在Windows服务器中，提供了Server Core这一特殊的运行环境，例如Windows 2008 Server Core就是以Windows Server 2008为核心，以命令行运行的只提供特定功能的基础服务的系统，以安全稳定为最大特点，因为减少了不必要的服务和管理工具，运行效率大大提高。Server Core虽然是Windows Server 2008的最小系统安装项目，但其提供的服务和功能却让服务器在企业网络环境中扮演着关键性的角色。

在Server Core中安装AD DS服务

在其中安装AD DS域服务，可以有效管理局域网资源。使用记事本创建名为“yufuwu.txt”的文件，其内容依次包括“[DCInstall]”，“ReplicaOrNewDomain=Domain”，“NewDomain=Forest”，“NewDomainDNSName=xxx.com”，“ForestLevel=1”，“DomainNetbiosName=xbios”，“InstallDNS=Yes”，“ConfirmGc=Yes”，“CreateDNSDelegation=No”，“DatabasePath=”C:WindowsNTDS””，“SYSVOLPath=”C:WindowsSYSVOL””，“SafeModeAdminPa ssword=”qwe123!@#””等。

格式为每条语句占据一 行，其 中 的“xxx.com”表 示 DNS域 名，“xbios”表示具体的NetBIOS名称，“DatabasePath” 表示AD数据库文件路径，“LogPath” 表 示 Active Directory日志文件路径，“SafeModeAdminPassword”存储目录还原模式密码，该密码必须符合强制规则，可以根据实际情况设置以上参数。

利用优盘等设备，将该文件复制到Server Core主机磁盘上，在提示符中执行“dcpromo/ unattend:e:yufuwu.txt”命令，假设该文件存储在E盘中，之后执行验证操作，完毕后执行域服务安装操作，之后重启系统，完成AD DS域服务安装操作。

添加新的组织单元

使 用“dsadd”命令，可以将特定的主机、联系人、组、组织单元、账户添加到活动目录数据库中。执行“dsadd computer cn=jsj1,cn=computers,dc=xxxxxx.dc=com” 命令，可以将名 为“jsj1”的主机名添加到名为“xxxxxx.com”域中的名为“computers”的容器中。注意，必须拥有管理员权限的账户才可以执行这些命令。因为各命令的参数众多，限于篇幅无法逐一介绍，具体可以查看帮助信息。

执行“dsadd contact CN=jlianxiren1,DC=jinpfzh, DC=net,-display lianxiren1-email helloman@126.com”命令，可以向名为“jinpfzh.net” 的 域 中添加名为“lianxiren1”的联系人，其邮箱为“helloman@126.com”。执行“dsadd group“cn=desing1,dc=jinpfz.dc=net”” 命令， 向“jinpfzh.net” 的 域 中添加名为“design1”的组。执行“dsmod group ”cn=desing1,dc=jinpfz.dc=net” -secgrp no”命令，可以将该组从安全组转换为非安全组。执行“dsadd ou“OU=xiaozu1,DC=jinpfzh.DC=net” -desc“miaoshuxinxi”” 命令，向“jinpfzh.net” 的 域中添加名为“xiaozu1”的组织单元，其描述信息为“miaoshuxinxi”。

添加新的账户

执行“dsad user ”cn=yongh1,ou=xiaozu1,dc=j inpfzh,dc=net” -company gongsi1 -dept 管理部门 -pwd qwe123”命令，向“jinpfzh.net”的域中的名为“design1”的组织单元中添加名为“yonghu1”的账户，其密码为“qwe123”，其隶属于名为“gongsi1”的公司，所属部门为“管理部”。当对活动目录中的账户、主机、组织单元、服务器、分区等对象进行修改时，需要使用到“dsmod”命令。例如 执行“dsmod computer cn=jsj1,cn=computers,dc=xxxxxx.dc=com-disabled yes”命令，可以禁用名为“xxxxxx.com”域中的名为“jsj1”的主机。对应的执行“dsmod computer cn=jsj1,cn=computers,dc=xxxxxx.dc=com -reset”命令，可以恢复目标主机的活力。

向指定组中添加账户

执行“dsmod contact CN=lianxiren1”,DC=jinpfzh, DC=net,-office 新楼1019号 -email helloman@sohu.com”，可 以将 名 为“lianxiren1” 账户的办公地点修改为“新楼 1019号”，邮箱修改 为“helloman@sohu.com”。 如何向指定的组中添加账户呢？ 执行“dsmod group“cn=desing1,dc=jinpfz.dc=net” -addmbr”cn=user2.cn=users,dc=jinpfzh,dc=net” ”cn=user2.cn=users, dc=jinpfzh,dc=net”” 命令，可以向名为“design1”的组中添加 名 为“user2”和“userid” 的 账户。 执行“dsmod group“cn=desing1,dc=jinpfz.dc=net” -rmmbr”cn=lianxiren.cn=users,dc=jinpfzh,dc=net””命令，可以从该组中删除名为“lianxiren”的账户。

