Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этом разделе на базовом уровне описывается новая функция повышения роли контроллера домена в доменных службах Active Directory Windows Server 2012. В доменных службах Active Directory в Windows Server 2012 средство Dcpromo заменено диспетчером сервера и системой развертывания на основе Windows PowerShell.
Упрощенное администрирование доменных служб Active Directory
В Windows Server 2012 реализовано упрощенное администрирование доменных служб Active Directory нового поколения, которое представляет собой наиболее радикальную модернизацию системы управления доменами с момента выпуска Windows Server 2000. Упрощенное администрирование доменных служб Active Directory было разработано с учетом двенадцатилетнего опыта работы с Active Directory. Оно улучшает поддержку административных возможностей для архитекторов и администраторов, делает их более гибкими и интуитивно понятными. Достигнуто это было путем создания новых версий существующих технологий, а также расширения возможностей компонентов, появившихся в Windows Server 2008 R2.
Что такое упрощенное администрирование доменных служб Active Directory?
Упрощенное администрирование доменных служб Active Directory — это новый подход к развертыванию доменов. Ниже перечислены некоторые новые возможности.
Развертывание роли доменных служб Active Directory теперь является частью архитектуры диспетчера сервера и допускает удаленную установку.
Модуль развертывания и настройки доменных служб Active Directory теперь основан на Windows PowerShell даже при использовании графического интерфейса установки.
При повышении роли теперь проводится проверка предварительных требований, с помощью которой подтверждается готовность леса и домена к установке нового контроллера домена, что снижает вероятность сбоев.
В режиме работы леса Windows Server 2012 новые функции не реализуются, а режим работы домена необходим только для подмножества новых функций Kerberos, что упрощает создание однородных сред контроллеров доменов для администраторов.
Назначение и преимущества
Может показаться, что эти изменения лишь повысили сложность. Однако при переработке процесса развертывания доменных служб Active Directory появилась возможность объединить многие этапы и рекомендации, сократив число необходимых действий и упростив их. Это означает, например, что при настройке новой реплики контроллера домена с помощью графического интерфейса теперь требуются восемь диалоговых окон вместо двенадцати. Creating a new Active Directory forest requires a single Windows PowerShell command with only one argument: the name of the domain.
Почему в Windows Server 2012 сделан упор на Windows PowerShell? По мере развития распределенных вычислений среда Windows PowerShell обеспечивает единый модуль для настройки и обслуживания как с помощью графического интерфейса, так и с помощью интерфейса командной строки. Она обеспечивает создание полнофункциональных сценариев для любого компонента, предоставляя ИТ-специалистам те же первоклассные возможности, какие интерфейсы API дают разработчикам. По мере широкого распространения облачных вычислений среда Windows PowerShell также дает возможность удаленного администрирования сервера. При этом компьютером без графического интерфейса можно управлять так же эффективно, как и компьютером с монитором и мышью.
Опытный администратор доменных служб Active Directory сможет с успехом применять накопленные знания. Для начинающего администратора кривая обучения стала гораздо более пологой.
Technical Overview
Что следует знать перед началом работы
В этом разделе предполагается, что вы знакомы с предыдущими выпусками доменных служб Active Directory, поэтому в нем не приводятся базовые сведения об их назначении и функциональных возможностях. Дополнительную информацию о доменных службах Active Directory можно найти на страницах портала TechNet, ссылки на которые приведены ниже:
Functional Descriptions
Установка роли доменных служб Active Directory
Для установки доменных служб Active Directory, так же как для установки всех остальных ролей сервера и компонентов в Windows Server 2012, используются диспетчер сервера и среда Windows PowerShell. Программа Dcpromo.exe больше не предоставляет графический интерфейс пользователя с параметрами настройки.
Графический мастер в диспетчере сервера или модуль ServerManager для Windows PowerShell используются как для локальной, так и для удаленной установки. Запуская несколько экземпляров этого мастера или командлетов для разных серверов, можно одновременно развертывать доменные службы Active Directory в нескольких контроллерах домена из единой консоли. Хотя эти новые функции не имеют обратной совместимости с Windows Server 2008 R2 или более ранними операционными системами, вы по-прежнему можете использовать программу Dism.exe, появившуюся в Windows Server 2008 R2, для локальной установки роли из классической командной строки.
