怎麼建AD?從零開始打造高效能的 Active Directory 架構

Byadmin

怎麼建AD?從零開始打造高效能的 Active Directory 架構

「我的電腦網路資源總是亂七八糟,權限管理也不清楚,到底怎麼建AD才能一次解決這些問題?」相信許多 IT 管理員在面對企業網路架構時,都曾有過這樣的疑問。Active Directory (AD) 絕對是 Windows Server 環境中不可或缺的基石,它不僅是使用者帳戶、電腦物件的中央管理平台,更是實現安全存取、資源共享、以及應用程式部署的關鍵。今天,我們就來深入淺出地聊聊,到底怎麼建AD,才能打造出一個穩定、高效、安全的企業網路環境。

簡單來說,Active Directory 就是一個 **目錄服務**。想像一下,它就像一個超級詳盡的企業通訊錄,裡面記載了你公司裡每一個員工、每一台電腦、每一個印表機、甚至每一個檔案夾的所有資訊。透過這個「通訊錄」,IT 管理員就能輕鬆地管理這些資源,並且決定誰可以存取什麼,什麼時候可以存取。這就大大提高了企業的安全性,也減少了許多手動設定的麻煩。

為什麼 Active Directory 如此重要?

在我們深入探討怎麼建AD之前,先來了解一下它能為我們帶來哪些實際的效益,這樣才能更有動力去學習和實踐,不是嗎?

  • 集中式管理: 再也不用一台一台電腦去設定使用者權限了!AD 讓你能夠在一個地方統一管理所有的使用者帳戶、電腦、群組、以及其他網路資源。
  • 安全性提升: 透過原則設定 (Group Policy),你可以精確地控制使用者的權限,限制他們可以安裝的軟體、可以存取的網站,甚至設定密碼複雜度要求,大幅提升企業的資訊安全。
  • 資源共享與存取: 方便使用者快速找到並存取公司內的共享資源,例如共用資料夾、印表機等。
  • 應用程式部署: 可以將軟體自動部署到指定的電腦上,省去人工安裝的時光。
  • 單一登入 (Single Sign-On, SSO): 使用者只需要登入一次,就能存取所有已授權的網路資源,大大提升了工作效率。

看到這些好處,是不是覺得怎麼建AD這件事,變得非常值得投入時間去了解呢?

建構 Active Directory 的核心元件

在開始動手之前,我們需要先對 AD 的一些核心概念有所了解。這就像要蓋房子,總要先知道鋼筋、水泥、磚頭是什麼,對吧?

  1. 網域 (Domain): 這是 AD 的基本管理單元。你可以想像它是一個獨立的管理區域,裡面所有的物件(使用者、電腦等)都遵循相同的安全政策。例如,你可以有一個「yourcompany.com」的網域。
  2. 網域控制站 (Domain Controller, DC): 這絕對是 AD 的心臟!網域控制站負責儲存 AD 的資料庫,並處理所有與驗證和授權相關的請求。簡單來說,就是誰要登入,DC 說了算。通常一個網域至少需要兩個 DC 來確保高可用性。
  3. 樹系 (Forest): 這是 AD 的最高層級。一個樹系可以包含一個或多個網域。如果你的公司有多個子公司,並且它們之間需要共享信任關係,那麼將它們納入同一個樹系會是個不錯的選擇。
  4. 樹系根網域 (Forest Root Domain): 樹系中的第一個建立的網域,它在整個樹系中具有特殊的地位。
  5. 信任關係 (Trust Relationship): 允許不同網域或樹系的使用者存取彼此的資源。
  6. 組織單位 (Organizational Unit, OU): 這是 AD 的一個非常有用的組織架構工具。你可以將使用者、電腦、群組等物件組織到 OU 中,方便委派權限和套用原則。想像一下,你可以為「業務部」、「IT 部」等部門建立 OU,再將該部門的員工和電腦放在裡面。

怎麼建AD?實際操作步驟詳解

好了,理論講了不少,相信大家也迫不及待想知道怎麼建AD了!這裡我們以 Windows Server 2019/2022 為例,一步一步來拆解。

在開始之前,有幾個前置作業務必注意:

