Установка оснастки Active Directory Users & Computers в Windows

Оснастка Active Directory Users & Computers (Пользователи и компьютеры Active Directory или ADUC) – это одна из наиболее часто используемых графических консолей для управления объектами в домене Active Directory (пользователями, компьютерами, группами, организационными единицами, правами и т.д.). MMC оснастку Active Directory можно установить как на Windows Server, так и на рабочие станции с Windows 11 или 11. Консоль ADUC входит в состав набора компонент удаленного администрирования Remote Server Administration Tools(RSAT) и по умолчанию устанавливается только на контроллеры домена AD. В этой статье мы покажем, как установить и использовать консоль управления Active Directory Users and Computers с любой рабочей станции с Windows.

Как установить оснастку Active Directory в Windows 11 и 10?

Консоль Active Directory для рабочих станций Windows 11 и 10 доступна в виде компонента, входящего в состав средств удаленного администрирования RSAT. По умолчанию данный компонент в Windows не установлен и может быть добавлен в виде Features on Demand через графический интерфейс панели Settings -> System -> Optional Features -> View Features. Выберите в списке RSAT: Active Directory Domain Services and Lightweight Directory Services Tool (в русской версии Windows -> Средства удалённого администрирования сервера: средства доменных служб Active Directory и служб облегченного доступа к каталогам) и нажмите Add.

Windows подключится к серверам Microsoft, скачает и установит набор инструментов для управления Active Directory (включает в себя графические консоли Active Directory, утилиты командной строки и модуль Active Directory PowerShell).

До версии Windows 10 1809 компоненты RSAT в Windows не были встроены в образ системы в виде FoD и требовали установки отдельного MSU обновления KB2693643. Ниже перечислен список для загрузки RSAT для предыдущих версий Windows:

• RSAT для Windows 10 1803/1709 — https://www.microsoft.com/en-us/download/details.aspx?id=45520
• RSAT для Windows 8.1 — https://www.microsoft.com/en-us/download/details.aspx?id=39296

Скачайте версию файла RSAT в зависимости от разрядности вашей операционной системы и установите его. Дважды щелкните по файлу для начала установки:Скачайте версию файла RSAT в зависимости от разрядности вашей операционной системы и установите его. Дважды щелкните по файлу для начала установки:
wusa.exe c:\Install\WindowsTH-RSAT_TP5_Update-x64.msu  /quiet /norestart

После окончания установки RSAT нужно перезагрузить компьютер. После этого нужно активировать инструменты управления AD в RSAT:

1. Откройте панель управления компонентами Windows Turn Windows features on or off, выполнив команду optionalfeatures.exe
2. В дереве компонентов разверните Remote Server Administration Tools-> Role Administration Tools -> AD DS and AD LDS Tools
3. Отметьте раздел AD DS Tools и нажмите OK.

Установка консоли Active Directory с помощью PowerShell

На мой взгляд, гораздо проще и быстрее установить набор компонентов администрирования AD с помощью PowerShell. Проверить, установлен ли компоненты на компьютере:

Get-WindowsCapability -Online -Name Rsat.ActiveDirectory*

Если компонент отсутствует (NotPresent), добавьте его командой:

Get-WindowsCapability -Online -Name Rsat.ActiveDirectory*|Add-WindowsCapability -Online

В Windows 11 компонент Rsat.ActiveDirectory загружается с серверов Microsoft в Интернете. Если компьютер находится в изолированной сети, или прямой доступ в интернет заблокирован, при установке компонентов RSAT появился ошибка 0x800f0954.

В этом случае нужно скачать офлайн ISO образ с компонентами Windows для вашей версии Windows с сайта Microsoft.

В моем случае для Windows 11 25H2, я скачал ISO (около 6 Гб) образ Languages and Optional Features for Windows 11, version 24H2 and 25H2 (содержит языковые пакеты для Windows и Features on Demand).

Смонтируйте скачанный ISO образ на рабочей стации и запустите офлайн установку консолей AD со смонтированного образа:

Add-WindowsCapability -Online -Name Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0 -LimitAccess -Source D:\LanguagesAndOptionalFeatures\

Если вы устанавливаете консоли Active Directory, на компьютере, который получает обновления от локального WSUS сервера, для таких компьютеров нужно применить параметр GPO Specify settings for optional component installation and component repair, с включенной опцией Download repair content and optional features directly from Windows Updates instead of Windows Server Updates Services (WSUS) (находится в редакторе групповых политик в разделе Computer Configuration -> Administrative Templates -> System). В этом случае компьютер не будет пытаться сначала получить компоненты Features On Demand с локального WSUS сервера, а будет обращаться напрямую к серверам Microsoft в Интернете.