Настройка роли доменных служб Active Directory
конфигурация служб домен Active Directory "ранее известная как DCPROMO" теперь является дискретной операцией из установки ролей. После установки роли доменных служб Active Directory администратор настраивает сервер в качестве контроллера домена с помощью отдельного мастера в диспетчере сервера или с помощью модуля Windows PowerShell ADDSDeployment.
Настройка роли доменных служб Active Directory осуществляется на основе двенадцатилетнего практического опыта. Контроллеры домена настраиваются в соответствии с новейшими рекомендациями Майкрософт. Например, служба доменных имен (DNS) и глобальные каталоги устанавливаются по умолчанию в каждом контроллере домена.
Мастер настройки диспетчер сервера AD DS объединяет множество отдельных диалогов в меньшее количество запросов и больше не скрывает параметры в режиме "дополнительно". Весь процесс повышения роли осуществляется в ходе установки с помощью одного раскрывающегося диалогового окна. Мастер и модуль Windows PowerShell ADDSDeployment выводят информацию о существенных изменениях и проблемах безопасности, а также ссылки на дополнительные материалы.
Программа Dcpromo.exe сохранена в Windows Server 2012 только для автоматической установки посредством командной строки. Она больше не используется для запуска графического мастера установки. Настоятельно рекомендуется отказаться от использования программы Dcpromo.exe в целях автоматической установки, заменив ее модулем ADDSDeployment, так как соответствующий исполняемый файл не будет включен в следующую версию Windows.
Эти новые функции не имеют обратной совместимости с Windows Server 2008 R2 или более поздними операционными системами.
Important
Программа Dcpromo.exe больше не предоставляет графический мастер и не используется для установки двоичных файлов роли или компонента. При попытке запустить Dcpromo.exe из проводника происходит ошибка:
Мастер установки служб домен Active Directory перемещается в диспетчер сервера. Дополнительные сведения см. в статье https://go.microsoft.com/fwlink/?LinkId=220921."
При попытке выполнить команду Dcpromo.exe /unattend двоичные файлы по-прежнему устанавливаются, как в предыдущих операционных системах, но выводится предупреждение:
"Автоматическая операция dcpromo заменяется модулем ADDSDeployment для Windows PowerShell. Дополнительные сведения см. в статье https://go.microsoft.com/fwlink/?LinkId=220924."
В Windows Server 2012 использовать программу dcpromo.exe не рекомендуется. Она не будет включена в будущие версии Windows и не будет улучшаться далее в текущей. Администраторам следует прекратить ее использование и перейти на поддерживаемые модули Windows PowerShell для создания контроллеров домена из командной строки.
Prerequisite Checking
Настройка контроллера домена также включает этап проверки предварительных требований, на котором проводится оценка леса и домена перед повышением роли контроллера домена. При этом проверяются доступность роли FSMO, права пользователей, совместимость расширенной схемы и другие требования. Новая структура процесса позволяет уменьшить число проблем, при которых повышение роли контроллера домена прерывается посередине из-за неустранимой ошибки конфигурации. Это снижает вероятность образования потерянных метаданных контроллеров домена в лесу или возникновения серверов, которые считают себя контроллерами домена, хотя не являются ими.
Развертывание леса с использованием диспетчера серверов
В этом разделе описывается, как установить первый контроллер домена в корневом домене леса с помощью диспетчера сервера на компьютере Windows Server 2012 с графическим интерфейсом.
Процесс установки роли доменных служб Active Directory с помощью диспетчера сервера
На схеме ниже показан процесс установки роли доменных служб Active Directory, начиная с запуска ServerManager.exe и заканчивая моментом перед повышением роли контроллера домена.
Пул серверов и добавление ролей
Объединить в пул можно любые компьютеры с ОС Windows Server 2012, доступные с компьютера, на котором запущен диспетчер сервера. После объединения в пул эти серверы можно использовать для удаленной установки доменных служб Active Directory или любых других вариантов конфигурации, возможных в диспетчере сервера.
Чтобы добавить серверы, выполните одно из указанных ниже действий.
На плитке приветствия на информационной панели щелкните Добавить другие серверы для управления .
