使用組織網域樹系模型
適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
在組織網域樹系模型中,有數個自發群組各自擁有樹系內的網域。 每個群組都會控制網域層級服務管理,這可讓其自主管理某些層面的服務管理,而樹系擁有者則控制樹系層級的服務管理。
下圖顯示組織網域樹系模型。
網域層級服務自主性
組織網域樹系模型會啟用網域層級服務管理的授權委派。 下表列出可在網域層級控制的服務管理類型。
| 服務管理的類型 | 相關聯的工作 |
|---|---|
| 網域控制站作業的管理 | - 建立及移除網域控制站 - 監視網域控制站的運作 - 管理在網域控制站上執行的服務 - 備份及還原目錄 |
| 設定全網域設定 | - 建立網域和網域使用者帳戶原則,例如密碼、Kerberos 和帳戶鎖定原則 - 建立及套用全網域群組原則 |
| 資料層級系統管理的委派 | - 建立組織單位 (OU) 並委派系統管理 - 修復 OU 結構中 OU 擁有者沒有足夠存取權限可進行修正的問題 |
| 管理外部信任 | - 建立與樹系外部網域的信任關係 |
其他類型的服務管理 (例如結構描述或複寫拓撲管理) 都是樹系擁有者的責任。
網域擁有者
在組織網域樹系模型中,網域擁有者負責網域層級的服務管理工作。 網域擁有者擁有整個網域的授權,以及存取樹系中所有其他網域的存取權。 因此,網域擁有者必須是樹系擁有者所選取的信任個人。
如果符合下列條件,請將網域層級服務管理委派給網域擁有者:
參與樹系的所有群組都會信任新網域擁有者和新網域的服務管理做法。
新的網域擁有者會信任樹系擁有者和所有其他網域擁有者。
樹系中的所有網域擁有者皆同意新網域擁有者具有服務管理員管理以及選取原則和做法,這些原則和做法等於或較他們自己的更嚴格。
樹系中的所有網域擁有者都同意新網域中新網域擁有者所管理的網域控制站在實體上是安全的。
請注意,如果樹系擁有者將網域層級服務管理委派給網域擁有者,則若其他群組不信任該網域擁有者,可能會選擇不加入該樹系。
所有網域擁有者都必須注意,如果未來有任何條件變更,可能需要將組織網域移至多個樹系部署。
注意
將 Windows Server 2008 Active Directory 網域的安全性風險降到最低的另一種方式,是採用系統管理員角色分離,這需要在 Active Directory 基礎結構中部署唯讀網域控制站 (RODC)。 RODC 是 Windows Server 2008 中的新型網域控制站,裝載 Active Directory 資料庫的唯讀分割。 在 Windows Server 2008 發行之前,網域控制站上的任何伺服器維護工作都必須由網域系統管理員執行。 在 Windows Server 2008 中,您可以將 RODC 的本機系統管理權限委派給任何網域使用者,而不需將網域或其他網域控制站的任何系統管理權限授與該使用者。 這允許委派的使用者登入 RODC,並在伺服器上執行維護工作,例如升級驅動程式。 不過,委派的使用者無法登入任何其他網域控制站,或在網域中執行任何其他系統管理工作。 您可以利用此方式來委派分公司使用者,使其可有效地管理 RODC,而不會洩露網域其餘部分的安全性。 如需 RODC 的詳細資訊,請參閱 AD DS:唯讀網域控制站。