Cindy Liu / Marketing Specialist

在現今數位轉型的企業環境中，資訊管理與安全的需求日益增加，如何有效管理網路中的用戶、設備、應用程式等也成為了許多企業、資訊人員探究的議題。微軟的 Active Directory (AD) 就像是「帳號和公司 IT 資源裝置的身分證」，作為集中式身份及存取管理工具，被廣泛應用於各種組織中。

不過 AD 也如同一把雙面刃，若疏於管理，身分和存取安全恐怕將產生疑慮。根據奧義智慧和戴夫寇爾於2024上半年公布的調查分析顯示，台灣有7成企業的 AD 存在不安全設定。究竟 AD 在企業中的應用及安全性有多重要？本文章將分為上下集，上集將探討 Active Directory (AD) 的基本概念及應用優勢，下集文章則將介紹 AD 安全與基本管理指南。

什麼是Active Directory (AD)? 

Active Directory (AD) 是一種目錄服務，用於儲存與列出組織在 Windows 網路環境中的相關訊息，例如：裝置、應用程式、使用者、使用者的帳戶（姓名、電話號碼、密碼等），讓系統管理員和使用者可以輕鬆地尋找和使用這些資訊。透過上述功能， AD 為網路資源提供身份驗證與授權 (Authentication) 服務，用戶在通過身分驗證後，就可以查找或存取特定資源或資料，也就是說，AD 有助於控制誰可以存取哪些資源。

AD的架構

在 AD 中，所有物件(AD Object)，如用戶、群組等，都包含在某個網域(Domain) 中。而每個網域中又包含多個組織單位(OU, Organizational Units)，可以將 OU 想成是代表公司各個方面的資料夾（比如：子公司、部門、IT 資源、使用者等），透過 OU 企業可以更輕鬆地對不同部門或功能的資源進行分類與管理，從而提高管理效率。

▲ 示意圖 (Domains - Organizational Units – AD Objects)

群組原則(Group Policy) 與 群組原則物件(Group Policy Object)

Group Policy 是一種集中管理框架，能夠跨網域、組織單位(OU)或其他範圍應用，幫助管理員設定企業網路中的各種安全性和配置要求，從而規範用戶在登入和操作過程中的行為，確保企業的管理標準化。例如，管理員可使用 Group Policy 來設置密碼安全性政策（如密碼複雜度），透過創建 GPO，強制要求員工在存取企業資源時使用強密碼，以有效增強整體網路的安全性。

 ▲ Active Directory (AD) 具有分層結構，以樹狀的資料結構來組成網路服務。最上層是森林(Forest)，森林可能包含一個或多個域(Domain)，而樹(Tree)則是一個或多個域的集合，樹中的域通常在命名上有層次結構，例如：example.com，子域則可能為 sales.example.com、marketing.example.com

AD 在企業中的應用及管理優勢

透過上述介紹我們已經對 AD 有了基本認識，那麼 AD 究竟有多萬能？為何企業需要建置 AD？

1. 提升管理效率及生產力

• 單一界面及自動化管理：不需切換不同工具或介面，即可處理所有用戶、設備、資源及安全政策設定等管理工作。
• 高兼容性，方便集中控管：許多企業的辦公軟體、管理系統與服務都能與 AD 整合，管理者不需再於每個應用程式中分別設定，大幅減輕繁瑣的手動管理負擔。假設今天公司有外部合作夥伴是跨平台用戶 (Windows、Linux、Unix、macOS )，AD 也能集中管理這些系統中的用戶帳號。
• 跨平台&遠距資源存取及共享： 混合平台及遠距辦公已是現今常見的辦公模式，AD 可讓 Windows 或非 Windows 系統的用戶根據其角色和權限，存取與共享文件和影印機等資源，也可讓遠距辦公員工透過登入企業身份的方式，安全地取用企業內部資源，大幅提升了工作效率及生產力。
• 支援雲端整合： 地端佈署的 AD 可與雲端服務 (如: Microsoft Azure AD、Google Workspace、AWS等) 整合，員工透過一組 AD 帳戶即可使用多種雲端服務。

2. 提升安全，實踐合規

• 單一登入（SSO）：用戶只需登入一次，即可訪問經授權的應用程式，可避免用戶重複登入或密碼疲勞，同時也減輕IT的支援負擔，不僅提升安全性，也提升用戶體驗及工作效率。
• 幫助企業達成合規要求：AD 的 Audit 功能能夠記錄及監控 AD 環境中發生的各種活動及變更，企業可以有效地追蹤用戶登入、帳戶變更、權限設置等行為，並及時發現異常，進而防止內外部的資安威脅。

3. 高靈活度與延展性

• 跨域信任幫助企業擴展：無論是單一辦公室或是跨國企業 AD 都能夠靈活運用。AD 支援網域之間的單向或雙向信任關係，使不同網域的用戶可以互相訪問其他網域中的資源，這對大型企業尤其重要。

4.降低總體成本 (TCO)

• 減少管理開銷，提升營運效能 : 無論是內部基礎設施還是雲端環境，AD 簡化並統一了管理流程，節省了人力和時間，跨平台操作的靈活度也增強了團體協作與資源利用，大大提升營運效能。

綜合以上，建置 AD 能讓企業在管理效率、生產力、安全合規，以及降低總體成本上擁有極多優勢，為邁向企業管理及安全標準的重要基石。現今許多企業都已成功佈署 AD，因此 AD 環境已成為企業競爭力的基本配置。有了 AD 作為 File Server 及各項伺服器服務的管理基底，不僅可以完善組織的標準資訊架構，避免組織成長時管理變得混亂，更能規範使用者行為，實現更嚴謹的資訊安全規範。

本集的內容先到這邊告一段落，我們已經認識了 AD 基本概念以及企業應用優勢，那麼接下來該如何加強 AD 的使用安全呢？ 下集將介紹 AD 防護基礎管理指南，為您帶來更完整的精彩內容，我們下次再會。

👉 下集連結：認識企業帳號和裝置的身分證 — Active Directory（AD）．下集：AD防護基礎管理指南

參考來源 :
∎ 參考資料 | https://www.bing.com/videos/riverview/relatedvideo?q=Active+Directory%ef%bc%88AD%ef%bc%89&mid=7CAD75BB93D7EB0EABCC7CAD75BB93D7EB0EABCC&FORM=VIRE
∎ 參考資料 | Active Directory 網域服務概觀 | Microsoft Learn
∎ 參考資料 | 2024臺灣AD防護現況大公開，兩家本土資安業者持續示警，呼籲企業重視多種管理設定不當引發的風險 | iThome