1 Active Directory網域服務(AD DS)

在 Windows Server 2012 R2 的網路環境中，Active Directory 網域服務

(Active Directory Domain Services，AD DS)提供了用來組織、管理與控制網

路資源的各種強大功能。

1-1 Active Directory 網域服務概觀

1-2 網域功能等級與樹系功能等級

1-3 Active Directory 輕量型目錄服務

Chapter 1 Active Directory 網域服務(AD DS)

1-2

1-1 Active Directory 網域服務概觀 何謂 directory 呢？日常生活中的電話簿內記錄著親朋好友的姓名與電話等資料，

它就是 telephone directory(電話目錄)；電腦中的檔案系統(file system)內記錄著

檔案的檔名、大小與日期等資料，它就是 file directory(檔案目錄)。

若這些 directory 內的資料能夠有系統加以整理的話，使用者就能夠很容易與迅速

的尋找到所需資料，而 directory service(目錄服務)所提供的服務，就是要讓使用

者很容易與迅速的在 directory 內尋找所需資料。在現實生活中，查號台也是一種

目錄服務；在網際網路上，Google 網站所提供的搜尋功能也是一種目錄服務。

Active Directory網域內的 directory database(目錄資料庫)被用來儲存使用者帳戶、

電腦帳戶、印表機與共用資料夾等物件，而提供目錄服務的元件就是 Active Directory 網域服務 (Active Directory Domain Services，AD DS)，它負責目錄資

料庫的儲存、新增、刪除、修改與查詢等工作。

Active Directory 網域服務的適用範圍(Scope)

AD DS 的適用範圍非常廣泛，它可以用在一台電腦、一個小型區域網路(LAN)或

數個廣域網路(WAN)的結合。它包含此範圍中的所有物件，例如檔案、印表機、應

用程式、伺服器、網域控制站與使用者帳戶等。

名稱空間(Namespace)

名稱空間是一塊界定好的區域(bounded area)，在此區域內，我們可以利用某個名

稱來找到與此名稱有關的資訊。例如一本電話簿就是一個名稱空間，在這本電話簿

內(界定好的區域內)，我們可以利用姓名來找到此人的電話、地址與生日等資料。

又例如 Windows 作業系統的 NTFS 檔案系統也是一個名稱空間，在這個檔案系統

內，我們可以利用檔案名稱來找到此檔案的大小、修改日期與檔案內容等資料。

Active Directory 網域服務(AD DS)也是一個名稱空間。利用 AD DS，我們可以透

過物件名稱來找到與此物件有關的所有資訊。

1-1 Active Directory 網域服務概觀

1-3

在 TCP/IP 網路環境內利用 Domain Name System (DNS)來解析主機名稱與 IP 位址

的對應關係，例如利用 DNS 來得知主機的 IP 位址。AD DS 也與 DNS 緊密的整合

在一起，它的網域名稱空間也是採用 DNS 架構，因此網域名稱是採用 DNS 格式

來命名，例如可以將 AD DS 的網域名稱命名為 sayms.local。

物件(Object)與屬性(Attribute)

AD DS 內的資源是以物件的形式存在，例如使用者、電腦等都是物件，而物件是

透過屬性來描述其特徵，也就是物件本身是一些屬性的集合。例如若要為使用者王

喬治建立一個帳戶，則需新增一個物件類型(object class)為使用者的物件(也就是

使用者帳戶)，然後在此物件內輸入王喬治的姓、名、登入帳戶與地址等，這其中

的使用者帳戶就是物件，而姓、名與登入帳戶等就是該物件的屬性(參見表 1-1-1)。

另外圖 1-1-1 中的王喬治就是物件類型為使用者(user)的物件。

表 1-1-1

物件(object) 屬性(attributes)

使用者(user) 姓

名

登入帳戶

地址

…

圖 1-1-1

Chapter 1 Active Directory 網域服務(AD DS)

1-4

容區(Container)與組織單位(Organization Units，OU)

