建立服務 連線 點的位置

安裝 Active Directory 網域服務 實例時，服務安裝程式會在 Active Directory 網域服務 中建立服務連接點物件 （SCP）。 主要目標是將復寫流量降到最低，並啟用物件的有效管理和維護。

請注意，用戶端應用程式會藉由搜尋 SCP 中的關鍵詞目錄來尋找 SCP。 SCP 的關鍵詞屬性包含在全域編錄中;用戶端可以搜尋全域編錄以在樹系中尋找 SCP。 因此，用戶端不會影響發佈 SCP 的位置。

將復寫流量降到最低

若要將復寫流量降到最低，請在服務主計算機的網域分割區中建立 SCP。 例如，您可以將SCP建立為安裝服務之計算機物件的子物件。 Active Directory 網域服務 的網域分割，有時稱為網域命名內容，包含網域特定物件，例如網域的使用者和計算機的物件。 網域分割區中所有物件的完整複本會複寫到網域的每個域控制器（DC），但不會復寫到其他網域的 DC。

請勿在組態分割區中建立 SCP，也稱為組態命名內容，因為組態分割區的變更會復寫到樹系中的每個 DC。 如上所述，整個樹系的用戶端可以查詢全域編錄以在樹系中的任何位置尋找 SCP，因此在組態分割區中建立 SCP 並不會讓用戶端更看得見;它只會產生更多復寫流量。

輕鬆 管理員

請考慮下列物件管理的指導方針：

• 放置服務特定物件，讓系統管理員可以使用原則和繼承的訪問許可權來控制其存取權。
• 將物件放在系統管理員可以輕鬆地找到這些物件的位置。

符合這兩個目標的良好預設位置是在每個服務實例主計算機的計算機物件下建立 SCP 和其他服務特定物件。 如需詳細資訊，請參閱 在計算機物件下發佈。

未系結至單一主機之服務的良好替代方案，是建立網域分割區中系統容器下服務物件的容器。 如需詳細資訊，請參閱 在網域系統容器中發佈。

下圖顯示網域分割的預設容器階層的一部分。

此圖顯示隨附於 Active Directory 網域服務的預設網域階層。 不過，許多企業會建立組織單位 （OU） 容器的階層，以將對象類別，例如使用者和計算機群組在一起，以供系統管理之用。 然後，管理員 istrators 可以將原則和可繼承的訪問控制專案 （ACE） 套用至 OU，以委派 OU 中對象的系統管理授權單位。 這可讓系統管理員有效率地管理企業，但它對服務程序設計人員有一些後果：

• 服務主機的計算機物件可能不在 [計算機] 容器下，如下圖所示。 如需如何尋找本機計算機計算機物件的詳細資訊，請參閱 在計算機物件下發佈。
• 管理員 istrators 可能會在組織需求變更時移動物件。 這表示您無法相依於剩餘在固定位置中的物件;也就是說，您的服務不能相依於物件辨別名稱，而該名稱會維持不變。 請改用物件的 objectGUID 屬性，如果物件已移動或重新命名，則不會變更此屬性。 如需詳細資訊，以及建立SCP的程式代碼範例、儲存其 objectGUID，以及稍後擷取要系結至 SCP 的 objectGUID，請參閱建立和維護服務 連線 點。
• 所有標準服務相關物件類別，以及這些類別的任何子類別，都是計算機和組織Unit 類別的有效子系。 如果您擴充架構來定義您自己的服務特定類別，請確定 計算機 和組織 Unit 類別包含在可能的上層中。
• 服務安裝程式會決定建立SCP的預設位置。 您可能想要允許系統管理員安裝服務，以指定替代安裝路徑。

不應該在下列區域中建立服務特定物件：

• 服務不應該直接在網域分割區的使用者或計算機容器中發佈物件，也不應該在這些容器中建立新的容器。 不過，服務可以將物件發佈為計算機物件的子物件，無論計算機物件是否儲存在計算機容器中。
• 使用 Windows Sockets 註冊和解析 （RnR） 或 RPC 名稱服務 （RpcNs） API 來公告自己的服務，請在網域分割區系統容器下的 WinsockServices 和 RpcServices 容器中建立適當的物件。 請勿在這些容器中明確建立物件。 這樣做不會造成直接傷害，但對系統管理員來說可能會造成混淆。