在 Microsoft Entra Domain Services 受控網域中建立組織單位 （OU）

Active Directory 網域服務 （AD DS） 受控網域中的組織單位（OU）可讓您以邏輯方式將使用者帳戶、服務帳戶或電腦帳戶等物件分組。 然後，您可以將系統管理員指派給特定 OU，並套用群組原則來強制執行目標群組態設定。

Domain Services 受控網域包含下列兩個內建 OU：

• AADDC 電腦 - 包含已加入受控網域之所有電腦的電腦物件。
• AADDC 使用者 - 包含從 Microsoft Entra 租使用者同步處理的使用者和群組。

當您建立和執行使用 Domain Services 的工作負載時，您可能需要建立服務帳戶，應用程式才能自行驗證。 若要組織這些服務帳戶，您通常會在受控網域中建立自訂 OU，然後在該 OU 內建立服務帳戶。

在混合式環境中，在內部部署 AD DS 環境中建立的 OU 不會同步至受控網域。 受控網域使用一般 OU 結構。 所有使用者帳戶和群組都會儲存在 AADDC Users 容器中 ，即使您已在那裡設定階層式 OU 結構，仍會從不同的內部部署網域或樹系進行同步處理。

本文說明如何在受控網域中建立 OU。

開始之前

若要完成本文，您需要下列資源和許可權：

• 啟用中的 Azure 訂用帳戶。
  • 如果您沒有 Azure 訂用帳戶， 請建立帳戶 。
• 與您的訂用帳戶相關聯的 Microsoft Entra 租使用者，會與內部部署目錄或僅限雲端目錄同步。
  • 如有需要， 請建立 Microsoft Entra 租使用者 ，或 建立 Azure 訂用帳戶與您的帳戶 的關聯。
• 在您的 Microsoft Entra 租使用者中啟用和設定 Microsoft Entra Domain Services 受控網域。
  • 如有需要，請完成建立 及設定 Microsoft Entra Domain Services 受控網域 的教學課程。
• 已加入 Domain Services 受控網域的 Windows Server 管理 VM。
  • 如有需要，請完成教學課程以 建立管理 VM 。
• 使用者帳戶，是 Microsoft Entra 租使用者中 Microsoft Entra DC 系統管理員 群組的成員 。

自訂 OU 考慮和限制

當您在受控網域中建立自訂 OU 時，您可以取得使用者管理及套用群組原則的額外管理彈性。 相較于內部部署 AD DS 環境，在受控網域中建立和管理自訂 OU 結構時，有一些限制和考慮：

• 若要建立自訂 OU，使用者必須是 AAD DC 管理員istrators 群組的成員 。
• 建立自訂 OU 的使用者會被授與該 OU 的系統管理許可權（完全控制），而且是資源擁有者。
  • 根據預設， AAD DC 管理員istrators 群組也會完全控制自訂 OU。
• 系統會建立 AADDC 使用者 的預設 OU ，其中包含來自 Microsoft Entra 租使用者的所有同步處理使用者帳戶。
  • 您無法將使用者或群組從 AADDC 使用者 OU 移至您建立的自訂 OU。 只有在受控網域中建立的使用者帳戶或資源可以移至自訂 OU。
• Microsoft Entra 租使用者中無法使用您在自訂 OU 下建立的使用者帳戶、群組、服務帳戶和電腦物件。
  • 這些物件不會使用 Microsoft Graph API 或在 Microsoft Entra UI 中顯示;它們只能在您的受控網域中使用。

建立自訂 OU

若要建立自訂 OU，您可以使用已加入網域的 VM 中的 Active Directory 管理員istrative Tools。 Active Directory 管理員istrative 中心可讓您在受控網域中檢視、編輯和建立資源，包括 OU。

注意

若要在受控網域中建立自訂 OU，您必須登入屬於 AAD DC 管理員istrators 群組成員的 使用者帳戶。

1. 登入您的管理 VM。 如需如何使用 Microsoft Entra 系統管理中心連線的步驟，請參閱 連線到 Windows Server VM 。

2. 從 [開始] 畫面中，選取 [管理員工具 ]。 本教學課程中已安裝 可用來建立管理 VM 的可用管理工具清單。

3. 若要建立和管理 OU，請從系統管理工具清單中選取 [Active Directory 管理員istrative Center ]。

4. 在左窗格中，選擇您的受控網域，例如 aaddscontoso.com 。 顯示現有 OU 和資源的清單：

   

5. [ 工作 ] 窗格會顯示在 Active Directory 管理員istrative Center 的右側。 在網域下，例如 aaddscontoso.com ，選取 [ 新增 > 組織單位 ]。

   

6. 在 [ 建立組織單位 ] 對話方塊中，指定 新 OU 的名稱，例如 MyCustomOu 。 提供 OU 的簡短描述，例如 服務帳戶 的自訂 OU。 如有需要，您也可以設定 OU 的 [受控依據 ] 欄位。 若要建立自訂 OU，請選取 [ 確定 ]。

   

7. 回到 Active Directory 管理員istrative 中心，現在會列出自訂 OU 並可供使用：

   

下一步

如需使用系統管理工具或使用服務帳戶的詳細資訊，請參閱下列文章：

• Active Directory 管理員istrative 中心：使用者入門
• 服務帳戶的逐步指南