容區與物件相似，它也有自己的名稱，也是一些屬性的集合，不過容區內可以包含

其他物件(例如使用者、電腦等)，也可以包含其他容區。而組織單位是一個比較特

殊的容區，其內除了可以包含其他物件與組織單位之外，還有群組原則 (group

policy)的功能。圖 1-1-2 所示就是一個名稱為業務部的組織單位，其內包含著數個

物件，其中兩個為使用者物件、兩個為電腦物件與兩個本身也是組織單位的物件。

圖 1-1-2

AD DS 是以階層式架構(hierarchical)將物件、容區與組織單位等組合在一起，並將

其儲存到 AD DS 資料庫內。

網域樹狀目錄(Domain Tree)

您可以架設內含數個網域的網路，而且是以網域樹狀目錄(domain tree)的形式存在，

例如圖 1-1-3 就是一個網域樹狀目錄，其中最上層的網域名稱為 sayms.local，它是

此 網 域 樹狀 目 錄 的根 網 域 (root domain) ； 根 網 域 之下 還 有 2 個 子 網域

(sales.sayms.local 與 mkt.sayms.local)，之下總共還有 3 個子網域。

圖中網域樹狀目錄符合 DNS 網域名稱空間的命名原則，而且是有連續性的，也就

是子網域的網域名稱包含其父網域的網域名稱，例如網域 sales.sayms.local 的尾碼

內包含其前一層(父網域)的網域名稱 sayms.local；而 nor.sales.sayms.local 的尾碼

內包含其前一層的網域名稱 sales.sayms.local。

2 建立 AD DS 網域

建立 AD DS(Active Directory Domain Services)網域後，就可以透過 AD DS

的強大功能來讓您更容易的、更有效率的管理網路。

2-1 建立 AD DS 網域前的準備工作

2-2 建立 AD DS 網域

2-3 確認 AD DS 網域是否正常

2-4 提高網域與樹系功能等級

2-5 新增額外網域控制站與 RODC

2-6 RODC 階段式安裝

2-7 將 Windows 電腦加入或脫離網域

2-8 在網域成員電腦內安裝 AD DS 管理工具

2-9 移除網域控制站與網域

Chapter 2 建立 AD DS 網域

2-2

2-1 建立 AD DS 網域前的準備工作 建立 AD DS 網域的方法，可以是先安裝一台伺服器，然後再將其升級(promote)

為網域控制站。在建立 AD DS 網域前，請先確認以下的準備動作是否已經完成：

選擇適當的 DNS 網域名稱

準備好一台用來支援 AD DS 的 DNS 伺服器

選擇 AD DS 資料庫的儲存地點

選擇適當的 DNS 網域名稱

AD DS 網域名稱是採用 DNS 的架構與命名方式，因此請先為 AD DS 網域取一個

符合 DNS 格式的網域名稱，例如 sayms.local(以下皆以虛擬的最高層網域名

稱.local 為例來說明)。雖然網域名稱可以在網域建立完成後變更，不過步驟繁瑣，

因此請事先謹慎命名。

準備好一台支援 AD DS 的 DNS 伺服器

在 AD DS 網域中，網域控制站會將自己所扮演的角色登記到 DNS 伺服器內，以

便讓其他電腦透過 DNS 伺服器來找到這台網域控制站，因此需要一台 DNS 伺服

器，且它需支援 SRV 記錄，同時最好支援動態更新、Incremental Zone Transfer

與 Fast Zone Transfer 等功能：

Service Location Resource Record(SRV RR)：網域控制站需將其所扮演的角

色登記到 DNS 伺服器的 SRV 記錄內，因此 DNS 伺服器必須支援此類型的記

錄。Windows Server 的 DNS 伺服器與 BIND DNS 伺服器都支援此功能。

動態更新：雖然並不一定需要具備動態更新功能，但是強烈建議需有此功能，

否則網域控制站無法自動將自己登記到 DNS 伺服器的 SRV 記錄內，此時便需

由系統管理員手動將資料輸入到 DNS 伺服器，如此勢必增加管理負擔。

Windows Server 與 BIND 的 DNS 伺服器都支援此功能。

Chapter 2 建立 AD DS 網域

2-16

執行 nslookup

輸入 set type=srv 後按 Enter 鍵，表示要顯示 SRV 記錄。

如圖 2-3-5 所示輸入 _ldap._tcp.dc._msdcs.sayms.local 後按 Enter 鍵，由

圖中可看出網域控制站 dc1.sayms.local 已經成功的將其扮演 LDAP 伺服

器角色的資訊登記到 DNS 伺服器內。

圖 2-3-5

畫面中之所以會出現 “DNS request timed out…”與“預設伺服器：UnKnown訊息”(可以不必理會這些訊息)，是因為 nslookup 會根據 TCP/IP 處的 DNS 伺服

器 IP 位址設定，來查詢 DNS 伺服器的主機名稱，但卻查詢不到。若不想出現此

訊息的話，可將網路連線處的 TCP/IPv6 停用、或修改 TCP/IPv6 設定為 “自動

取得 DNS 伺服器位址”、或在 DNS 伺服器建立適當的 IPv4/IPv6 反向對應區域

與 PTR 記錄。

您還可以利用更多類似的指令來查看其他 SRV 記錄，例如利用

_gc._tcp.sayms.local 指令來查看扮演通用類別目錄伺服器的網域控制

站。您可利用 ls -t SRV sayms.local 指令來查看所有的 SRV 記錄，不過

需先在 DNS伺服器上將 sayms.local區域的允許區域轉送權利開放給您的

電腦，否則在此電腦上查詢會失敗、且會顯示 Query refused 的警告訊息。

Chapter 3 網域使用者與群組帳戶的管理

3-18

圖 3-1-29

網域控制站之間資料的複寫

若網域內有多台網域控制站的話，則當您變更 AD DS 資料庫內的資料時，例如利

用 Active Directory 管理中心 (或 Active Directory 使用者和電腦)來新增、刪除、

修改使用者帳戶或其他物件，則這些異動資料會先被儲存到您所連接的網域控制

站，之後再自動被複寫到其他網域控制站。

您可如圖 3-1-30 所示【對著網域名稱按右鍵變更網域控制站目前的網域控制

站】來得知目前所連接的網域控制站，例如圖中的 dc1.sayms.local，而此網域控制

站何時會將其最新異動資料複寫給其他網域控制站呢？這分為以下兩種情況：

圖 3-1-30

4-2 原則設定實例演練

4-9

4-2 原則設定實例演練 在繼續解釋更進階的群組原則功能之前，為了讓您有比較清楚的觀念，因此先分別

利用兩個實例來演練 GPO 的電腦設定與使用者設定中的原則設定。

原則設定實例演練一：電腦設定

系統預設是只有某些群組(例如 administrators)內的使用者，才有權利在扮演網域

控制站角色的電腦上登入，而一般使用者在網域控制站上登入時，螢幕上會出現類

似圖 4-2-1 所示的警告訊息，且無法登入，除非他們被賦予允許本機登入的權限。

圖 4-2-1

以下假設要開放讓網域 SAYMS 內 Domain Users 群組內的使用者可以在網域控制

站上登入。我們將透過預設的 Default Domain Controllers Policy GPO 來設定，也

就是要讓這些使用者在網域控制站上擁有允許本機登入的權限。

1. 一般來說，網域控制站等重要的伺服器不應該開放一般使用者來登入。

2. 若要在成員伺服器、Windows 8.1(8)、Windows 7 等非網域控制站的用戶端

電腦上練習的話，則以下步驟可免，因為 Domain Users 預設已經在這些電腦

上擁有允許本機登入的權限。

請到網域控制站上利用系統管理員身分登入。

選用【開始系統管理工具群組原則管理】。

Chapter 4 利用群組原則管理使用者工作環境

4-12

手動立刻複寫：假設 PDC 模擬器操作主機是 DC1，而我們要將群組原則設定

手動複寫到網域控制站 DC2。請在網域控制站上選用【開始系統管理工具

Active Directory 站台及服務SitesDefault-First-Site-NameServers展

開目的地網域控制站(DC2)NTDS Settings對著 PDC 模擬器操作主機(DC1)

按右鍵立即複寫】。

原則設定實例演練二：使用者設定

假設網域 sayms.local 內有一個組織單位業務部，而且已經限定他們需透過企業內

部的代理伺服器上網(代理伺服器 proxy server 的設定留待後面第 4-19 頁「喜好設

定」實例演練二 再說明)，而為了避免使用者私自變更這些設定值，因此以下要將

其瀏覽器 Internet Explorer 的連線標籤內變更 Proxy 設定的功能停用。

由於目前並沒有任何 GPO 被連結到組織單位業務部，因此我們將先建立一個連結

到業務部的 GPO，然後透過修改此 GPO 設定值的方式來達到目的。

請到網域控制站上利用系統管理員身分登入。

選用【開始系統管理工具群組原則管理】。

如圖 4-2-5 所示【展開到組織單位業務部對著業務部按右鍵在這個網

域中建立 GPO 並連結到】。

圖 4-2-5

您也可以先透過【對著群組原則物件按右鍵新增】的途徑來建立 GPO，

然後再透過【對著組織單位業務部按右鍵連結到現有的 GPO】的途徑來

將上述 GPO 連結到組織單位業務部。

4-3 喜好設定實例演練

4-15

開啟檔案總管，建立資料夾 tools，並將其設定為共用資料夾，然後開放讀

取/寫入的分享權限給 Everyone。

選用【開始系統管理工具群組原則管理】。

在圖 4-3-1 中對著組織單位業務部之下的測試用的 GPO 按右鍵編輯。

圖 4-3-1

如圖 4-3-2 所示展開使用者設定喜好設定Windows 設定對著磁碟機

對應延伸按右鍵新增對應磁碟機。

圖 4-3-2

在 Windows 設定之下的應用程式、磁碟機對應、環境等被稱為延伸(extension)。

在圖 4-3-3 中的動作處選擇更新、位置處輸入共用資料夾路徑\\dc1\ tools、

使用 Z:磁碟來連接此共用資料夾、勾選重新連線以便用戶端每次登入時

都會自動利用 Z:磁碟來連線。其中的動作可以有以下的選擇：

4-3 喜好設定實例演練

4-17

機電腦無權存取的資源或使用者環境變數，例如此處利用網路磁碟機

Z：來連接網路共用資料夾\\dc1\tools，就需要勾選此選項。

圖 4-3-4

當不再套用這個項目時移除它：當 GPO 被移除後，用戶端電腦內與該

GPO 內原則設定有關的設定都會被移除，然而與喜好設定有關的設定

仍然會被保留，例如此處的網路磁碟機 Z:仍然會被保留。若勾選此選

項的話，則與此喜好設定有關的設定會被刪除。

套用一次後不再重新套用：用戶端電腦預設會每隔 90 分鐘重新套用

GPO 內的喜好設定，因此若使用者自行變更設定的話，則重新套用後

又會恢復為喜好設定內的設定值，若您希望使用者能夠保有自行變更

的設定值的話，請勾選此選項，此時它只會套用一次。

項目等級目標：它讓您針對每一個喜好設定項目來決定此項目的套用

目標，例如您可以選擇將其只套用到特定使用者或特定 Windows系統。

本演練只是要將設定套用到組織單位業務部內的單一使用者 Peter，故

需勾選此選項。

點擊前面圖 4-3-4 中通用標籤下的目標鈕，以便將此項目的套用對象指定

到使用者 Peter，換句話說，此項目的目標為使用者 Peter。

在圖 4-3-5 中【點擊左上角的新增項目選擇使用者】。