NetIQ Directory and Resource Administrator 使用者指南

本使用者指南提供關於 NetIQ Directory and Resource Administrator (DRA) 產品的概念資訊。本書籍定義詞彙和各種相關概念。

適用對象

本書提供的資訊適合負責瞭解管理概念和實作安全的分散式管理模型的人員。

其他文件

本指南為 Directory and Resource Administrator 文件集的一部分。如需本指南的最新版本和其他 NetIQ DRA 文件資源，請造訪 DRA 文件網站。

聯絡資訊

我們想瞭解您對本手冊和本產品隨附的其他文件的想法和建議。您可以使用線上文件任一頁面底部的 comment on this topic (新增有關此主題的備註) 連結，或者傳送電子郵件至 Documentation-Feedback@microfocus.com。

如果遇到具體的產品問題，請在 https://www.microfocus.com/support-and-services/ 上聯絡 Micro Focus 客戶服務中心。

1.0 入門

在使用 NetIQ Directory and Resource Administrator (DRA) 開始管理 Active Directory 物件之前，您應該了解 DRA 對企業的基本租用戶有何用處，以及 DRA 元件在產品架構中的角色。

何謂 Directory and Resource Administrator
了解 Directory and Administrator 元件

1.1 何謂 Directory and Resource Administrator

Directory and Resource Administrator 為 Microsoft Active Directory (AD) 提供安全有效率的特權身分管理。DRA 的「最低權限」精細委託，可僅讓管理員和使用者獲得完成其特定職責所需的許可。DRA 也強制遵守規則，提供詳細的活動稽核與報告，以及利用 IT 程序自動化來簡化完成重複的工作。這些功能中的每一項都能保護客戶的 AD 和 Exchange 環境，以避免權限擴張、發生錯誤、惡意活動和違反法規的情況，同時向使用者、業務經理和服務台人員授予自助能力，以降低管理員的負擔。

DRA 也延伸了 Microsoft Exchange 的強大功能，以實現與 Exchange 物件的無接縫管理。DRA 可透過單一、相同的使用者介面來提供規則式管理，可管理整個 Microsoft Exchange 環境的信箱、公用資料夾和配送清單。

DRA 提供您需要的解決方案，讓您控制和管理 Active Directory、Microsoft Windows、Microsoft Exchange 和 Azure Active Directory 環境。

Azure 和內部部署 Active Directory、Exchange 及商務用 Skype 的支援： 可讓管理員管理 Azure 和內部部署 Active Directory、內部部署 Exchange Server、內部部署商務用 Skype、Exchange Online 和商務用 Skype Online。
精細的使用者和管理權限存取控制： 專利的 ActiveView 技術可以僅指派完成特定職責所需的權限，以避免權限擴張。
可自定的 Web 主控台： 直覺方式可讓非技術性人員透過受限制 (和指定的) 能力與存取，輕鬆安全地執行管理任務。
深度活動稽核與報告： 對於使用產品所執行的所有活動，提供了一個綜合性的稽核記錄。安全地儲存長期資料，並向稽核員 (例如，PCI DSS、FISMA、HIPAA 和 NERC CIP) 展示已備妥 AD 存取的控管程序。
IT 程序自動化： 將各種任務的工作流程自動化，例如佈建和取消佈建、使用者和信箱動作、規則強制執行，以及受管制的自助任務；提高業務效率並減少手動和重複的管理工作。
作業完整性： 為管理員提供精細存取控制，並管理對系統和資源的存取，以防止惡意或不正確的變更，而影響系統和服務的效能。
程序強制執行： 維護重要變更管理程序的完整性，協助您改善生產力、減少錯誤、節省時間和提高管理效率。
與 Change Guardian 整合： 在 DRA 和工作流程自動化之外對 Active Directory 中產生的事件加強稽核。

1.2 了解 Directory and Administrator 元件

您會持續用來管理特權存取的 DRA 元件包括主要和次要伺服器、管理員主控台、報告元件，以及用於工作流程處理自動化的「工作流程」引擎。

下表指出各種 DRA 使用者所使用的一般使用者介面和管理伺服器：

DRA 使用者類型	使用者介面	管理伺服器
DRA 管理員 (維護產品組態的人員)	委託和組態主控台	主要伺服器
進階管理員	DRA 報告 PowerShell CLI DRA ADSI 提供者	任何 DRA 伺服器
服務台臨時管理員	委託和組態主控台中的帳戶和資源管理節點 Web 主控台	任何 DRA 伺服器

DRA 使用者類型

使用者介面

管理伺服器

DRA 管理員

(維護產品組態的人員)

委託和組態主控台

主要伺服器

進階管理員

DRA 報告

PowerShell

CLI

DRA ADSI 提供者

任何 DRA 伺服器

服務台臨時管理員

委託和組態主控台中的帳戶和資源管理節點

Web 主控台

任何 DRA 伺服器

1.2.1 DRA 管理伺服器

DRA 管理伺服器儲存組態資料 (環境、委託存取和原則)、執行操作人員和自動化任務，以及稽核全系統活動。除了可支援數個主控台和應用程式介面 (Application Programming Interfaces, API) 層級用戶端外，基於備援和地理隔離的需要，伺服器主要是透過多主機組 (Multi-Master Set, MMS) 擴充模型來提供高可用性。在此模型中，每一個 DRA 環境都需要一部主要 DRA 管理伺服器，以同步化許多其他的次要 DRA 管理伺服器。

強烈建議不要將管理伺服器安裝在 Active Directory 網域控制器上。對於 DRA 管理的每一個網域，請確保管理伺服器所在的同一個網站中至少有一部網域控制器。依預設，管理伺服器會存取最近的網域控制器，以處理所有讀取和寫入作業；在執行特定網站的任務時，例如密碼重設，您可以指定網站專用的網域控制器來處理作業。最佳實務是以次要管理伺服器來專門執行報告、批次處理和自動化工作負載。

1.2.2 帳戶和資源管理

「帳戶和資源管理」是委託和組態主控台中的節點，可以讓 DRA 助理管理員檢視及管理連接之網域和服務的委託物件。

1.2.3 Web 主控台

Web 主控台是 Web 型使用者介面，可讓 DRA 助理管理員快速輕鬆地存取，以檢視和管理連接之網域和服務的委託物件。

管理員可以自訂「Web 主控台」的外觀和用法，以包含自訂的企業品牌和自訂的物件內容，還可以設定與 Change Guardian 伺服器整合，以便於 DRA 之外進行變更稽核。

DRA 管理員也可以建立和修改自動化工作流程表單，而於觸發時執行例行的自動化任務。

「整合的變更歷程」是 Web 主控台的另一項功能，可以與「變更歷程」伺服器整合，以便於 DRA 之外稽核對 AD 物件所做的變更。變更歷程報告選項包括：

變更套用至...
變更者...
信箱建立者...
使用者、群組和聯絡人電子郵件地址的建立者...
使用者、群組和聯絡人電子郵件地址的刪除者...
虛擬屬性建立者...
物件移動者...

1.2.4 報告元件

DRA 報告提供內建、可自訂的 DRA 管理樣板，以及 DRA 管理的網域和系統的詳細資料：

AD 物件的資源報告
AD 物件資料報告
AD 摘要報告
DRA 組態報告
Exchange 組態報告
Office 365 Exchange Online 報告
詳細活動趨勢報告 (按照月份、網域和尖峰)
彙總的 DRA 活動報告

DRA 報告可以透過 SQL Server Reporting Services 來排程和發佈，方便分發給利益相關者。

1.2.5 工作流程引擎

DRA 與工作流程引擎整合，透過 Web 主控台將工作流程任務自動化，助理管理員可以在主控台設定工作流程伺服器，並執行自訂的自動化工作流程表單，然後檢視這些工作流程的狀態。如需關於工作流程引擎的詳細資訊，請參閱 NetIQ DRA 文件網站上的自動化工作流程文件。

1.2.6 產品架構

2.0 使用者介面簡介

DRA 使用者介面解決了各種管理需求。這些介面包括：

Web 主控台: 讓您可透過 Web 型介面執行通用帳戶和資源管理任務。您可以從任何執行 Internet Explorer、Chrome 或 Firefox 的電腦存取 Web 主控台。
PowerShell: PowerShell 模組可讓非 DRA 用戶端使用 PowerShell Cmdlet 來要求 DRA 操作。
NetIQ 報告中心主控台: 可讓您檢視及部署管理報告，以方便您稽核企業安全性與追蹤管理活動。管理報告包含活動報告、組態報告和摘要報告。這些報告中有許多皆可使用圖形呈現來檢視。

2.1 Web 主控台

Web 主控台是 Web 型使用者介面，可讓您快速輕鬆地存取許多使用者帳戶、群組、電腦、資源及 Microsoft Exchange 信箱任務。您可以自定物件內容來增加例行工作任務的效率。您也可以管理自己使用者帳戶的一般內容，例如街道地址或手機號碼。

Web 主控台僅在您有權限可執行任務時才會顯示該任務。

啟動 Web 主控台
設定 Web 主控台
自定 Web 主控台
在 Web 主控台中管理物件
產生變更歷程報告
使用 Workflow Automation

2.1.1 啟動 Web 主控台

您可以從任何執行 Internet Explorer 的電腦啟動 Web 主控台。如需啟動 Web 主控台，請在您的網頁瀏覽器地址欄位中指定適當的 URL。例如，如果您在 HOUserver 電腦上安裝了 Web 元件，請在您的網頁瀏覽器地址欄位中輸入 https://HOUserver.entDomain.com/draclient。

附註：若要在 Web 主控台中顯示最新的帳戶及 Microsoft Exchange 資訊，請將您的網頁瀏覽器設定為在每次造訪時檢查較新版本的快取頁面。

DRA 伺服器連線

您可以使用下列三個選項中的其中一個來登入 Web 主控台。下表描述每個選項在登入時的行為：

登入螢幕 - 選項	連線選項說明
使用自動探查	自動尋找 DRA 伺服器；沒有可用的組態選項
連接至預設 DRA 伺服器	會使用預先設定的伺服器和連接埠詳細資料。附註：只有在 Web 主控台中設定預設 DRA 伺服器時，才會顯示此選項。此外，如果您指定用戶端必須一律連接到預設 DRA 伺服器，則只能檢視登入畫面上的「連接至預設 DRA 伺服器」選項。
連接至特定 DRA 伺服器	使用者會設定伺服器及連接埠
連接至管理特定網域的 DRA 伺服器	使用者會提供管理的網域並選擇連線選項：使用自動探查 (在所提供的網域中) 此網域的主要伺服器搜尋 DRA 伺服器 (在所提供的網域中)

2.1.2 設定 Web 主控台

如果您擁有「DRA 管理」權限，則可以設定「進階驗證」、用戶端品牌和工作階段設定，以及 Web 主控台的所有必要伺服器連接。若要存取其中任何設定，請登入 Web 主控台，並導覽至「管理」>「組態」。

附註：如果您沒有必要管理權限，則不會在報頭中顯示「管理」索引標籤。

Advanced Authentication
Web 主控台品牌
用戶端工作階段設定
伺服器連接

Advanced Authentication

Advanced Authentication 可讓您超越使用者名稱和密碼的簡單搭配方式，改為使用更安全的多重要素驗證機密資訊保護方法。多重要素驗證是一種控制存取電腦的方法，需要使用不同類別的身分證明以多種驗證方法來驗證使用者的身分識別。

DRA 管理員設定鏈及事件後，如果您有必要權限，即可登入 Web 主控台並啟用 Advanced Authentication。一旦驗證啟用後，每個使用者都必須透過 Advanced Authentication 進行驗證，才能取得 Web 主控台的存取權。

若要啟用 Advanced Authentication，請從「組態」索引標籤中選取「Advanced Authentication」，並按一下「啟用 Advanced Authentication」，然後根據針對每個欄位所提供的指示來設定表單。

如需關於 Advanced Authentication 的資訊，請參閱 DRA 管理員指南中的驗證。

Web 主控台品牌

您可以自訂 DRA Web 主控台的登入螢幕和報頭，如下所示：

報頭：這是登入後 Web 主控台頂端的高階導覽列。
- 標誌影像或替代文字：顯示在報頭列的最左邊。您可以顯示標誌影像或替代文字，但不能同時顯示兩者。
- 報頭顏色：除了標誌影像區域之外，會使用這種顏色覆蓋整個報頭。
主題登入螢幕：在瀏覽器中存取 Web 主控台 URL 時，如何顯示登入頁面。預設會設定和啟用 DRA 主題。
- 標誌影像或替代文字：顯示在產品標題和身分證明欄位上方。您可以顯示標誌影像或替代文字，但不能同時顯示兩者。
- 應用程式標題：在身分證明欄位與標誌影像之間顯示。
- 通知模型：這是覆蓋和遮蓋登入頁面的訊息方塊，直到使用者按一下「確定」」為止。其通常用於通知使用者，存取主控台即表示同意遵循公司安全規則。啟用後，所有存取 Web 主控台的使用者都會收到提示。

設定報頭

若要設定報頭︰

登入 Web 主控台，並導覽至「管理」>「組態」>「品牌」。
執行下列其中一項：如果您同時新增文字和影像檔，則只會顯示影像。
- 更新標誌影像：
  1. 新增儲存的影像檔名稱，包括「報頭」磚塊的「標誌影像」欄位中的副檔名。
  2. 儲存 Web 伺服器 assets 目錄中的標誌影像。例如：
    
    C:\inetpub\wwwroot\DRAClient\assets
    
    最佳影像大小是 56x56 像素。
- 根據需要，在「報頭」磚的「標誌影像替代文字」欄位中鍵入或覆寫現有文字。
按一下頁面底部的「儲存」，以完成組態變更。

設定登入螢幕

下面的程序提供全部三個可設定選項、公司標誌、應用程式標題和通知模型的修改資訊。您可以修改三個選項中的一個、兩個或全部選項。

若要變更登入螢幕中的預設主題：

在 Web 伺服器的 assets 資料夾中儲存您的公司標誌。例如：

C:\inetpub\wwwroot\DRAClient\assets

最佳影像大小是 115x28 像素。
登入 Web 主控台，並導覽至「管理」>「組態」>「品牌」。
將「登入」磚之「公司標誌影像」欄位中的檔名取代為所儲存影像檔的名稱，包括檔副檔名。
適用時，修改「應用程式標題」欄位中的文字。
按一下「在登入時顯示通知模型」以啟用此設定，並鍵入通知提示的標題。鍵入或貼上您想要使用者在「內容」欄位中看到的訊息內容。例如：

您正在登入安全網路。登入此系統，即表示您同意遵守公司有關網路存取的安全性規則。
選取訊息的樣式。樣式會變更附加至訊息方塊的影像旗標 (顯示如下)。如果需要，您可以按一下「預覽」以查看將如何顯示訊息。

資訊

錯誤

警告

問題
按一下頁面底部的「儲存」，以完成組態變更。

用戶端工作階段設定

在「用戶端工作階段設定」中，您可以定義 Web 主控台在未作用之後自動登出的時間增量，或設定為永不自動登出。

若要在 Web 主控台中設定自動登出，請導覽至「管理」>「組態」>「用戶端工作階段設定」。啟用具有切換開關的自動登出功能，如果需要，請修改無活動的持續時間設定，單位為分鐘。

伺服器連接

在瀏覽器中存取 Web 主控台的登入頁面時，您可以設定「選項」設定來定義如何連接到 DRA。透過 Web 主控台之使用者設定檔功能表中的「伺服器連接」選項，也可以找到這些設定。DRA 伺服器服務連接埠的預設設定為 8775。未啟用預設值時，您可於使用者設定檔或登入螢幕「選項」中設定 DRA 伺服器的新預設值。「伺服器連接」組態的連接設定會與 Windows 使用者設定檔一起保留。

下方提供您可從「伺服器連接」組態修改之設定的相關資訊(無論是從登入螢幕上的「選項」功能表還是登入後的使用者設定檔功能表)：

DRA 伺服器設定

描述

使用自動探查

自動尋找 DRA 伺服器；沒有可用的組態選項

連接至預設 DRA 伺服器

(只有在「伺服器連接」組態中啟用預設值時才會顯示)

使用「伺服器連接」組態中的預設設定 (啟用時)；沒有可用的組態選項

連接至特定 DRA 伺服器

使用者會設定伺服器及連接埠

如果需要，您可以從 Web 主控台的「伺服器連接」組態中設定 DRA 伺服器的預設位置、伺服器和網域。

若要啟用預設設定，請登入 Web 主控台，並導覽至「管理」>「組態」>「DRA 伺服器連接」。啟用您想要使用的連接設定，然後按一下「儲存」。

DRA 伺服器連線

DRA 服務連接組態包括設定預設伺服器位置、修改連接埠 (需要時) 和連接逾時 (秒)。您也可以使用切換開關停用設定。

提供 DRA 伺服器位置時，請使用下面範例中顯示的格式：

ServerName.DomainName.com

2.1.3 自定 Web 主控台

您可以在 Web 主控台中自訂物件內容。正確實作時，內容自定可協助使用物件管理將任務自動化。

自定內容頁

如果您擁有「DRA 管理」權限，則可以依物件類型來自訂您擔任 Active Directory 管理角色所使用的物件內容表單。這包括建立及自定以 DRA 內建物件類型為基礎的新物件頁面。您也可以修改內建物件類型的內容。

Web 主控台的內容頁面清單中會清楚定義內容物件，因此您可以輕鬆識別哪些物件頁面是內建的、哪些內建頁面是自定的，以及哪些頁面並非內建且是由管理員所建立的。

自定物件內容頁面

您可以自定物件內容表單，方法是新增或移除頁面、修改現有頁面和欄位，以及建立內容屬性的自訂處理程式。欄位上的自訂處理程式會在每次該欄位的值遭修改時執行。也可以設定時機，因此管理員可以指定處理程式是否應立即執行 (在每次按下按鍵時)、在欄位失去焦點時執行，或是在指定的時間之後執行。

「內容頁面」中的物件清單為每個物件類型提供操作類型，「建立物件」和「編輯內容」。這是您的助理管理員會在 Web 主控台中執行的基本操作。他們會透過導覽至管理 > 搜尋或進階搜尋來執行這些操作。在這裡，他們可以透過「建立」下拉式功能表建立物件，或在搜尋結果表格中透過「內容」圖示編輯所選取的現有物件。

若要在 Web 主控台中自定物件內容頁面：

使用「DRA 管理」權限登入 Web 主控台。
導覽至「管理 > 自訂 > 內容頁面」。
在「內容頁面」清單中選取物件與操作類型 (「建立物件」或「編輯物件」)。
按一下「內容」圖示。
藉由執行下列一或多個動作自定物件內容，然後套用您的變更：
- 新增內容頁面：+ 新增頁面
- 重新排序和刪除內容頁面
- 選取內容頁面並自定頁面：
  - 重新排序頁面上的組態欄位：
  - 編輯欄位或子欄位：
  - 新增一或多個欄位：或插入新欄位
  - 移除一個或多個欄位：
- 使用程序檔、訊息方塊或查詢 (LDAP、DRA 或 REST) 來建立內容的自訂處理程式
  
  如需使用自訂處理器的詳細資訊，請參閱《DRA 管理員指南》中的「新增自定處理器」。

建立新的物件內容頁面

若要建立新的物件內容頁面：

利用「DRA 管理」權限登入 Web 主控台，並導覽至「管理」>「自定」>「內容頁面」，然後按一下「建立」。
定義初始物件的名稱、圖示、物件類型及操作組態，來建立初始物件內容表單。

按一下「確定」之後，會在使用者從搜尋清單選取和編輯物件時，於物件表單中顯示「內容」動作時，將「建立」動作新增至「建立」下拉式功能表。
視需要自定新表單。請參閱自定物件內容頁面。

2.1.4 在 Web 主控台中管理物件

若要在 Web 主控台中管理物件，您可以導覽至「管理」報頭。在這裡，您可以依物件類型搜尋受管理網域、Azure 租用戶、容器和資源回收筒中的物件。在網域或 Azure 租用戶內，您可以使用 DRA 來管理 Active Directory 和 Azure Active Directory 物件，並對其採取動作。

如果您在搜尋結果清單中選取物件，所有可以針對該物件執行的適當動作，都會顯示在網格上方的工作列。可用的選項取決於所選取的物件類型、目前為 DRA 設定的元件，以及您被指派的管理員權限。

若要編輯物件內容，請將滑鼠游標移動到物件上方，然後按一下出現在物件列的「內容」圖示。在這裡，您可以從左側導覽窗格存取所有物件的「內容」頁面。

重要：如果您想要預防意外刪除物件，請捲動到「一般」內容頁面的底部，然後勾選核取方塊啟用該功能，再套用變更。

如果您想進一步瞭解可以針對物件採取的動作，請參閱以下主題：

管理 Active Directory 物件
管理 Exchange 信箱和公用資料夾
管理資源

2.1.5 產生變更歷程報告

如果您的 DRA 管理員已設定「變更歷程報告」，並且您具有「產生使用者介面報告」權力時，則可以產生變更歷程記錄報告，並匯出 DRA 中託管物件的報告。這包括在 DRA 中和 DRA 外部所做的變更。您只能從 Web 主控台產生變更歷程報告，其中包括下列類型的報告：

使用者所做的變更
對使用者進行的變更
使用者所建立的使用者信箱
使用者所刪除的使用者信箱
使用者建立的群組及聯絡人電子郵件地址
使用者刪除的群組及聯絡人電子郵件地址
使用者建立或停用的虛擬屬性
使用者移動的物件

若要產生「整合的變更歷程 (UCH)」報告：

啟動 Web 主控台。
前往「管理 > 搜尋」。
使用「搜尋依據」、「搜尋字詞」、「物件」和「範圍」選項，來定義搜尋準則。
按一下「搜尋」按鈕以顯示搜尋結果。
選取想要產生報告的物件。
按一下「檢視變更歷程報告」圖示。

於「整合的變更歷程報告」表單中，您可從「類型」、「目標物件」、「日期範圍」和「最大列數」選項編輯和產生報告準則，以包括定義偵測到變更的伺服器 (DRA 和 Change Guardian)。
按一下「產生」來擷取稽核資料及產生 UCH 報告。
您可以排序報告並以必要格式 (例如 CSV 和 HTML) 將報告輸出。

若要建立所顯示報告的 CSV 檔案，您可以在使用上述步驟產生報告之後執行下列其中一個選項，來輸出所有產生的變更或只輸出目前頁面上顯示的變更：

按一下「全部輸出」，並儲存輸出的報告。
按一下「輸出目前頁面」，並儲存輸出的報告。

如有需要，您可變更頁面上顯示的變更數目，最多 200 個項目。

2.1.6 使用 Workflow Automation

使用 Workflow Automation，您可以透過啟動執行工作流程時所執行的工作流程表單來自動化 IT 程序，或是在 Workflow Automation 伺服器中建立的已命名工作流程事件所觸發時自動化 IT 程序。

建立或修改工作流程表單時，工作流程表單會儲存至 Web 伺服器。當您登入此伺服器的 Web 主控台時，將可根據委託的權限以及表單設定方式來存取表單。表單通常可供所有擁有 Web 伺服器身分證明的使用者使用。提交表單的權限需要適當權限。

啟動工作流程表單： 工作流程會在 Workflow Automation 伺服器中建立，這必須透過 Web 主控台與 DRA 整合。如要儲存新表單，您必須在表單內容中設定「啟動特定工作流程」或「依事件觸發工作流程」選項。以下提供關於這些選項的更多資訊：

啟動特定工作流程： 這個選項會列出 DRA 的工作流程伺服器生產環境中所有可用的工作流程。如需在此清單中填入工作流程，必須在 Workflow Automation 伺服器的 DRA_Workflows 資料夾中建立工作流程。
依事件觸發工作流程： 這個選項是用來執行包含預先定義觸發器的工作流程。包含觸發器的工作流程，也會在 Workflow Automation 伺服器中建立。

附註：只有使用啟動特定工作流程設定的工作流程表單具有執行歷程，這可在「任務 > 要求」下的主要搜尋窗格中查詢。

Workflow Automation 詳細資訊包括在 DRA 文件網站的下列指南中：

DRA 管理員指南
WFA 管理員指南
WFA 使用者指南
WFA 程序編寫指南

2.2 帳戶和資源管理

「委託和組態」主控台中的「帳戶和資源管理」節點可存取大部分的 DRA 助理管理員任務，以解決基礎管理到進階服務台問題的企業管理需求。透過帳戶和資源管理，您可以執行帳戶及資源管理任務，並管理 Microsoft Exchange 信箱。

「帳戶和資源管理」包含下列節點：

我的所有受管理物件: 讓您可管理各個網域 (前提是您要具有該網域的某些權限) 中的物件，例如使用者帳戶、群組、聯絡人、資源、動態群組、動態分發群組、資源信箱以及公用資料夾。
暫時群組指定: 對於那些僅在特定一段時間需要群組成員資格的使用者，此節點可讓您管理這些使用者的群組成員資格。
進階查詢: 讓您可管理在「管理伺服器」上所提供的進階查詢。
資源回收筒: 讓您可針對任何已啟用資源回收筒的 Microsoft Windows 網域管理已刪除的使用者帳戶、群組、聯絡人和資源。

若要存取「帳戶和資源管理」節點，請在 NetIQ 管理員程式資料夾內按一下「委託和組態」，然後在主控台內展開「委託和組態」節點。

當您啟動「委託和組態」主控台時，一開始會連接至本機網域中最佳的可用管理伺服器。最佳的可用管理伺服器是最接近的伺服器，通常是網路站台中的伺服器。DRA 會藉由尋找最佳的可用管理伺服器來提供更快速連線及改善的效能。

若要深入瞭解如何使用「帳戶和資源管理」中的功能，請參閱下列主題：

連接至管理伺服器或受管理的網域
修改主控台標題
自定清單欄
在帳戶和資源管理中管理物件
執行已儲存的進階查詢
還原主控台設定
特殊字元限制
使用萬用字元
檢視您的指定權限和角色
檢視產品版本號碼與已安裝的 Hotfix
檢視您目前的授權
復原 BitLocker 密碼

2.2.1 連接至管理伺服器或受管理的網域

依預設，DRA 會連接至管理的網域或電腦的最佳可用管理伺服器。最佳的可用管理伺服器是最接近的伺服器，通常是網路站台中的伺服器。如果站台不包含管理伺服器，DRA 會連接至管理的網域或受管理子樹狀結構中的下一個可用伺服器。您也可以指定想要連接的管理伺服器或網域。

當您第一次啟動使用者介面時，DRA 會先連接至您登入帳戶的網域。如果您登入的網域不是由管理伺服器所管理，或如果 DRA 無法連接至該網域的管理伺服器，DRA 可能會顯示錯誤訊息。請確定管理伺服器可供使用，並再試一次。

若要連接至管理伺服器：

在「檔案」功能表中，按一下「連接至 DRA 伺服器」。
按一下「連接至這個 DRA 伺服器」。
使用下列格式輸入管理伺服器的名稱：computername。
按一下「確定」。

若要連接至受管理的網域或電腦：

在「檔案」功能表中，按一下「連接至 DRA 伺服器」。
選取適當的選項，然後輸入管理的網域或電腦的名稱。
例如，若要連接至 HOULAB 網域，請按一下「連接至管理此網域的 DRA 伺服器」，然後輸入 HOULAB。
若要指定管理的網域或電腦的管理伺服器，請按一下「進階設定」，然後選取適當的選項。
按一下「確定」。

2.2.2 修改主控台標題

您可以修改「委託和組態」主控台標題列顯示的資訊。為了便利與清楚起見，您可以新增用來啟動主控台的使用者名稱，以及主控台要連接的管理伺服器。在需要使用不同的身分證明連接至多個管理伺服器的複雜環境中，這項功能可協助您快速分辨需要使用的是哪一個主控台。

若要修改主控台標題列：

啟動「委託和組態」主控台。
按一下檢視>選項。
選取「視窗標題」(Window Title) 索引標籤。
指定適當的選項，然後按一下「確定」。

2.2.3 自定清單欄

您可以選取 DRA 要在清單欄中顯示的物件內容。這個彈性的功能可讓您自定使用者介面，例如搜尋結果的清單，以更符合您管理企業的特定需求。例如，您可以設定欄使其顯示使用者登入名稱或群組類型，讓您能快速有效地找到並排序所需的資料。

如需自定清單欄：

選取適當的節點。例如，若要選擇在檢視受管理物件的搜尋結果時所要顯示的欄，請選取「我的所有受管理物件」。
在「檢視」功能表上，按一下「選擇欄」。
從可供此節點使用的內容清單中，選取您想要顯示的物件內容。
若要變更欄順序，請選取欄，然後按一下「上移」或「下移」。
若要指定欄寬度，請選取欄，然後在提供的欄位中輸入適當像素數字。
按一下「確定」。

2.2.4 在帳戶和資源管理中管理物件

若要在「帳戶和資源管理」中管理物件，您可以選取「我的所有受管理物件」或目錄樹狀結構中的子節點。在這裡，您可以依照物件類型搜尋網域、容器及 OU 內的物件。

如果您在搜尋結果清單中選取物件，所有可以針對該物件執行的適當動作，都會顯示在工具列上的「任務」功能表或右鍵功能表。可用選項取決於選取的物件類型、目前設定的 DRA 元件，以及指派的管理員權限。

若要編輯物件內容，請選取物件，然後在「任務」功能表中按一下「內容」。在這裡，您可以藉由從左側導覽窗格按一下頁面連結，存取所有物件的「內容」頁面。

重要：如果您想要預防意外刪除物件，請選取物件並開啟「內容」、在導覽窗格選取「一般」、勾選核取方塊啟用該功能，然後再「套用」變更。

如果您想進一步瞭解可以針對物件採取的動作，請參閱以下主題：

管理 Active Directory 物件
管理 Exchange 信箱和公用資料夾
管理資源

2.2.5 執行已儲存的進階查詢

您可以使用進階查詢來搜尋使用者、聯絡人、群組、電腦、印表機、OU 及 DRA 支援的任何其他物件。如果您擁有「執行已儲存的進階查詢」權限，則可以針對帳戶和資源管理節點中的任何容器執行「已儲存的查詢」清單中可用的進階查詢。如需關於您的指定權限的詳細資訊，請參閱檢視您的指定權限和角色。

若要執行已儲存的進階查詢：

展開「帳戶和資源管理 > 我的所有受管理物件」。
選取適當的容器。例如，如果您想要 DRA 搜尋使用者帳戶資訊，請選取「使用者」。
若要檢視進階搜尋窗格，按一下「進階搜尋」。
在進階搜尋窗格中，從「儲存的查詢」清單中選取「進階搜尋」。
按一下「載入查詢」，然後按一下「立即尋找」。

2.2.6 還原主控台設定

DRA 可讓您重新調整視窗大小，然後維持您的視窗大小。DRA 也會維持許多其他設定，包括您連接的最後一個管理伺服器、從清單結果中新增或移除的欄以及欄寬。如果您想要將這些設定還原至用來安裝 DRA 的原始設定，「還原預設設定」選項可讓您這麼做。

若要還原預設主控台設定：

按一下「檢視」>「選項」。
選取「儲存的設定」索引標籤。
檢閱視窗上提供的資訊，然後按一下「還原預設設定」。

2.2.7 特殊字元限制

當您命名使用者帳戶、群組、聯絡人、OU、電腦、ActiveViews、AA 群組、角色、規則或自動觸發器時，無法使用下列特殊字元。這些命名限制適用於物件名稱以及定義物件的規則名稱。

命名使用者帳戶、群組及電腦

指定 Windows 2000 以前的名稱時，您無法使用下列特殊字元：

反斜線	\
冒號	:
逗點	,
雙引號	"
等號	=
向前斜線	/
大於	>
左中括弧	[
小於	<
加號	+
右中括弧	]
分號	;
垂直列	\|

重要：公用資料夾管理不支援反斜線 \ 字元。

命名 Microsoft Windows 網域中的使用者帳戶、群組及電腦時，您可以使用任何特殊字元。

命名聯絡人與 OU

命名聯絡人與 OU 時，您可以使用任何特殊字元。

命名 ActiveViews、AA 群組及角色

命名 ActiveViews、AA 群組和角色時，您無法使用反斜線 (\)。

命名規則和自動化觸發器

命名規則和自動化觸發器時，您無法使用反斜線 (\)。

Azure 中的無效字元

無效的字元將會造成 Azure Active Directory 與內部部署目錄之間的同步失敗。請參閱 Microsoft Office 支援網站上的「目錄物件與屬性準備」子主題，以深入了解這些無效的字元。

為了避免在線上信箱內容中使用這些字元，請執行以下操作：

在「委託和組態」主控台內按一下「組態管理」節點，然後選取「更新管理伺服器選項」。
在索引標籤功能表中按一下「Azure 同步」。
依序按一下「強制執行無效字元及字元長度的線上信箱規則」，然後按一下「確定」。

2.2.8 使用萬用字元

DRA 在 DRA 的各個主控台的許多欄位以及在 CLI 指令中都支援萬用字元。萬用字元可讓您定義規則以代表符合特定條件或標準的多個物件，例如命名慣例。您可以使用萬用字元而非規則運算式來縮小或擴大規則的範圍。萬用字元的比對並不區分大小寫。您也可以將問號 (?)、星號 (*) 或數字符號 (#) 等萬用字元當做一般字元來使用，只要在特定萬用字元的前面加上反斜線 (\) 即可。例如，若要搜尋 abc*，請輸入搜尋文字 abc\*。

DRA 支援下列萬用字元。您無法在名稱中使用萬用字元。

相符項目	字元	定義
任何字元	問號 ?	任意單一字元比對
任何數字	數字符號 #	任意單一數字比對
任何字元、0 或更多相符項目	星號 *	零個或多個字元比對

下列表格提供萬用字元規格的範例，以及相符和不相符的項目。

範例	符合	不相符
Den???	Denton 和 Dennis	Denison
El ????o	El Campo 和 El Indio	El Paso
Houston, TX #####	Houston, TX 77024	Houston, TX USOFA

DRA 不支援包含邏輯運算的萬用字元規格。

2.2.9 檢視您的指定權限和角色

角色和權限會定義您的管理物件方式。角色是提供執行特定管理任務所需許可權的一組權限，例如建立使用者帳戶或移動共用目錄。

DRA 管理員會指定角色、將您新增至特定 AA 群組，並將您與 ActiveViews 相關聯 (可以管理的網域物件組)。您可以透過「委託和管理」主控台檢視這些指定。您不需要任何輔助權限即可檢視指定給您的角色及權限。

若要檢視您的指定權限及角色：

在「檔案」功能表上，按一下「DRA 內容」。
按一下「權限」。
選取適當的檢視窗。例如，按一下「一般檢視」可查看 AA 群組成員資格的表格、指定權限與角色，以及相關聯的 ActiveViews。
展開適當的項目。例如，在「具有權限」欄下，展開「角色與權限」來檢視指定給您的個別角色或權限。
按一下「確定」。

2.2.10 檢視產品版本號碼與已安裝的 Hotfix

您可以從 DRA 內容視窗檢視產品版本號碼與已安裝的 Hotfix。這個視窗提供管理伺服器與 DRA 用戶端電腦的已安裝 Hotfix 的版本編號和清單。

若要檢視產品版本號碼與已安裝的 Hotfix：

在「檔案」功能表上，按一下「DRA 內容」。
按一下一般。
檢視您需要的資訊。
按一下「確定」。

2.2.11 檢視您目前的授權

DRA 需要授權金鑰檔案。您可以從任何管理伺服器電腦檢視產品授權。您不需要任何輔助權限即可檢視產品授權。

若要檢視授權：

在「檔案」功能表上，按一下「DRA 內容」。
按一下「授權」。
檢閱授權內容，然後按一下「確定」。

2.2.12 復原 BitLocker 密碼

Microsoft BitLocker 會在 Active Directory 中儲存其復原密碼。若具有必要權限，您即可使用 DRA BitLocker 修復特性來尋找及修復使用者遺失的 BitLocker 密碼。

重要：使用 BitLocker 復原密碼特性之前，請確定將您的電腦指定給網域且 BitLocker 已開啟。

檢視並複製 BitLocker 復原密碼

如果電腦的 BitLocker 密碼遺失，可以從 Active Directory 的電腦內容使用復原密碼金鑰進行重設。複製密碼金鑰，並將其提供給使用者。

若要檢視及複製復原密碼：

啟動「委託和管理」主控台，再導覽至「帳戶和資源管理 > 我的所有受管理物件」。
選取網域，再執行搜尋列出網域內的所有電腦。
在電腦清單中，以滑鼠右鍵按一下必要的電腦，然後選取「內容> BitLocker 復原密碼」。
以滑鼠右鍵按一下並複製 BitLocker 復原密碼，然後將密碼文字貼到文字檔。

尋找復原密碼

如果電腦的名稱已變更，必須使用「密碼 ID」的前 8 個字元在網域中搜尋「復原密碼」。

附註：如要搜尋「修復密碼」，助理管理員必須在包含委派電腦物件的網域上具有檢視 BitLocker 修復密碼權限。

若要使用密碼 ID 尋找復原密碼：

啟動「委託和管理」主控台，再導覽至「帳戶和資源管理 > 我的所有受管理物件」。
以滑鼠右鍵按一下「受管理的網域」，然後按一下「尋找 BitLocker 復原密碼」。

若要尋找復原密碼的前八個字元，請參閱檢視並複製 BitLocker 復原密碼。
在「尋找 BitLocker 復原密碼」頁面中，在搜尋欄位中貼上複製的字元，然後按一下「搜尋」。

2.3 DRA Reporting

DRA Reporting 提供內建且立即可用的報告，可讓您快速追蹤重複帳戶、最後的帳戶登入，以及Microsoft Exchange 信箱詳細資料等。報告也會提供您環境中所做變更的即時詳細資料，包含所變更內容前後的值。您可以輸出、列印或檢視報告，或出版報告至 SQL 伺服器報告服務。

DRA 提供兩個方法來產生報告，可讓您收集並檢閱網域中的使用者帳戶、群組和資源定義：活動詳細資料報告和 DRA 管理報告。透過委託和組態主控台檢視的活動詳細資料報告會提供您網域中物件的即時變更資訊。例如，您可以使用活動詳細資料報告檢視特定期間，對物件或由物件所做的變更清單。

下圖顯示範例活動詳細資料報告：

透過 NetIQ 報告中心 (報告中心) 檢視的選擇性 DRA 管理報告會提供與您管理的網域中的事件相關的活動、組態及摘要資訊。部分管理報告可作為資料的圖形表示提供。您也可自定這些內建報告，以提供確實符合所需的資訊。

例如，您可以使用管理報告檢視每個管理的網域，在特定期間事件數的圖形顯示。報告可讓您檢視關於 DRA 安全模型的詳細資料，例如 ActiveView 和 AA 群組定義。

您必須先安裝及設定選擇性的管理報告後，才能檢視這些報告。如需安裝報告元件的相關資訊，請參閱安裝指南。如需 DRA Reporting 的相關資訊，請參閱DRA Reporting。

在 NetIQ > 報告中心程式群組中啟動報告中心主控台。

下圖顯示選取 DRA 管理報告的報告中心介面。

若要深入瞭解 DRA Reporting，請參閱下列主題：

瞭解 DRA Reporting
DRA 使用記錄歸檔的方式
瞭解日期和時間
DRA Reporting 任務

2.3.1 瞭解 DRA Reporting

DRA Reporting 會提供兩個產生報告的方法，可讓您查看環境中最新的變更，並收集和檢閱您網域中的使用者帳戶、群組及資源定義。

活動詳細資料報告: 透過「委託和組態」主控台的「帳戶和資源管理」存取，這些報告提供您網域中物件的即時變更資訊。
DRA 管理報告: 這些報告會透過 NetIQ 報告中心 (報告中心) 存取，可提供關於您管理的網域中事件的摘要資訊。部分報告可作為資料的圖形表示提供。

例如，您可以使用活動詳細資料報告檢視特定期間，對物件或由物件所做的變更清單。您也可以使用管理報告檢視每個管理的網域，在特定期間事件數的圖形顯示。報告也可讓您檢視關於 DRA 安全模型的詳細資料，例如 ActiveView 和 AA 群組定義。

DRA 會停用您的授權不支援的功能及報告。您也必須具有適當權限才能執行及檢視報告。因此，您可能無法存取部分報告。

您可安裝及設定 DRA 管理報告作為選擇性的特性，並在報告中心內檢視。當您啟用並設定資料集合時，DRA 會收集稽核事件相關資訊，並依定義的排程加以輸出至 SQL Server 資料庫。當您連接至報告中心內的這個伺服器時，即可存取超過 60 個內建報告：

顯示哪些人員完成的事項及完成時間的活動報告
顯示特定時間點 AD 或 DRA 狀態的組態報告
顯示活動量的摘要報告

如需設定管理報告資料集合的相關資訊，請參閱管理員指南。

2.3.2 DRA 使用記錄歸檔的方式

為了檢閱和報告助理管理員動作，DRA 會在管理伺服器電腦的記錄歸檔中記錄所有使用者作業。使用者操作包括所有變更定義的嘗試，例如更新使用者帳戶、刪除群組或重新定義 ActiveViews。DRA 也會記錄特定內部操作，例如管理伺服器初始化及相關的伺服器資訊。除了記錄這些稽核事件之外，DRA 也會記錄事件前後的值，以便您可看到實際變更的項目。

DRA 會使用資料夾 NetIQLogArchiveData，稱為記錄歸檔來安全儲存歸檔的記錄資料。DRA 會隨時間將記錄歸檔，然後透過稱為清理的程序，刪除較舊的資料以提供空間給較新的資料。

DRA 會使用儲存在記錄歸檔檔案中的稽核事件，來顯示活動詳細資料報告，例如顯示在特定期間對物件進行了哪些變更。您也可以將 DRA 設定為從這些記錄歸檔，將資訊輸出至 NetIQ 報告中心用來顯示管理報告的 SQL Server 資料庫。

DRA 一律會將稽核事件寫入記錄歸檔。您也可以啟用或停用讓 DRA 將事件寫入 Windows 事件記錄。

如需 DRA 稽核的相關資訊，請參閱管理員指南。

2.3.3 瞭解日期和時間

DRA 會使用控制台的「地區設定」應用程式中指定的簡短日期樣式和時間樣式來顯示報告。DRA 報告會顯示 UTC 日期和時間以及事件的當地日期和時間。DRA 報告支援下列日期格式：

m/d/yy
m-d-yy
m/d/yyyy
m-d-yyyy
mm/dd/yy
mm-dd-yy
mm/dd/yyyy
mm-dd-yyyy
dd/mm/yy
dd-mm-yy
dd/mm/yyyy
dd-mm-yyyy

2.3.4 DRA Reporting 任務

若要產生 DRA 管理報告，請安裝報告中心並啟用 DRA 的資料集合。如需啟用資料集合的相關資訊，請參閱管理員指南。若要產生活動詳細資料報告，請以滑鼠右鍵按一下任何物件，然後按一下「報告」來查看關於該物件的報告選擇。下列小節會指導您操作各種報告任務。

檢視活動詳細資料報告

活動詳細資料報告會顯示您環境中變更的相關資訊。您可以檢視或列印報告，並以 Excel、CSV 或 TXT 格式來儲存報告。若要檢視或列印報告，您必須與報告管理角色相關聯。

檢視報告時，請輸入準則來指定您想要顯示相關資訊的期間。您也可以選擇檢視限制於對特定 DRA 伺服器所做變更的報告，且可以限制報告中要包含的列數。如果報告大小超過下列其中一個限制，DRA 會顯示訊息以說明報告不完整：

大小超過 500 MB
查詢所有 DRA 伺服器所需的時間超過 5 分鐘
要顯示的列數超過 1000

您可以選擇檢視當中僅包含在達到其中一個這些限制之前，所擷取資訊的報告，或者您可以變更報告準則來檢視符合這些限制的報告。

若要檢視報告︰

在左窗格中，展開我的所有受管理物件。
若要指定您想檢視報告的物件，請完成下列步驟：
1. 如果您知道物件位置，請選取包含此物件的網域及 OU。
2. 在搜尋窗格中，指定物件屬性，然後按一下「立即尋找」。
在清單窗格中，以滑鼠右鍵按一下物件然後按一下「報告」。
選取報告類型，例如對 objectName 所做的變更或由 objectName 所做的變更。可用報告會依您所選取的物件類型而有所不同。
選取開始和結束日期來指定您要檢視的變更。
如果您想要變更要顯示的列數，請輸入超過預設值 250 的數字。

附註：所顯示的列數會套用至您環境中的每個管理伺服器。如果您在報告中包含 3 個管理伺服器，並使用 250 個列的預設值來顯示，則報告中最多可顯示 750 個列。
如果您在報告中只要包含特定的管理伺服器，請選取將查詢限制為這些 DRA 伺服器，並輸入伺服器名稱或您想要報告包含的名稱。以逗號區隔多個伺服器名稱。
按一下「確定」。

附註：DRA 最多可能需要 5 秒才會在報告中顯示最近的變更。因此，在進行變更後請等候至少 5 秒鐘，再嘗試檢視包含變更的報告。

輸出活動詳細資料報告

您可以下列格式輸出活動詳細資料報告：XLS、CSV 及 TXT。預設格式為 Microsoft Excel 格式。

若要輸出活動詳細資料報告：

在報告視窗的「檔案」功能表上，按一下「預覽及輸出」。
在預覽視窗的「檔案」功能表上，按一下「輸出文件 > Excel 檔案」。
選取您的輸出選項，然後按一下「確定」。
在「儲存為」視窗中，輸入檔案的名稱，然後按一下「儲存」。

列印活動詳細資料報告

若要列印報告，您必須與報告管理角色相關聯。您可以檢視或列印活動詳細資料報告，並以多種格式儲存報告。

若要列印活動詳細資料報告：

在報告視窗的「檔案」功能表上，按一下「預覽及輸出」。
在預覽視窗的「檔案」功能表上，按一下「列印」。

檢視管理報告

您必須安裝 DRA Reporting 並設定 DRA 資料收集器，才能檢視報告中心內的管理報告。如需安裝 DRA Reporting 及設定 DRA 收集器的詳細資訊，請參閱管理員指南。

當您登入報告中心時，Web 服務會根據您在安裝期間設定 Web 服務的方法使用 IIS 來驗證帳戶身分證明。

若要檢視管理報告：

登入執行報告中心主控台的電腦。
在 NetIQ > 報告中心程式群組中啟動報告中心主控台。
在登入對話方塊中提供必要資訊，然後按一下「登入」。
在導覽窗格中，展開「報告 > DRA 管理報告」。
展開報告類別，直到您找到想要檢視的報告為止。
在導覽窗格中按一下報告名稱，報告將會在中央的結果窗格中載入以顯示快取的資料。
如果您想要使用最新的資料查看報告，請按一下結果窗格中的「執行報告」。

您可以變更預設網路位置設定來顯示不同的報告結果。如需在報告中心的網路位置設定相關資訊，請參閱管理員指南。

自定管理報告

DRA 會隨附超過 60 份管理報告。報告中心可讓您彈性地以多種方式自定及部署這些報告。如需在報告中心內自定及部署管理報告的相關資訊，請參閱管理員指南。

如需自定管理報告：

檢視與您所要建立報告相似的報告。如需詳細資訊，請參閱檢視管理報告。
變更報告內容及網路位置設定來自定報告，以顯示您所需的資訊。
按一下「執行報告」。
在報告功能表上，按一下「將報告儲存為」，並指定報告標題及要儲存新報告的位置。
按一下儲存。

如需在報告中心內使用管理報告的相關資訊，請參閱管理員指南。

3.0 管理 Active Directory 物件

本章節包含在「委託和組態」主控台的「帳戶和資源管理」節點及 Web 主控台中管理使用者帳戶、群組、動態群組、動態通訊群組和聯絡人的概念性與程序性資訊。使用者帳戶的資訊較為完整，可提供在兩個用戶端應用程式中管理物件方式的一般性的範例。

管理使用者帳戶
管理群組
管理動態通訊群組
管理動態群組
管理聯絡人
管理群組受管理服務帳戶

3.1 管理使用者帳戶

Microsoft Windows 仰賴使用者帳戶類型，來判斷相關聯使用者帳戶的存取許可。使用者帳戶可以是全域帳戶或本機帳戶。DRA 也支援 InetOrgPerson 物件，但會將 InetOrgPerson 物件識別為一般使用者。

全域使用者帳戶: 可在信任使用者帳戶所建立網域的任何網域中使用的使用者帳戶。您可以授予特定許可給使用者帳戶。您也可以將使用者帳戶設為群組的成員，然後指定許可給該群組。群組使用者帳戶有助於簡化許多使用者帳戶的網路許可管理程序。
本機使用者帳戶: 本地使用者帳戶與您用於登入 Windows 作業系統的任何帳戶相同。可讓您在自己的使用者空間中存取系統資源。

若要深入瞭解使用者帳戶管理，請參閱下列主題：

信任網域中的使用者帳戶
使用者帳戶管理任務
轉換使用者帳戶

3.1.1 信任網域中的使用者帳戶

Microsoft Windows 會在管理的網域的目錄中，儲存使用者帳戶及群組定義。因此，管理伺服器無法從信任網域中修改目錄資訊，除非 DRA 也管理該網域。

例如，在「帳戶和資源管理」中，您可能會看到無法修改的使用者帳戶及群組。這些使用者帳戶及群組，會在其中一個管理的網域信任的網域中定義。不過，您可以從信任的網域，將帳戶及群組新增至管理的網域中的其他群組。

3.1.2 使用者帳戶管理任務

本節會指導您了解，如何在「委託和組態」主控台的「帳戶和資源管理」節點及 Web 主控台中管理使用者帳戶。您可以使用適當權限來執行各種使用者帳戶管理任務，例如建立及刪除帳戶。如果您選取多個使用者帳戶，可以在一個操作中執行選取的任務，例如刪除、移動或將使用者新增至群組。如需關於您的指定權限的詳細資訊，請參閱檢視您的指定權限和角色。

帳戶和資源管理中的使用者帳戶任務

您可以從「任務」功能表或從右鍵點擊功能表中執行下列所有適用任務。一般而言，您要選取我的所有受管理物件節點並執行立即尋找操作來尋找並選取所需的使用者物件。在建立新使用者的案例中，您必須選取想要建立使用者的網域或 OU。任務功能表會指出您在選取單一或多個使用者帳戶時可以執行哪些任務。

管理您自己的帳戶: 您可以修改一般內容來管理自己的帳戶，例如您的電話號碼。在您管理帳戶之前，請確定您擁有適當權限。
將使用者帳戶複製至另一個 ActiveView: 您可以將使用者帳戶複製至另一個 ActiveView。這個動作稱為傳輸使用者帳戶。若要將使用者帳戶複製至另一個 ActiveView，您需要來源和目標 ActiveViews 中，將使用者複製至另一個 ActiveView 的權限。將使用者帳戶傳輸至另一個 ActiveView 並不會從來源 ActiveView 移除使用者帳戶。

附註：將使用者帳戶複製到其他 ActiveView 的操作，只能透過「委託和組態」主控台的「帳戶和資源管理」節點進行。
重新命名使用者帳戶: 您可以在管理的網域或受管理子樹狀結構中重新命名使用者帳戶。變更使用者登入名稱也會變更，與使用者帳戶相關聯信箱的名稱。

Web 主控台中的使用者帳戶任務

您可以從 Web 主控台的「管理 > 搜尋」索引標籤中執行下列大部分的任務。執行搜尋操作來尋找及選取所需的使用者物件。選取清單中的一或多個物件後，工作列會處於作用中狀態，並且提供「帳戶」和 Exchange 這類工具列選項和下拉式選項。將滑鼠游標移至工具列圖示上方或按一下下拉式功能表，以顯示其功能或選項。

建立使用者帳戶

您可以在管理的網域或受管理子樹狀結構中，建立使用者帳戶。您也可以修改內容、建立信箱、啟用電子郵件，並指定新帳戶的群組成員資格。

附註：

貴公司可能有透過規則強制執行的命名慣例，以決定您可以指定給新使用者帳戶的名稱。
依預設，DRA 會將新的使用者帳戶放在管理的網域的使用者 OU 中。
您無法在 DRA 中建立 InetOrgPerson 物件。

複製使用者帳戶

當您複製使用者帳戶時，任何使用者為成員的群組，都會自動新增至新的使用者帳戶，讓您省下設定新帳戶的時間。您可以從新帳戶新增或移除群組、啟用電子郵件，並進行與您會對任何新帳戶所做相同的任何其他內容組態。

附註：當您複製 InetOrgPerson 物件時，即會建立使用者帳戶。

修改使用者帳戶內容

您可以在受管理的網域或受管理的子樹狀結構中，管理使用者帳戶的內容。您擁有的權限會決定可以修改的使用者帳戶內容。如果您已安裝 Exchange 並啟用 Microsoft Exchange 支援，在管理使用者帳戶時，即可修改相關聯的信箱內容。

附註：如果啟用了主目錄規則，則當您管理帳戶時，DRA 就會自動修改使用者帳戶的主目錄。例如，當您變更主目錄位置時，DRA 會嘗試建立指定的主目錄，並將先前主目錄的內容移至新的位置。DRA 也會將先前目錄中指定的 ACL 套用至新的目錄。

附註：DRA 可讓您將「成員隸屬」結果輸出為 CSV 檔案。若要從 Web 主控台輸出「成員隸屬」結果，請前往「管理」>「搜尋」，然後按一下「內容」。導覽至「成員隸屬」索引標籤，然後按一下「下載」圖示。不會輸出未儲存的變更。確保您儲存任何最近變更，以在輸出的檔案中提供這些變更。

啟用使用者帳戶

您可以在管理的網域或受管理子樹狀結構中啟用使用者帳戶。如果您正在管理 Microsoft Windows 帳戶，則可以指定 DRA 在其中套用此變更的網域控制器。

當您套用此變更至特定網域控制器時，DRA 也會將此變更套用至這個受控制網域的預設網域控制器。若要驗證哪個預設網域控制器 DRA 正在使用中，請檢視網域內容。

停用使用者帳戶

您可以停用管理的網域中的使用者帳戶。如果您正在管理 Microsoft Windows 帳戶，則可以指定 DRA 在其中套用此變更的網域控制器。

解除鎖定使用者帳戶

您可以在管理的網域或受管理子樹狀結構中解除鎖定使用者帳戶。

因為 DRA 會從帳戶快取擷取使用者帳戶狀態，使用者介面在選取的帳戶鎖定時可能會指示為解除鎖定。即使帳戶狀態指示其目前為解除鎖定，DRA 仍允許您將使用者帳戶解除鎖定使用者帳戶。當您使用 DRA 主控台解除鎖定使用者帳戶時也可以指定網域控制器，而無須重設帳戶密碼。

重設使用者帳戶密碼

您可以在管理的網域或受管理子樹狀結構中重設帳戶的密碼。您擁有的權限會決定可以變更該使用者帳戶的欄位。

當您重設使用者帳戶的密碼時，DRA 會自動解除鎖定帳戶。您可以選取 DRA 是否要產生使用者帳戶的新密碼。您也可以修改帳戶的多個密碼相關選項。如果您正在管理 Microsoft Windows 帳戶，則可以指定 DRA 在其中套用這些變更的網域控制器。

附註：當您套用此變更至特定網域控制器時，DRA 也會將此變更套用至這個受控制網域的預設網域控制器。若要驗證哪個預設網域控制器 DRA 正在使用中，請檢視網域內容。

將使用者帳戶移至另一個容器

您可以將使用者帳戶移至管理的網域，或受管理子樹狀結構中的另一個容器，例如 OU。

刪除使用者帳戶

您可以在管理的網域或受管理子樹狀結構中刪除使用者帳戶。如果已停用該網域的資源回收筒，則刪除使用者帳戶時會從 Active Directory 中永久移除使用者帳戶。如果該網域的資源回收筒已停用，則刪除使用者帳戶會將使用者帳戶移至資源回收筒。

警告：當您建立使用者帳戶時，Microsoft Windows 會將 Security Identifier (SID) 指定給該帳戶。SID 不會從帳戶名稱中產生。Microsoft Windows 會使用 SID 來記錄每個資源在存取控制清單 (ACL) 中的權限。如果您刪除使用者帳戶，即無法使用相同名稱建立新的使用者帳戶，來傳回該帳戶的存取功能。

