参照：
https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/delegating-administration-of-account-ous-and-resource-ous
トピック2、Fabrikam inc.
オンプレミスサーバー
オンプレミス ネットワークには、次の表に示すように、Windows Server を実行するサーバーが含まれています。

DC1 はすべての操作マスター ロールをホストします。
WEB1 と WEB2 は、Webapp1 という名前のインターネット インフォメーション サービス (IIS) Web アプリを実行します。
オンプレミスネットワーク
ニューヨークとシアトルのオフィスは冗長 WAN リンクを使用して接続されています。
各オフィスのクライアント コンピュータは、ローカル DHCP サーバーから IP アドレスを取得します。
DHCP! には、ニューヨーク オフィスのアドレスを含む Scope1 というスコープが含まれています。DHCP2 には、シアトル オフィスのアドレスを含む Scope2 というスコープが含まれています。
グループ ポリシー オブジェクト (GPO)
cwp.fabrikam.com ドメインには、次の表に示す組織単位 (OU) とカスタム グループ ポリシー オブジェクト (GPO) が含まれています。

要件：
Fabrikam は、次の計画された変更を特定します。
* Vnet1 という名前の単一の Azure 仮想ネットワークを含む、Sub1 という名前の単一の Azure サブスクリプションを作成します。
* Azure Virtual WAN と ExpressRoute を使用して、シアトル オフィスとニューヨーク オフィス間の WAN リンクを置き換えます。両方のオンプレミス オフィスは、ExpressRoute を使用して Vnet1 に接続されます。
* newyorkfiles、seattfefiles、companyfiles という名前の 3 つの Azure ファイル共有を作成します。
* Vnet1 に dc3.corp.fabrikam,com という名前のドメイン コントローラーを作成します。
* Vnet1 に Azure Virtual Desktop ホスト プールをデプロイします。Azure Virtual Desktop セッション ホストはハイブリッド Azure AD 参加になります。
* すべてのサーバーに Microsoft Defender for Servers のライセンスを付与します。
* Azure Policy を使用して、Azure およびオンプレミスのサーバーに構成管理ポリシーを適用します。
ネットワーク要件
Fabrikam では、次のセキュリティ要件を特定しています。
* GP04 を Azure Virtual Desktop セッション ホストに適用します。Azure Virtual Desktop ユーザー セッションが 10 分間アイドル状態になった後にロックされることを確認します。ユーザーは、クライアント コンピューターからロックアウト時間を手動で制御できる必要があります。
* サーバー管理者が Azure 仮想マシンへのリモート デスクトップ接続を確立する前に、承認を要求していることを確認します。要求が承認された場合、接続は 2 時間以内に確立される必要があります。
* ユーザー パスワードに、Fab. fabrikam や fsbr! | など、会社名に基づく単語の全部または一部が含まれないようにします。
* Webapp1 のすべてのインスタンスが同じサービス アカウントを使用していることを確認します。サービス アカウントのパスワードは 30 日ごとに自動的に変更される必要があります。
* ドメイン コントローラーがインターネット上のホストに直接接続できないようにします。
ファイル共有の要件
次の要件を満たすように Azure ファイルの同期を構成する必要があります。
* seattlefiles が FS2 に同期していることを確認します。
* newyorkfiles が FS1 に同期していることを確認します。
* companyfiles が FS1 と FS2 の両方に同期されていることを確認します。