Verwaltungskonzepte für Benutzerkonten, Kennwörter und die Verwaltung in Microsoft Entra Domain Services
Beim Erstellen und Ausführen einer verwalteten Microsoft Entra Domain Services-Domäne gibt es einige Unterschiede im Verhalten im Vergleich zu einer herkömmlichen lokalen AD DS-Umgebung. Sie verwenden dieselben Verwaltungstools in Domain Services wie eine selbstverwaltete Domäne, aber Sie können nicht direkt auf die Domänencontroller (DC) zugreifen. Es gibt auch einige Unterschiede im Verhalten von Kennwortrichtlinien und Kennworthashes, die von der Quelle der Erstellung des Benutzerkontos abhängig sind.
In diesem konzeptionellen Artikel erfahren Sie, wie Sie eine verwaltete Domäne und das unterschiedliche Verhalten von Benutzerkonten abhängig von der Art ihrer Erstellung verwalten.
Domänenverwaltung
Eine verwaltete Domäne ist ein DNS-Namespace und ein entsprechendes Verzeichnis. In einer verwalteten Domäne sind die Domänencontroller (DCs), die alle Ressourcen wie Benutzer und Gruppen, Anmeldeinformationen und Richtlinien enthalten, Teil des verwalteten Diensts. Aus Redundanzgründen werden zwei DCs als Teil einer verwalteten Domäne erstellt. Sie können sich nicht bei diesen DCs anmelden, um Verwaltungsaufgaben auszuführen. Stattdessen erstellen Sie eine Verwaltungs-VM, die der verwalteten Domäne hinzugefügt wird, und installieren dann die regulären AD DS Verwaltungstools. Sie können z.B. das Active Directory-Verwaltungscenter oder MMC-Snap-Ins (Microsoft Management Console) wie etwa DNS oder Gruppenrichtlinienobjekte verwenden.
Erstellung von Benutzerkonten
Benutzerkonten können in einer verwalteten Domäne auf verschiedene Weise erstellt werden. Die meisten Benutzerkonten werden aus Microsoft Entra ID synchronisiert, was auch Benutzerkonten beinhalten kann, die aus einer lokalen AD DS-Umgebung synchronisiert werden. Sie können Konten auch direkt in einer verwalteten Domäne manuell erstellen. Einige Features wie die anfängliche Kennwortsynchronisierung oder die Kennwortrichtlinie verhalten sich abhängig davon, wie und wo Benutzerkonten erstellt werden, unterschiedlich.
- Das Benutzerkonto kann über Microsoft Entra ID synchronisiert werden. Dazu gehören reine Cloudbenutzerkonten, die direkt in Microsoft Entra ID erstellt wurden, sowie hybride Benutzerkonten, die aus einer lokalen AD DS-Umgebung mit Microsoft Entra Connect synchronisiert werden.
- Der Großteil der Benutzerkonten in einer verwalteten Domäne wird durch den Synchronisierungsprozess aus Microsoft Entra ID erstellt.
- Das Benutzerkonto kann in einer verwalteten Domäne manuell erstellt werden und ist dann in Microsoft Entra ID nicht vorhanden.
- Wenn Sie Dienstkonten für Anwendungen erstellen müssen, die nur in der verwalteten Domäne ausgeführt werden, können Sie diese manuell in der verwalteten Domäne erstellen. Da die Synchronisierung aus Microsoft Entra ID unidirektional ist, werden Benutzerkonten, die in der verwalteten Domäne erstellt werden, nicht zurück zu Microsoft Entra ID synchronisiert.
Kennwortrichtlinie
Domain Services enthält eine Standardkennwortrichtlinie, die Einstellungen für Dinge wie Kontosperrung, maximales Kennwortalter und Kennwortkomplexität definiert. Einstellungen wie die Kontosperrungsrichtlinie gelten für alle Benutzer in einer verwalteten Domäne, und zwar unabhängig davon, wie der Benutzer erstellt wurde (im vorherigen Abschnitt beschrieben). Einige Einstellungen (z.B. die minimale Kennwortlänge und die Kennwortkomplexität) gelten nur für Benutzer, die direkt in einer verwalteten Domäne erstellt werden.
Sie können eigene benutzerdefinierte Kennwortrichtlinien erstellen, um die Standardrichtlinie in einer verwalteten Domäne außer Kraft zu setzen. Diese benutzerdefinierten Richtlinien können dann nach Bedarf auf bestimmte Gruppen von Benutzern angewendet werden.
Weitere Informationen zu den Unterschieden bei der Anwendung von Kennwortrichtlinien in Abhängigkeit von der Quelle der Benutzererstellung finden Sie unter Kennwort- und Kontosperrungsrichtlinien für verwaltete Domänen .
