在 Azure Active Directory Domain Services 受控網域上建立組織單位 (OU)

Active Directory Domain Services (AD DS) 受控網域中的組織單位 (OU) 可讓您以有邏輯地將使用者帳戶、服務帳戶或電腦帳戶等物件進行分組。 然後,您可以將管理員指派給特定 OU,並套用群組原則來強制執行目標組態設定。

Azure AD DS 受控網域包含下列兩個內建 OU:

  • AADDC 電腦 - 包含已加入受控網域之所有電腦的電腦物件。
  • AADDC 使用者 - 包含從 Azure AD 租用戶同步處理的使用者和群組。

當您建立和執行使用 Azure AD DS 的工作負載時,您可能需要建立服務帳戶,讓應用程式自行驗證。 若要組織這些服務帳戶,您通常會在受控網域中建立自訂 OU,然後在該 OU 內建立服務帳戶。

在混合式環境中,在內部部署 AD DS 環境中建立的 OU 不會同步至受控網域。 受控網域會使用一般 OU 結構。 所有使用者帳戶和群組會儲存在「AADDC 使用者」容器中,即使您已設定階層式 OU 結構,仍會從不同的內部部署網域或樹系進行同步處理。

本文將示範如何在受控網域中建立 OU。

開始之前

若要完成本文章,您需要下列資源和權限:

自訂 OU 考量和限制

當您在受控網域中建立自訂 OU 時,您可以在使用者管理及套用群組原則方面獲得額外的管理彈性。 相較於內部部署 AD DS 環境,在受控網域中建立和管理自訂 OU 結構時,有一些限制和考量:

  • 若要建立自訂 OU,使用者必須是「AAD DC 系統管理員」群組的成員。
  • 建立自訂 OU 的使用者會獲得 OU 的系統管理權限 (完整控制權),而且是資源擁有者。
    • 根據預設,「AAD DC 系統管理員」群組也有自訂 OU 的完整控制權。
  • 系統會建立「AADDC 使用者」的預設 OU,其中包含來自您 Azure AD 租用戶所有已同步的使用者帳戶。
    • 您無法將使用者或群組從「AADDC 使用者」OU 移至您建立的自訂 OU。 只有在受控網域中建立的使用者帳戶或資源才可以移至自訂 OU。
  • 您在自訂 OU 下建立的使用者帳戶、群組、服務帳戶和電腦物件無法在 Azure AD 租用戶中使用。
    • 這些物件不會顯示使用 Microsoft Graph API 或 Azure AD UI;這些物件只能在您的受控網域中使用。

建立自訂 OU

若要建立自訂 OU,請從已加入網域的 VM 使用 Active Directory 系統管理工具。 您可以在 Active Directory 管理中心檢視、編輯和建立受控網域中的資源,包括 OU。

注意

若要在受控網域中建立自訂 OU,您必須登入「AAD DC 系統管理員」群組成員的使用者帳戶。

  1. 登入您的管理 VM。 如需了解使用 Azure 入口網站進行連線的步驟,請參閱連線至 Windows Server VM

  2. 從 [開始] 畫面中,選取 [系統管理工具]。 已顯示教學課程中已安裝建立管理 VM 的可用管理工具清單。

  3. 若要建立和管理 OU,請從系統管理工具清單中選取 [Active Directory 管理中心]。

  4. 在左側窗格中,選擇您的受控網域,例如 aaddscontoso.com。 隨即顯示現有 OU 和資源的清單:

    Select your managed domain in the Active Directory Administrative Center

  5. [工作] 窗格會顯示在 Active Directory 管理中心右側。 在網域下,例如 aaddscontoso.com,選取 [新增] > [組織單位]。

    Select the option to create a new OU in the Active Directory Administrative Center

  6. 在 [建立組織單位] 對話方塊中,指定新 OU 的 [名稱],例如 MyCustomOu。 提供 OU 的簡短描述,例如「服務帳戶的自訂 OU」。 如有需要,您也可以設定 OU 的 [管理依據] 欄位。 若要建立自訂 OU,請選取 [確定]。

    Create a custom OU from the Active Directory Administrative Center

  7. 返回 Active Directory 管理中心,現在會列出自訂 OU,並可供使用:

    Custom OU available for use in the Active Directory Administrative Center

後續步驟

如需使用系統管理工具或使用服務帳戶的詳細資訊,請參閱下列文章: