11. 關於進行網路架構設計的敘述，下列何者較「不」適當？
(A) 應區分內外網
(B) 網站跟資料庫最好在不同網段
(C) 目錄伺服器 AD 應該放在辦公網段
(D) 可以透過 VLAN 切割網段

在規劃網路架構時，通常會強調「網段區隔」與「分層防護」，以降低不同服務或資源之間的相互影響與安全風險。以下先簡要解釋每個選項的意涵，並判斷其適當性。

各選項分析

1. (A) 應區分內外網

   • 一般企業或組織都會將「對外提供服務的區域」（例如 DMZ）與「內部員工使用的區域」分開，避免外部攻擊輕易滲透到內部系統。
   • 這是最基本且常見的安全做法，相當適當。

2. (B) 網站跟資料庫最好在不同網段

   • 通常會建議把 Web Server 放在 DMZ（或前端網段）中，而 Database 伺服器則放在更內部、受控更嚴格的區域（或後端網段）中，以免 Web Server 一旦遭入侵，攻擊者可直接存取 DB 造成更大危害。
   • 這同樣是常見且非常建議的作法。

3. (C) 目錄伺服器 AD 應該放在辦公網段

   • Active Directory（AD）/ 目錄伺服器是關鍵基礎設施，一旦被攻擊者拿下，便等於掌控整個網域的身份、權限，危害極大。
   • 一般安全建議：
     • Domain Controller 通常應該放在更嚴格保護的「伺服器網段」或「專用網段」，而不應與一般使用者電腦同在「辦公網段」（User LAN）裡。
     • 原因是辦公網段的裝置（如使用者電腦）較易遭受社交工程、惡意程式等攻擊，一旦受害，若 AD 也在相同網段，就容易被橫向移動（lateral movement）入侵。
   • 因此，**「應該把 AD 放在辦公網段」**通常被認為是不夠安全、較不適當的說法。

4. (D) 可以透過 VLAN 切割網段

   • VLAN (Virtual LAN) 是常見且有效的網路區隔方式，用來把網路分割成多個邏輯區域，減少廣播域，並強化安全控管。
   • 這當然是適當且常見的作法。

哪一項較「不」適當？

綜合上述說明，選項 (C)「目錄伺服器 AD 應該放在辦公網段」比較不符合資安最佳實務。通常建議將 AD 伺服器與一般使用者電腦區隔，放在安全等級更高、管控更嚴的網段。

所以，較不適當的選項為 (C)。