Kennworthashes
Um Benutzer*innen in der verwalteten Domäne authentifizieren zu können, benötigt Domain Services Kennworthashes in einem Format, das für die Authentifizierung über NT LAN Manager (NTLM) und Kerberos geeignet ist. Microsoft Entra ID generiert oder speichert erst dann Kennworthashes in dem für die NTLM- oder Kerberos-Authentifizierung erforderlichen Format, wenn Sie Domain Services für Ihren Mandanten aktivieren. Aus Sicherheitsgründen speichert Microsoft Entra ID Kennwörter nicht als Klartext. Daher kann Microsoft Entra IID diese NTLM- oder Kerberos-Kennworthashes nicht automatisch auf der Grundlage bereits vorhandener Anmeldeinformationen von Benutzern generieren.
Bei reinen Cloudbenutzerkonten müssen Benutzer ihre Kennwörter ändern, bevor sie die verwaltete Domäne verwenden können. Diese Kennwortänderung führt dazu, dass die Kennworthashes für die Kerberos- und NTLM-Authentifizierung in Microsoft Entra ID generiert und gespeichert werden. Das Konto wird erst dann von Microsoft Entra ID mit Domain Services synchronisiert, wenn das Kennwort geändert wird.
Für Benutzer, die mittels Microsoft Entra Connect aus einer lokalen AD DS-Umgebung synchronisiert werden, aktivieren Sie die Synchronisierung von Kennworthashes.
Wichtig
Microsoft Entra Connect synchronisiert nur dann Legacy-Kennworthashes, wenn Sie Domain Services für Ihren Microsoft Entra Mandanten aktivieren. Legacy-Kennworthashes werden nicht verwendet, wenn Sie Microsoft Entra Connect nur zum Synchronisieren einer lokalen AD DS-Umgebung mit Microsoft Entra ID verwenden.
Wenn Ihre Legacy-Anwendungen keine NTLM-Authentifizierung oder einfachen LDAP-Bindungen verwenden, empfiehlt es sich, die NTLM-Kennworthashsynchronisierung für Domain Services zu deaktivieren. Weitere Informationen finden Sie unter Deaktivieren von schwachen Verschlüsselungssammlungen und der Synchronisierung von NTLM-Anmeldeinformationshashes.
Nach entsprechender Konfiguration werden die verwendbaren Kennworthashes in der verwalteten Domäne gespeichert. Wenn Sie die verwaltete Domäne löschen, werden alle zu diesem Zeitpunkt gespeicherten Kennworthashes ebenfalls gelöscht. Synchronisierte Anmeldeinformationen in Microsoft Entra ID können nicht wiederverwendet werden, wenn Sie später eine andere verwaltete Domäne erstellen. Sie müssen die Kennworthashsynchronisierung erneut konfigurieren, um die Kennworthashes wieder zu speichern. VMs oder Benutzer, die zuvor in eine Domäne eingebunden wurden, können sich nicht sofort authentifizieren. Microsoft Entra ID muss die Kennworthashes in der neuen verwalteten Domäne generieren und speichern. Weitere Informationen finden Sie unter Prozess zur Kennworthashsynchronisierung für Domain Services und Microsoft Entra Connect.
Wichtig
Microsoft Entra Connect sollte nur für die Synchronisierung mit lokalen AD DS-Umgebungen installiert und konfiguriert werden. Es wird nicht unterstützt, Microsoft Entra Connect in einer verwalteten Domäne zu installieren, um Objekte zurück zu Microsoft Entra ID zu synchronisieren.
Gesamtstrukturen und Vertrauensstellungen
Eine Gesamtstruktur ist ein logisches Konstrukt, das von Active Directory Domain Services (AD DS) zum Gruppieren von Domänen verwendet wird. Die Domänen speichern dann Objekte für Benutzer oder Gruppen und stellen Authentifizierungsdienste bereit.
In Domain Services enthält die Gesamtstruktur nur eine Domäne. Lokale AD DS-Gesamtstrukturen enthalten häufig mehrere Domänen. In großen Unternehmen sind, insbesondere nach Fusionen und Übernahmen, unter Umständen mehrere lokale Gesamtstrukturen vorhanden, die jeweils mehrere Domänen enthalten.
Standardmäßig synchronisiert eine verwaltete Domäne alle Objekte aus Microsoft Entra ID, einschließlich aller Benutzerkonten, die in einer lokalen AD DS-Umgebung erstellt wurden. Benutzerkonten können sich direkt bei der verwalteten Domäne authentifizieren, um sich beispielsweise bei einem in eine Domäne eingebundenen virtuellen Computer anzumelden. Dieser Ansatz funktioniert, wenn die Kennworthashes synchronisiert werden können und Benutzer keine exklusiven Anmeldemethoden wie etwa die Smartcard-Authentifizierung verwenden.
