您可以將服務與 Active Directory 環境整合,該環境可由單一 Active Directory 網域、單一 Active Directory 樹系中的多個網域,或多個 Active Directory 樹系中的多個網域組成。
單一 Active Directory 網域環境
單一 Active Directory 部署可讓您同步單一 Active Directory 網域中的使用者和群組。
針對此環境,將目錄新增至服務時,請選取 Active Directory over LDAP 選項。
如需詳細資訊,請參閱:
擁有多網域的單一樹系 Active Directory 環境
擁有多網域的單一樹系 Active Directory 部署可讓您同步單一樹系內多個 Active Directory 網域中的使用者和群組。
- 建議的選項是建立單一 Active Directory (整合式 Windows 驗證) 目錄類型。
為此環境新增目錄時,請選取 Active Directory (整合式 Windows 驗證) 選項。
如需詳細資訊,請參閱:
- 如果整合式 Windows 驗證無法在您的 Active Directory 環境中運作,請建立 Active Directory over LDAP 目錄類型,然後選取全域目錄選項。
選取全域目錄選項的部分限制包括:
- 複寫至全域目錄的 Active Directory 物件屬性,在 Active Directory 結構描述中會被識別為部分屬性組 (PAS)。只有這些屬性可供服務用於屬性對應。如有需要,請編輯結構描述,以新增或移除儲存在全域目錄中的屬性。
- 全域目錄只會儲存萬用群組的群組成員資格 (成員屬性)。只有萬用群組會同步至服務。如有需要,請將群組的範圍從本機網域或全域變更為萬用。
- 您在服務中設定目錄時所定義的繫結 DN 帳戶,必須具有讀取 Token-Groups-Global-And-Universal (TGGAU) 屬性的權限。
Active Directory 會使用連接埠 389 和 636 進行標準 LDAP 查詢。對於全域目錄查詢,則會使用連接埠 3268 和 3269。
當您為全域目錄環境新增目錄時,請在設定期間指定下列項目。
- 選取 Active Directory over LDAP 選項。
- 取消選取此目錄支援 DNS 服務位置選項的核取方塊。
- 選取此目錄具有全域目錄選項。當您選取此選項時,伺服器連接埠號碼會自動變更為 3268。此外,由於在設定全域目錄選項時並不需要基準 DN,因此 [基準 DN] 文字方塊不會顯示。
- 新增 Active Directory 伺服器主機名稱。
- 如果您的 Active Directory 需要透過 SSL 進行存取,請選取此目錄要求所有連線使用 SSL 選項,然後將憑證貼到提供的文字方塊中。當您選取此選項時,伺服器連接埠號碼會自動變更為 3269。
具備信任關係的多樹系 Active Directory 環境
具備信任關係的多樹系 Active Directory 部署,可讓您在網域之間存在雙向信任的所有樹系中,同步多個 Active Directory 網域中的使用者和群組。
為此環境新增目錄時,請選取 Active Directory (整合式 Windows 驗證) 選項。
如需詳細資訊,請參閱:
不具備信任關係的多樹系 Active Directory 環境
不具備信任關係的多樹系 Active Directory 部署,可讓您在網域之間不存在信任關係的所有樹系之間,同步多個 Active Directory 網域中的使用者和群組。在此環境中,您在服務中建立多個目錄,為每一個樹系建立一個目錄。
在服務中建立的目錄類型視樹系而定。針對具備多個網域的樹系,請選取 Active Directory (整合式 Windows 驗證) 選項。針對具備單一網域的樹系,請選取 Active Directory over LDAP 選項。
如需詳細資訊,請參閱: