7.1 管理 Active Directory 網域

您可以在安裝管理伺服器之後,透過「委託和組態」用戶端來新增受管理的網域和電腦。您也可以新增子樹狀結構和受信任的網域,以及為它們設定網域和 Exchange 存取帳戶。您必須擁有適當的權限,才能新增管理的網域和電腦,例如,包含在內建的「設定伺服器和網域」角色中的權限。

附註:完成新增管理的網域之後,請確定這些網域的帳戶快取重新整理排程正確。

7.1.1 新增受管理的網域和電腦

若要新增受管理的網域或電腦:

  1. 導覽至組態管理>新增管理的網域

  2. 透過選取適當的選項按鈕並提供網域或電腦名稱,指定您要新增的元件:

    • 管理網域

    • 管理電腦

    組態完成之後,按「下一步」

  3. 網域存取索引標籤上,指定您想要讓 DRA 用來存取此網域或電腦的帳戶身分證明。根據預設,DRA 會使用管理伺服器服務帳戶。

  4. 檢閱摘要,然後按一下完成

  5. 若要開始管理此網域或電腦的物件,請重新整理網域組態。

7.1.2 指定網域存取帳戶

針對每個管理的網域或子樹狀結構,您可以指定要使用的帳戶而不是管理伺服器服務帳戶,以存取該網域。這個替代帳戶稱為存取帳戶。您必須擁有適當的權限,才能設定存取帳戶,例如,包含在內建的「設定伺服器和網域」角色中的權限。

若要指定成員伺服器的存取帳戶,您必須擁有管理網域成員所在之網域的權限。您只有在網域成員存在於可以透過管理伺服器存取的管理的網域中時,才能管理網域成員。

若要指定存取帳戶:

  1. 導覽至組態管理>受管理的網域節點。

  2. 以滑鼠右鍵按一下您想要對其指定存取帳戶的網域或子樹狀結構,然後按一下內容

  3. 在「網域存取帳戶」索引標籤上,按一下使用下列帳戶來存取此網域

  4. 指定此帳戶的身分證明並確認,然後按一下確定

如需設定這個最低權限帳戶的詳細資訊,請參閱最低權限 DRA 存取帳戶

7.1.3 指定 Exchange 存取帳戶

針對 DRA 中的每個網域,您可以使用 DRA 網域存取帳戶或個別的 Exchange 存取帳戶來管理 Exchange 物件。您必須擁有適當的權限,才能設定 Exchange 存取帳戶,例如,包含在內建的「設定伺服器和網域」角色中的權限。

重要:Microsoft 伺服器將同時連線至 WinRM/WinRS 工作階段的使用者數量限制為五位,並將每位使用者的 Shell 數量限制為五個,以確保 DRA 次要伺服器的相同使用者帳戶受到五個 Shell 的限制。

若要指定 Exchange 存取帳戶:

  1. 導覽至組態管理>受管理的網域節點。

  2. 以滑鼠右鍵按一下您想要對其指定存取帳戶的網域或子樹狀結構,然後按一下內容

  3. 在「Exchange 存取帳戶」索引標籤上,按一下使用下列帳戶來存取所有 Exchange 伺服器

  4. 指定此帳戶的身分證明並確認,然後按一下確定

如需設定這個最低權限帳戶的詳細資訊,請參閱。

7.1.4 新增受管理的子樹狀結構

安裝管理伺服器之後,您可以從特定的 Microsoft Windows 網域新增受管理的和遺漏的子樹狀結構。您必須擁有適當的權限,才能新增受管理的子樹狀結構,例如,包含在內建的「設定伺服器和網域」角色中的權限。

如需受支援 Microsoft Windows 版本的詳細資訊,請參閱DRA 管理伺服器、Web 主控台和 REST 延伸功能需求

藉由管理 Windows 網域的子樹狀結構,您可以使用 DRA 來保護較大型公司網域內的部門或事業處。

例如,您可以在 SOUTHWEST 網域中指定休士頓子樹狀結構,讓 DRA 安全地管理僅包含在休士頓 OU 及其子 OU 中的那些物件。這樣的彈性可讓您管理一或多個子樹狀結構,而不需要整個網域的管理權限。

附註:

  • 若要確保指定的帳戶具有許可來管理此子樹狀結構和執行遞增的帳戶快取重新整理,請使用「刪除的物件」公用程式來驗證和委託適當的許可。

  • 完成新增管理的子樹狀結構之後,請確定相應網域的帳戶快取重新整理排程正確。

若要新增受管理的子樹狀結構:

  1. 導覽至組態管理>新增管理網域

  2. 在「網域或伺服器」索引標籤上,按一下管理網域,然後指定您想要管理的子樹狀結構網域。

  3. 指定您想要管理的子樹狀結構網域。

  4. 選取管理此網域的子樹狀結構,然後按下一步

  5. 在「子樹狀結構」索引標籤上,按一下新增以指定您想要管理的子樹狀結構。您可以指定一個以上的子樹狀結構。

  6. 在「存取帳戶」索引標籤上,指定您想要讓 DRA 用來存取此子樹狀結構腦的帳戶身分證明。根據預設,DRA 會使用管理伺服器服務帳戶。

  7. 檢閱摘要,然後按一下完成

  8. 若要開始管理此子樹狀結構的物件,請重新整理網域組態。

7.1.5 新增受信任網域

受信任網域會在您的整個環境中的受管理系統上啟用使用者驗證。一旦您新增受信任網域,您便可以指定網域和 Exchange 存取帳戶、排程快取重新整理,以及在網域的內容中採取其它動作,與受管理的網域相同。

若要新增受信任網域:

  1. 組態管理>受管理的網域節點中,選取具有相關聯受信任網域的管理的網域。

  2. 在「詳細資料」窗格中按一下受信任網域。「詳細資料」窗格必須在「檢視」功能表上切換。

  3. 以滑鼠右鍵按一下受信任網域,然後選取內容

  4. 取消勾選略過此受信任網域,然後套用您的變更。

附註:新增受信任網域會起始完整帳戶快取重新整理,但是您會在按一下套用時收到通知,其中含有確認提示。