在 Microsoft Entra Domain Services 受控網域中建立組織單位 (OU)

Active Directory Domain Services (AD DS) 受控網域中的組織單位 (OU) 可讓您以有邏輯地將使用者帳戶、服務帳戶或電腦帳戶等物件進行分組。然後，您可以將管理員指派給特定 OU，並套用群組原則來強制執行目標組態設定。

Domain Services 受控網域包含下列兩個內建 OU：

當您建立和執行使用 Domain Services 的工作負載時，您可能需要建立服務帳戶，應用程式才能自行驗證。若要組織這些服務帳戶，您通常會在受控網域中建立自訂 OU，然後在該 OU 內建立服務帳戶。

在混合式環境中，在內部部署 AD DS 環境中建立的 OU 不會同步至受控網域。受控網域會使用一般 OU 結構。所有使用者帳戶和群組會儲存在「AADDC 使用者」容器中，即使您已設定階層式 OU 結構，仍會從不同的內部部署網域或樹系進行同步處理。

本文將示範如何在受控網域中建立 OU。

開始之前

若要完成本文章，您需要下列資源和權限：

有效的 Azure 訂閱。
- 如果您沒有 Azure 訂用帳戶，請先建立帳戶。
與您的訂用帳戶相關聯的 Microsoft Entra 租用戶，已與內部部署目錄或僅限雲端目錄其一同步。
- 如有需要，請建立 Microsoft Entra 租用戶或將 Azure 訂用帳戶與您的帳戶建立關聯。
在您的 Microsoft Entra 租用戶中啟用和設定的 Microsoft Entra Domain Services 受控網域。
- 如有需要，請完成教學課程，以建立並設定 Microsoft Entra Domain Services 受控網域。
已加入 Domain Services 受控網域的 Windows Server 管理 VM。
- 如有需要，請完成建立管理 VM 的教學課程。
屬於您 Microsoft Entra 租用戶中 Microsoft Entra DC 管理員群組成員的使用者帳戶。

當您在受控網域中建立自訂 OU 時，您可以在使用者管理及套用群組原則方面獲得額外的管理彈性。相較於內部部署 AD DS 環境，在受控網域中建立和管理自訂 OU 結構時，有一些限制和考量：

若要建立自訂 OU，使用者必須是「AAD DC 系統管理員」群組的成員。
建立自訂 OU 的使用者會獲得 OU 的系統管理權限 (完整控制權)，而且是資源擁有者。
- 根據預設，「AAD DC 系統管理員」群組也有自訂 OU 的完整控制權。
系統會建立 AADDC 使用者的預設 OU，其中包含來自您 Microsoft Entra 租用戶所有已同步的使用者帳戶。
- 您無法將使用者或群組從「AADDC 使用者」OU 移至您建立的自訂 OU。只有在受控網域中建立的使用者帳戶或資源才可以移至自訂 OU。
您在自訂 OU 下建立的使用者帳戶、群組、服務帳戶和電腦物件無法在 Microsoft Entra 租用戶中使用。
- 這些物件不會使用 Microsoft Graph API 或在 Microsoft Entra UI 中顯示;它們只能在您的受控網域中使用。

若要建立自訂 OU，請從已加入網域的 VM 使用 Active Directory 系統管理工具。您可以在 Active Directory 管理中心檢視、編輯和建立受控網域中的資源，包括 OU。

注意

若要在受控網域中建立自訂 OU，您必須登入「AAD DC 系統管理員」群組成員的使用者帳戶。

登入您的管理 VM。如需了解使用 Microsoft Entra 系統管理中心進行連線的步驟，請參閱連線至 Windows Server VM。
從 [開始] 畫面中，選取 [系統管理工具]。已顯示教學課程中已安裝建立管理 VM 的可用管理工具清單。
若要建立和管理 OU，請從系統管理工具清單中選取 [Active Directory 管理中心]。
在左側窗格中，選擇您的受控網域，例如 aaddscontoso.com。隨即顯示現有 OU 和資源的清單：
[工作] 窗格會顯示在 Active Directory 管理中心右側。在網域下，例如 aaddscontoso.com，選取 [新增] > [組織單位]。
在 [建立組織單位] 對話方塊中，指定新 OU 的 [名稱]，例如 MyCustomOu。提供 OU 的簡短描述，例如「服務帳戶的自訂 OU」。如有需要，您也可以設定 OU 的 [管理依據] 欄位。若要建立自訂 OU，請選取 [確定]。
返回 Active Directory 管理中心，現在會列出自訂 OU，並可供使用：

如需使用系統管理工具或使用服務帳戶的詳細資訊，請參閱下列文章：