In Domänendiensten können Sie auch eine Gesamtstrukturvertrauensstellung mit einer anderen Domäne erstellen, damit Benutzerinnen und Benutzer auf Ressourcen zugreifen können. Je nach Ihren Zugriffsanforderungen können Sie die Gesamtstrukturvertrauensstellung in unterschiedlichen Richtungen erstellen.
| Vertrauensstellungsrichtung | Benutzerzugriff |
|---|---|
| Bidirektional | Ermöglicht Benutzern sowohl in der verwalteten Domäne als auch in der lokalen Domäne den Zugriff auf Ressourcen in beiden Domänen. |
| Unidirektional, ausgehend | Ermöglicht Benutzern in der lokalen Domäne den Zugriff auf Ressourcen in der verwalteten Domäne, aber nicht umgekehrt. |
| Unidirektional, eingehend | Ermöglicht Benutzern in der verwalteten Domäne den Zugriff auf Ressourcen in der lokalen Domäne. |
Domain Services-SKUs
In Domain Services basieren die verfügbare Leistung und die Funktionen auf der SKU. Beim Erstellen der verwalteten Domäne wählen Sie eine SKU aus und wechseln die SKU, wenn sich Ihre Geschäftsanforderungen nach der Bereitstellung der verwalteten Domäne ändern. In der folgenden Tabelle werden die verfügbaren SKUs und die Unterschiede zwischen ihnen aufgeführt:
| SKU-Name | Maximale Anzahl von Objekten | Sicherungshäufigkeit |
|---|---|---|
| Standard | Unbegrenzt | Alle 5 Tage |
| Enterprise | Unbegrenzt | Alle 3 Tage |
| Premium | Unbegrenzt | Täglich |
Vor diesen Domain Services-SKUs wurde in der verwalteten Domäne ein Abrechnungsmodell verwendet, das auf der Anzahl von Objekten (Benutzer- und Computerkonten) basierte. Die variable Preisgestaltung, die auf der Anzahl der Objekte in der verwalteten Domäne beruhte, gibt es nicht mehr.
Weitere Informationen finden Sie auf der Domain Services-Preisseite.
Leistung der verwalteten Domäne
Die Leistung der Domäne hängt davon ab, wie die Authentifizierung für eine Anwendung implementiert wird. Zusätzliche Computeressourcen können dabei helfen, die Antwortzeit bei Abfragen zu verbessern und die Zeit für Synchronisierungsvorgänge zu reduzieren. Je höher der SKU-Tarif, desto mehr Computeressourcen stehen für die verwaltete Domäne zur Verfügung. Überwachen Sie die Leistung Ihrer Anwendungen, und planen Sie die erforderlichen Ressourcen.
Wenn sich Ihre Geschäfts- oder Anwendungsanforderungen ändern und Sie zusätzliche Rechenleistung für Ihre verwaltete Domäne benötigen, können Sie zu einer anderen SKU wechseln.
Sicherungshäufigkeit
Die Sicherungshäufigkeit bestimmt, wie oft eine Momentaufnahme der verwalteten Domäne erstellt wird. Sicherungen sind ein automatischer Prozess, der von der Azure-Plattform verwaltet wird. Bei einem Problem mit Ihrer verwalteten Domäne kann der Azure-Support Ihnen bei der Wiederherstellung von einer Sicherung helfen. Da die Synchronisierung nur unidirektional von Microsoft Entra ID erfolgt, wirken sich Probleme in einer verwalteten Domäne nicht auf Microsoft Entra ID oder lokale AD DS-Umgebungen und -Funktionen aus.
Je höher der SKU-Tarif, desto häufiger werden Sicherungsmomentaufnahmen erstellt. Überprüfen Sie Ihre Geschäftsanforderungen und Recovery Point Objective (RPO), um die erforderliche Sicherungshäufigkeit für Ihre verwaltete Domäne zu bestimmen. Wenn sich Ihre Geschäfts-oder Anwendungsanforderungen ändern und Sie häufigere Sicherungen benötigen, können Sie zu einer anderen SKU wechseln.
Domain Services liefert die folgenden Leitfaden zu Wiederherstellungszeiten für verschiedene Arten von Problemen:
- Recovery Point Objective (RPO) ist die maximale Zeitspanne, in der ein potenzieller Daten- oder Transaktionsverlust aufgrund eines Vorfalls eintritt.
- Recovery Time Objective (RTO) ist die angestrebte Zeitspanne bis zur Wiederherstellung der Servicelevel nach einem Vorfall.
| Probleme | RPO | RTO |
|---|---|---|
| Probleme, die durch Datenverlust oder -beschädigung bei Domain Services-Domänencontroller, abhängigen Diensten, einem Exploit, der die Domäne kompromittiert hat, oder einem anderen Vorfall, der die Wiederherstellung eines Domänencontrollers erfordert, verursacht wurden. | Fünf Tage vor Eintritt des Ereignisses | Zwei Stunden bis vier Tage, je nach Größe des Tenant |
| Probleme, die durch unsere Domain-Diagnose identifiziert wurden. | Null (0 Minuten) | Zwei Stunden bis vier Tage, je nach Größe des Tenant |
Nächste Schritte
Um loszulegen erstellen Sie eine verwaltete Domain Services-Domäne.