修改组织单元属性

对组织单元的属性进行修改，需要使用“dsmod ou”命令。执行“dsmod ou“OU=xiaozu1,DC=jinpfzh.DC=net” -desc“xindemiaoshuxinxi”” 命令，可以将“xiaozu1”组织单元的描述信息进行修改。利用“dsmod server”命令，可以修改域控制器属性。

例 如， 执行“dsmod server “CN=xxx.CN=Servers.CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=jin pfzh,DC=net” -isgc yes”命令，可以将名为“xxx”的域控制器设置为全局编录服务器。对域中账户的设置需要用到“dsmod user”命令。

例如，执行“dsmod user“cn=user1,cn=users,dc=ji npfzh,dc=net” -disable yes”命令，可以禁用名为“user1”的账户。执行“dsmod user “cn=user1,c n=users,dc=jinpfzh,dc=n et” -disable no”命令，可以恢复该账户的正常功能。执行“dsmod user “cn=use r1,cn=users,dc=jinpfzh,d c=net” -pwd zxc!@#$%123-mustchpwd yes”命令，可以将“user1”账户的密码修改为“zxc!@#$%123”，其必须符合强制密码策略。

删除AD中的指定对象

当需要删除活动目录中的主机、组、组织单元、账户、服务器等对象的话，需要使用“dsrm”命令。例如，执行“dsrm -subtree-noprompt -c OU=xiaozu1.DC=jinpfzh,DC=net”命令，可以删除“xiaozu1”组织单元以及其中包含的所有对象。执行“dsrm -noprompt-c CN=lianxiren1.OU=xiaozu2，DC=jinpfzh,DC=net”命令，可以将“xiaozu2”组织单元中的“lianxiren1”账户删除。 执行“dsrm -subtree-exclude -c OU=xuanchuan.DC=jinpfzh,DC=net”命令，可以将“xuanchuan”组织单元中的所有对象删除，但是保留该组织单元。

查询AD中指定的对象信息

当需要查询活动目录中的主机、组、组织单元、账户、服务器等对象的状态时，需要依靠“dsquery”命令。例如执行“dsquery computer CN=Computers,dc=j inpfzh,cn=net”命令，可以 查 看“jinpfzh.net”域中“COmputers”容器 中的所有主机。执行“dsquery computer domainroot-name a*”命令，可以查看域中所有名称以“a”开头的 主 机。 执行“dsquery contact OU=xuanchuan.DC=jinpfzh,DC=net”命令，可以查看“xuanchuan”组织单元中的所有联系人信息。

执行“dsquery group domainroot -name a*-desc 管理”命令，可以查询域中所有名称以“a”开头，描述信息中包含“管理”的组。 执行“dsquery group DC=jinpfzh,DC=net”命令，可以查询“jinpfzh.net”域中的所有组信息。执行“dsquery ou”命令，可 以查询域中所有的组织单元信 息。 执行“dsquery ou domainroot -name a*”命令，可以查询域中所有名称以“a”开头的组织单元。

查看AD中目录分区信息

执行“dsquery partition”命令，可以查询域中所有的目录分区信息。 执行“dsquery quota domainroot”命令，可以查询配额规范分配信息，配额规范用来确定给定安全主体在特定目录分区中可以拥有的最大数量的目录对象。在域中可能存在多台域控制器，包括主域控制器、额外域控制器等。执行“dsquery server” 命令，可以查询域中全部域控制器信息。执行“dsquery server -o rdn -forest”命令，可以查询林中所有的域控制器信息。执行“dsquery server-forest -hasfsmo schema”命令，可以查询林中具有架构操作主机角色的域控制器。执行“dsquery server-domain xxx.net”命令，可以查询指定“xxx.com”域中的域控制器信息。

在域中可能存在多个站点，执行“dsquery site-o rdn”命令，可以查询域中所有的站点信息。执行“dsquery site -name Def*”命令，可以查询域中所有名称以“Def”开头的站点。执行“dsquery *”命令，可以查询域中的所有对象。执行“dsquery* OU=xuanchuan,DC=jinpfzh,DC=net -scope base -attr *”命令，可以 显 示“xuanchuan” 组织单元中的所有对象的全部属性。在活动目录数据库中存在大量的账户，利用“dsquery user”命令，可以查询其中所需的账户。例如，执行“dsquery user OU=xiaozu1,DC=pinfzh,DC=net -o upn-name a* -disabled”命令，可以在“xiaozu1”组织单元中搜寻所有名称以“a”开头的、处于禁用状态的账户信息。执行“dsquery user OU=xuanchuan,DC=j inpfzh,DC=net -o upn”命令，可以显示“xuanchuan”组织单元中的所有账户信息。