Active Directory 用户和计算机 (ADUC) MMC 管理单元是管理 Active Directory 域的主要工具之一。 ADUC (dsa.msc) 管理单元用于执行典型的域管理任务并管理 Active Directory 域中的用户、组、计算机和组织单位。默认情况下,在部署 Active Directory 域服务 (AD DS) 角色时,当 Windows Server 升级为域控制器时,Active Directory 用户和计算机 (dsa.msc) 控制台会安装在 Windows Server 上。
ADUC 管理单元可以作为远程服务器管理工具 (RSAT) 的一部分安装在 Windows 10/11 桌面版本上。 RSAT 包括多个命令行工具、PowerShell 模块和图形管理单元,用于远程管理 Windows Server 主机、Active Directory 以及其他服务器角色和功能。
如何在 Windows 10 和 11 上安装 ADUC 控制台 (dsa.msc)默认情况下,Windows 桌面操作系统版本(例如 Windows 11、10 和 8.1)上不安装 RSAT 工具(包括 Active Directory 用户和计算机管理单元)。在 Windows 10 和 11 上,您可以使用“设置”应用或使用 PowerShell 将 ADUC 作为 RSAT 的一部分安装。
提示:您只能在 Windows 10 或 11 的专业版和企业版上安装 RSAT Active Directory(不能在家庭版上安装)。
使用 GUI 在 Windows 10 和 11 上启用 Active Directory 用户和计算机在现代版本的 Windows 10 和 11(从内部版本 1809 开始)中,可以从现代设置应用程序将 RSAT 组件安装为按需功能 (FoD)。
您可以在现代桌面版本的 Windows 上安装 ADUC 控制台,如下所示:
按开始菜单 > 设置 > 应用程序;
选择可选功能 > 添加功能;
从可选功能列表中,选择 RSAT:Active Directory 域服务和轻量级目录工具,然后按“安装”。
Windows 将从 Internet 下载 ADUC RSAT 二进制文件并将其安装在您的计算机上。
安装 RSAT 后,您需要重新启动计算机。
提示: RSAT 作为早期 Windows 版本的单独 MSU 更新进行分发。此更新必须从 Microsoft 网站手动下载并安装在您的 Windows 操作系统上。
然后可以通过“控制面板”>“打开或关闭 Windows 功能”小程序(可选功能.exe)启用所需的 RSAT 功能。
使用 PowerShell 安装 Active Directory 用户和计算机管理单元您可以使用 PowerShell 在 Windows 10 和 11 上安装 Active Directory 控制台。打开提升的 PowerShell 控制台并检查您的计算机上是否安装了 RSAT Active Directory 功能:
Get-WindowsCapability -Online | Where-Object {$_.Name -like "RSAT.ActiveDirectory*"}
在我们的示例中,未安装 RSAT:Active Directory 域服务和轻量级目录服务工具功能(状态 > NotPresent)。
如果缺少Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0组件,可以使用以下命令安装:
Add-WindowsCapability -Online -Name Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0
您还可以使用 DISM 命令安装 RSAT ADUC 功能:
DISM /Online /Add-Capability /CapabilityName:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0
检查 AD RSAT 状态。状态应更改为已安装。
如何修复 ADUC 在 Windows 上安装失败的问题最新版本 Windows 中的 RSAT 组件作为按需功能 (FoD) 提供。 Windows 不会将本地 RSAT 二进制文件存储在本地驱动器上;相反,它会从 Microsoft 更新服务器下载所需的 RSAT 文件。如果您的计算机处于隔离环境中,则在安装 ADUC 管理单元时会出现错误:
0x800f0954
没有要安装的功能