  • 準備伺服器: 你需要一台安裝了 Windows Server 作業系統的電腦作為你的網域控制站。建議使用最新的 Server 版本,以獲得最佳的效能和安全性。
  • 靜態 IP 位址: 你的網域控制站必須設定一個固定的 IP 位址,不能是 DHCP 分配的。
  • 伺服器名稱: 為你的伺服器取一個有意義的名稱,例如「DC01」。
  • 準備網域名稱: 決定你的網域名稱,例如「contoso.local」或「ad.contoso.com」。如果是內部網路使用,`.local` 是常見的選擇,但如果你有註冊的外部網域名稱,使用例如 `ad.yourcompany.com` 也是可行的。

步驟一:安裝 Active Directory Domain Services (AD DS) 角色

這就像是為你的伺服器安裝 AD 的「骨架」。

  1. 開啟「伺服器管理員」(Server Manager)。
  2. 點選「管理」(Manage) ->「新增角色及功能」(Add Roles and Features)。
  3. 點選「下一步」直到「伺服器角色」(Server Roles) 頁面。
  4. 在列表中找到並勾選「Active Directory Domain Services」。
  5. 系統會提示你新增所需的相關功能(例如 DNS Server),務必點選「新增功能」(Add Features)。
  6. 繼續點選「下一步」,直到「安裝」(Install) 頁面,然後點選「安裝」。

這個過程會需要一些時間,請耐心等待。

步驟二:將伺服器升級為網域控制站

光是安裝好角色還不夠,我們還要啟動它!

  1. 安裝完成 AD DS 角色後,在「伺服器管理員」的右上角會出現一個通知旗幟,點選它。
  2. 選擇「將此伺服器提升為網域控制站」(Promote this server to a domain controller)。
  3. 在「部署組態」(Deployment Configuration) 頁面,選擇「新增樹系」(Add a new forest)。如果你是要加入現有的網域或樹系,則有其他選項。
  4. 在「根網域名稱」(Root domain name) 欄位輸入你之前決定的網域名稱 (例如:contoso.local)。
  5. 點選「下一步」。
  6. 在「網域控制站選項」(Domain Controller Options) 頁面,你會看到網域功能等級 (Domain functional level) 和樹系功能等級 (Forest functional level)。通常建議選擇與你環境中最舊的網域控制站版本相符的選項,或直接選擇最新的版本,以獲得所有新功能。
  7. 同時,確保「網際網路名稱伺服器 (DNS Server)」和「全域編目 (Global Catalog, GC)」選項已勾選。DNS Server 是 AD 的重要依賴,GC 則能加快跨網域的搜尋。
  8. 設定「目錄還原模式 (DSRM) 密碼」。這個密碼非常重要,是用於在 AD 發生嚴重問題時進行還原操作的,務必牢記並妥善保管。
  9. 點選「下一步」。
  10. 在「DNS 選項」頁面,如果之前沒有設定 DNS Server,系統會提示你建立 DNS 委派。通常情況下,這是必要的。
  11. 點選「下一步」。
  12. 在「其他選項」頁面,可以設定 NetBIOS 網域名稱(通常會自動產生)。
  13. 點選「下一步」。
  14. 在「路徑」(Paths) 頁面,可以指定 AD 資料庫 (NTDS)、記錄檔 (Log files) 和 SYSVOL 的儲存位置。如果你的伺服器有多個硬碟,建議將它們放在不同的磁碟上,以提高效能和資料安全性。
  15. 點選「下一步」。
  16. 系統會進行先決條件檢查。如果一切順利,你會看到「通過所有先決條件檢查」。
  17. 點選「安裝」(Install)。

伺服器將會自動重新啟動,並升級為網域控制站。這個過程需要一些時間,請務必耐心等待。伺服器重啟後,你就擁有了一個基本的 Active Directory 環境了!

步驟三:新增使用者帳戶

AD 建好了,接下來就是要把你的員工加進來,讓他們可以開始使用網路資源!