Click the Manage menu and select Add Servers
Right-click All Servers and choose Add Servers
Откроется диалоговое окно "Добавление серверов".
В нем можно добавить серверы в пул для использования или группировки тремя способами:
поиск в Active Directory (используется LDAP, компьютеры должны принадлежать к домену, разрешена фильтрация ОС, поддерживаются подстановочные знаки);
Поиск по DNS (используется DNS-псевдоним или IP-адрес посредством передачи ARP или NetBIOS либо просмотра WINS; операционной системе запрещена фильтрация и поддержка подстановочных знаков);
Импорт (используется список серверов в виде текстового файла с разделителями CR/LF)
Click Find Now to return a list of servers from that same Active Directory domain that the computer is joined to, Click one or more server names from the list of servers. Click the right arrow to add the servers to the Selected list. Use the Add Servers dialog to add selected servers to dashboard role groups. Or Click Manage, and then click Create Server Group, or click Create Server Group on the dashboard Welcome to Server Manager tile to create custom server groups.
Note
Процедура "Добавление серверов" не выполняет проверку подключения сервера или его доступности. Однако при следующем обновлении недоступные серверы будут помечены в представлении "Управляемость" диспетчера сервера.
Вы можете установить роли удаленно на любые компьютеры Windows Server 2012, добавленные в пул, как показано на снимке экрана:
Вы не можете полностью управлять серверами с более ранними операционными системами, чем Windows Server 2012. При выборе пункта Добавить роли и компоненты выполняется командлет Install-WindowsFeatureиз модуля Windows PowerShell ServerManager.
Вы также можете выбрать установку доменных служб Active Directory на удаленном сервере с предварительно выбранной ролью с помощью информационной панели диспетчера сервера на существующем контроллере домена, щелкнув плитку на информационной панели правой кнопкой мыши и выбрав пункт Добавить AD DS на другой сервер. This is invoking Install-WindowsFeature AD-Domain-Services.
Компьютер с запущенным диспетчером сервера автоматически включает себя в пул. To install the AD DS role here, simply click the Manage menu and click Add Roles and Features.
Installation Type
The Installation Type dialog provides an option that does not support Active Directory Domain Services: the Remote Desktop Services scenario based-installation. При выборе этого варианта возможно использование только служб удаленных рабочих столов в распределенной среде с несколькими серверами. Установить доменные службы Active Directory в этом случае нельзя.
При установке доменных служб Active Directory всегда оставляйте вариант по умолчанию: Установка ролей или компонентов.
Server Selection
The Server Selection dialog enables you to choose from one of the servers previously added to the pool, as long as it is accessible. Локальный сервер, на котором запущен диспетчер сервера, доступен автоматически.
Кроме того, вы можете выбрать автономные VHD-файлы Hyper-V с операционной системой Windows Server 2012, и диспетчер сервера добавит в них роль напрямую с помощью системы предоставления компонентов. Таким образом можно предоставлять виртуальным серверам необходимые компоненты перед их дальнейшей настройкой.
"Роли сервера" и "Компоненты"
Если необходимо повысить роль контроллера домена, выберите роль Доменные службы Active Directory . Все функции администрирования Active Directory и необходимые службы устанавливаются автоматически, даже если они являются частью другой роли или не выбраны в интерфейсе диспетчера сервера.
Server Manager also presents an informational dialog that shows which management features this role implicitly installs; this is equivalent to the -IncludeManagementTools argument.
Additional Features can be added here as desired.
Доменные службы Active Directory
В диалоговом окне Доменные службы Active Directory приводится ограниченная информация о требованиях и рекомендациях. В основном он выступает в качестве подтверждения того, что вы выбрали роль AD DS " если этот экран не отображается, вы не выбрали AD DS.
Confirmation
The Confirmation dialog is the final checkpoint before role installation starts. С его помощью можно указать, что компьютер необходимо перезагрузить после установки роли, однако установка доменных служб Active Directory не требует перезагрузки.
By clicking Install, you confirm you are ready to begin role installation. После того как установка роли начнется, отменить ее будет невозможно.
Results
The Results dialog shows the current installation progress and current installation status. Установка роли продолжится, даже если закрыть диспетчер сервера.
