Een organisatie-eenheid (OE) maken in een door Microsoft Entra Domain Services beheerd domein
Organisatie-eenheden (OE's) in een beheerd domein van Active Directory-domein Services (AD DS) bieden u de mogelijkheden om objecten, zoals gebruikersaccounts, serviceaccounts of computeraccounts, logisch te groeperen. Vervolgens kunt u beheerders toewijzen aan specifieke organisatie-eenheden en groepsbeleid toepassen om doelconfiguratie-instellingen af te dwingen.
Beheerde domeinen van Domain Services omvatten de volgende twee ingebouwde OE's:
- AADDC-computers : bevat computerobjecten voor alle computers die zijn gekoppeld aan het beheerde domein.
- AADDC-gebruikers : bevat gebruikers en groepen die zijn gesynchroniseerd vanuit de Microsoft Entra-tenant.
Wanneer u workloads maakt en uitvoert die gebruikmaken van Domain Services, moet u mogelijk serviceaccounts maken voor toepassingen om zichzelf te verifiëren. Als u deze serviceaccounts wilt organiseren, maakt u vaak een aangepaste organisatie-eenheid in het beheerde domein en maakt u vervolgens serviceaccounts binnen die organisatie-eenheid.
In een hybride omgeving worden OE's die zijn gemaakt in een on-premises AD DS-omgeving niet gesynchroniseerd met het beheerde domein. Beheerde domeinen maken gebruik van een platte OE-structuur. Alle gebruikersaccounts en -groepen worden opgeslagen in de container AADDC-gebruikers , ondanks dat ze worden gesynchroniseerd vanuit verschillende on-premises domeinen of forests, zelfs als u daar een hiërarchische OE-structuur hebt geconfigureerd.
In dit artikel leest u hoe u een organisatie-eenheid maakt in uw beheerde domein.
Voordat u begint
U hebt de volgende resources en bevoegdheden nodig om dit artikel te voltooien:
- Een actief Azure-abonnement.
- Als u nog geen Azure-abonnement hebt, maakt u een account.
- Een Microsoft Entra-tenant die is gekoppeld aan uw abonnement, gesynchroniseerd met een on-premises directory of een cloudmap.
- Maak indien nodig een Microsoft Entra-tenant of koppel een Azure-abonnement aan uw account.
- Een door Microsoft Entra Domain Services beheerd domein ingeschakeld en geconfigureerd in uw Microsoft Entra-tenant.
- Voltooi zo nodig de zelfstudie voor het maken en configureren van een door Microsoft Entra Domain Services beheerd domein.
- Een Windows Server-beheer-VM die is gekoppeld aan het beheerde domein Domain Services.
- Voltooi indien nodig de zelfstudie voor het maken van een beheer-VM.
- Een gebruikersaccount dat lid is van de Microsoft Entra DC-beheerdersgroep in uw Microsoft Entra-tenant.
Overwegingen en beperkingen voor aangepaste organisatie-eenheid
Wanneer u aangepaste OE's in een beheerd domein maakt, krijgt u extra beheerflexbiliteit voor gebruikersbeheer en het toepassen van groepsbeleid. Vergeleken met een on-premises AD DS-omgeving zijn er enkele beperkingen en overwegingen bij het maken en beheren van een aangepaste OE-structuur in een beheerd domein:
- Als u aangepaste organisatie-eenheden wilt maken, moeten gebruikers lid zijn van de groep AAD DC Beheer istrators.
- Een gebruiker die een aangepaste organisatie-eenheid maakt, krijgt beheerdersbevoegdheden (volledig beheer) over die organisatie-eenheid en is de eigenaar van de resource.
- De groep AAD DC Beheer istrators heeft standaard ook volledige controle over de aangepaste OE.
- Er wordt een standaard-OE voor AADDC-gebruikers gemaakt die alle gesynchroniseerde gebruikersaccounts van uw Microsoft Entra-tenant bevat.
- U kunt gebruikers of groepen niet verplaatsen van de organisatie-eenheid AADDC-gebruikers naar aangepaste organisatie-eenheden die u maakt. Alleen gebruikersaccounts of resources die in het beheerde domein zijn gemaakt, kunnen worden verplaatst naar aangepaste OE's.
- Gebruikersaccounts, groepen, serviceaccounts en computerobjecten die u maakt onder aangepaste organisatie-eenheden, zijn niet beschikbaar in uw Microsoft Entra-tenant.
- Deze objecten worden niet weergegeven met behulp van de Microsoft Graph API of in de Gebruikersinterface van Microsoft Entra; ze zijn alleen beschikbaar in uw beheerde domein.
Een aangepaste organisatie-eenheid maken
Als u een aangepaste organisatie-eenheid wilt maken, gebruikt u de Active Directory-Beheer istratieve hulpprogramma's van een vm die lid is van een domein. Met het Active Directory-Beheer istratief centrum kunt u resources in een beheerd domein bekijken, bewerken en maken, inclusief OE's.
Notitie
Als u een aangepaste organisatie-eenheid in een beheerd domein wilt maken, moet u zijn aangemeld bij een gebruikersaccount dat lid is van de AAD DC-groep Beheer istrators.
Meld u aan bij uw beheer-VM. Zie Verbinding maken met een Windows Server-VM voor stappen voor het maken van verbinding met het Microsoft Entra-beheercentrum.
Selecteer in het startscherm Beheer istratieve hulpmiddelen. Er wordt een lijst met beschikbare beheerhulpprogramma's weergegeven die zijn geïnstalleerd in de zelfstudie om een beheer-VM te maken.
Als u OE's wilt maken en beheren, selecteert u Active Directory Beheer istrative Center in de lijst met beheerprogramma's.
Kies in het linkerdeelvenster uw beheerde domein, zoals aaddscontoso.com. Er wordt een lijst met bestaande OE's en resources weergegeven:
Het deelvenster Taken wordt aan de rechterkant van het Active Directory-Beheer istratief centrum weergegeven. Selecteer onder het domein, zoals aaddscontoso.com, de optie Nieuwe > organisatie-eenheid.
Geef in het dialoogvenster Organisatie-eenheid maken een naam op voor de nieuwe organisatie-eenheid, zoals MyCustomOu. Geef een korte beschrijving op voor de organisatie-eenheid, zoals aangepaste OE voor serviceaccounts. Desgewenst kunt u ook het veld Beheerd door instellen voor de organisatie-eenheid. Als u de aangepaste organisatie-eenheid wilt maken, selecteert u OK.
Terug in het Active Directory-Beheer istrative Center, wordt de aangepaste organisatie-eenheid nu weergegeven en is deze beschikbaar voor gebruik:
Volgende stappen
Zie de volgende artikelen voor meer informatie over het gebruik van de beheerhulpprogramma's of het maken en gebruiken van serviceaccounts: