在 Microsoft Entra Domain Services 受控網域中建立組織單位（OU）

Active Directory 網域服務（AD DS）受控網域中的組織單位（OU）可讓您以邏輯方式將用戶帳戶、服務帳戶或計算機帳戶等物件分組。然後，您可以將系統管理員指派給特定 OU，並套用組策略來強制執行目標組態設定。

Domain Services 受控網域包含下列兩個內建 OU：

當您建立和執行使用 Domain Services 的工作負載時，您可能需要建立服務帳戶，應用程式才能自行驗證。若要組織這些服務帳戶，您通常會在受控網域中建立自定義 OU，然後在該 OU 內建立服務帳戶。

在混合式環境中，在內部部署 AD DS 環境中建立的 OU 不會同步至受控網域。受控網域使用平面 OU 結構。所有用戶帳戶和群組都被儲存在 AADDC Users 容器中，即便這些帳戶和群組是從不同的內部部署網域或樹系同步過來的，並且即使您已在該處設定階層式 OU 結構。

本文說明如何在受控網域中建立 OU。

開始之前

若要完成本文，您需要下列資源和許可權：

作用中的 Azure 訂用帳戶。
- 如果您沒有 Azure 訂用帳戶，建立帳戶。
與訂用帳戶相關聯的 Microsoft Entra 租使用者，會與內部部署目錄或純雲端目錄同步。
- 如有需要，建立 Microsoft Entra 租戶或將 Azure 訂用帳戶關聯至您的帳戶。
在您的 Microsoft Entra 租用戶中啟用並設定Microsoft Entra Domain Services 受控網域。
- 如有需要，請完成建立及設定 Microsoft Entra Domain Services 受控網域的教學課程，。
已加入 Domain Services 受控網域的 Windows Server 管理 VM。
- 如有需要，請完成教學指南以建立管理 VM。
用戶帳戶屬於您的 Microsoft Entra 租戶中 Microsoft Entra DC 系統管理員 群組的成員。

當您在受控網域中建立自定義 OU 時，您可以取得使用者管理及套用組策略的額外管理彈性。相較於內部部署 AD DS 環境，在受控網域中建立和管理自定義 OU 結構時，有一些限制和考慮：

若要建立自定義 OU，用戶必須是 AAD DC Administrators 群組的成員。
建立自定義 OU 的使用者會被授與該 OU 的系統管理許可權（完全控制），而且是資源擁有者。
- 根據預設，AAD DC 系統管理員 群組也會完全控制自定義 OU。
系統會建立 AADDC Users 的預設 OU，其中包含您 Microsoft Entra 租戶中的所有同步用戶帳戶。
- 您無法將使用者或群組從 AADDC Users OU 移至您建立的自定義 OU。只有在受控網域中建立的用戶帳戶或資源可以移至自定義 OU。
在 Microsoft Entra 租用戶中，您無法使用在自訂 OU 下建立的使用者帳號、群組、服務帳號和電腦物件。
- 這些物件不會使用 Microsoft Graph API 或在 Microsoft Entra UI 中顯示;它們只能在您的受控網域中使用。

若要建立自定義 OU，您可以使用已加入網域的 VM 中的 Active Directory 系統管理工具。 Active Directory 管理中心可讓您在受控網域中檢視、編輯和建立資源，包括 OU。

注意

若要在受控網域中建立自定義 OU，您必須登入屬於 AAD DC Administrators 群組成員的用戶帳戶。

登入您的管理 VM。如需如何使用 Microsoft Entra 系統管理中心進行連線的步驟，請參閱連線到 Windows Server VM。
從 [開始] 畫面，選取 [系統管理工具] 。本教學課程中會顯示可用的管理工具清單，以建立管理 VM。
若要建立和管理 OU，請從系統管理工具清單中選取 [Active Directory 管理中心。
在左窗格中，選擇您的受控網域，例如 aaddscontoso.com。顯示現有 OU 和資源的清單：

中選取您的受控網域
[工作] 窗格顯示於 Active Directory 管理中心的右側。在該網域下，例如 [aaddscontoso.com]，選取 [新增 > 組織單位]。
在 [建立組織單位] 對話框中，為新的 OU 指定名稱，例如 MyCustomOu。提供 OU 的簡短描述，例如 服務帳戶的自訂 OU。如有需要，您也可以為 OU 設定 Managed By 欄位。若要建立自訂 OU，請選擇 [確定]。
回到 Active Directory 管理中心，現在會列出自定義 OU，可供使用：