要在脱机计算机上安装 RSAT 组件,您可以使用适用于 Windows 10/11 版本的 FoD ISO 映像。 FoD DVD 介质可从批量许可服务中心 (VLSC) 或 my.visualstudio.com 下载。
要离线安装 ADUC,您需要将 FoD ISO 映像挂载到虚拟驱动器(例如驱动器 F:)并从本地介质运行 ADUC 功能安装:
Add-WindowsCapability -online -name Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0 -source -Source "F:" –LimitAccess
如果使用 WSUS 或 SCCM 将 Windows 更新部署到客户端设备,则必须启用特殊 GPO 选项才能正确安装按需功能(包括 ADUC)。
打开本地组策略编辑器(gpedit.msc)并转到计算机配置>管理模板>系统;
启用 GPO 选项指定可选组件安装和组件修复的设置,并选中直接从 Windows Update 而不是 Windows Server Update Services (WSUS) 下载修复内容和可选功能复选框。
使用以下命令更新计算机上的组策略设置:gpupdate /force。
如果没有此选项,Windows 11 将尝试从本地 Windows 更新服务器获取 RSAT(错误 0x8024402c 和 0x800f081f)。
如何在 Windows 上打开 Active Directory 用户和计算机 (dsa.msc) 管理单元转至开始菜单 > 所有程序 > Windows 工具以在 Windows 11 上运行 Active Directory 管理单元。
在 Windows 10(及以前的版本)上,AD 管理管理单元位于控制面板的管理工具部分。
如您所见,有一个指向 MMC 控制台 %SystemRoot%system32dsa 的新链接。出现了。
启动 Active Directory 用户和计算机管理单元。
或者,按 Win+R,键入 dsa.msc,然后单击“确定”启动 ADUC 控制台。
如果您的计算机已加入 Active Directory 域,ADUC 控制台将在启动时自动连接到 Active Directory 站点中最近的 DC。
如果控制台找不到域控制器,请使用 PowerShell 命令获取 LogonServer 的名称:
$env:LOGONSERVER
右键单击 ADUC 控制台中的根目录,然后选择“更改域控制器”。从列表中选择您的登录 DC 服务器的名称。
始终使用距离您最近的域控制器。使用远程站点的域控制器时,RSAT 控制台可能会变慢。
如果要从非域计算机使用 dsa.msc 管理单元连接到 AD,则必须:
打开命令提示符并运行命令:
runas /netonly /user:Domain_NameDomain_USER mmc
在空的 MMC 控制台中,选择“文件”>“添加/删除管理单元”;
将 Active Directory 用户和计算机管理单元添加到右侧窗格,然后按“确定”;
右键单击 ADUC > 连接到域并输入域名来连接到域。
因此,OU Active Directory 域的结构将显示在 ADUC 管理单元中。
您将看到一组标准的 Active Directory OU 和容器:
保存的查询 — 保存的搜索条件,允许快速重播 Active Directory 中的先前搜索(支持 LDAP 查询);
内置——内置用户帐户;
计算机 — 计算机帐户的默认容器;
域控制器——域控制器的默认容器;
foreignSecurityPrincipals — 包含有关来自受信任外部域的对象的信息。通常,当来自外部域的对象添加到当前域的组时,会创建这些对象;
用户 — 用户帐户的默认容器。
当您选择 OU 时,您将看到它包含的对象的列表。 ADUC 控制台可以显示安全组、联系人、用户和计算机。
根据域结构,ADUC 控制台可能包含其他容器。某些 AD 文件夹默认不显示。要显示它们,请在顶部菜单中选择“视图”>“高级功能”。
应出现以下附加文件夹:
LostAndFound — 失去所有者的目录对象;
NTDS 配额 — 目录服务引用信息;
程序数据 — 存储在 Microsoft 应用程序目录服务中的数据;
系统 — 内置系统参数。
在 ADUC 控制台中,您可以执行以下操作:
创建和管理用户帐户、计算机和 Active Directory 组;
使用 ADSI Edit 查看和编辑 AD 对象属性;
搜索AD对象;
更改 Active Directory 中的用户密码或重置它;
创建组织单位并为 AD 对象构建层次结构。启用或禁用OU误删除保护;
将 OU 的管理权限委派给非管理域用户;
提升域功能级别,并将 FSMO 角色移至另一个域控制器。