指定使用者帳戶的群組成員資格

您可以在管理的網域或受管理子樹狀結構中，新增使用者帳戶或從特定群組中移除使用者帳戶。您也可以檢視或修改此帳戶所屬現有群組的內容。

3.1.3 轉換使用者帳戶

DRA 讓您能夠快速且有效地轉換使用者帳戶。當與使用者帳戶相關聯的個人轉換為新的工作職責時，您可以使用 DRA 的轉換功能。利用工作角色範本，您可以快速新增、移除或更新與帳戶相關聯的群組成員資格。無論個人升遷、變更部門或離職，轉換使用者帳戶的功能將可為您省下時間、金錢及臆測。

瞭解轉換程序

您可以使用轉換使用者帳戶功能來滿足下列任何需求：

從使用者帳戶移除群組成員資格
將群組成員資格新增至使用者帳戶
變更使用者內容
移除特定群組成員資格，同時將其他群組成員資格新增至使用者帳戶

在嘗試轉換使用者帳戶之前，請考慮下列程序：

決定您是否需要新增、移除或同時新增及移除群組成員資格。
檢閱您目前的相減與附加範本，以確保您擁有必要的樣板使用者帳戶。
必要時，請建立任何所需的樣板帳戶。
完成轉換使用者精靈。

當 DRA 轉換使用者時，會從使用者帳戶中移除相減樣板指定的群組成員資格，而附加樣板指定的成員資格則會指定給使用者帳戶。DRA 會將相減或附加範本外部的任何成員資格保留完整。例如，您外部銷售部門的員工從美國銷售轉移至歐洲銷售。於貴組織內，您會有這些銷售團隊的唯一分發群組和安全性群組，及跨所有銷售團隊共享的數個銷售團隊。美國銷售團隊擁有美國熱點配送清單，和美國銷售管理配送清單分發群組，而歐洲銷售團隊則有歐洲熱點，和歐洲銷售管理分發群組。兩個團隊都是全球銷售安全性群組的成員，此外也是個人站台特定的安全性群組。

您稱為美國銷售樣板的相減樣板，可能會指定給下列群組成員資格：

美國熱點配送清單
美國銷售管理配送清單
全球銷售安全性
美國安全性

您稱為歐洲銷售樣板的附加樣板，可能會指定給下列群組成員資格：

歐洲熱點配送清單
歐洲銷售管理配送清單
全球銷售安全性
歐洲安全性

在轉換程序期間，所轉換銷售人員的使用者帳戶會先從由美國銷售樣板指定的所有群組成員資格移除，然後新增至由歐洲銷售樣板指定的所有群組成員資格。如果這個成員也是 Poker Players 分發群組的成員，這個群組成員資格會維持不變。

下列權限允許助理管理員在轉換程序期間進一步修改使用者帳戶：

在轉換使用者帳戶時修改地址內容
在轉換使用者帳戶時修改描述
在轉換使用者帳戶時修改辦公室
在轉換使用者帳戶時修改電話內容

您也可以限制新增或移除群組成員資格的權限，方法是只將下列其中一個權限提供給助理管理員：

將使用者新增至樣板中找到的群組
將使用者從樣板中找到的群組移除

您可以使用任何一個權限限制選項，來建立貴組織內的安全性層。藉由提供特定成員權限以僅移除樣板中所找到的群組，您可以建立中期使用者帳戶。接著，在不同的助理管理員使用附加樣板帳戶授予新的群組成員資格之前，您可以檢閱這些中期帳戶。

建立使用者轉換樣板

轉換使用者帳戶會直接繫結至貴組織的角色和工作階層。請考慮為貴公司內的每一個角色和工作建立樣板。DRA 在用來作為相減與附加的使用者帳戶樣板之間沒有任何差異。在貴組織內針對每一個角色建立單一樣板使用者帳戶。在轉換期間，您要選取樣板作為相減或附加。選取樣板作為相減不會停止讓相同的樣板在未來的轉換中用來作為附加。

若要建立使用者轉換樣板，您必須有權限可建立使用者帳戶，並將該使用者帳戶指定為適當的群組。可透過在適當 ActiveViews 中將您的帳戶與「建立並刪除使用者帳戶」和「群組管理」角色建立關聯，或透過指定人員權限來取得這些權限。

轉換使用者帳戶

轉換使用者帳戶可讓您新增、移除或同時新增並移除使用者帳戶群組成員資格。使用此工作流程可在成員從一個工作職責，轉換至貴組織內另一個職責轉換時協助您。您必須擁有「轉換使用者」角色或是包含適當權限可轉換使用者帳戶的角色。此功能只能透過「委託和組態」主控台的「帳戶和資源管理」節點執行。

若要轉換使用者帳戶：

在左窗格中，展開我的所有受管理物件。
若要指定您想管理的使用者帳戶，請執行立即尋找操作來尋找，然後選取使用者物件。
按一下「任務 > 轉換」。
檢閱「歡迎」視窗，然後按下一步。
在「選取使用者樣板」視窗上，使用「瀏覽」來選取適當的消去樣板使用者。
如果您想要檢閱相減樣板使用者帳戶的內容，請按一下檢視。
使用「瀏覽」來選取適當的附加樣板使用者。
如果您想要檢閱附加樣板使用者帳戶的內容，請按一下檢視。
如果您擁有適當權限，可以勾選變更使用者的其他內容然後選取要修改的內容。按下一步以導覽至可用的內容。
按一下「下一步」。
檢閱摘要視窗，然後按一下「完成」。

3.2 管理群組

您可以使用助理管理員身分，利用 DRA 來管理群組以及修改群組內容。群組可讓您提供特定許可給一組定義的使用者帳戶。群組可讓您控制使用者帳戶，可在任何網域中存取的是哪些資料及資源。

您可以管理任何類型及範圍的群組。例如，您可以巢狀群組，讓一個群組可以從另一個群組繼承許可。您也可以從信任網域將群組新增至管理的網域中的另一個群組，或管理暫時群組指定，有效地控制群組成員資格存取網域。

若要深入瞭解群組管理，請參閱下列主題：

群組管理任務
在委託和組態主控台中管理臨時群組指派
在 Web 主控台中管理臨時群組指派

3.2.1 群組管理任務

本節將引導您瞭解如何透過「委託和組態」主控台的「帳戶和資源管理」節點管理群組。利用適當權限，您可以執行各種群組管理任務，例如修改群組成員。如果您選取多個群組，可以在一個操作中執行選取的任務，例如刪除、移動或將成員新增至群組。任務功能表會指出您在選取單一或多個群組時可以執行哪些任務。

將帳戶新增至群組

您可以將使用者帳戶、聯絡人及電腦新增至受管理的群組。

附註：此任務會將多個帳戶新增至選取的群組。您可以將單一帳戶新增至群組，方法是選取適當的帳戶然後按一下「任務」功能表上的「新增至群組」。

如果將帳戶新增至另一個群組會增加您的帳戶權限，則 DRA 不允許您新增帳戶。

將帳戶新增至其他群組

您可以將群組新增至另一個受管理群組來巢狀群組。當群組是另一個群組中的巢狀群組時，子群組可以繼承父群組中的許可。

附註：如果將群組新增至另一個群組會增加您的來源群組權限，則 DRA 不允許您新增群組。

修改群組內容

您可以修改本機和全域群組的內容。您擁有的權限會決定您在管理的網域，或受管理子樹狀結構中，可以修改的群組內容。如果您已安裝 Exchange 並啟用 Microsoft Exchange 支援，在管理群組時，即可修改配送清單。

建立群組

您可以在管理的網域或受管理子樹狀結構中建立群組。您可以修改新群組的內容，例如群組成員。

附註：

貴公司可能有透過規則強制執行的命名慣例，這會決定您可以指定給新群組的名稱。
依預設，DRA 會將新的群組放在管理的網域的使用者 OU 中。

指定群組成員

您可以從受管理群組中新增或移除使用者帳戶、聯絡人、電腦或其他群組。DRA 僅允許您移除外部安全性主體。您也可以檢視或修改現有群組成員的內容，除了外部安全性主體。

當您從群組移除成員時，DRA 不會刪除物件。當您將成員新增至群組時，必須有權限可修改您想要新增的物件。

附註：

您無法將使用者帳戶或群組新增至任何 Windows 特別群組 (Administrators、Account Operators、Backup Operators 或 Server Operators)，除非您是 Windows 管理員或該特定特別群組的成員。
DRA 可讓您將「成員」結果輸出為 CSV 檔案。若要從 Web 主控台輸出「成員」結果，請前往「管理」>「搜尋」，然後按一下「內容」。導覽至「成員」索引標籤，然後按一下「下載」圖示。不會輸出未儲存的變更。確保您儲存任何最近變更，以在輸出的檔案中提供這些變更。

指定群組的群組成員資格

您可以新增群組，或從管理的網域或受管理子樹狀結構中的其他群組移除群組。您也可以檢視或修改此群組所屬現有群組的內容。

設定群組成員資格安全性許可

您可以設定群組成員資格的 Active Directory 安全性許可。這些許可會指定哪些成員可以使用 Microsoft Outlook 來檢視 (讀取) 及修改 (寫入) 群組成員資格。這些設定可讓您更有效地保護配送清單及您環境中的安全性群組。您無法修改繼承的安全性許可。

附註：當您管理群組成員資格安全性時，停用的許可表示繼承的許可。

設定群組擁有權

您可以設定任何 Microsoft Windows 分發或安全性群組的擁有權。您可以授予群組擁有權許可給使用者帳戶、群組或聯絡人。授予群組擁有權會允許指定的使用者帳戶、群組或聯絡人修改此群組的成員資格。

附註：當 Microsoft Exchange 伺服器隱藏群組成員資格時，DRA 會停用「管理員可以更新會員清單」核取方塊。若要啟用此核取方塊，請按一下「群組內容」視窗 Exchange 索引標籤上的「公開群組成員資格」。

複製群組

您可以在管理的網域中複製本機群組及全域群組。複製群組會建立類型和屬性與原始群組相同的新群組。DRA 也會嘗試從原始群組將所有成員新增至新的群組。

藉由複製群組，您可以根據具有相似內容的其他群組快速建立群組。當您複製群組時，DRA 會使用選取群組的值填入複製群組精靈。您也可以修改新群組的內容。

附註：

貴公司可能有透過規則強制執行的命名慣例，這會決定您可以指定給新群組的名稱。
依預設，DRA 會將新的群組放在管理的網域的使用者 OU 中。

刪除群組

您可以刪除管理的網域或受管理子樹狀結構中的本機和全域群組。如果已停用該網域的資源回收筒，則刪除群組時會從 Active Directory 中永久移除群組。如果該網域的資源回收筒已啟用，刪除群組會將群組移動到資源回收筒並停用群組內容。

如需關於資源回收筒的詳細資訊，請參閱管理資源回收筒。

警告：當您建立群組時，Microsoft Windows 會將 Security Identifier (SID) 指定給該群組。SID 不會從群組名稱中產生。Microsoft Windows 會使用 SID 來記錄每個資源在存取控制清單 (ACL) 中的權限。如果您刪除群組，即無法使用相同名稱建立新的群組，來傳回該群組的存取功能。

將群組移至另一個容器

您可以將群組移至管理的網域或受管理子樹狀結構中的另一個容器，例如 OU。

在配送清單中公開群組成員資格

您可以在配送清單中公開管理的網域或受管理子樹狀結構中群組的群組成員資格。

從配送清單隱藏群組成員資格

您可以在配送清單中隱藏管理的網域或受管理子樹狀結構中群組的群組成員資格。

3.2.2 在委託和組態主控台中管理臨時群組指派

臨時群組指派讓您可針對僅在特定的一段時間，需要群組成員的使用者管理群組成員資格。本節將引導您瞭解如何在「委託和組態」主控台的「帳戶和資源管理」下方管理臨時群組指派。只要擁有適當權限，您就可以執行如建立新的臨時群組指派或移除過期的臨時群組指派等任務。

針對助理管理員擁有修改群組成員權限 (新增或移除成員) 的群組，助理管理員只能檢視臨時群組指派。

當臨時群組指派處於作用中狀態時，您不能變更相關聯的群組或修改使用者清單。如果您想要修改這些項目，必須取消臨時群組指派。

管理臨時群組指派內容

您可以管理臨時群組指派內容或儲存的過期臨時群組指派。

如果您想要重新編程臨時群組指派，請在指派的「內容」中變更排程，然後儲存設定。

建立臨時群組指派

您可以在主要和次要管理伺服器上建立臨時群組指派。

根據預設，除非您選取「保留此臨時群組指派，以供日後使用」選項，否則當臨時群組指派過期時，系統會在七天後予以刪除。若要變更此保留期，請以滑鼠右鍵按一下「我的所有受管理物件」下方的「臨時群組指派」節點、選取「內容」，然後修改臨時群組指派的保留天數。

管理臨時群組指派中的使用者帳戶

您可以在主要和次要管理伺服器上新增或移除臨時群組指派中的使用者帳戶。

附註：您僅能管理臨時群組指派尚未作用中的使用者帳戶。

刪除臨時群組指派

您可以在主要和次要管理伺服器上刪除任何臨時群組指派。

3.2.3 在 Web 主控台中管理臨時群組指派

臨時群組指派可讓您針對在特定期間內需要群組成員資格的使用者管理群組成員資格。若 Azure Active Directory 是由 DRA 管理員所設定，則您可為 Azure 群組建立臨時群組指派，並將 Azure 使用者、Azure Guest 使用者和同步的使用者新增至 Azure 群組成員資格。在 Web 主控台中，您可以從 DRA 主要和次要伺服器建立和管理指派內容。然而，您可以對現有指派採取的動作完全取決於指派的狀態。

助理管理員可以檢視的臨時群組指派，只限 ActiveView 指派賦予他們修改權限 (如新增或移除群組成員) 的群組。

若要在 Web 主控台中管理臨時群組指派，請導覽至「任務 > 臨時群組指派」。

可以執行以下動作：

建立臨時群組指派

您可以使用有權修改也有權指定網域控制器的群組來建立臨時群組指派。目標群組可以是來自 Azure 受管理租用戶的群組，也可以是來自 Active Directory 網域的群組。除非您選取保留臨時群組指派供未來使用的選項，否則當臨時群組指派過期時，DRA 會在七天後自動刪除。

附註：如果在 DRA 外部修改具有 Azure 群組成員資格的已設定臨時群組指派，則臨時群組指派會變成無效。

若要建立新的臨時群組指派：

導覽至「任務」>「臨時群組指派」，然後按一下「建立」。
按一下「選取」，然後在適用的容器中執行搜尋來尋找群組。
如果您需要將成員新增至群組，則請按一下「建立臨時群組指派」頁面「成員」下方的「新增」，然後找到並使用結果清單中的「新增」選項，以將成員新增至群組。
設定排程。
在「一般資訊」下方命名 TGA，然後按一下「建立」。

搜尋現有指派

在搜尋現有臨時群組指派 (TGA) 時，系統會根據指派的狀態將其列示在結果中，其狀態如下：

等待中︰ TGA 已安排在未來啟動。您可以執行取消、刪除及重新排程等操作。
作用中： TGA 已啟動，而且已將適當成員新增到群組。您可以執行取消和刪除等操作。
作用時發生錯誤： TGA 已啟動，不過無法將所有適當成員新增到群組。您可以執行取消和刪除等操作。
已完成： TGA 已過期，而且已移除群組中所有適當的成員。您可以執行刪除和重新排程等操作。
完成時發生錯誤： TGA 已過期，不過無法移除群組中的所有適當成員。您可以執行刪除和重新排程等操作。
已取消︰ 使用者已取消 TGA，而且已移除群組中的所有適當成員。您可以執行刪除和重新排程等操作。
取消時發生錯誤： 使用者已取消 TGA，不過無法移除群組中的所有適當成員。您可以執行刪除和重新排程等操作。
錯誤︰ TGA 無法新增或移除所有成員。您可以執行刪除和重新排程等操作。

您可以根據這些狀態和其他準則過濾結果，包括指派名稱、目標群組、期間及建立指派的管理員。

檢視或修改臨時群組指派內容

您可以檢視或修改臨時群組指派建立時定義的任何臨時群組指派內容。搜尋臨時群組指派後，請選取指派來檢視或修改內容。

如果您想要重新排程臨時群組指派，請在指派的「內容」中變更排程，然後儲存變更。如果指派處於作用中狀態，您只能變更結束日期。

重要：當臨時群組指派處於作用中狀態時，您不能變更相關聯的群組或修改使用者清單。如果您想要修改這些項目，必須先取消指派。

取消臨時群組指派

您只能取消處於以下任一狀態的臨時群組指派：

作用中
作用時發生錯誤
等待中

刪除臨時群組指派

您可以選取多個臨時群組指派，再予以刪除。如果選取的臨時群組指派處於作用中、作用時發生錯誤或等待中狀態，系統也會啟用「取消」選項。

3.3 管理動態通訊群組

動態通訊群組是已啟用郵件的 Active Directory 群組物件，您可以建立來促進大量傳送電子郵件訊息和其他資訊。

每次訊息傳送到群組時，都會計算動態通訊群組的會員清單，這會根據您定義的過濾器和條件。這與當中包含一組已定義成員的一般通訊群組不同。當電子郵件訊息傳送到動態通訊群組時，它會傳送到與針對該群組所定義準則相符組織中的所有收件者。

DRA 支援下列功能：

稽核及 UI 報告
列舉動態通訊群組的支援
NetIQ 報告中心 (NRC) 的動態通訊群組報告
動態通訊群組的觸發操作支援
Exchange 動態通訊群組的 UI 分機支援

動態通訊群組任務：

建立動態通訊群組

您可以在管理的網域或受管理子樹狀結構中建立動態通訊群組。您也可以修改新動態通訊群組的內容，例如群組成員。

附註：

貴公司可能有透過規則強制執行的命名慣例，這會決定您可以指定給新動態通訊群組的名稱。
依預設，DRA 會將新的動態通訊群組放在管理的網域的使用者 OU 中。

複製動態通訊群組

您可以在管理的網域中複製本機及全域動態通訊群組。複製動態通訊群組會建立與原始動態通訊群組相同類型和屬性的新動態通訊群組。

您可以藉由複製動態通訊群組，根據包含相同內容的其他動態通訊群組快速建立動態通訊群組。當您複製動態通訊群組時，DRA 會使用已選取動態通訊群組中的值來填入複製動態通訊群組精靈。您也可以修改新動態通訊群組的內容。

將動態通訊群組移至另一個容器

您可以將動態通訊群組移至管理的網域或受管理子樹狀結構中的另一個容器，例如 OU。

刪除動態通訊群組

您可以刪除管理的網域或受管理子樹狀結構中的本機和全域動態通訊群組。如果已停用該網域的資源回收筒，則刪除動態分發群組時會從 Active Directory 中永久移除動態分發群組。如果該網域的資源回收筒已啟用，刪除動態通訊群組會將動態通訊群組移動到資源回收筒並停用動態通訊群組的內容。

如需關於資源回收筒的詳細資訊，請參閱管理資源回收筒。

警告：當您建立動態通訊群組時，Microsoft Windows 會將 Security Identifier (SID) 指定給該動態通訊群組。SID 不會從動態通訊群組名稱中產生。Microsoft Windows 會使用 SID 來記錄每個資源在存取控制清單 (ACL) 中的權限。如果您刪除動態通訊群組，即無法使用相同名稱建立新的動態通訊群組，來傳回該動態通訊群組的存取功能。

修改動態通訊群組內容

您可以修改本機和全域動態通訊群組的內容。您擁有的權限會決定您在管理的網域，或受管理子樹狀結構中，可以修改的群組內容。

指定過濾器

動態配送清單的成員資格是由其過濾器所決定，且您可進行定義。

指定條件

條件會定義物件成為動態分發群組成員所必須符合的準則。

3.4 管理動態群組

動態群組的成員資格會根據一組定義的準則而變更。在 DRA 中，您不需要擁有 Exchange 環境就能建立動態群組。用來在 Active Directory 中管理動態群組的成員資格過濾器是 DRA 特有的功能。

DRA 管理員可為「委託和組態主控台」中的動態群組設定網域重新整理排程。當群組成員過濾器準則更新時，有一個或多個使用者內容符合準則的新成員會動態新增至群組，並進行重新整理。與上述方法類似，當使用者的符合內容遭到變更或移除時，系統就可能從群組中動態移除該成員。

3.4.1 情境範例

下圖說明 Active Directory 動態群組的一般使用方式。圖中有三種動態群組。每個群組皆有一組準則，可決定能與不能新增至群組的項目。每個群組都會控制存取一組特定的檔案、資料夾和應用程式。

提示：您可以建立包含動態群組永久成員的靜態成員清單；您也可以建立排除的成員清單，這會拒絕動態群組中的使用者成員資格。

User2 最近已加入 IT 部門。當 IT 部門的動態群組重新整理時，系統會將她新增至群組。當銷售部門的動態群組重新整理時，User2 會從其成員清單中移除。

User3 已離開 IT 部門並進入 HR 部門，將會從 IT 部門動態群組中移除，並新增至 HR 部門動態群組。

3.4.2 情境準備

下列資訊提供在 Web 主控台中支援上述情境所需採取動作的範例。您可以將現有群組動態化，或是建立新的動態群組。為了簡單起見，我們不會新增任何靜態或排除的成員，並會將三個現有群組動態化：HR 群組、IT 群組以及銷售群組。

設定動態群組：

對於上述每個群組，在啟用群組過濾器的情況下執行「搜尋」操作，找出群組。
開啟群組的「內容」並存取「動態成員過濾器」頁面。
按一下「讓群組成為動態」滑桿以啟用該功能。
按一下「修改」，並在 LDAP 查詢欄位中輸入或貼上成員過濾準則。在此範例中，我們要尋找「使用者」>「部門」內容中的準則。下方範例顯示我們將在情境範例中針對每個群組使用的 LDAP：
- HR 群組：(&(objectClass=user)(objectCategory=person)(department=HR*))
- IT 群組：(&(objectClass=user)(objectCategory=person)(department=IT*))
- 銷售群組：(&(objectClass=user)(objectCategory=person)(department=Sales*))
按一下「套用」儲存變更。

為動態變更所選使用者內容中的使用者群組隸屬關係而採取的動作：

使用者2：將「組織」>「部門」內容從「銷售」變更為「IT」。
使用者3：將「組織」>「部門」內容從「IT」變更為「HR」。

動態變更會在排程動態群組重新整理期間或 DRA 管理員手動重新整理時執行。

3.4.3 動態群組任務

您可以在 Web 主控台中執行下方所述的動態群組任務。

建立動態群組

您可以在管理的網域或受管理子樹狀結構中建立動態群組。您也可以修改新動態群組的內容，例如群組成員。若要建立新的動態群組，請巡覽至「管理」報頭中的「建立」>「動態群組」。

附註：貴公司可能有透過規則強制執行的命名慣例，這會決定您可以指定給新動態群組的名稱。

建立過濾器

每當群組重新整理時，動態群組都會使用「動態成員過濾器」來新增使用者，或從其成員資格清單中移除使用者。針對為過濾器建構 LDAP 和虛擬屬性查詢的範例，您可以參考進階搜尋查詢中顯示的範例。雖然過濾器是作為群組成員資格的準則，而非搜尋，但仍適用於查詢範例：

LDAP 查詢範例
虛擬屬性查詢範例

管理靜態成員清單

放置於動態群組靜態成員清單上的使用者會成為群組的永久成員，直至您手動將使用者移除為止。您可以從所選使用者的「動態成員過濾器」內容頁面上修改此清單。

當您從動態群組移除成員時，DRA 不會刪除物件。當您將成員新增至動態群組時，必須有權限可修改您想要新增的物件。

管理排除的成員清單

放置於動態群組排除成員清單上的使用者不允許加入群組，直到您手動將使用者從這個清單移除為止。您可從選定使用者的「動態成員過濾器」內容頁面上修改此清單。

複製動態群組

您可以在管理的網域中複製本機及全域動態群組。複製動態群組會建立與原始動態群組相同類型和屬性的新動態群組。

您可以藉由複製動態群組，根據包含相同內容的其他動態群組快速建立動態群組。當您複製動態群組時，DRA 會使用已選取動態群組中的值來填入複製動態群組精靈。您也可以修改新動態群組的內容。

若要複製動態群組，請在「搜尋」結果窗格中選取群組，然後按一下工具列上的「複製」。

將動態群組移至另一個容器

您可以將動態群組移至管理的網域或受管理子樹狀結構中的另一個容器，例如 OU。

若要移動動態群組，請在「搜尋」結果窗格中選取群組，然後按一下工具列上的「移動物件」。

刪除動態群組

您可以刪除管理的網域或受管理子樹狀結構中的本機和全域動態群組。

如果已停用該網域的資源回收筒，則刪除動態群組時會從 Active Directory 中永久移除動態群組。

如果該網域的資源回收筒已啟用，刪除動態群組會將動態群組移動到資源回收筒並停用動態群組的內容。如需關於資源回收筒的詳細資訊，請參閱管理資源回收筒。

若要刪除動態群組，請在「搜尋」結果窗格中選取群組，然後按一下工具列上的「刪除」。

警告：當您建立動態群組時，Microsoft Windows 會將 Security Identifier (SID) 指定給該動態群組。SID 不會從動態群組名稱中產生。Microsoft Windows 會使用 SID 來記錄每個資源在存取控制清單 (ACL) 中的權限。如果您刪除動態群組，即無法使用相同名稱建立新的動態群組，來傳回該動態群組的存取功能。

修改動態群組內容

您可以修改本機和全域動態群組的內容。您擁有的權限會決定您在管理的網域，或受管理子樹狀結構中，可以修改的群組內容。

若要修改動態群組的內容，請在「搜尋」結果窗格中選取群組，然後按一下工具列上的「內容」。

附註：DRA 可讓您將「成員」和「成員隸屬」結果輸出為 CSV 檔案。若要從 Web 主控台輸出「成員」或「成員隸屬」結果，請前往「管理」>「搜尋」，然後按一下「內容」。導覽至「成員」或「成員隸屬」索引標籤，然後按一下「下載」圖示。不會輸出未儲存的變更。確保您儲存任何最近變更，以在輸出的檔案中提供這些變更。

將動態群組新增至其他動態群組

您可以將動態群組新增至另一個受管理動態群組來巢狀動態群組。當動態群組是另一個動態群組中的巢狀群組時，子動態群組可以繼承父動態群組中的許可。

若要將動態群組新增到另一個動態群組，請在「搜尋」結果窗格中選取群組，然後按一下工具列上的「新增至群組」。

附註：如果將動態群組新增至另一個動態群組會增加您的來源動態群組權限，則 DRA 不允許您新增動態群組。

設定群組成員資格安全性許可

您可以設定動態群組成員資格的 Active Directory 安全性許可。這些許可會指定哪些成員可以使用 Microsoft Outlook 來檢視 (讀取) 及修改 (寫入) 動態群組成員資格。這些設定可讓您更有效地保護配送清單及您環境中的安全性動態群組。您無法修改繼承的安全性許可。

您可以從所選動態群組的「成員資格安全性」內容頁面更新這些設定。

附註：當您管理動態群組成員資格安全性時，停用的許可表示繼承的許可。

設定動態群組擁有權

您可以授予動態群組擁有權許可給使用者帳戶、群組或聯絡人。授予動態群組擁有權會允許指定的使用者帳戶、群組或聯絡人修改此動態群組的成員資格。

您可以從所選動態群組的「管理者」內容頁面更新這些設定。

在配送清單中公開動態群組成員資格

您可以在配送清單中公開管理的網域或受管理子樹狀結構中群組的動態群組成員資格。

您可以從所選動態群組工具列上的「Exchange」下拉式功能表存取此選項。

從配送清單隱藏動態群組成員資格

您可以在配送清單中隱藏管理的網域或受管理子樹狀結構中群組的動態群組成員資格。

您可以從所選動態群組工具列上的「Exchange」下拉式功能表存取此選項。

附註：Microsoft Exchange 2007 配送清單的隱藏群組成員資格選項已停用。

3.5 管理聯絡人

DRA 可讓您管理許多網路物件，包含聯絡人和相關聯的電子郵件地址。聯絡人僅可在混合模式或原生 Microsoft Windows 網域中使用。聯絡人沒有安全性識別碼 (SID)，如同使用者帳戶及群組。使用聯絡人將成員新增至配送清單或群組，而不授予他們網路服務的存取權。

您可以將聯絡人新增至混合及原生模式網域中的安全性或分發群組。因為安全性群組可用來作為 Microsoft Windows 中的配送清單，您可能需要將聯絡人新增至這些群組。當您移轉至原生模式 Microsoft Windows 網域時，在全域安全性群組中擁有聯絡人不會避免群組轉換至通用安全性群組。

修改聯絡人內容

您可以修改聯絡人內容。您擁有的權限會決定您在管理的網域中可以修改的聯絡人內容。如果您安裝了 Exchange 並啟用 Exchange 支援，可在管理聯絡人時修改電子郵件地址內容。

建立聯絡人

您可以在管理的網域或受管理子樹狀結構中建立聯絡人。您也可以修改內容、啟用電子郵件並指定電子郵件地址，及指定新聯絡人的群組成員資格。

若要建立新的聯絡人，請巡覽到「管理」>「搜尋」，並在建立下拉式功能表中選取「聯絡人」。

複製聯絡人

藉由複製聯絡人，您可以根據具有相似內容的其他聯絡人快速建立聯絡人。當您複製聯絡人時，DRA 會使用選取聯絡人的值填入複製聯絡人精靈。您也可以修改內容、啟用電子郵件並指定電子郵件地址，及指定新聯絡人的群組成員資格。

管理聯絡人的群組成員資格

您可以在管理的網域或受管理子樹狀結構中，新增使用者帳戶或從特定群組中移除聯絡人。您也可以檢視或修改此聯絡人所屬現有群組的內容。

將聯絡人移至另一個 OU

您可以將聯絡人移至管理的網域或受管理子樹狀結構中的另一個容器，例如 OU。

刪除聯絡人

您可以從管理的網域或受管理子樹狀結構刪除聯絡人。如果已停用該網域的資源回收筒，則刪除聯絡人時會從 Active Directory 中永久移除聯絡人。如果該網域的資源回收筒已停用，則刪除聯絡人會將聯絡人移至資源回收筒。

如需關於資源回收筒的詳細資訊，請參閱管理資源回收筒。

3.6 管理群組受管理服務帳戶

群組受管理服務帳戶 (gMSA) 是您可指派給電腦資源上服務的受管理網域帳戶。您不需要手動更新 Active Directory 中這些帳戶的密碼，這些帳戶的密碼是由 Windows Server 自動管理。

您可以從 DRA Web 主控台建立和管理 gMSA。群組受管理服務帳戶可以與多個電腦搭配使用，來執行服務。使用 gMSA 的電腦會向 Active Directory 要求目前密碼，來啟動服務。

擁有適當權限，您就可以執行與群組受管理服務帳戶相關的各種任務。執行搜尋操作來尋找和選取所需的 gMSA 物件。選取清單中的一或多個物件後，工作列會處於作用中狀態，並且提供可刪除專案、將物件新增至群組、移除群組中的物件、將物件從某個容器移至另一個容器以及修改 gMSA 內容的選項。您還可以將搜尋結果下載為 CSV 檔案。請按一下選項來顯示其功能。

建立 gMSA

建立 gMSA 時，您必須指定使用此帳戶的主機以及可使用該帳戶的電腦物件。成員資格規則中定義的電腦物件可以使用 gMSA，來執行服務。或者，您還可以指定包含電腦物件清單的安全性群組。

若要建立新的 gMSA，請巡覽到「管理」>「搜尋」，並選取建立下拉是功能表中的「群組受管理服務帳戶」。

修改 gMSA 內容

您可以修改 gMSA 內容。您擁有的權限決定您可在受管理網域中修改的 gMSA 內容。

啟用 gMSA

啟用 gMSA 可讓您使用 gMSA 作為電腦服務的登入身分證明。您可以從「帳戶」索引標籤啟用或停用 gMSA。

管理 gMSA 的群組成員資格

您可以在受管理網域或受管理子樹狀結構中，新增或移除特定群組中的群組受管理服務帳戶。

將 gMSA 移至另一個容器

預設會在 Active Directory 的「受管理服務帳戶」容器下方建立 gMSA。您可以將群組受管理服務帳戶從預設容器移至受管理網域或受管理子樹狀結構中的另一個容器 (如 OU)。

刪除 gMSA

您可以從受管理網域或受管理子樹狀結構中永久刪除群組受管理服務帳戶。

4.0 搜尋物件

本章包含搜尋和進階搜尋 (LDAP 搜尋) 等功能的概念與程序資訊。

搜尋
進階搜尋

4.1 搜尋

DRA 可讓您搜尋內部部署 Active Directory 網域、Microsoft Exchange 和 Azure 租用戶中的物件。您可以在 Azure 租用戶中搜尋使用者、Guest 使用者、群組和聯絡人，在 Active Directory 網域中搜尋使用者、群組、聯絡人、電腦、印表機、OU 和群組受管理服務帳戶 (gMSA) 等物件，在 Exchange 中搜尋會議室信箱、設備信箱、共享信箱和動態分發群組等物件。您可以使用多種搜尋選項以取得更有效率且更有效的搜尋結果。DRA 會自動截斷搜尋輸入中的任何前置或後置空格，並傳回搜尋結果。

附註：使用物件類型過濾器時，如要精準傳回搜尋的物件，您應該先變更分頁，之後再套用物件類型過濾器並執行搜尋。如果不支援所套用的物件類型過濾器，您可以變更 Web 主控台底部的「每頁項目數」設定。

若要在 Web 主控台存取搜尋功能，請導覽至「管理 > 搜尋」。

使用萬用字元
多欄位搜尋
新增欄位及排列欄位順序
輸出搜尋結果

4.1.1 使用萬用字元

DRA 支援問號 (?)、星號 (*) 或數字符號 (#) 等萬用字元，能提升搜尋結果的效率。萬用字元的比對不區分大小寫。

下列表格提供萬用字元規格的範例，以及相符和不相符的項目。

字元	相符項目
問號 ?	任一字元或位數
數字符號 #	任一位數
星號 *	任何數量的字元或位數

4.1.2 多欄位搜尋

「多欄位相符」選項可讓您在一次搜尋當中搜尋多個相符的屬性。使用「多欄位相符」時，系統會比對您的搜尋字串與多個屬性 (如名稱、顯示名稱、名字與姓氏)，如果搜尋字串與前述任何屬性相符，系統就會在搜尋結果中傳回物件。

「多欄位相符」選項只支援「開頭為」搜尋準則。

例如，如果您有兩位使用者，一位的顯示名稱是「Martin Smith」，另一位使用者的使用者主體名稱是 martha.jones@acme.com，如果您使用「Mart」字串進行搜尋，搜尋結果會傳回這兩位使用者。

下表列出每種物件類型搜尋的屬性：

物件類型	選取的屬性
Azure 聯絡人	displayName、givenName、mail、mailNickname、surname
Azure 群組	displayName、mail
Azure 使用者	displayName、employeeId、givenName、mail、surname、userPrincipalName
電腦	displayName、name、sAMAccountName
聯絡人	displayName、employeeId、givenName、mail、mailNickname、name、surname
動態通訊群組	displayName、mail、mailNickname、name
群組	displayName、mail、mailNickname、name、sAMAccountName
群組受管理服務帳戶	displayName、name、sAMAccountName
組織單位	name
資源回收筒	name、sAMAccountName
使用者	displayName、employeeId、givenName、mail、mailNickname、name、sAMAccountName、surname

附註：在新增下列 Exchange 物件的委託或權限時，「委託和組態」主控台的物件選擇器搜尋不支援多重相符功能：

使用者信箱
啟用郵件的使用者
啟用郵件的群組
啟用郵件的聯絡人
動態通訊群組
共享信箱
資源信箱

4.1.3 新增欄位及排列欄位順序

當您按一下屬性的欄位標題時，可以依照以下任一屬性排列搜尋結果物件的順序：

別名
顯示名稱
電子郵件
EmployeeID
名字
姓氏
位置
名稱
Windows 2000 以前版本名稱
使用者主體名稱

若要新增或移除屬性欄位，請按一下欄位圖示。

4.1.4 輸出搜尋結果

DRA 可讓助理管理員將「搜尋」結果輸出為 CSV 檔案。若要從 Web 主控台輸出「搜尋」結果，請前往「管理」>「搜尋」，然後按一下「下載」圖示。

附註：只輸出選取的欄。如果您想要其他目前未顯示的資料，請先新增這些欄，然後輸出「搜尋」結果。

4.2 進階搜尋

DRA 可讓您在內部部署 Active Directory 網域中，從「進階搜尋」頁面執行 LDAP 與虛擬屬性查詢。您可以使用現有查詢進行搜尋、修改現有查詢、建立新查詢，以及將新增和修改過的查詢儲存為公用或私人查詢，以便日後使用。您可以使用搜尋過濾器來獲得更有效率和更有效的搜尋結果。

若要在 Web 主控台存取進階搜尋查詢，請導覽至「管理 > 進階搜尋」。

進階搜尋查詢
管理進階查詢
輸出進階搜尋結果

4.2.1 進階搜尋查詢

DRA 支援以虛擬屬性和 LDAP 查詢來搜尋 DRA 和 Active Directory 物件。虛擬屬性可以與 Active Directory 物件類型建立關聯，如使用者、群組、動態分發群組、聯絡人、電腦及 OU。透過虛擬屬性查詢，您可以過濾從 LDAP 查詢傳回的結果，使其只傳回與虛擬屬性查詢相符的結果。虛擬屬性查詢字串的開頭必須是 (objectCategory=<object type>)。若要執行虛擬屬性查詢，您必須指定 LDAP 與虛擬屬性查詢兩者的字串。

