Een organisatie-eenheid (OE) maken in een door Microsoft Entra Domain Services beheerd domein

Met organisatie-eenheden (OE's) in een door Active Directory Domain Services (AD DS) beheerd domein kunt u objecten, zoals gebruikersaccounts, serviceaccounts of computeraccounts, logisch groeperen. Vervolgens kunt u beheerders toewijzen aan specifieke organisatie-eenheden en groepsbeleid toepassen om doelconfiguratie-instellingen af te dwingen.

Beheerde domeinen van Domain Services omvatten de volgende twee ingebouwde OE's:

• AADDC-computers: bevat computerobjecten voor alle computers die zijn gekoppeld aan het beheerde domein.
• AADDC-gebruikers: bevat gebruikers en groepen die zijn gesynchroniseerd vanuit de Microsoft Entra-tenant.

Wanneer u workloads maakt en uitvoert die gebruikmaken van Domain Services, moet u mogelijk serviceaccounts maken voor toepassingen om zichzelf te verifiëren. Als u deze serviceaccounts wilt organiseren, maakt u vaak een aangepaste organisatie-eenheid in het beheerde domein en maakt u vervolgens serviceaccounts binnen die organisatie-eenheid.

In een hybride omgeving worden OE's die zijn gemaakt in een on-premises AD DS-omgeving niet gesynchroniseerd met het beheerde domein. Beheerde domeinen maken gebruik van een platte OE-structuur. Alle gebruikersaccounts en -groepen worden opgeslagen in de AADDC-gebruikers container, ondanks dat ze vanuit verschillende on-premises domeinen of forests worden gesynchroniseerd, zelfs als u daar een hiërarchische organisatie-eenheidsstructuur hebt geconfigureerd.

In dit artikel leest u hoe u een organisatie-eenheid maakt in uw beheerde domein.

Voordat u begint

U hebt de volgende resources en bevoegdheden nodig om dit artikel te voltooien:

• Een actief Azure-abonnement.
  • Als u geen Azure-abonnement hebt, maak dan een accountaan.
• Een Microsoft Entra-tenant die is gekoppeld aan uw abonnement, gesynchroniseerd met een on-premises directory of een cloud-only directory.
  • indien nodig een Microsoft Entra-tenant maken of een Azure-abonnement koppelen aan uw account.
• Een door Microsoft Entra Domain Services beheerd domein ingeschakeld en geconfigureerd in uw Microsoft Entra-tenant.
  • Voltooi indien nodig de zelfstudie voor het maken en configureren van een door Microsoft Entra Domain Services beheerd domein.
• Een Windows Server-beheer-VM die is gekoppeld aan het beheerde domein Domain Services.
  • Voltooi indien nodig de zelfstudie om een beheer-VM te maken.
• Een gebruikersaccount dat lid is van de Microsoft Entra DC-beheerders groep in uw Microsoft Entra-tenant.

Overwegingen en beperkingen voor aangepaste organisatie-eenheden

Wanneer u aangepaste OE's in een beheerd domein maakt, krijgt u extra beheerflexbiliteit voor gebruikersbeheer en het toepassen van groepsbeleid. Vergeleken met een on-premises AD DS-omgeving zijn er enkele beperkingen en overwegingen bij het maken en beheren van een aangepaste OE-structuur in een beheerd domein:

• Als u aangepaste organisatie-eenheden wilt maken, moeten gebruikers lid zijn van de AAD DC-beheerders groep.
• Een gebruiker die een aangepaste organisatie-eenheid maakt, krijgt beheerdersbevoegdheden (volledig beheer) over die organisatie-eenheid en is de eigenaar van de resource.
  • Standaard heeft de AAD DC-beheerders groep ook volledige controle over de aangepaste organisatie-eenheid.
• Er wordt een standaard-OE voor AADDC-gebruikers gemaakt die alle gesynchroniseerde gebruikersaccounts van uw Microsoft Entra-tenant bevat.
  • U kunt gebruikers of groepen niet verplaatsen van de AADDC-gebruikers OU naar aangepaste OUs die u maakt. Alleen gebruikersaccounts of bronnen die in het beheerde domein zijn gemaakt, kunnen worden verplaatst naar aangepaste OE's.
• Gebruikersaccounts, groepen, serviceaccounts en computerobjecten die u maakt onder aangepaste organisatie-eenheden, zijn niet beschikbaar in uw Microsoft Entra-tenant.
  • Deze objecten worden niet weergegeven met behulp van de Microsoft Graph API of in de Gebruikersinterface van Microsoft Entra; ze zijn alleen beschikbaar in uw beheerde domein.

Een aangepaste organisatie-eenheid maken

Als u een aangepaste organisatie-eenheid wilt maken, gebruikt u de Active Directory-beheerprogramma's van een domein-aangesloten VM. Met het Active Directory-beheercentrum kunt u resources in een beheerd domein bekijken, bewerken en maken, inclusief OE's.

Notitie

Als u een aangepaste organisatie-eenheid (OU) in een beheerd domein wilt maken, moet u zijn aangemeld met een gebruikersaccount van een lid van de AAD DC-beheerdersgroep.

1. Meld u aan bij uw beheer-VM. Zie Verbinding maken met een Windows Server-VM-voor stappen voor het maken van verbinding met het Microsoft Entra-beheercentrum.

2. Selecteer in het startscherm Systeembeheer. Er wordt een lijst met beschikbare beheerprogramma's weergegeven die zijn geïnstalleerd in de zelfstudie om een beheer-VM te maken.

3. Als u organisatie-eenheden wilt maken en beheren, selecteert u Active Directory-beheercentrum in de lijst met beheerprogramma's.

4. Kies in het linkerdeelvenster uw beheerde domein, zoals aaddscontoso.com. Er wordt een lijst met bestaande OE's en resources weergegeven:

   

5. Het deelvenster Taken wordt aan de rechterkant van het Active Directory-beheercentrum weergegeven. Selecteer onder het domein , zoals aaddscontoso.com, de nieuwe organisatie-eenheid >.

   

6. Geef in het dialoogvenster Organisatie-eenheid maken een Naam op voor de nieuwe organisatie-eenheid, zoals MyCustomOu. Geef een korte beschrijving op voor de organisatie-eenheid, zoals aangepaste organisatie-eenheid voor serviceaccounts. Desgewenst kunt u ook het veld Beheerd door instellen voor de organisatie-eenheid. Om de aangepaste organisatie-eenheid te maken, selecteert u OK.

   

7. Terug in het Active Directory Beheercentrum is de aangepaste OU nu zichtbaar en beschikbaar voor gebruik.

   

Volgende stappen

Zie de volgende artikelen voor meer informatie over het gebruik van de beheerhulpprogramma's of het maken en gebruiken van serviceaccounts:

• Active Directory-beheercentrum: Aan de slag
• Stapsgewijze handleiding voor serviceaccounts