  1. 在「伺服器管理員」中,點選「工具」(Tools) ->「Active Directory 使用者及電腦」(Active Directory Users and Computers)。
  2. 你會看到你剛才建立的網域。
  3. 在你的網域上按右鍵,選擇「新增」(New) ->「使用者」(User)。
  4. 輸入使用者的名字、姓氏、以及使用者登入名稱 (例如:john.doe)。
  5. 設定使用者密碼,並選擇是否需要使用者下次登入時變更密碼。
  6. 點選「下一步」並完成。

你也可以在網域上建立「組織單位」(OU),將使用者放在 OU 中方便管理。例如,右鍵點選網域,選擇「新增」->「組織單位」。然後再將使用者建立在對應的 OU 下。這樣的好處是,未來你可以針對特定的 OU 套用不同的群組原則。

步驟四:加入電腦到網域

有了使用者,當然也要有電腦,這樣大家才能登入工作,不是嗎?

這一步是在 **用戶端電腦** 上操作的。

  1. 在用戶端電腦上,右鍵點選「本機」(This PC) 或「我的電腦」(My Computer),選擇「內容」(Properties)。
  2. 點選「變更設定」(Change settings) 或「進階系統設定」(Advanced system settings)。
  3. 在「系統內容」(System Properties) 視窗中,點選「電腦名稱」(Computer Name) 索引標籤下的「變更」(Change…) 按鈕。
  4. 在「電腦名稱/網域變更」(Computer Name/Domain Changes) 視窗中,選擇「網域」(Domain),然後輸入你的網域名稱 (例如:contoso.local)。
  5. 點選「確定」。
  6. 系統會提示你輸入具有加入網域權限的使用者帳戶和密碼。通常是網域管理員帳戶 (例如:[email protected])。
  7. 輸入正確的資訊後,點選「確定」。
  8. 如果一切順利,你會看到歡迎加入該網域的訊息。
  9. 點選「確定」並重新啟動電腦。

重啟後,這台電腦就正式加入你的 AD 網域了。這時候,使用者就可以使用他們在 AD 中建立的帳戶來登入這台電腦了。

常見的 Active Directory 部署考量

怎麼建AD 是一個開始,但更重要的是如何讓它在你的企業中發揮最大效益。以下是一些常見的部署考量,能讓你少走一些彎路。

高可用性與備援

網域控制站是整個 AD 的命脈,一旦它出現問題,可能會導致使用者無法登入,資源無法存取,後果不堪設想。因此,建立多個網域控制站是非常重要的。

  • 至少兩個網域控制站: 在生產環境中,建議至少部署兩個網域控制站,並且最好分散在不同的實體位置或機架上,以提供高可用性。
  • DNS 伺服器整合: 將 DNS 伺服器角色也安裝在網域控制站上(如前面步驟所示),並確保它們相互支援。
  • 全局編目伺服器 (Global Catalog Server): 尤其是在多網域環境中,設立一個或多個全局編目伺服器,可以大幅提升搜尋效能。

組織單位 (OU) 的設計

OU 的設計是 AD 管理的關鍵。一個好的 OU 架構,能夠讓你更輕鬆地委派權限,以及更有效地套用群組原則。

  • 依部門劃分: 這是最常見也是最實用的方式,例如「業務部」、「財務部」、「IT 部」等。
  • 依地理位置劃分: 如果你的公司有多個辦公室,可以依據地點來劃分 OU。
  • 依伺服器類型劃分: 例如「檔案伺服器」、「應用伺服器」等。
  • 混合策略: 根據實際需求,結合以上多種方式進行 OU 設計。

我的經驗是: 在設計 OU 時,多花點時間仔細規劃,不要急著建立。想清楚未來可能的權限委派和原則套用情境,會讓你事半功倍。一個混亂的 OU 架構,會讓日後管理變得異常痛苦。

群組原則 (Group Policy, GPO) 的運用

群組原則是 AD 最強大的功能之一。它讓你能夠為使用者和電腦設定各種配置,從安全設定到桌面佈景,無所不能。

  • 安全性設定: 設定密碼複雜度、帳戶鎖定策略、軟體限制策略等。
  • 軟體部署: 將應用程式自動安裝到指定電腦。
  • 桌面設定: 設定桌面背景、印表機、網路磁碟機等。
  • 使用者漫遊設定: 讓使用者的個人設定(如桌面、文件)能夠在不同電腦上保持一致。

