Windows Server beheren in een Microsoft Entra Domain Services-omgeving

  • 8 minuten

Microsoft Entra Domain Services biedt een beheerd domein voor gebruikers, toepassingen en services die kunnen worden gebruikt. Met deze aanpak worden enkele van de beschikbare beheertaken gewijzigd die u kunt uitvoeren, evenals de bevoegdheden die u hebt in het beheerde domein. Deze taken en machtigingen kunnen verschillen van wat u ervaart met een reguliere on-premises AD DS-omgeving.

Notitie

U kunt geen verbinding maken met domeincontrollers in het door Microsoft Entra Domain Services beheerde domein met behulp van Microsoft Extern bureaublad.

Overzicht

Leden van de groep AAD DC-beheerders krijgen bevoegdheden voor het door Microsoft Entra Domain Services beheerde domein. Als gevolg hiervan kunnen deze beheerders de volgende taken uitvoeren op het domein:

  • Configureer het ingebouwde groepsbeleidsobject voor de containers AADDC-computers en AADDC-gebruikers in het beheerde domein.
  • DNS beheren in het beheerde domein.
  • Aangepaste OE's maken en beheren in het beheerde domein.
  • Beheerderstoegang verkrijgen tot computers die aan het beheerde domein zijn gekoppeld.

Omdat het door Microsoft Entra Domain Services beheerde domein echter is vergrendeld, hebt u geen bevoegdheden om bepaalde beheertaken in het domein uit te voeren. Enkele van de volgende voorbeelden zijn taken die u niet kunt uitvoeren:

  • Het schema van het beheerde domein uitbreiden.
  • Verbinding maken met domeincontrollers voor het beheerde domein met behulp van Extern bureaublad.
  • Domeincontrollers toevoegen aan het beheerde domein.
  • Gebruik domeinbeheerder- of ondernemingsbeheerdersbevoegdheden voor het beheerde domein.

Nadat u een Microsoft Entra Domain Services-exemplaar hebt gemaakt, moet u een computer toevoegen aan een door Microsoft Entra Domain Services beheerd domein. Deze computer is verbonden met een Azure-VNet dat connectiviteit biedt met het door Microsoft Entra Domain Services beheerde domein. Het proces voor het toevoegen van een door Microsoft Entra Domain Services beheerd domein is hetzelfde als het toevoegen van een regelmatig on-premises AD DS-domein. Nadat de computer is toegevoegd, moet u de hulpprogramma's installeren om het Exemplaar van Microsoft Entra Domain Services te beheren.

Tip

Als u veilig verbinding wilt maken met de computer, kunt u overwegen om een Azure Bastion-host te gebruiken. Met Azure Bastion wordt een beheerde host geïmplementeerd in uw VNet en biedt webgebaseerde RDP-verbindingen (Remote Desktop Protocol) of SSH-verbindingen (Secure Shell) met VM's. Er zijn geen openbare IP-adressen vereist voor de VM's en u hoeft geen regels voor netwerkbeveiligingsgroepen te openen voor extern verkeer. U maakt verbinding met VM's via Azure Portal.

U beheert Microsoft Entra Domain Services-domeinen met dezelfde beheerhulpprogramma's als on-premises AD DS-omgevingen, zoals het Active Directory-beheercentrum (ADAC) of Active Directory PowerShell. U kunt deze hulpprogramma's installeren als onderdeel van de functie Remote Server Administration Tools (RSAT) op Windows Server en clientcomputers. Leden van de groep AAD DC-beheerders kunnen vervolgens extern beheerde domeinen van Microsoft Entra Domain Services beheren met behulp van deze Active Directory-beheerprogramma's vanaf een computer die is gekoppeld aan het beheerde domein.