LDAP 查詢範例：

若要搜尋 DRA 中的「所有電腦物件」：

LDAP 查詢： (objectCategory=computer)
若要搜尋 DRA 中描述為「East\West Sales」的使用者物件：

LDAP 查詢： (&(objectCategory=user)(description=East\5CWest Sales))
若要搜尋 DRA 中的「所有電腦物件」：

LDAP 查詢： (objectCategory=computer)

重要：LDAP 過濾器中的反斜線必須逸出。請替換為 \5C。
若要「列出 DRA 中所有停用的使用者物件」：

LDAP 查詢： (&(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=2))

字串 1.2.840.113556.1.4.803 指定 LDAP_MATCHING_RULE_BIT_AND。其指定旗標屬性 (整數，如 userAccountControl、groupType 或 systemFlags) 的位元 AND，以及位元遮罩 (如 2、32 或 65536)。如果屬性值的位元 AND 和位元遮罩不等於零，該子句將會是 True，代表位元已設定。

虛擬屬性查詢範例：

若要尋找公司名稱為 ABC 的所有使用者：

查詢： (&(objectCategory=User)(CompanyName=ABC))

DRA 物件為「User」，而虛擬屬性為「CompanyName」(與使用者相關聯)。
若要尋找 Storage 網域中公司名稱為 ABC 的所有使用者：

查詢： (&(objectCategory=User)(CompanyName=ABC)(Domain=Storage))

DRA 物件為「User」，而虛擬屬性是「CompanyName」和「Domain」(與使用者相關聯)
若要尋找產品名稱為 DRA 的所有群組，或是公司名稱為 ABC 的所有使用者：

查詢： (|(&(objectCategory=Group)(ProductGroupName=DRA))(&(objectCategory=User)(CompanyName=ABC)))

DRA 物件為「Group」和「User」，而虛擬屬性為 CompanyName (與使用者相關聯)、ProductGroupName (與群組相關聯)。
若要尋找 Storage 網域中產品名稱為 DRA 的所有群組，或是公司名稱為 ABC 的所有使用者：

查詢： (|(&(objectCategory=Group)(ProductGroupName=DRA))(&(objectCategory=User)(CompanyName=ABC)(Domain=Storage)))

DRA 物件是「Group」和「User」，而虛擬屬性是 CompanyName (與使用者相關聯)、ProductGroupName (與群組相關聯)、Domain (與使用者相關聯)。

4.2.2 管理進階查詢

DRA 使用 LDAP 來支援進階搜尋查詢功能。您可以使用進階查詢來搜尋使用者、聯絡人、群組、電腦、OU 及 DRA 支援的任何其他物件。如果您擁有「執行已儲存的進階查詢」權限，可以針對任何容器執行「我的搜尋」和「公用搜尋」清單中可用的進階查詢。

除了使用儲存的進階查詢執行搜尋及檢視詳細資料之外，只要擁有適當權限，您還可以在「進階搜尋」頁面使用進階查詢執行下列操作：

建立新查詢: 藉由提供新進階查詢的查詢字串 (LDAP 和虛擬屬性 (若有的話))，在主要管理伺服器或次要管理伺服器上建立進階查詢。執行搜尋後，展開「搜尋」下拉式功能表將查詢儲存到「我的搜尋」或「公用搜尋」清單。
修改查詢: 選取「我的搜尋」或「公用搜尋」下現有的進階查詢，再使用「修改」選項變更任何搜尋準則。一旦執行更新搜尋準則的搜尋後，您可以視需要展開「搜尋」下拉式功能表，並選取「儲存」儲存該查詢的變更。
複製查詢: 選取「我的搜尋」或「公用搜尋」下現有的進階查詢，再執行搜尋。執行搜尋後，您可以展開「搜尋」下拉式功能表，再選取「儲存為」將查詢儲存為其他名稱。
自訂查詢結果: DRA 會提供您搜尋結果清單中的一組預設欄。若要自訂儲存或未儲存查詢的搜尋結果，請按一下頁面右側的「新增/移除欄位」圖示，變更搜尋結果的顯示方式。
刪除查詢: 您可以刪除「我的搜尋」清單中的任何進階查詢。只要擁有適當權限，您還可以刪除「公用搜尋」清單中的進階查詢。若要刪除儲存的進階查詢，請在適當清單中選取查詢，然後按一下「搜尋」下拉式功能表中的「刪除」。
清除查詢: 在 Web 主控台內，您可以清除儲存或未儲存查詢的表單欄位，從全新的表單開始變更。若要清除查詢中的欄位，請在「搜尋」下拉式功能表中選取「清除」。

4.2.3 輸出進階搜尋結果

DRA 可讓助理管理員將「進階搜尋」結果輸出為 CSV 檔案。若要從 Web 主控台輸出「進階搜尋」結果，請前往「管理」>「進階搜尋」，然後按一下「下載」圖示。

附註：只輸出選取的欄。如果您想要其他目前未顯示的資料，請先新增這些欄，然後輸出「進階搜尋」結果。

5.0 管理 Azure 物件

本章包含在 Web 主控台中管理 Azure 使用者帳戶、Azure 聯絡人和 Azure 群組的概念與程序資訊。只要擁有適當權限，您就可以執行各種 Azure 物件管理任務，如建立和刪除 Azure 使用者帳戶物件。

從 Web 主控台中的「管理」>「搜尋」索引標籤搜尋下列其中一個節點中的物件，即可執行 Azure 物件大多數的任務：

我的所有受管理物件
我的所有受管理租用戶
我的所有受管理租用戶子節點

主題包括下列各項：

管理 Azure 使用者帳戶
管理 Azure Guest 使用者帳戶
管理 Azure 群組
管理 Azure 聯絡人

5.1 管理 Azure 使用者帳戶

DRA 管理員設定 Azure Active Directory 時，助理管理員就能使用 DRA 來管理 Azure 使用者帳戶以及修改 Azure 使用者帳戶內容。此圖示在 Web 主控台中代表 Azure 使用者帳戶。

請執行搜尋操作來尋找及選取所需的 Azure 使用者物件。選取清單中的一或多個物件後，工作列會處於作用中狀態並提供如刪除、允許、封鎖、密碼重設及修改內容等選項。您還可以將搜尋結果下載為 CSV 檔案。請按一下選項來顯示其功能。

建立 Azure 使用者帳戶

您可以在 Azure Active Directory 中建立 Azure 使用者帳戶。您也可以啟用電子郵件，以及指定新帳戶的群組成員資格。

修改 Azure 使用者帳戶內容

您可以在 Azure Active Directory 中管理 Azure 使用者帳戶內容。您擁有的權限決定您可以修改的 Azure 使用者帳戶內容。如果 Azure 使用者帳戶具有 Office 365 信箱，或 Azure 使用者帳戶支援郵件，則您可以管理 Azure 使用者帳戶的信箱相關和郵件相關內容。您可以管理信箱規則、設定傳送限制和選項、設定儲存限制、委託信箱許可權、暫留訴訟資料、管理電子郵件地址等等。

附註：

您僅能更新非管理員之 Azure 使用者的行動電話和辦公室電話，和備用電子郵件內容。如需詳細資訊，請參閱 Microsoft 文件網站中的更新使用者。
DRA 可讓您將「成員隸屬」結果輸出為 CSV 檔案。若要從 Web 主控台輸出「成員隸屬」結果，請前往「管理」>「搜尋」，然後按一下「內容」。導覽至「成員隸屬」索引標籤，然後按一下「下載」圖示。不會輸出未儲存的變更。確保您儲存任何最近變更，以在輸出的檔案中提供這些變更。

允許登入 Azure 使用者帳戶

您可以允許 Azure 使用者帳戶登入 Azure Active Directory。

封鎖 Azure 使用者帳戶登入

您可以封鎖 Azure 使用者帳戶，使其無法登入 Azure Active Directory。

重設 Azure 使用者帳戶密碼

您可以在 Azure Active Directory 中重設 Azure 使用者帳戶的密碼，以及選擇 DRA 是否要為該帳戶產生新密碼。

刪除 Azure 使用者帳戶

您可以刪除 Azure Active Directory 中的 Azure 使用者帳戶，不過不能從 DRA 還原。

附註：您僅可刪除那些非管理員的 Azure 使用者。如需詳細資訊，請參閱 Microsoft 文件網站中的刪除使用者。

指定 Azure 使用者帳戶的 Azure 群組成員資格

您可以在 Azure Active Directory 中新增或移除特定 Azure 群組的 Azure 使用者帳戶。

5.2 管理 Azure Guest 使用者帳戶

作為助理管理員，你可以邀請外部使用者或 Guest 使用者在 Azure Active Directory 中協作和共用應用程式。Guest 使用者可以使用其身分證明登入 Azure Active Directory，以存取已與其共用的應用程式。

請執行搜尋作業來尋找並選取所需的 Azure Guest 使用者物件。在清單中選取一個或多個物件後，工作列將變為作用中，並具有刪除、封鎖登入、新增至群組、重新傳送邀請及修改內容等選項。

邀請 Azure Guest 使用者

如要邀請 Guest 使用者加入 Azure Active Directory，請瀏覽至「管理」報頭中的「建立 > 邀請 Azure 使用者」。邀請 Guest 使用者加入 Azure Active Directory 時，DRA 會將電子郵件邀請傳送給 Guest 使用者，並於 Azure Active Directory 中建立 Guest 使用者的使用者帳戶。此圖示在 Web 主控台中代表 Azure Guest 使用者帳戶。

附註：重新導向 URL 和邀請訊息由 DRA 管理員在「委派和主控台」中為每個受管理租用戶所設定。您可在邀請使用者時視需要自定此訊息。

Azure Guest 使用者必須接受邀請，才能開始存取已共享的應用程式。您可於「Guest 資訊」索引標籤中檢視邀請狀態。接受邀請後，使用者將會重新導向指定於「重新導向 URL」欄位中的 URL，Azure Guest 使用者可在其中使用其身分證明登入。

重新邀請 Azure Guest 使用者

若 Guest 使用者並未接受邀請，您可以重新傳送邀請。

如要重新邀請 Guest 使用者：

請執行搜尋作業來尋找並選取所需的 Azure Guest 使用者物件。
選取「帳戶 > 重新傳送邀請」。

修改 Azure Guest 使用者帳戶內容

您可於 Azure Active Directory 中管理 Azure Guest 使用者帳戶的內容。您可以指定是否隱藏電子郵件地址，使其不顯示於地址清單中，並新增備用電子郵件地址。

允許 Azure Guest 使用者帳戶登入

您可讓 Azure Guest 使用者帳戶登入 Azure Active Directory。

封鎖 Azure Guest 使用者帳戶的登入

您可以封鎖 Azure Guest 使用者帳戶，使其無法登入 Azure Active Directory。

刪除 Azure Guest 使用者帳戶

您可以刪除 Azure Active Directory 中的 Azure guest 使用者帳戶，但無法從 DRA 還原。

指定 Azure Guest 使用者帳戶的 Azure 群組成員資格

您可於 Azure Active Directory 中特定 Azure 群組新增或移除 Azure Guest 使用者帳戶。

將授權指派給 Azure Guest 使用者帳戶

將 Azure Guest 使用者帳戶新增至與 Office 365 規則相關聯的群組時，DRA 會自動將相關的 Office 365 授權指派給 Azure Guest 使用者。

將 Azure Guest 使用者帳戶新增至臨時群組指派

您可從主管理伺服器和次要管理伺服器上報頭中「任務」索引標籤的臨時群組指派，新增或移除 Azure Guest 使用者帳戶。

5.3 管理 Azure 群組

DRA 管理員設定 Azure Active Directory 時，助理管理員就能使用 DRA 來管理 Azure 群組。Azure 群組可讓您將特定權限授予一組定義的使用者帳戶。Azure 群組可讓您控制使用者帳戶能存取任何租用戶中的哪些資料及資源。

執行搜尋操作來尋找和選取所需的 Azure 群組物件。選取清單中的一或多個物件後，工作列會處於作用中狀態，並且提供可刪除物件、將物件新增至群組、從群組中移除物件、將群組新增至其他群組、從現有群組中移除群組以及修改群組內容的選項。請按一下選項來顯示其功能。

附註：支援的成員：Azure 群組成員可以是 Azure 使用者、Azure 群組、Azure 聯絡人、同步的使用者、同步的聯絡人和同步的群組。

支援下列 Azure 群組類型：

配送清單
已啟用郵件功能的安全性
Office 365
安全性

將帳戶新增至 Azure 群組

您可以將內部部署和 Azure 的使用者帳戶、聯絡人和群組新增至 Azure 受管理群組。

此任務會將多個帳戶新增至選取的群組。只要選取適當帳戶，您就可以將一個帳戶新增到群組。如果將帳戶新增到其他群組會提高您的帳戶權限，DRA 即不允許您新增帳戶。

Azure 中的巢狀群組

您可以將其他群組 (內部部署和 Azure) 新增到受管理的 Azure 群組，建立巢狀群組結構。當群組是 Azure 群組中的巢狀群組時，子群組會繼承父群組的權限。

如果將網域或 Azure 群組新增至另一個 Azure 群組會增加您的來源群組權限，則 DRA 不允許您新增群組。

建立 Azure 群組

您可以在 Azure Active Directory 中建立 Azure 群組。您也可以修改內容，例如將 Azure 群組成員新增到新群組。

若未指定擁有者，則依預設 DRA 會提供 Azure 租用戶存取帳戶來作為擁有者。

修改 Azure 群組內容

您擁有的權限決定您可以在 Azure Active Directory 中修改的群組內容。如果啟用 Exchange 規則，則您可以管理支援郵件的 Azure 群組 (如 Office 365 群組、支援郵件的安全性群組和配送清單) 的 Exchange 內容。根據群組類型，您可以管理群組的電子郵件地址、指定誰可以將電子郵件傳送給群組、指定可以代表群組傳送電子郵件的使用者、設定電子郵件核准選項等等。

附註：DRA 可讓您將「成員」和「成員隸屬」結果輸出為 CSV 檔案。導覽至「成員」或「成員隸屬」索引標籤，然後按一下「下載」圖示。不會輸出未儲存的變更。確保您儲存任何最近變更，以在輸出的檔案中提供這些變更。

設定 Azure 群組擁有權

您可以設定任何群組的擁有權。您可以將群組擁有權的權限授予使用者帳戶或群組。授予群組擁有權能允許指定的使用者帳戶或群組管理群組 (包括成員資格)。

刪除 Azure 群組

您可以刪除 Azure Active Directory 中的 Azure 群組，不過不能從 DRA 還原。

5.4 管理 Azure 聯絡人

Azure 聯絡人是支援郵件的物件，其中包含外部電子郵件地址。DRA 管理員設定 Azure Active Directory 時，助理管理員就能使用 DRA 來管理 Azure 聯絡人以及修改 Azure 聯絡人內容。

執行搜尋操作來尋找和選取所需的 Azure 聯絡人物件。選取清單中的一或多個物件後，工作列會處於作用中狀態，並且提供可刪除物件、將物件新增至群組、從群組中移除物件以及修改聯絡人內容的選項。您還可以將搜尋結果下載為 CSV 檔案。請按一下選項來顯示其功能。

建立 Azure 聯絡人: 您可以在受管理租用戶中建立 Azure 聯絡人，並且指定新 Azure 聯絡人的聯絡資訊和電子郵件地址。
修改 Azure 聯絡人內容: 您可以修改 Azure 聯絡人內容。您擁有的權限決定您可在受管理租用戶中修改的 Azure 聯絡人內容。如果啟用 Exchange 規則，則您可以管理郵件相關內容，例如設定訊息的傳送限制、指定誰可以代表此 Azure 聯絡人傳送訊息、指定地址清單中是否顯示 Azure 聯絡人等等。
啟用訊息仲裁: 您可以設定用於仲裁傳送給 Azure 聯絡人之訊息的選項。啟用仲裁時，將由您在傳送訊息前定義的仲裁者來核准傳送給 Azure 聯絡人的訊息。您也可以指定免於核准程序的使用者和群組。
管理 Azure 聯絡人的群組成員資格: 您可以在支援郵件的安全性群組和配送清單中新增或移除 Azure 聯絡人。

附註：DRA 可讓您將「成員隸屬」結果輸出為 CSV 檔案。導覽至「成員隸屬」索引標籤，然後按一下「下載儲存的成員資格」圖示。不會輸出未儲存的變更。確保您儲存任何最近變更，以在輸出的檔案中提供這些變更。
刪除 Azure 聯絡人: 您可以刪除 Azure Active Directory 中的 Azure 聯絡人，但無法從 DRA 還原。

6.0 管理 Exchange 信箱和公用資料夾

您可以使用 DRA 來管理 Microsoft Exchange 信箱，作為使用者帳戶內容的延伸。這項整合可讓您簡化管理工作流程，以便您能夠有效地管理 Exchange 內容。您也可以連結使用者帳戶和 Exchange 帳戶樹系的信箱，並管理資源信箱、共享信箱和公用資料夾。

在委託和組態主控台中管理信箱任務

使用 ARM 節點時，您可以從物件內容中的「Exchange 任務」索引標籤執行適當信箱任務，也可以從選取的物件的「任務」或右鍵點擊功能表存取。一般而言，您要選取我的所有受管理物件節點並執行立即尋找操作來尋找並選取所需的物件。

管理 Web 主控台中的信箱任務

使用 Web 主控台時，您要從「管理 > 搜尋」索引標籤執行下列適用信箱任務。一般而言，您可以執行搜尋操作來尋找及選取所需的信箱物件。選取清單中的一或多個物件後，工作列將處於作用中狀態。請按一下選項來顯示其功能。

請參閱以下主題：

使用者信箱的管理任務
Office 365 信箱的管理任務
資源信箱的管理任務
共享信箱的管理任務
連結的信箱的管理任務
公用資料夾的管理任務

6.1 使用者信箱的管理任務

您可以在受管理的網域或受管理的子樹狀結構中管理使用者帳戶的 Microsoft Exchange 信箱。管理 Microsoft Exchange 信箱的每個方面都需要不同權限。您所擁有的權限會控制可以修改的信箱內容，或您是否可以建立、檢視或刪除 Microsoft Exchange 信箱。您也可以管理信箱許可和與使用者帳戶相關聯的許可，讓您可以控制 Microsoft Exchange 環境的安全性。如果您沒有修改索引標籤或所選取信箱欄位的必要權限，DRA 會停用您無法修改的索引標籤和欄位。

除了以下定義的任務，DRA 管理員可在物件內容中啟用使用者帳戶選項來設定 Skype 和 Skype Online 的設定。您可以在「委託和組態」主控台和 Web 主控台的使用者帳戶中設定 Skype。Skype Online 僅能從 Web 主控台設定。