重點提醒: 群組原則的設定需要謹慎,一個錯誤的設定可能會影響到大量的用戶或電腦。建議先在測試 OU 中進行測試,確認無誤後再套用到生產環境。

安全性最佳實踐

怎麼建AD 不僅是技術問題,更是安全問題。以下是一些必須重視的安全性事項:

  • 最小權限原則: 僅授予使用者和電腦執行任務所需的最低權限。
  • 定期更新: 保持你的 Windows Server 和所有 AD 元件更新到最新的修補程式。
  • 強健的密碼策略: 雖然群組原則可以強制執行,但也要教育使用者建立複雜且不易猜測的密碼。
  • 帳戶鎖定策略: 設定適當的帳戶鎖定次數和時間,以防止暴力破解攻擊。
  • 稽核記錄: 啟用必要的稽核記錄,以便追蹤可疑活動。
  • DSRM 密碼備份: 務必妥善保管你的目錄還原模式密碼。

總結:打造堅實的網路基石

了解怎麼建AD,其實就是掌握了企業網路管理的關鍵。從建立網域、設定網域控制站,到管理使用者帳戶和電腦,每一個步驟都環環相扣。一個規劃完善、部署得當的 Active Directory 架構,能夠為你的企業帶來顯著的效率提升和安全性保障。

別被 AD 的眾多設定嚇到,一步一步來,先從基礎的網域建立開始,然後逐步深入到 OU 的設計、群組原則的應用。最重要的是,持續學習和觀察,根據你企業的實際需求不斷優化你的 AD 架構。

如果你在實踐過程中遇到任何問題,別忘了善用微軟官方文件、線上技術論壇,或者尋求專業 IT 顧問的協助。怎麼建AD 的旅程,充滿了學習的機會,而最終的收穫,絕對是值得的!

常見相關問題與詳細解答

Q1:我可以在單一伺服器上同時安裝 AD DS 和 DNS 嗎?

A1: 沒錯,這是非常常見的部署方式,特別是對於中小型企業。在安裝 AD DS 角色的過程中,系統通常會提示你同時安裝 DNS 伺服器角色,並會自動進行相關的 DNS 設定,例如建立 AD 所需的 DNS 記錄。將 DNS 和 AD DS 安裝在同一台網域控制站上,可以簡化架構,並確保 AD 的正常運作,因為 AD 嚴重依賴 DNS 進行名稱解析。不過,請務必為這台伺服器設定靜態 IP 位址,並確保其穩定性。對於大型或有較高可用性需求的環境,則會將 DNS 伺服器角色獨立出來,或者在多個網域控制站上都安裝 DNS 角色以實現備援。

Q2:什麼是網域功能等級和樹系功能等級?我該如何選擇?

A2: 網域功能等級 (Domain functional level) 和樹系功能等級 (Forest functional level) 是用來決定你的 Active Directory 環境可以使用哪些 AD 功能的設定。這些等級通常對應到特定版本的 Windows Server 作業系統。例如,如果你將一個新伺服器提升為網域控制站,並選擇「Windows Server 2016」作為網域功能等級,那麼這個網域就只能使用 Windows Server 2016 及之前版本所支援的 AD 功能。同樣的,樹系功能等級則影響整個樹系中所有網域可用的功能。

如何選擇?

  • 最低版本原則: 如果你的環境中有較舊版本的網域控制站,你可能需要將功能等級設定為與該舊版本相符,以確保相容性。
  • 啟用新功能: 如果你確定環境中的所有網域控制站都是較新版本,並且希望利用新版本提供的 AD 功能(例如更精細的委派權限、更強大的群組原則等),那麼可以將功能等級提升到較高的版本。
  • 首次建立時: 如果是全新建立 AD,建議直接選擇最高的可用功能等級,以獲得最佳的功能支援。

請注意: 一旦設定了網域功能等級,就無法降低。所以,在做決定前請務必確認你的整個 AD 環境都符合該等級的要求。

Q3:我需要為每一個部門都建立一個 OU 嗎?