В версия Windows 10 до билда 1809, установить оснастку ADUC можно из командой строки с помощью DISM. Последовательно выполните 3 команды:

dism /online /enable-feature /featurename:RSATClient-Roles-AD
dism /online /enable-feature /featurename:RSATClient-Roles-AD-DS
dism /online /enable-feature /featurename:RSATClient-Roles-AD-DS-SnapIns

Добавить консоль ADUC в Windows Server

Консоль ADUC вместе с другими удаленными инструментами администрирования AD автоматически устанавливается на хост Windows Server при установке на него роли ADDS и повышении до контроллера домена.

Однако можно установить инструменты администрирования AD и на рядовой хост с Windows Server:

• Через Server Manager: Add Roles and Features -> Features -> Remote Server Administration Tools -> AD DS and AD LDS Tools -> AD DS Tools -> AD DS snap-Ins and Command-line tools
• Или можно установить консоли AD с помощью PowerShell команды: Install-WindowsFeature RSAT-ADDS-Tools

Проверьте, что данный компонент Windows Server установлен:

Get-WindowsFeature RSAT-ADDS-Tools

Как пользоваться консолью Active Directory?

После установки компонентов RSAT на компьютер, ссылка для запуска консоли Active Directory User and Computers появится в панели управления в разделе административных MMC оснасток Windows (Control Panel\System and Security\Windows Tools):

• в Windows 11: Windows Tools (Средства Windows).
• в Windows10: Windows Administrative Tools (Средства администрирования Windows).

Чтобы быстро открыть этот раздел панели управления, выполните команду control /name Microsoft.AdministrativeTools

Чтобы запустить консоль ADUC, щелкните по ярлыку в панели управления или выполните команду:

dsa.msc

Если ваш компьютер состоит в домене Active Directory, то консоль ADUC подключится к контролеру домена, на основании текущего Logon сервера. Имя контроллера домена, к которому сейчас подключена MMC консоль указано вверху.

Вы можете подключиться к другому контроллеру домена AD или другому домену, щелкнув по корню консоли и выбрав пункт в контекстном меню Change Domain или Change Domain Controller.

В консоли Active Directory отображается древовидная структура организационных юнитов (Organizational Unit, OU) вашего домена (и отдельный раздел с сохраненными запросами/ Saved Queries AD).

С помощью оснастки ADUC можно выполнять следующие действия в Active Directory:

• Создавать организационные подразделения (OU) в соответствии с физической или логической структурой организации
• Управлять (создавать, переименовать, перемещать, редактированье или удалить) учётные записи пользователей, компьютеров, групп, контактов
• Сбрасывать пароль пользователя в AD или блокировку/разблокировку учетной записи.
• Выполнять поиск объектов в AD
• Администратор может делегировать права на создание/редактирование/удаление объектов в Active Directory другим пользователям или группам.
• Передавать некоторые FSMO роли между контроллерами домена, повышать функциональные уровни домена. В консоли ADUC можно посмотреть или изменить свойства объектов домена. Например, можно открыть свойства пользователя и изменить его настройки (свойства объектов нельзя редактировать при подключении к контроллеру домена RODC). Часть свойств пользователя находится на соответствующих вкладках, а полный список атрибутов пользователя доступен на вкладке редактора атрибутов AD (Attribute Editor).

С помощью меню View -> Add/Remove columns можно добавить атрибуты объектов, которые вы хотите отображать в консоли ADUC. Также, например, можно добавить отдельную вкладку с фотографией пользователя AD.

Чтобы показывать системные контейнеры и свойства объектов в оснастке AD (по умолчанию скрыты), включите опцию View -> Advanced features.

После этого у всех объектов появится ряд системных вкладок. Например, на вкладке Object можно получить каноническое имя объекта, дату создания учетной записи и включить опцию защиты от удаления (protect object from accidental deletion).

Подключение консоли ADUC к домену из рабочей группы

Если вы хотите подключится консолью ADUC к контроллеру домена с компьютера, который не включен в домен (состоит в рабочей группе), воспользуйтесь таким методом:

1. Запустите командную строку и выполните команду запуска оснастки от имени другого пользователя: runas /netonly /user:winitpro\aaivanov mmc
2. В пустой консоли MMC выберите File->Add/Remove Snap-In
3. Перенесите оснастку Active Directory Users and Computers в правую панель и нажмите Add
   
4. Чтобы подключится к домену, щелкните по корню консоли и выберите Change domain. Укажите имя домена.
   

В результате консоль ADUC подключится к контроллеру домена, получит и отобразит структуру контейнеров (OU) данного домена Active Directory.

Кроме оснастки ADUC, при установке инструментов администрирования AD также устанавливается консоль ADAC (Active Directory Administrative Center). Обе консоли имеют схожий функционал, на ADAC ( dsac.exe ) поддерживает ряд расширенных возможностей:

• Управление корзиной AD и удаленными объектами
• Настройка кастомных политик паролей (Fine Grained Password Policy)
• ADAC построен поверх PowerShell, выполняя команды в фоне, и предлагает расширенные функции вроде глобального поиска, мгновенного сброса паролей и истории PowerShell команд
• Возможно управление несколькими доменами из одной консоли
• Поддержка массовых операций