Algemene ADAC-acties, zoals het opnieuw instellen van een wachtwoord voor een gebruikersaccount of het beheren van groepslidmaatschap, zijn beschikbaar. Deze acties werken echter alleen voor gebruikers en groepen die rechtstreeks zijn gemaakt in het door Microsoft Entra Domain Services beheerde domein. Identiteitsgegevens worden alleen gesynchroniseerd van Microsoft Entra ID naar Microsoft Entra Domain Services; Er is geen write-back van Microsoft Entra Domain Services naar Microsoft Entra-id. Als gevolg hiervan kunt u geen wachtwoorden of het beheerde groepslidmaatschap wijzigen voor gebruikers die zijn gesynchroniseerd met Microsoft Entra-id en deze wijzigingen terug laten synchroniseren.

U kunt ook de Active Directory-module voor Windows PowerShell gebruiken, die is geïnstalleerd als onderdeel van de beheerprogramma's, om algemene acties te beheren in uw door Microsoft Entra Domain Services beheerd domein.

Gebruikersaccounts inschakelen voor Microsoft Entra Domain Services

Voor het verifiëren van gebruikers in het beheerde domein heeft Microsoft Entra Domain Services wachtwoordhashes nodig in een indeling die geschikt is voor NTLM- en Kerberos-verificatie. Microsoft Entra ID genereert of slaat wachtwoordhashes niet op in de indeling die is vereist voor NTLM- of Kerberos-verificatie totdat u Microsoft Entra Domain Services inschakelt voor uw tenant. Om veiligheidsredenen slaat Microsoft Entra ID ook geen wachtwoordreferenties op in tekst zonder opmaak. Daarom kan microsoft Entra-id deze NTLM- of Kerberos-wachtwoordhashes niet automatisch genereren op basis van de bestaande referenties van gebruikers.

Zodra deze op de juiste wijze is geconfigureerd, worden de bruikbare wachtwoordhashes opgeslagen in het door Microsoft Entra Domain Services beheerde domein.

Let op

Als u dit domein verwijdert, worden alle wachtwoordhashes die op dat moment zijn opgeslagen, ook verwijderd.

Gesynchroniseerde referentiegegevens in Microsoft Entra-id kunnen niet opnieuw worden gebruikt als u later een door Microsoft Entra Domain Services beheerd domein maakt. Als gevolg hiervan moet u de wachtwoord-hashsynchronisatie opnieuw configureren om de wachtwoordhashes opnieuw op te slaan. Zelfs dan kunnen eerder aan een domein gekoppelde VM's of gebruikers niet onmiddellijk worden geverifieerd omdat Microsoft Entra-id de wachtwoordhashes moet genereren en opslaan in het nieuwe beheerde domein van Microsoft Entra Domain Services.

De stappen voor het genereren en opslaan van deze wachtwoordhashes verschillen voor cloudgebruikersaccounts die zijn gemaakt in Microsoft Entra ID versus gebruikersaccounts die vanuit uw on-premises adreslijst worden gesynchroniseerd met Behulp van Microsoft Entra Connect. Een cloudgebruikersaccount is een account dat is gemaakt in uw Microsoft Entra-directory met behulp van Azure Portal of Microsoft Graph PowerShell-cmdlets . Deze gebruikersaccounts zijn niet gesynchroniseerd vanuit een on-premises map.

Voor gebruikersaccounts in de cloud moeten gebruikers hun wachtwoorden wijzigen voordat ze Microsoft Entra Domain Services kunnen gebruiken. Dit wachtwoordwijzigingsproces zorgt ervoor dat de wachtwoordhashes voor zowel Kerberos- als NTLM-verificatie worden gegenereerd en opgeslagen in Microsoft Entra-id. Het account wordt pas gesynchroniseerd vanuit Microsoft Entra ID naar Microsoft Entra Domain Services nadat het wachtwoord is gewijzigd. Als gevolg hiervan moet u de wachtwoorden laten verlopen voor alle cloudgebruikers in de tenant die Microsoft Entra Domain Services moeten gebruiken, waardoor een wachtwoordwijziging wordt afdwingen bij de volgende aanmelding, of cloudgebruikers instrueren hun wachtwoorden handmatig te wijzigen. Mogelijk moet u selfservice voor wachtwoordherstel inschakelen voor cloudgebruikers om hun wachtwoord opnieuw in te stellen.