A3: 這取決於你的組織結構和管理需求。建立 OU 的主要目的是為了方便管理和套用群組原則。一般來說,如果你的部門結構清晰,並且希望針對不同部門的使用者或電腦套用不同的政策(例如,業務部需要存取特定的共享資料夾,而研發部則需要安裝特定的開發工具),那麼為每個部門建立 OU 是非常明智的做法。

OU 的設計原則:

  • 階層結構: OU 可以像資料夾一樣建立巢狀結構。例如,你可以在「業務部」OU 下再建立一個「銷售團隊」OU。
  • 權限委派: 你可以將 OU 的管理權限委派給部門主管或特定 IT 人員,讓他們能夠管理自己部門的使用者和電腦,減輕中央 IT 部門的負擔。
  • 原則套用: 群組原則 (GPO) 可以連結到 OU,對該 OU 下的所有物件生效。

額外建議: 除了部門,你也可以考慮依據地理位置、伺服器類型等來建立 OU,甚至可以建立一個「測試 OU」,用來測試新的群組原則或軟體部署,確保不會影響到正式環境。

Q4:我該如何將現有的 Windows 電腦加入 AD 網域?

A4: 將現有的 Windows 電腦加入 AD 網域的步驟,在前面我們已經詳細說明過了。關鍵在於:

  1. 確保用戶端電腦的作業系統是 Windows Pro 或 Enterprise 版本(Windows Home 版本不支援加入網域)。
  2. 在用戶端電腦上,前往「系統內容」(System Properties) ->「電腦名稱」(Computer Name) 索引標籤,點選「變更」(Change…)。
  3. 在「電腦名稱/網域變更」視窗中,將電腦從「工作群組」(Workgroup) 改為「網域」(Domain),並輸入你的 AD 網域名稱。
  4. 輸入一個具有加入網域權限的 AD 使用者帳戶和密碼(通常是網域管理員帳戶)。
  5. 完成後,重新啟動電腦。

重要的注意事項:

  • DNS 設定: 在加入網域之前,確保用戶端電腦的 DNS 設定指向你的網域控制站 (DC) 的 IP 位址。如果你的 DC 同時也是 DNS 伺服器,這非常重要。
  • 網路連線: 確保用戶端電腦與網域控制站之間有良好的網路連線。
  • 防火牆: 檢查用戶端電腦和網域控制站之間的防火牆設定,確保 AD 所需的通訊埠(例如 Kerberos 的 88,LDAP 的 389,DNS 的 53 等)是開放的。
  • 本地管理員權限: 通常,你需要在用戶端電腦上以具有本地管理員權限的使用者身份登入,才能執行加入網域的操作。
Q5:AD 伺服器突然無法開機,我該如何還原?

A5: 這時候,你之前設定的「目錄還原模式 (DSRM) 密碼」就派上用場了!如果你的網域控制站出現嚴重問題,無法正常啟動,你可以嘗試使用 DSRM 進行還原。

還原步驟概要(詳細步驟請參考微軟官方文件):

  1. 進入 DSRM: 在伺服器開機時,需要透過特定方式進入 DSRM 模式。這通常是在開機過程中按 F8 鍵,然後選擇「目錄服務還原模式」。
  2. 登入 DSRM: 在 DSRM 模式下,你需要使用 DSRM 密碼登入。
  3. 使用 NTDSUTIL 工具: 在 DSRM 模式下,你需要使用 Windows Server 內建的 `ntdsutil.exe` 工具來執行還原操作。這個工具功能強大,但也相對複雜。
  4. 執行還原: `ntdsutil` 有一個 `restore` 命令,可以用來執行權威性還原 (authoritative restore) 或非權威性還原 (non-authoritative restore)。
    • 權威性還原: 會讓還原的資料成為其他網域控制站的「權威」版本,通常用於還原整個網域的資料。
    • 非權威性還原: 會讓還原的資料成為其他網域控制站的「副本」,其他網域控制站會將其資料與還原的資料進行同步。
  5. 重建 AD: 如果你的 AD 資料庫損壞嚴重,有時也需要先清除現有的 AD 資料,然後再從備份進行還原。

非常重要的提醒: DSRM 還原操作非常嚴謹,一旦操作失誤,可能會導致資料遺失。強烈建議在進行還原前,務必備份好 AD 的系統狀態 (System State) 或進行完整備份,並且對還原流程有充分的了解。如果對操作沒有把握,尋求專業 IT 人員的協助是最好的選擇。

怎麼建AD