Рекомендуется проверять результат установки. If you close the Results dialog before installation completes, you can check the results using the Server Manager notification flag. В диспетчере сервера также выводятся предупреждения для всех серверов, на которых установлена роль доменных служб Active Directory, но которые не были затем настроены как контроллеры домена.
Task Notifications
Сведения о AD DS
Task Details
Повышение роли до контроллера домена
После того как установка роли доменных служб Active Directory завершится, можно продолжить настройку с помощью ссылки Повысить роль этого сервера до уровня контроллера домена . Это необходимо для того, чтобы сделать сервер контроллером домена, однако мастер настройки запускать сразу необязательно. Например, может потребоваться предоставить серверам двоичные файлы роли доменных служб Active Directory, а затем отправить их в другой филиал для дальнейшей настройки. Добавив роль доменных служб Active Directory перед отправкой, можно сэкономить время, требуемое для настройки на месте назначения. При этом также выполняется рекомендация, в соответствии с которой контроллер домена не следует отключать на несколько дней или недель. Наконец, это позволяет обновить компоненты перед повышением роли контроллера домена и уменьшить число последующих перезагрузок по крайней мере на одну.
Selecting this link later invokes the ADDSDeployment cmdlets: install-addsforest, install-addsdomain, or install-addsdomaincontroller.
Uninstalling/Disabling
Роль доменных служб Active Directory удаляется так же, как любая другая роль, вне зависимости от того, была ли роль сервера повышена до контроллера домена. Однако по завершении удаления роли доменных служб Active Directory необходимо перезапустить сервер.
Удаление роли доменных служб Active Directory отличается от установки тем, что для его завершения необходимо понизить роль контроллера домена. Это требуется для того, чтобы удаление двоичных файлов роли в контроллере домена сопровождалось надлежащей очисткой метаданных в лесу. Дополнительные сведения см. в разделе "Понижение контроллеров домена" и "Домены" (уровень 200).
Warning
Удаление ролей доменных служб Active Directory с помощью программы Dism.exe или модуля Windows PowerShell DISM после повышения роли до контроллера домена не поддерживается и приводит к тому, что сервер перестает загружаться нормально.
В отличие от диспетчера сервера или модуля ADDSDeployment для Windows PowerShell, DISM — это собственная система обслуживания, которая не распознает доменные службы Active Directory или их конфигурацию. Не используйте программу Dism.exe или модуль Windows PowerShell DISM для удаления роли доменных служб Active Directory, если сервер все еще является контроллером домена.
Создание корневого домена леса доменных служб Active Directory с помощью диспетчера сервера
На схеме ниже показан процесс настройки доменных служб Active Directory. Предполагается, что вы ранее установили роль доменных служб Active Directory и запустили мастер настройки доменных служб Active Directory с помощью диспетчера сервера.
Deployment Configuration
Server Manager begins every domain controller promotion with the Deployment Configuration page. Оставшиеся параметры и обязательные поля меняются на этой и последующих страницах в зависимости от того, какая операция развертывания выбрана.
Чтобы создать лес Active Directory, установите переключатель в положение Добавить новый лес. You must provide a valid root domain name; the name cannot be single-labeled (for example, the name must be contoso.com or similar and not just contoso) and must use allowed DNS domain naming requirements.
Подробнее о допустимых доменных именах см. в статье базы знаний Соглашения об именовании в Active Directory для компьютеров, доменов, сайтов и подразделений.
Warning
Имена лесов Active Directory не должны совпадать с внешними именами DNS. Например, если URL-адрес DNS в Интернете имеет https://contoso.comзначение, необходимо выбрать другое имя внутреннего леса, чтобы избежать будущих проблем совместимости. Данное имя должно быть уникальным и достаточно редким для веб-трафика, например corp.contoso.com.
В новом лесу не требуются новые учетные данные для учетной записи администратора домена. Процесс повышения роли контроллера домена использует учетные данные встроенной учетной записи администратора из первого контроллера домена, применяемого для создания корневого домена леса. Не существует стандартного способа отключить или заблокировать встроенную учетную запись администратора, и она может быть единственной точкой входа в лес, если другие учетные записи администраторов домена использовать невозможно. Перед развертыванием нового леса необходимо знать пароль.
DomainName requires a valid fully qualified domain DNS name and is required.
Параметры контроллера домена
На странице Параметры контроллера домена можно настроить режим работы леса и режим работы домена для нового корневого домена леса. По умолчанию эти параметры являются Windows Server 2012 в новом корневом домене леса. Функциональный уровень леса Windows Server 2012 не предоставляет новые функциональные возможности для леса Windows Server 2008 R2. Функциональный уровень домена Windows Server 2012 требуется только для реализации новых параметров Kerberos "всегда предоставлять утверждения" и "Неупорядоченные запросы проверки подлинности". Основное использование функциональных уровней в Windows Server 2012 заключается в ограничении участия в домене контроллерам домена, которые соответствуют минимальным требованиям к операционной системе. Другими словами, можно указать функциональный уровень домена Windows Server 2012 только контроллеры домена под управлением Windows Server 2012, которые могут размещать домен. Windows Server 2012 implements a new domain controller flag called DS_WIN8_REQUIRED in the DSGetDcName function of NetLogon that exclusively locates Windows Server 2012 domain controllers. Это позволяет более гибко создавать однородные или разнородные леса с учетом операционных систем, под управлением которых могут работать контроллеры домена.
Подробнее о расположении контроллеров домена см. в статье Функции службы каталогов.
Единственной настраиваемой возможностью контроллера домена является служба DNS-сервера. Корпорация Майкрософт рекомендует, чтобы все контроллеры домена предоставляли службы DNS для обеспечения высокой доступности в распределенных средах. Поэтому этот параметр выбран по умолчанию при установке контроллера домена в любом режиме или домене. Параметры "Глобальный каталог" и "Контроллер домена только для чтения" недоступны при создании корневого домена леса, потому что первый контроллер домена должен быть глобальным каталогом и не может быть контроллером домена только для чтения.
Назначаемый пароль режима восстановления служб каталогов должен соответствовать применяемой к серверу политике паролей, которая по умолчанию не требует надежного пароля — допускается любой непустой пароль. Необходимо всегда выбирать надежный и сложный пароль, предпочтительно парольную фразу.
Параметры DNS и учетные данные для делегирования DNS
The DNS Options page enables you to configure DNS delegation and provide alternate DNS administrative credentials.
You cannot configure DNS options or delegation in the Active Directory Domain Services Configuration Wizard when installing a new Active Directory Forest Root Domain where you selected the DNS server on the Domain Controller Options page. Параметр Создать DNS-делегирование доступен при создании корневой зоны DNS леса в существующей инфраструктуре DNS-серверов. Он позволяет указать альтернативные учетные данные администратора DNS с правами на обновление зоны DNS.
Дополнительные сведения о необходимости создания DNS-делегирования см. в статье Общее представление о делегировании зоны.
Additional Options
The Additional Options page shows the NetBIOS name of the domain and enables you to override it. By default, the NetBIOS domain name matches the left-most label of the fully qualified domain name provided on the Deployment Configuration page. Например, если указано полное доменное имя corp.contoso.com, NetBIOS-имя домена по умолчанию — CORP.
Если имя содержит не более 15 символов и не конфликтует с другим NetBIOS-именем, оно остается без изменений. Если оно конфликтует с другим NetBIOS-именем, к нему добавляется число. Если длина имени больше 15 символов, мастер предоставляет уникальный усеченный вариант. В любом случае мастер сначала проверяет, не занято ли имя, с помощью просмотра WINS и широковещательной рассылки NetBIOS.
Подробнее о допустимых доменных именах см. в статье базы знаний Соглашения об именовании в Active Directory для компьютеров, доменов, сайтов и подразделений.
Paths
The Paths page enables you to override the default folder locations of the AD DS database, the database transaction logs, and the SYSVOL share. Расположение по умолчанию всегда в подкаталогах %systemroot% (т. е. C:\Windows).
"Просмотреть параметры" и "Просмотреть скрипт"
The Review Options page enables you to validate your settings and ensure they meet your requirements before you start the installation. Позднее установку также можно будет остановить с помощью диспетчера сервера. Эта страница позволяет подтвердить параметры перед продолжением настройки.
The Review Options page in Server Manager also offers an optional View Script button to create a Unicode text file that contains the current ADDSDeployment configuration as a single Windows PowerShell script. Это позволяет использовать графический интерфейс диспетчера сервера в качестве студии развертывания Windows PowerShell. С помощью мастера настройки доменных служб Active Directory необходимо настроить параметры, экспортировать конфигурацию и затем отменить мастер. Во время этого процесса создается допустимый и синтаксически верный образец для дальнейшего изменения или прямого использования. For example:
#
# Windows PowerShell Script for AD DS Deployment
#
Import-Module ADDSDeployment
Install-ADDSForest `
-CreateDNSDelegation `
-DatabasePath "C:\Windows\NTDS" `
-DomainMode "Win2012" `
-DomainName "corp.contoso.com" `
-DomainNetBIOSName "CORP" `
-ForestMode "Win2012" `
-InstallDNS:$true `
-LogPath "C:\Windows\NTDS" `
-NoRebootOnCompletion:$false `
-SYSVOLPath "C:\Windows\SYSVOL"
-Force:$true
Note
Диспетчер сервера обычно задает значения для всех аргументов при повышении роли, не полагаясь на значения по умолчанию (так как они могут изменяться в будущих версиях Windows или пакетах обновления). The one exception to this is the -safemodeadministratorpassword argument (which is deliberately omitted from the script). Для принудительного вывода запроса на подтверждение не указывайте значение при интерактивном выполнении командлета.
Prerequisites Check
The Prerequisites Check is a new feature in AD DS domain configuration. На этом новом этапе проверяется возможность поддержки нового леса доменных служб Active Directory конфигурацией сервера.
При установке нового корневого домена леса мастер настройки доменных служб Active Directory в диспетчере сервера выполняет серию модульных тестов. При этом предлагаются рекомендуемые способы восстановления. Тесты можно выполнять необходимое число раз. Установка контроллера домена не может продолжаться, пока все проверки предварительных требований не будут пройдены.
The Prerequisites Check also surfaces relevant information such as security changes that affect older operating systems.
For more information on the specific prerequisite checks, see Prerequisite Checking.
Installation
When the Installation page displays, the domain controller configuration begins and cannot be halted or canceled. Подробная информация об операциях выводится на этой странице и записывается в следующие журналы:
%systemroot%\debug\dcpromo.log
%systemroot%\debug\dcpromoui.log
Note
Из одной консоли диспетчера сервера можно одновременно запустить несколько мастеров установки роли и настройки доменных служб Active Directory.
Results
The Results page shows the success or failure of the promotion and any important administrative information. Контроллер домена автоматически перезагрузится через 10 секунд.
Развертывание леса с помощью Windows PowerShell
В этом разделе описывается, как установить первый контроллер домена в корневом домене леса с помощью Windows PowerShell на компьютере с базовыми компонентами Windows Server 2012.
Процесс установки роли доменных служб Active Directory с помощью Windows PowerShell
Включив несколько простых командлетов из модуля ServerManager в процесс развертывания, можно еще более упростить администрирование доменных служб Active Directory.
The next figure illustrates the Active Directory Domain Services role installation process, beginning with you running PowerShell.exe and ending right before the promotion of the domain controller.
| ServerManager Cmdlet | Arguments (Bold arguments are required. Italicized arguments can be specified by using Windows PowerShell or the AD DS Configuration Wizard.) |
|---|---|
| Install-WindowsFeature/Add-WindowsFeature |
-Name -Restart -IncludeAllSubFeature -IncludeManagementTools -Source -ComputerName -Credential -LogPath -Vhd -ConfigurationFilePath |
Note
While not required, the argument -IncludeManagementTools is highly recommended when installing the AD DS role binaries
Модуль ServerManager предоставляет доступ к частям нового модуля DISM для Windows PowerShell, предназначенным для установки, отслеживания состояния и удаления роли. Такая структура упрощает большинство задач и уменьшает потребность в прямом использовании эффективного (но опасного при неправильном применении) модуля DISM.
Use Get-Command to export the aliases and cmdlets in ServerManager.
Get-Command -module ServerManager
For example:
To add the Active Directory Domain Services role, simply run the Install-WindowsFeature with the AD DS role name as an argument. Так же как при использовании диспетчера сервера, все службы, необходимые для роли доменных служб Active Directory, устанавливаются автоматически.
Install-WindowsFeature -name AD-Domain-Services
If you also want the AD DS management tools installed - and this is highly recommended - then provide the -IncludeManagementTools argument:
Install-WindowsFeature -name AD-Domain-Services -IncludeManagementTools
For example:
To list all features and roles with their installation status, use Get-WindowsFeature without arguments. Specify -ComputerName argument for the installation status from a remote server.
Get-WindowsFeature
Because Get-WindowsFeature does not have a filtering mechanism, you must use Where-Object with a pipeline to find specific features. Конвейер — это канал, по которому данные передаются между несколькими командлетами, а командлет Where-Object выступает в роли фильтра. The built-in $_ variable acts as the current object passing through the pipeline with any properties it may contain.
Get-WindowsFeature | where-object <options>
For example, to find all features containing "Active Dir" in their Display Name property, use:
Get-WindowsFeature | where displayname -like "*active dir*"
Ниже приведены дополнительные примеры.
Подробнее о дополнительных операциях с конвейерами в Windows PowerShell и командлете Where-Object см. в статье Конвейерная передача и конвейер в Windows PowerShell.
Также обратите внимание на то, что в Windows PowerShell 3.0 значительно упростились аргументы командной строки, необходимые для выполнения этой конвейерной операции. В Windows PowerShell 2.0 потребовалась бы следующая команда:
Get-WindowsFeature | where {$_.displayname - like "*active dir*"}
С помощью конвейера Windows PowerShell можно получить удобные для восприятия результаты. For example:
Install-WindowsFeature | Format-List
Install-WindowsFeature | select-object | Format-List
Note how using the Select-Object cmdlet with the -expandproperty argument returns interesting data:
Note
The Select-Object -expandproperty argument slows down overall installation performance slightly.
Создание корневого домена леса доменных служб Active Directory с помощью Windows PowerShell
Чтобы установить новый лес Active Directory с помощью модуля ADDSDeployment, используйте следующий командлет:
Install-addsforest
The Install-AddsForest cmdlet only has two phases (prerequisite checking and installation). The two figures below show the installation phase with the minimum required argument of -domainname.
| ADDSDeployment Cmdlet | Arguments (Bold arguments are required. Italicized arguments can be specified by using Windows PowerShell or the AD DS Configuration Wizard.) |
|---|---|
| Install-Addsforest | -Confirm -CreateDNSDelegation -DatabasePath -DomainMode -DomainName -DomainNetBIOSName -DNSDelegationCredential -ForestMode -Force -InstallDNS -LogPath -NoDnsOnNetwork -NoRebootOnCompletion -SafeModeAdministratorPassword -SkipAutoConfigureDNS -SkipPreChecks -SYSVOLPath -Whatif |
Note
The -DomainNetBIOSName argument is required if you want to change the automatically generated 15-character name based on the DNS domain name prefix or if the name exceeds 15 characters.
The equivalent Server Manager Deployment Configuration ADDSDeployment cmdlet and arguments are:
Install-ADDSForest
-DomainName <string>
Аргументы командлета ADDSDeployment, эквивалентные параметрам на странице "Параметры контроллера домена" в диспетчере сервера:
-ForestMode <{Win2003 | Win2008 | Win2008R2 | Win2012 | Default}>
-DomainMode <{Win2003 | Win2008 | Win2008R2 | Win2012 | Default}>
-InstallDNS <{$false | $true}>
-SafeModeAdministratorPassword <secure string>
The Install-ADDSForest arguments follow the same defaults as Server Manager if not specified.
The SafeModeAdministratorPassword argument's operation is special:
If not specified as an argument, the cmdlet prompts you to enter and confirm a masked password. Это предпочтительный вариант использования при интерактивном выполнении командлета.
Например, чтобы создать лес с именем corp.contoso.com с выводом запроса на ввод и подтверждение скрытого пароля, выполните следующую команду:
Install-ADDSForest "DomainName corp.contoso.comЕсли аргумент указан со значением, это значение должно быть защищенной строкой. Это не является предпочтительным вариантом использования при интерактивном выполнении командлета.