建立信箱: 您可以建立現有使用者帳戶的 Microsoft Exchange 信箱。您也可以修改新信箱的內容。

附註：當您建立信箱時，Exchange 會根據您的 Exchange 規則設定產生必要的代理字串。Microsoft Exchange 也會產生預設代理字串。因此，當您檢視新建立信箱的內容時，會看到兩種代理字串類型。
複製使用者帳戶: 當您複製使用者帳戶時，任何使用者為成員的群組，都會自動新增至新的使用者帳戶，讓您省下設定新帳戶的時間。您可以從新帳戶新增或移除群組、啟用電子郵件，並進行與您會對任何新帳戶所做相同的任何其他內容組態。

附註：當您複製 InetOrgPerson 物件時，即會建立使用者帳戶。
移動信箱: 您可以將使用者帳戶的 Microsoft Exchange 信箱移至另一個信箱儲存區或 Microsoft Exchange 伺服器。
修改信箱內容: 當您管理相關聯的使用者帳戶時，可以修改 Microsoft Exchange 信箱的內容。您擁有的權限會決定可修改的信箱內容。

附註：您無法修改成員伺服器上受管理使用者帳戶的信箱內容。
設定信箱安全性許可: 您可以指定想要使用特定 Microsoft Exchange 信箱授予或拒絕傳送及接收電子郵件功能的是哪些使用者帳戶、群組或電腦。這些設定可讓您更有效地保護 Exchange 環境的安全。您無法修改繼承的安全性許可。

附註：當您管理信箱安全性時，停用的許可表示繼承的許可。
移除信箱安全性許可: 您可以移除與 Microsoft Exchange 信箱相關聯使用者帳戶、群組或電腦的信箱安全性許可。移除信箱安全性許可可避免使用者帳戶、群組或電腦帳戶透過指定的信箱傳送及接收電子郵件。您無法移除繼承的安全性許可。
設定信箱權限: 您可以授予或拒絕特定 Microsoft Exchange 信箱的使用者帳戶、群組或電腦權限。這些設定可讓您更有效地保護 Exchange 環境的安全。您無法修改繼承的信箱權限。

附註：當您管理信箱許可時，停用的許可表示繼承的許可。
移除信箱權限: 您可以移除與特定 Microsoft Exchange 信箱相關聯使用者帳戶、群組或電腦的信箱權限。移除信箱權限會讓使用者帳戶、群組或電腦帳戶無法使用指定的信箱。您無法移除繼承的信箱權限。
刪除信箱: 您可以在管理的網域或受管理子樹狀結構中刪除與使用者帳戶相關聯的信箱。刪除信箱也會刪除信箱中的所有訊息。
新增或修改電子郵件地址: 您可以在管理的網域或受管理子樹狀結構中，指定與使用者帳戶相關聯信箱的電子郵件地址。您也可以指定電子郵件地址給還沒有信箱的使用者帳戶。管理 Microsoft Exchange 信箱時，您僅能新增由代理產生規則所定義的電子郵件地址類型。
指定回覆地址: 您可以在管理的網域或受管理子樹狀結構中，設定與使用者帳戶相關聯信箱的回覆地址。您可以設定信箱的數個回覆地址。但是，您無法將多個電子郵件地址類型設為回覆地址。例如，您無法將多個網際網路地址指定為回覆地址。
刪除電子郵件地址: 您可以從信箱移除地址來刪除電子郵件地址。
指定傳送選項: 您可以指定使用者可使用哪些信箱來傳送訊息、設定轉遞選項並指定收件者限制。
指定傳送限制: 您可以藉由設定傳送限制來限制收到及送出訊息的大小，以及接收特定信箱的收到訊息。
指定儲存限制: 您可以指定儲存限制，例如根據信箱大小的警告。您也可以指定已刪除項目的保留次數。
檢查信箱移動狀態: 您可以檢查信箱移動的狀態並對其採取行動，例如清除狀態、取消移動，以及繼續已中斷的移動。

6.2 Office 365 信箱的管理任務

本節提供的資訊，解說如何透過「委託和組態」主控台的「帳戶和資源管理」節點與 Web 主控台管理 Microsoft Office 365 信箱。擁有適當權限，您就可以執行各種使用者帳戶管理任務，例如暫停訴訟資料、設定電子郵件轉寄等等。

重要：DRA 能管理 Office 365 使用者信箱，以及移轉的共享、會議室及設備信箱。若要使用 DRA 管理這些信箱，信箱必須與 DRA 所管理的內部部署使用者或 Azure 使用者相關聯。對於與使用者相關聯的信箱，其內容將能透過內容頁面使用。

置於訴訟資料暫留

設定信箱上的訴訟資料暫留以保留所有信箱內容，包含已刪除的項目及已修改項目的原始版本。置於訴訟資料暫留上的使用者信箱，也會保留使用者歸檔信箱中的內容，如果存在。暫留可維持一段特定的時間，或是直到您從信箱移除訴訟資料暫留為止。

您必須擁有適當的 Exchange Online 授權，才能暫留訴訟資料。您要在使用者物件的內容中透過訴訟資料暫留索引標籤。

委託信箱許可

您可以在使用者物件的內容中透過「信箱委託」索引標籤委託 Office 365 信箱許可。您可以委託、傳送、代表傳送和完全存取三種類型的權限。可委託的權限類型取決於接收物件類型。

檢視歸檔信箱狀態

您可以檢視使用者歸檔信箱狀態和歸檔信箱統計資料 (如儲存限制和警告限制)。歸檔信箱超過歸檔警告限制時，就會通知使用者。

檢視信箱使用統計資料

您可以檢視已使用的信箱配額總額。

設定訊息傳送限制

設定傳送限制，即可限制收到和送出訊息的大小，以及接受或拒絕特定使用者的收到訊息。

指定傳送選項

您可以設定訊息轉寄選項，以及指定可接收使用者所傳送訊息的最大收件者數目。

新增或移除電子郵件地址

您可以為使用者信箱設定多個電子郵件地址，以及指定主要電子郵件地址。您也可以將電子郵件地址指派給沒有信箱的使用者帳戶。

隱藏電子郵件地址

您可以指定是否隱藏電子郵件地址，使其不要顯示在地址清單中。

新增郵件提示

您可以新增要在將郵件傳送給使用者時顯示的資訊文字。

指派信箱的規則

您可以指派信箱的共享規則、電子郵件保留規則、角色指派規則或通訊錄規則。

6.3 資源信箱的管理任務

Microsoft Exchange 的資源信箱特性，可讓您建立代表資源的信箱，例如會議室，讓您可以如同人員，傳送會議邀請給信箱來加以保留。DRA 包含一組角色、權限及規則，讓您可以有效地管理資源信箱。

DRA 具有資源信箱的介面延伸支援，以及產生稽核或使用者介面報告的支援。ADSI 程序檔的支援也會整合至 DRA。

建立資源信箱: 您可以在管理的網域或受管理子樹狀結構中建立資源信箱。
將資源信箱移至另一個容器: 您可以將資源信箱移至管理的網域或受管理子樹狀結構中的另一個容器，例如 OU。
將資源信箱移至另一個信箱儲存區或 Exchange 伺服器: 您可以將資源信箱移至另一個信箱儲存區或 Microsoft Exchange 伺服器。
複製資源信箱: 您可以複製資源信箱快速建立具有相似內容的其他資源信箱。當您複製資源信箱時，DRA 會使用已選取資源的值填入複製資源信箱精靈。
重新命名資源信箱: 您可以在管理的網域或受管理子樹狀結構中重新命名資源信箱。變更使用者登入名稱也會變更，與使用者帳戶相關聯信箱的名稱。
將資源信箱新增至群組: 您可以在管理的網域或受管理子樹狀結構中，將資源信箱新增至特定群組。
刪除資源信箱: 您可以在管理的網域或受管理子樹狀結構刪除資源信箱。刪除資源信箱也會刪除信箱內的所有郵件，以及與資源信箱相關聯的任何停用使用者物件。需要的話，您可以在刪除信箱時，置換停用使用者物件的刪除作業。如果您刪除與資源信箱相關聯的使用者物件，該資源信箱也會遭到刪除。
還原刪除的資源信箱: 如果已啟用該網域中的資源回收筒，您可以還原已刪除的資源信箱。
修改資源信箱內容: 您可以在受管理的網域或受管理的子樹狀結構中，管理資源信箱的內容。您擁有的權限會決定您可以修改的內容。

附註：DRA 可讓您將「成員隸屬」結果輸出為 CSV 檔案。若要從 Web 主控台輸出「成員隸屬」結果，請前往「管理」>「搜尋」，然後按一下「內容」。導覽至「成員隸屬」索引標籤，然後按一下「下載」圖示。不會輸出未儲存的變更。確保您儲存任何最近變更，以在輸出的檔案中提供這些變更。

6.4 共享信箱的管理任務

共享信箱對於服務台管理員和技術支援人員很有用，因為所有回應都可設定為前往可供多個使用者存取的單一信箱。信箱必須在 DRA 管理的網域中，並啟用 Exchange 規則，且您必須已受委託權限才能管理共享信箱。

當您建立共享信箱時，可以委託兩種許可給使用者：「傳送為」及「完整存取」。「傳送為」提供讀取及傳送電子郵件的許可。您可以委託許可給使用者及群組物件。您也可以指定傳送限制、傳送選項、儲存限制、資料夾許可及物件內容中的數個其他選項。

附註：您只能透過 Web 主控台針對共享信箱執行管理任務。

建立共享信箱

您可以在管理的網域或受管理子樹狀結構中建立共享信箱。

將共享信箱移至另一個容器

您可以將共享信箱移至管理的網域或受管理子樹狀結構中的另一個容器，例如 OU。

將共享信箱移至另一個信箱儲存區

您可以將共享信箱移至另一個信箱儲存區。

複製共享信箱

您可以複製共享信箱快速建立具有相似內容的其他共享信箱。

重新命名共享信箱

您可以在管理的網域或受管理子樹狀結構中重新命名共享信箱。變更使用者登入名稱也會變更，與使用者帳戶相關聯信箱的名稱。

刪除共享信箱

您可以在管理的網域或受管理子樹狀結構刪除共享信箱。如果已停用該網域的資源回收筒，則刪除共享信箱時會從 Active Directory 中永久移除共享信箱。如果該網域的資源回收筒已停用，則刪除共享信箱會將共享信箱移至資源回收筒。

刪除共享信箱也會刪除信箱內的所有郵件，以及與共享信箱相關聯的任何停用使用者物件。如果您刪除與共享信箱相關聯的使用者物件，該共享信箱也會遭到刪除。

還原刪除的共享信箱

如果已啟用該網域中的資源回收筒，您可以還原已刪除的共享信箱。

建立歸檔共享信箱

您可以在管理的網域或受管理子樹狀結構中建立歸檔共享信箱。

刪除歸檔共享信箱

您可以在管理的網域或受管理子樹狀結構中刪除歸檔共享信箱。

修改共享信箱內容

您可以在受管理的網域或受管理的子樹狀結構中修改共享信箱的內容。您擁有的權限會決定可以修改的內容。

6.5 連結的信箱的管理任務

當信箱移轉很常見時，連結的信箱對於合併、併購及公司分割期間發生的大型組織變更相當實用。這個特性可永不同的 Exchange 樹系連結的信箱讓使用者電子郵件中斷無效。信箱必須在 DRA 管理的網域中，並啟用 Exchange 規則，且您必須已受委託權限才能管理連結的信箱。當您建立連結的信箱時，「連結的信箱」索引標籤會新增至使用者物件的內容。

連結的信箱管理僅在 Web 主控台支援。您要從已選取使用者帳戶的工具列建立連結的信箱。僅當選取的使用者網域具有外部樹系信任，及 DRA 中的其他管理的網域時才會啟用此選項。在另一個 DRA 管理的網域中搜尋要連結的帳戶時，僅會列出已停用的使用者帳戶。

建立連結的信箱: 您可以在不同的受管理 Exchange 樹系中，選取的兩個使用者帳戶建立連結的信箱。
刪除連結的信箱: 您可以從具有連結的信箱的已選取使用者刪除連結的信箱。
修改連結的信箱內容: 您可以修改從已選取使用者內容的連結的信箱索引標籤修改連結的信箱的內容。
建立連結歸檔信箱: 您可以從具有連結的信箱的已選取使用者建立連結歸檔信箱。
刪除連結歸檔信箱: 您可以從具有連結歸檔信箱的已選取使用者刪除連結歸檔信箱。
還原刪除的連結的信箱: 如果已啟用該網域中的資源回收筒，您可以還原已刪除的連結的信箱。

6.6 公用資料夾的管理任務

如果 DRA 管理員已在 DRA 受管理企業建立公用資料夾樹系，並授予您在 DRA 中管理公用資料夾的權限，您將能夠建立共享資料夾、修改資料夾內容，以及產生變更歷程報告。僅能在 Web 主控台中建立並修改公用資料夾。您可以使用搜尋選項來搜尋公用資料夾。如需更多資訊，請參閱搜尋。

您要從「管理 > 公用資料夾」索引標籤執行公用資料夾任務。

建立公用資料夾: 透過 Web 主控台，您可以在指定的「公用資料夾」網域、子樹狀結構和信箱中建立新的公用資料夾。您可以使用已選取網域的預設信箱或選擇一個信箱。
啟用公用資料夾的電子郵件: 您可以使用清單工具列上的啟用郵件選項，來啟用公用資料夾的電子郵件。這可讓您將電子郵件地址與公用資料夾相關聯，並修改公用資料夾的內容。
停用公用資料夾的電子郵件: 您可以使用清單工具列上的停用郵件選項來停用公用資料夾的電子郵件。
修改公用資料夾內容: 在現有的公用資料夾啟用郵件後，您可以檢視資料夾的統計資料，並修改該公用資料夾的內容。在這些內容中，您可以指定使用者傳送與限制選項、大小限制與配額警告、郵件內容、儲存區保留限制、包含仲裁者以核准郵件和自定屬性。

附註：當選取多個公用資料夾時，您也可以更新多個公用資料夾的部分內容，例如儲存區配額。
刪除公用資料夾: 如果公用資料夾沒有任何子資料夾且電子郵件選項已停用，您可以刪除公用資料夾。

7.0 管理資源

DRA 可讓您管理資源，包含電腦、印表機和其他裝置，以及與這些資源相關聯的程序。例如，若您需要在受管理電腦上啟動特定服務，可於 DRA 中搜尋該電腦物件、透過物件內容存取其服務，然後從 DRA 重新啟動該電腦上的特定服務，而無須遠端登入該電腦。

管理組織單位 (OU)
管理電腦
管理服務
管理印表機和列印工作
管理共享
管理連接的使用者
管理設備
管理事件記錄
管理公開檔案

7.1 管理組織單位 (OU)

本節將引導您瞭解如何透過「帳戶和資源管理」節點，在「委託和組態」主控台中管理 OU。有了適當的能力，您即可執行各種 OU 管理工作，例如將 OU 移至另一個容器。

附註：您只能透過「委託和管理」主控台管理 OU。

修改 OU 屬性

您可以修改 OU 的屬性。您擁有的權限會決定您在受管理網域或受管理子樹狀結構中，可以修改的 OU 內容。

建立 OU

您可以在受管理網域或受管理子樹狀結構中建立 OU。您也可以修改一般屬性，例如 OU 描述。

複製 OU

您可以從受管理網域或受管理子樹狀結構，複製現有 OU 來建立新 OU。您也可以修改新 OU 的一般屬性，例如 OU 描述。複製 OU 並不會複製該 OU 中包含的物件。

開啟 Active Directory 樹狀結構至 OU 位置

您可以快速簡單地開啟 Active Directory 樹狀結構至受管理網域或受管理子樹狀結構中的特定 OU 位置。

將 OU 移至另一個容器

您可以將 OU 移至受管理網域中的不同容器。管理網域的子樹狀結構時，您可以在該子樹狀結構的階層內移動 OU。

附註：

如果將 OU 移至另一個容器會讓您對該移動的 OU 權限提升，則 DRA 不會允許移動該 OU。
您也可以將 OU 拖曳到新位置來移動 OU。

正在刪除 OU

您可以從受管理的網域或受管理子樹狀結構刪除 OU。您只能刪除空白的 OU。如果 OU 包含物件，則您無法將該 OU 刪除。如要刪除包含物件的 OU，請先刪除所有物件，然後再刪除 OU。

7.2 管理電腦

DRA 可讓您在管理的網域或受管理子樹狀結構中管理電腦。例如，您可以新增或移除管理的網域中的電腦帳戶，以及管理每個電腦上的資源。當您將電腦新增至網域時，DRA 會在該網域中建立該電腦的電腦帳戶。接著，您可以連接該網域中的電腦，並設定電腦來使用該電腦帳戶。您也可以檢視及修改電腦帳戶的內容。DRA 也可讓您將電腦關機，並同步化管理的網域中的網域控制器。

附註：

您只能透過「委託和管理」主控台管理電腦。
您無法管理隱藏的網域控制器。網域快取不包含隱藏的網域控制器。因此，DRA 不會在清單或內容視窗中顯示隱藏的網域。

指定電腦的群組成員資格: 您可以在管理的網域或受管理子樹狀結構中，新增使用者帳戶或從特定群組中移除電腦。您也可以檢視或修改此電腦所屬現有群組的內容。

附註：DRA 可讓您將「成員隸屬」結果輸出為 CSV 檔案。若要從 Web 主控台輸出「成員隸屬」結果，請前往「管理」>「搜尋」，然後按一下「內容」。導覽至「成員隸屬」索引標籤，然後按一下「下載」圖示。不會輸出未儲存的變更。確保您儲存任何最近變更，以在輸出的檔案中提供這些變更。
管理電腦帳戶內容: 您可以管理電腦帳戶內容。您擁有的權限會決定在管理的網域或受管理子樹狀結構中，可以修改的電腦內容。
將電腦新增至網域: 您可以建立新的電腦帳戶，將電腦新增至管理的網域或受管理子樹狀結構。
從網域移除電腦: 您可以刪除電腦帳戶，從管理的網域或受管理子樹狀結構移除電腦。
移動電腦: 您可以將電腦移至管理的網域或受管理子樹狀結構中的另一個容器，例如 OU。
關機或重新啟動電腦: 您可以立即或在設定的日期和時間關機或重新啟動電腦。
重設管理員帳戶密碼: 若要重設電腦的管理員帳戶密碼，您必須擁有「重設本機管理員密碼」權限，或是與包含此權限的角色相關聯。您可以在管理的網域或受管理子樹狀結構中，重設成員伺服器的管理員密碼。您無法重設網域控制器的管理員密碼。
重設電腦帳戶: 您可以在管理的網域或受管理子樹狀結構中，重設成員伺服器的電腦帳戶。您無法重設網域控制器的電腦帳戶。
刪除電腦帳戶: 您可以從管理的網域或受管理子樹狀結構刪除電腦帳戶。如果您正在管理 Microsoft Windows 網域，則可以刪除包含其他物件的電腦帳戶，例如共享資源。啟用「強制刪除」選項將電腦從 Active Directory 刪除。這也會刪除子物件，包括印表機和共享資料夾。系統會將遭到刪除的電腦與相關聯的物件移動到 DRA 資源回收筒。如果刪除發生時資源回收筒處於停用狀態，物件將永久遭到刪除。

