可用林,它們也可以加入進(jìn)來。這項功能讓我們可以在所有域內(nèi)對容器進(jìn)行自定義的安排。
圖A 在AD管理中心添加導(dǎo)航節(jié)點
以“平坦”的方式顯示用戶對象屬性——這些屬性被排列成易于查看的格式,與AD用戶和計算機(jī)管理單元相比,這可以減少點擊量,也使得這些屬性更易查找。此外,擴(kuò)展工具包里還包括一個屬性編輯器(如圖B所示),這可以減少為查看或編輯屬性而使用ADSI編輯工具的次數(shù)。
圖B ADAC中的屬性編輯器
活動目錄查詢改進(jìn)——全局查詢(Global Query)選項功能強(qiáng)大,對善于構(gòu)建LDAP查詢的人來說尤其如此。有了這個選項,你可以從導(dǎo)航節(jié)點中選擇多個搜索范圍(見圖C中圈出的部分)。你還可以在導(dǎo)航窗口中單擊節(jié)點,然后構(gòu)建查詢語句進(jìn)行查詢。
圖C ADAC的全局查詢選項
在圖D中,用戶界面包含帶復(fù)選框的過濾選項,可以保存并應(yīng)用到其他上下文中。對于那些不熟悉LDAP過濾的管理員來說,該選項簡單易用。注意,圖中紅圈處是查詢的“保存”和“重置”項,紅色方框中的則是過濾選項。要想去除某一過濾項,點擊它旁邊的紅色的“X”即可。這里的任何改變都會立即發(fā)起搜索,然而要想執(zhí)行全局搜索則需要單擊“應(yīng)用”按鈕。
圖D ADAC的過濾器選項
活動目錄管理中心非常直觀,界面布局也很符合邏輯。而且,它還可以允許用戶自定義某些功能、支持PowerShell命令行,將來還會更加靈活。然而,ADAC仍有需要提高的地方,包括:
◆增加用戶界面上可執(zhí)行的PowerShell命令數(shù)量,同Exchange Server 2007一樣。例如,你可以在交換管理控制臺上新建一個郵箱,交換管理控制臺會存儲能夠完成此項操作的PowerShell命令。如果你并不熟悉PowerShell,那么該功能會非常有用,因為你只需要在用戶界面上點擊幾個按鈕,就能獲得對應(yīng)的PowerShell命令,然后你使用這些命令了就可以了。
◆我還希望看到微軟在管理中心概況部分添加更多的“視窗”。如果能夠自定義 這些“視窗”那就更好了。
◆把AD用戶與計算機(jī)管理單元中的可用任務(wù)包含進(jìn)來應(yīng)該會很不錯,比如復(fù)制、重命名用戶,以及改變FSMO角色等(雖然我更喜歡使用NTDSUtil)。
◆在使用ADAC的過程中,有一點讓我感到十分討厭:在管理多個域的時候,我不 能修改認(rèn)證。也許這是可以修改的,但我還有沒找到方法。如果能在用戶界面添加一個“RunAs”選項的話,那就十分方便了。
總而言之,微軟在活動目錄管理中心上做了很多改進(jìn)。不過,我覺得大型企業(yè)并不會去使用它,因為他們多半已經(jīng)采購了更加成熟的第三方工具。盡管如此,ADAC仍然會有用武之地,我依然會向許多仍在使用AD用戶與計算機(jī)管理單元的管理員們推薦這款新工具,因為它能給管理員帶來巨大幫助。
【編輯推薦】