For example, you can manually prompt for a password by using the Read-Host cmdlet to prompt the user for a secure string:
-safemodeadministratorpassword (read-host -prompt "Password:" -assecurestring)
Warning
Поскольку в предыдущем варианте пароль не подтверждается, соблюдайте повышенную осторожность: пароль невидим.
Можно также ввести защищенную строку в качестве переменной с преобразованным открытым текстом, хотя использовать такой вариант настоятельно не рекомендуется.
-safemodeadministratorpassword (convertto-securestring "Password1" -asplaintext -force)
Наконец, можно сохранить скрытый пароль в файле, а затем использовать его повторно, никогда не отображая пароль в виде открытого текста. For example:
$file = "c:\pw.txt"
$pw = read-host -prompt "Password:" -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file
-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)
Warning
Ввод или хранение пароля в виде открытого или скрытого текста не рекомендуется. Любой пользователь, выполняющий эту команду в скрипты или заглядывающий через ваше плечо, сможет узнать пароль DSRM этого доменного контроллера. Любой пользователь, имеющий доступ к файлу, сможет восстановить скрытый пароль. Зная пароль, он сможет войти в контроллер домена, запущенный в режиме восстановления служб каталогов, и персонифицировать сам контроллер домена, повысив уровень собственных привилегий в лесу Active Directory до максимального уровня. An additional set of steps using System.Security.Cryptography to encrypt the text file data is advisable but out of scope. Лучше всего полностью отказаться от хранения паролей.
Командлет ADDSDeployment предлагает дополнительную возможность пропустить автоматическую настройку параметров DNS-клиента, серверов пересылки и корневых ссылок. При использовании диспетчера сервера пропустить эту настройку нельзя. Этот аргумент имеет значение только в том случае, если роль DNS-сервера была установлена до настройки контроллера домена:
-SkipAutoConfigureDNS
The DomainNetBIOSName operation is also special:
If the DomainNetBIOSName argument is not specified with a NetBIOS domain name and the single-label prefix domain name in the DomainName argument is 15 characters or fewer, then promotion continues with an automatically generated name.
If the DomainNetBIOSName argument is not specified with a NetBIOS domain name and the single-label prefix domain name in the DomainName argument is 16 characters or more, then promotion fails.
If the DomainNetBIOSName argument is specified with a NetBIOS domain name of 15 characters or fewer, then promotion continues with that specified name.
If the DomainNetBIOSName argument is specified with a NetBIOS domain name of 16 characters or more, then promotion fails.
Аргументы командлета ADDSDeployment, эквивалентные параметрам на странице "Дополнительные параметры" в диспетчере сервера:
-domainnetbiosname <string>
The equivalent Server Manager Paths ADDSDeployment cmdlet arguments are:
-databasepath <string>
-logpath <string>
-sysvolpath <string>
Use the optional Whatif argument with the Install-ADDSForest cmdlet to review configuration information. Это позволит просмотреть явные и неявные значения аргументов командлета.
For example:
You cannot bypass the Prerequisite Check when using Server Manager, but you can skip the process when using the AD DS Deployment cmdlet using the following argument:
-skipprechecks
Warning
Корпорация Майкрософт не рекомендует пропускать проверку предварительных требований, так как это может привести к частичному повышению роли контроллера домена или повреждению леса Active Directory.
Note how, just like Server Manager, Install-ADDSForest reminds you that promotion will reboot the server automatically.
To accept the reboot prompt automatically, use the -force or -confirm:$false arguments with any ADDSDeployment Windows PowerShell cmdlet. To prevent the server from automatically rebooting at the end of promotion, use the -norebootoncompletion argument.
Warning
Отключать перезагрузку не рекомендуется. Для правильной работы контроллер домена должен перезагрузиться.
See Also
службы домен Active Directory (портал TechNet)службы домен Active Directory для Windows Server 2008 R2службы домен Active Directory для Windows Server 2008Технический справочник по Windows Server (Windows Server 2003)Центр администрирования Active Directory: начало работы (Windows Server 2008 R2)Администрирование Active Directory с Помощью Windows PowerShell (Windows Server 2008 R2)Попросите группу служб каталогов (официальный блог технической поддержки Майкрософт)