Kurz: Vytvoření virtuálního počítače pro správu pro konfiguraci a správu spravované domény služby Microsoft Entra Domain Services

Služba Microsoft Entra Domain Services poskytuje spravované doménové služby, jako je připojení k doméně, zásady skupiny, ldap a ověřování Kerberos/NTLM, které je plně kompatibilní se službou Windows Server Active Directory. Tuto spravovanou doménu spravujete pomocí stejných nástrojů pro vzdálenou správu serveru (RSAT) jako u místní domény služby Active Directory Domain Services. Protože služba Domain Services je spravovaná služba, některé úlohy správy nemůžete provádět, například pomocí protokolu RDP (Remote Desktop Protocol) pro připojení k řadičům domény.

V tomto kurzu se dozvíte, jak nakonfigurovat virtuální počítač s Windows Serverem v Azure a nainstalovat požadované nástroje pro správu spravované domény Domain Services.

V tomto kurzu se naučíte:

• Vysvětlení dostupných úloh správy ve spravované doméně
• Instalace nástrojů pro správu služby Active Directory na virtuální počítač s Windows Serverem
• Použití Centra správy služby Active Directory k provádění běžných úloh

Pokud nemáte předplatné Azure, vytvořte účet, než začnete.

Požadavky

K dokončení tohoto kurzu potřebujete následující prostředky a oprávnění:

• Aktivní předplatné Azure.
  • Pokud nemáte předplatné Azure, vytvořte si účet.
• Tenant Microsoft Entra přidružený k vašemu předplatnému, buď synchronizovaný s místním adresářem, nebo s cloudovým adresářem.
  • V případě potřeby vytvořte tenanta Microsoft Entra nebo přidružit předplatné Azure k vašemu účtu.
• Spravovaná doména služby Microsoft Entra Domain Services je povolená a nakonfigurovaná ve vašem tenantovi Microsoft Entra.
  • V případě potřeby se podívejte na první kurz, který vytvoření a konfigurace spravované domény služby Microsoft Entra Domain Services.
• Virtuální počítač s Windows Serverem, který je připojený ke spravované doméně.
  • V případě potřeby si prohlédni předchozí kurz vytvoření virtuálního počítače s Windows Serverem a jeho připojení ke spravované doméně.
• Uživatelský účet, který je členem skupiny microsoft Entra DC administrators ve vašem tenantovi Microsoft Entra.
• Hostitel služby Azure Bastion nasazený ve virtuální síti Domain Services.
  • V případě potřeby vytvořit hostitele služby Azure Bastion.

Přihlášení k Centru pro správu Microsoft Entra

V tomto kurzu vytvoříte a nakonfigurujete virtuální počítač pro správu pomocí Centra pro správu Microsoft Entra. Začněte tak, že se nejprve přihlásíte do centra pro správu Microsoft Entra.

Dostupné úlohy správy ve službě Domain Services

Domain Services poskytuje spravovanou doménu, kterou můžou vaši uživatelé, aplikace a služby využívat. Tento přístup změní některé z dostupných úloh správy, které můžete dělat a jaká oprávnění máte ve spravované doméně. Tyto úlohy a oprávnění se můžou lišit od toho, co máte v běžném místním prostředí služby Active Directory Domain Services. Nemůžete se také připojit k řadičům domény ve spravované doméně pomocí vzdálené plochy.

Úlohy správy, které můžete provádět ve spravované doméně

Členové skupiny AAD DC Administrators mají udělená oprávnění ke spravované doméně, což jim umožňuje provádět úkoly, jako jsou:

• Nakonfigurujte vestavěný objekt zásad skupiny (GPO) pro kontejnery Počítače AADDC a Uživatelé AADDC ve spravované doméně.
• Správa DNS ve spravované doméně
• Vytvořte a spravujte vlastní organizační jednotky (OU) ve spravované doméně.
• Získejte přístup správce k počítačům připojeným ke spravované doméně.

Oprávnění správce, která nemáte ve spravované doméně

Spravovaná doména je uzamčená, takže nemáte oprávnění k určitým úlohám správy v doméně. Některé z následujících příkladů jsou úkoly, které nemůžete udělat:

• Rozšíření schématu spravované domény
• Připojte se k řadičům domény pro spravovanou doménu pomocí vzdálené plochy.
• Přidejte řadiče domény do spravované domény.
• Nemáte oprávnění správce domény ani podnikový správce pro spravovanou doménu.

Přihlášení k virtuálnímu počítači s Windows Serverem

V předchozím kurzu se vytvořil a připojil virtuální počítač s Windows Serverem ke spravované doméně. Tento virtuální počítač použijte k instalaci nástrojů pro správu. V případě potřeby postupujte podle kroků v kurzu a vytvořte a připojte virtuální počítač s Windows Serverem ke spravované doméně.

Poznámka

V tomto kurzu použijete virtuální počítač s Windows Serverem v Azure, který je připojený ke spravované doméně. Můžete také použít klienta Windows, například Windows 10, který je připojený ke spravované doméně.

Další informace o tom, jak nainstalovat nástroje pro správu na klienta systému Windows, najdete v tématu instalace nástrojů pro vzdálenou správu serveru (RSAT)

Začněte tím, že se připojíte k virtuálnímu počítači s Windows Serverem následujícím způsobem:

1. V Centru pro správu Microsoft Entra vyberte skupiny prostředků na levé straně. Vyberte skupinu prostředků, ve které byl virtuální počítač vytvořen, například myResourceGroup, a pak vyberte virtuální počítač, například myVM .