附註：您無法在管理的網域或受管理子樹狀結構中，刪除成員伺服器的電腦帳戶。
停用電腦帳戶: 您可以在管理的網域或受管理子樹狀結構中，停用電腦帳戶。停用電腦帳戶會使該電腦上的使用者無法登入任何網域。
啟用電腦帳戶: 您可以在管理的網域或受管理子樹狀結構中啟用電腦帳戶。啟用電腦帳戶可讓該電腦上的使用者登入任何網域。
管理電腦資源: 針對管理的網域或受管理子樹狀結構中的每個電腦帳戶，您可以管理相關聯的資源，例如服務、共享、裝置、印表機和印表機工作。

7.3 管理服務

服務是一種應用程式，會從 Windows 作業系統取得特別處理。即使目前沒有任何使用者登入電腦，服務仍可以執行。具有適當權限的助理管理員可以管理在受管理網域或受管理子樹狀結構的電腦上執行的服務。

管理服務內容

您可以在管理的網域或受管理子樹狀結構中，管理電腦上所執行服務的內容。您可以管理服務同時管理該電腦上的其他資源。

啟動服務

您可以在管理的網域或受管理子樹狀結構中，啟動任何電腦上的服務。

使用參數啟動服務

當您啟動接受參數的服務時，可以在啟動時指定這些參數。您可以在管理的網域或受管理子樹狀結構中啟動電腦上的服務。

附註：您只能透過「委託和組態」主控台啟動具有參數的服務。

指定服務啟動類型

您可以變更服務的啟動類型，例如要求手動啟動。

指定服務登入帳戶

您可以將服務登入帳戶變更為現有系統帳戶以外的帳戶。您可以將本地系統帳戶、特定使用者帳戶或群組受管理服務帳戶 (gMSA) 指定為服務登入帳戶。

重新啟動服務

您可以在管理的網域或受管理子樹狀結構中，重新啟動電腦上執行的服務。

若要重新啟動服務，您必須具有「停止服務」和「啟動服務」權限，或必須與包含這些權限的角色相關聯，例如「啟動服務」和「停止服務」角色。

停止服務

您可以在管理的網域或受管理子樹狀結構中，停止電腦上執行的服務。

暫停服務

您可以在管理的網域或受管理子樹狀結構中，暫停電腦上執行的服務。服務可以暫停與否取決於服務類型。例如，您無法暫停具有相依服務的服務。

繼續暫停的服務

您可以在管理的網域或受管理子樹狀結構中，繼續電腦上暫停的服務。

7.4 管理印表機和列印工作

若要管理印表機，要管理服務這些印表機的列印佇列。DRA 可讓您暫停或繼續、啟動、修改、停止及檢視資源印表機和發佈的印表機。DRA 也可讓您修改列印工作的內容和優先順序。若要新增或刪除印表機，請使用原生 Windows 工具。

列印伺服器是安裝了一個或多個邏輯印表機的電腦。邏輯印表機會在具有印表機設備驅動程式的電腦上定義。邏輯印表機包含列印驅動程式、列印佇列及印表機的連接埠。列印伺服器會將邏輯印表機與印表機設備相關聯。

連接的印表機會在從中選取文件進行列印的電腦上定義。連接的印表機是網路上共享列印的連接。因此，您可以透過相關聯的電腦管理印表機並列印工作。

發佈的印表機是在 Active Directory 中發佈的印表機。發佈的印表機可能是未直接連接至伺服器的網路印表機，或可能是由叢集伺服器主控的印表機。

附註：您只能透過「委託和管理」主控台管理印表機和列印工作。

若要深入瞭解印表機和列印任務管理，請參閱下列主題：

印表機管理任務
列印工作管理任務
已發佈的印表機管理任務
列印發佈印表機的工作管理任務

7.4.1 印表機管理任務

您可以在管理的網域或受管理子樹狀結構中，管理與電腦相關聯的印表機。DRA 可讓您管理印表機，同時管理該電腦的其他資源。

本節將引導您瞭解如何透過「委託和組態」主控台的「帳戶和資源管理」節點管理印表機。利用適當權限，您可以執行各種印表機管理任務，例如停止印表機。

管理印表機內容: 您可以在管理的網域或受管理子樹狀結構中，管理印表機的內容。DRA 可讓您管理印表機，同時管理該電腦的其他資源。
暫停印表機: 您可以在管理的網域或受管理子樹狀結構中，暫停與電腦相關聯的印表機。DRA 可讓您管理印表機，同時管理該電腦的其他資源。
繼續印表機: 您可以在管理的網域或受管理子樹狀結構中，繼續與電腦相關聯的印表機。DRA 可讓您管理印表機，同時管理該電腦的其他資源。

7.4.2 列印工作管理任務

您可以在管理的網域或受管理子樹狀結構中，管理與印表機相關聯的列印工作。因為列印工作與印表機相關聯，您可以管理列印工作同時管理印表機。

本節將引導您瞭解如何在「委託和組態」主控台的「帳戶和資源管理」節點管理列印工作。您可以利用適當權限執行各種列印工作管理任務，例如取消列印工作。

管理列印工作內容: 您可以在印表機管理工作流程中，修改列印工作內容。因為列印工作與印表機相關聯，您可以修改列印工作同時管理對應的印表機。您可以修改的列印工作內容取決於您擁有的權限類型。若要修改列印工作內容，您必須能夠存取對應的印表機和電腦。
暫停列印工作: 您可以在管理的網域或受管理子樹狀結構中，暫停印表機上的列印工作。若要暫停列印工作，您必須能夠存取對應的印表機和電腦。暫停列印工作不會從列印佇列刪除列印工作。
繼續列印工作: 您可以繼續已暫停的列印工作。若要繼續列印工作，您必須能夠存取對應的印表機和電腦。
重新啟動列印工作: 您可以重新啟動已停止的列印工作。若要重新啟動列印工作，您必須能夠存取對應的印表機和電腦。
取消列印工作: 您可以取消印表機佇列中的列印工作。當您取消列印工作時，DRA 會從印表機佇列永久刪除列印工作。若要取消列印工作，您必須能夠存取對應的印表機和電腦。

7.4.3 已發佈的印表機管理任務

您可以在管理的網域或受管理子樹狀結構中，管理發佈的印表機。您可以新增或搜尋 Active Directory 中發佈的任何印表機，或是叢集伺服器主控的印表機。

本節將引導您瞭解如何在「帳戶與資源管理」節點管理發佈的印表機。利用適當權限，您可以執行各種印表機管理任務，例如停止印表機。

管理發佈的印表機內容: 您可以在管理的網域或受管理子樹狀結構中，管理發佈的印表機內容。DRA 可讓您管理發佈的印表機，同時管理其他資源。
重新整理發佈的印表機資訊: 您可以在管理的網域或受管理子樹狀結構中，重新整理發佈的印表機資訊。DRA 可讓您管理發佈的印表機，同時管理其他資源。
暫停發佈的印表機: 您可以在管理的網域或受管理子樹狀結構中，暫停發佈的印表機。DRA 可讓您管理發佈的印表機，同時管理其他資源。
繼續發佈的印表機: 您可以在管理的網域或受管理子樹狀結構中，繼續已暫停的發佈印表機。DRA 可讓您管理發佈的印表機，同時管理其他資源。
移動發佈的印表機: 您可以將管理的網域中一個容器內提供的發佈印表機，移至相同網域中的另一個容器。DRA 可讓您管理發佈的印表機，同時管理其他資源。
重新命名發佈的印表機: 您可以在 Active Directory 中重新命名共享的發佈印表機。DRA 可讓您管理發佈的印表機，同時管理其他資源。

附註：在 Active Directory 中重新命名發佈的印表機，不會變更資源印表機共享名稱，或散佈對您想管理的資源印表機名稱變更。例如，如果資源印表機名稱為 Emerald 且您在 Active Directory 中，將印表機重新命名為 Ruby，其他使用者會看到印表機名稱為 Ruby，但資源印表機名稱將繼續為 Emerald。

7.4.4 列印發佈印表機的工作管理任務

您可以在管理的網域或受管理子樹狀結構中，管理與發佈印表機相關聯的印表機工作。因為列印工作與印表機相關聯，您可以管理列印工作同時管理發佈印表機。

本節將引導您瞭解如何在「帳戶與資源管理」節點管理發佈的印表機。您可以利用適當權限執行各種列印工作管理任務，例如取消列印工作。

管理列印工作內容: 您可以在發佈印表機管理工作流程中，修改列印工作內容。因為列印工作與印表機相關聯，您可以修改列印工作同時管理對應的發佈印表機。您可以修改的列印工作內容取決於您擁有的權限類型。若要修改列印工作內容，您必須能夠存取對應的發佈印表機。
暫停列印工作: 您可以在管理的網域或受管理子樹狀結構中，暫停發佈印表機上的列印工作。若要暫停列印工作，您必須能夠存取對應的發佈印表機。暫停列印工作不會從列印佇列刪除列印工作。
繼續列印工作: 您可以在管理的網域或受管理子樹狀結構中，繼續已暫停的列印工作。若要繼續列印工作，您必須能夠存取對應的發佈印表機。
重新啟動列印工作: 您可以在管理的網域或受管理子樹狀結構中，重新啟動已停止的列印工作。若要重新啟動列印工作，您必須能夠存取對應的發佈印表機。
取消列印工作: 您可以在管理的網域或受管理子樹狀結構中，取消印表機佇列中的列印工作。當您取消列印工作時，DRA 會從印表機佇列永久刪除列印工作。若要取消列印工作，您必須能夠存取對應的發佈印表機。

7.5 管理共享

共享是一種提供資源 (例如檔案或印表機) 給網路上其他使用者的方法。每個共享皆有共享名稱，指出伺服器上的共享資料夾。DRA 僅會管理管理的網域電腦上的共享。若要成功管理共享，存取帳戶必須在您想管理資源的所有電腦上具有管理員許可，例如成為本機管理員群組的成員。若要指定這些許可，請在電腦的網域中將存取帳戶新增至原生的「網域管理員」群組。

附註：您只能透過「委託和管理」主控台管理共享。

管理共享內容

您可以在管理的網域或受管理子樹狀結構中，管理共享的內容。DRA 可讓您管理共享，同時管理該電腦的其他資源。

建立共享

您可以在管理的網域或受管理子樹狀結構中建立電腦的共享。您也可以修改此共享的內容。

複製共享

您可以在管理的網域或受管理子樹狀結構中，複製電腦的共享。藉由複製共享，您可以根據具有相似內容的其他共享快速建立共享。此彈性可讓您強制執行指定網域中所建立所有共享的一致設定。

當您複製共享時，DRA 會使用選取共享的值填入複製共享精靈。您也可以修改新共享的內容。

刪除共享

您可以在管理的網域或受管理子樹狀結構中，刪除電腦中的共享。

7.6 管理連接的使用者

每當使用者連接至遠端電腦上的特定資源時，即會建立工作階段。連接的使用者是連接至網路上共享資源的使用者。

DRA 只會管理受管理網域之電腦上的已連接使用者。存取帳戶必須在您想管理連接使用者的所有電腦上具有管理員許可，例如成為本機管理員群組的成員。若要指定這些許可，請在電腦的網域中將存取帳戶新增至原生的「網域管理員」群組。

解除使用者連接: 您可以在管理的網域或受管理子樹狀結構中，將連接的使用者從電腦解除連接。您必須能夠存取電腦及此公開工作階段。將連接使用者解除連接會結束公開工作階段。
重新整理連接使用者的清單: 若要確保您在電腦上檢視的是最新的公開工作階段相關資訊，請手動重新整理連接使用者的清單。您必須能夠存取電腦及此公開工作階段。

7.7 管理設備

設備是連結至網路的任何一件設備，例如電腦、印表機、數據機或任何其他周邊設備。

雖然設備可能會安裝在您的電腦上，但 Windows 在您安裝及設定適當驅動程式之前無法識別設備。設備驅動程式可讓特定的硬體與作業系統通訊。

DRA 讓您僅在管理的網域的電腦上設定及管理設備。存取帳戶必須在您想管理設備的所有電腦上具有管理員許可，例如成為本機管理員群組的成員。若要指定這些許可，請在電腦的網域中將存取帳戶新增至原生的「網域管理員」群組。

管理設備內容: 您可以修改特定電腦上的設備內容。修改設備的設備內容可讓您修改設備的啟動類型。
啟動設備: 您可以在管理的網域或受管理子樹狀結構中，啟動特定電腦上的設備。
停止設備: 您可以在管理的網域或受管理子樹狀結構中，停止特定電腦上的設備。

7.8 管理事件記錄

事件是重要的系統或應用程式狀況發生。Windows 作業系統會將事件相關資訊記錄在事件記錄檔案中。每部電腦上可能會有數個事件記錄。使用原生 Windows 事件檢視器來檢視事件記錄。DRA 僅會管理管理的網域電腦上的事件記錄。

DRA 會將使用者起始作業記錄在記錄歸檔中，作為安全儲存機制。除了在 DRA 記錄歸檔中記錄資訊之外，您可以選擇讓 DRA 也將使用者起始作業記錄在 Windows 事件記錄中。如需詳細資訊，請參閱瞭解日期和時間。

7.8.1 事件記錄類型

執行 Microsoft Windows 的電腦會在各種記錄中記錄其他資訊。記錄會簡短說明如下：

記錄類型	描述
ADAM	ADAM 儲存機制所記錄的記錄事件。
應用程式	記錄事件會由應用程式記錄在電腦上，例如服務啟動或失敗。例如，DRA 會儲存應用程式記錄中的事件。
目錄服務	記錄事件與網域控制器維持安全性資料庫相關。
檔案複寫服務	記錄事件與作業系統所提供的檔案複寫服務相關。
安全性	包含登入嘗試、檔案與目錄存取的記錄事件，以及根據稽核規則選項的安全性規則變更。
系統	Windows 系統元件所記錄的記錄事件，例如驅動程式或服務啟動及停止失敗。

7.8.2 事件記錄管理任務

當您安裝 DRA 時，稽核事件依預設不會登入 Windows 事件記錄。您可以修改登錄機碼來啟用這個類型的記錄。

警告：請謹慎編輯您的 Windows 登錄。如果您的登錄中發生錯誤，您的電腦可能會故障。如果發生錯誤，您可以將登錄還原為上次成功啟動電腦時的狀態。如需詳細資訊，請參閱 Windows 登錄編輯器的說明。

您可以指定事件記錄檔案的大小上限，以及當事件記錄檔案裝滿時，事件記錄會發生的狀況。當記錄建立、記錄上次修改，及記錄上次存取時，內容視窗也會顯示記錄的名稱、記錄檔案路徑及檔名。如果您選擇製作記錄檔案的備份，DRA 會在選取電腦的標準位置中使用唯一檔案名稱儲存事件記錄。

DRA 可讓您管理事件記錄，同時管理該電腦的其他資源。利用適當權限，您可執行各種任務，例如變更事件記錄內容。

管理事件記錄內容: 您可以修改特定電腦的事件記錄內容。
檢視事件記錄項目: 您可以在管理的網域或受管理子樹狀結構中，檢視電腦特定事件記錄中的項目。在「委託和組態」主控台中，您可以在原生「Windows 事件檢視器」中檢視事件記錄檔。
清除事件記錄: 您可以在管理的網域或受管理子樹狀結構中，清除電腦特定事件記錄中的項目。您在清除記錄之前也可以儲存事件記錄項目。

7.9 管理公開檔案

公開檔案是共享資源 (例如檔案或管道) 的連線。管道是程序間通訊機制，可讓一個程序與另一個本機或遠端程序進行通訊。

DRA 僅會在管理的網域或受管理子樹狀結構的電腦上管理公開檔案。因為公開檔案與電腦相關聯，您可以管理公開檔案同時管理該電腦上的其他資源。例如，您在系統關機或安裝新的設備或服務時可能需要關閉公開檔案。您也可以監看使用者最常存取的是哪些檔案，有助於您更準確評估檔案安全性。

附註：您只能透過「委託和管理」主控台管理開啟的檔案。

關閉檔案: 您可以在網路上從資源關閉公開檔案。當您想要關閉公開檔案時，建議您通知使用者。他們可能需要時間來儲存資料。若要關閉公開檔案，您必須能夠存取對應的電腦。
重新整理公開檔案清單: 若要確保您在電腦上檢視的是最新的公開工作階段相關資訊，請手動重新整理連接使用者的清單。若要重新整理公開檔案清單，您必須能夠存取對應的電腦。

8.0 管理資源回收筒

資源回收筒允許您暫時刪除使用者帳戶、群組、聯絡人和電腦帳戶，從而提供網路安全性。接著，您可以在所有資料 (例如 SID、ACL 和群組成員資格) 原封不動的情況下將這些物件還原為其原始狀態，或是永久刪除這些物件。這個彈性能提供更安全的方法來管理使用者帳戶、群組、聯絡人及電腦帳戶。您可以使用搜尋選項來搜尋需要的物件。如需更多資訊，請參閱搜尋物件。

從資源回收筒還原物件: 您可以將已刪除的物件還原回您從中刪除物件的容器。DRA 會在所有資料 (例如 SID、ACL 和群組成員資格) 原封不動的情況下將這些物件還原為其原始狀態。物件可以是使用者帳戶、群組、聯絡人、動態群組、資源信箱、動態通訊群組或電腦帳戶。
還原所有物件: 您可以從管理的網域的資源回收筒還原所有物件。您可以從特定網域的資源回收筒或跨所有管理的網域還原物件。若要從特定網域的資源回收筒還原物件，則必須針對該網域啟用資源回收筒。
從資源回收筒刪除物件: 您可以從管理的網域的資源回收筒永久刪除物件。一旦您從資源回收筒刪除物件後，將無法還原物件。物件可以是使用者帳戶、群組、聯絡人、動態群組、資源信箱、動態通訊群組或電腦帳戶。
清除資源回收筒: 您可以清除管理的網域的資源回收筒。清除資源回收筒會永久刪除目前在資源回收筒中的任何物件。您可以清除特定網域的資源回收筒或跨所有管理的網域的資源回收筒。若要清除特定網域的資源回收筒，則必須針對該網域啟用資源回收筒。一旦您清除資源回收筒後，將無法還原刪除的物件。

A.0 法律聲明

如需法律聲明、商標、免責聲明、擔保聲明、出口與其他使用限制、美國政府限制的權利、專利政策與 FIPS 法規遵循的相關資訊，請參閱 https://www.microfocus.com/en-us/legal。

Micro Focus 及其關係企業和授權者 (統稱為「Micro Focus」) 之產品與服務的保固，僅載於該項產品與服務隨附的明確保固聲明中。本文中任何內容不得解釋為構成其他保固。對於本文中之技術或編輯錯誤或疏漏，Micro Focus 不負任何責任。本文資訊如有更動，恕不另行通知。

資訊	錯誤
警告	問題