2. V podokně Přehled pro váš virtuální počítač vyberte Připojita pak Bastion.

   

3. Zadejte přihlašovací údaje pro virtuální počítač a pak vyberte Připojit.

   

V případě potřeby povolte webovému prohlížeči otevření automaticky otevíraných oken pro zobrazení připojení Bastion. Připojení k virtuálnímu počítači trvá několik sekund.

Instalace nástrojů pro správu služby Active Directory

Stejné nástroje pro správu používáte ve spravované doméně jako místní prostředí SLUŽBY AD DS, například Centrum správy služby Active Directory (ADAC) nebo AD PowerShell. Tyto nástroje lze nainstalovat jako součást funkce Nástroje pro vzdálenou správu serveru (RSAT) na počítačích s Windows Serverem a klientskými počítači. Členové skupiny AAD DC Administrators pak můžou spravovat domény vzdáleně pomocí těchto nástrojů pro správu Active Directory z počítače, který je připojený ke spravované doméně.

Pokud chcete nainstalovat nástroje pro správu služby Active Directory na virtuální počítač připojený k doméně, proveďte následující kroky:

1. Pokud se Správce serveru při přihlášení k virtuálnímu počítači neotevře ve výchozím nastavení, vyberte nabídku Start a pak zvolte Správce serveru.

2. V podokně řídicího panelu v okně Správce serveru vyberte Přidat role a funkce.

3. Na stránce Před zahájením v průvodci Přidání rolí a funkcívyberte Další.

4. U Typ instalaceponechte zaškrtnutou možnost instalace na základě role nebo funkce a vyberte Další.

5. Na stránce Výběr serveru zvolte aktuální virtuální počítač z fondu serverů, například myvm.aaddscontoso.com, a pak vyberte Další.

6. Na stránce role serveru klepněte na tlačítko Další.

7. Na stránce Funkce rozbalte uzel Nástroje pro vzdálenou správu serveru a potom rozbalte uzel Nástroje pro správu rolí.

   V seznamu nástrojů pro správu rolí zvolte AD DS a nástroje služby AD LDS a pak vyberte Další.

   

8. Na stránce Potvrzení vyberte Nainstalovat. Instalace nástrojů pro správu může trvat minutu nebo dvě.

9. Po dokončení instalace funkce vyberte Zavřít a ukončete průvodce Přidat role a funkce.

Použití nástrojů pro správu služby Active Directory

S nainstalovanými nástroji pro správu se podíváme, jak je používat ke správě spravované domény. Ujistěte se, že jste k virtuálnímu počítači přihlášeni pomocí uživatelského účtu, který je členem skupiny Administrátoři AAD.

1. V nabídce Start vyberte nástroje pro správu systému Windows. Zobrazí se nástroje pro správu AD nainstalované v předchozím kroku.

   

2. Vyberte Centrum správy služby Active Directory.

3. Pokud chcete prozkoumat spravovanou doménu, zvolte název domény v levém podokně, například aaddscontoso. V horní části seznamu jsou dva kontejnery s názvem AADDC Computers a s názvem AADDC Users.

   

4. Pokud chcete zobrazit uživatele a skupiny, které patří do spravované domény, vyberte kontejner uživatelé AADDC. Uživatelské účty a skupiny z vašeho tenanta Microsoft Entra jsou uvedené v tomto kontejneru.

   Ve výstupu v následujícím příkladu se v tomto kontejneru zobrazí uživatelský účet s názvem Contoso Admin a skupina pro AAD DC Administrators.

   

5. Pokud chcete zobrazit počítače připojené ke spravované doméně, vyberte kontejner Počítače AADDC. Zobrazí se položka pro aktuální virtuální počítač, například myVM. Účty počítačů pro všechna zařízení připojená ke spravované doméně jsou uloženy v tomto kontejneru AADDC počítače.

K dispozici jsou běžné akce Centra správy služby Active Directory, jako je resetování hesla uživatelského účtu nebo správa členství ve skupinách. Tyto akce fungují jenom pro uživatele a skupiny vytvořené přímo ve spravované doméně. Informace o identitě synchronizují pouze ze služby Microsoft Entra ID do domain Services. Z Domain Services do Microsoft Entra ID nedochází k žádnému zápisu zpět. Nemůžete změnit hesla ani členství ve spravované skupině pro uživatele synchronizované z Microsoft Entra ID a tyto změny synchronizovat zpět.

Ke správě běžných akcí ve spravované doméně můžete také použít modul Active Directory pro windows PowerShellnainstalované jako součást nástrojů pro správu.

Další kroky

V tomto kurzu jste se naučili:

• Vysvětlení dostupných úloh správy ve spravované doméně
• Instalace nástrojů pro správu služby Active Directory na virtuální počítač s Windows Serverem
• Použití Centra správy služby Active Directory k provádění běžných úloh

Pokud chcete bezpečně pracovat se spravovanou doménou z jiných aplikací, povolte zabezpečený protokol LDAPS (Lightweight Directory Access Protocol).

Nakonfigurujte zabezpečený protokol LDAP pro spravovanou doménu