Zarządzanie systemem Windows Server 2019 w środowisku microsoft Entra Domain Services
Usługi Microsoft Entra Domain Services udostępniają domenę zarządzaną dla użytkowników, aplikacji i usług do użytku. To podejście zmienia niektóre z dostępnych zadań zarządzania, które można wykonać i jakie uprawnienia masz w domenie zarządzanej. Te zadania i uprawnienia mogą różnić się od tego, co występuje w przypadku zwykłego lokalnego środowiska usług AD DS.
Uwaga
Nie można nawiązać połączenia z kontrolerami domeny w domenie zarządzanej przez usługi Microsoft Entra Domain Services przy użyciu Pulpit zdalny Microsoft.
Omówienie
Członkowie grupy Administratorzy kontrolera domeny usługi AAD mają przyznane uprawnienia w domenie zarządzanej przez usługi Microsoft Entra Domain Services. W związku z tym administratorzy ci mogą wykonywać następujące zadania w domenie:
- Skonfiguruj wbudowany obiekt zasad grupy dla kontenerów AADDC Computers i AADDC Users w domenie zarządzanej.
- Administrowanie systemem DNS w domenie zarządzanej.
- Tworzenie i administrowanie niestandardowymi jednostkami organizacyjnymi w domenie zarządzanej.
- Uzyskiwanie dostępu administracyjnego do komputerów przyłączonych do domeny zarządzanej.
Jednak ponieważ domena zarządzana przez usługi Microsoft Entra Domain Services jest zablokowana, nie masz uprawnień do wykonywania pewnych zadań administracyjnych w domenie. Niektóre z poniższych przykładów to zadania, których nie można wykonać :
- Rozszerzanie schematu domeny zarządzanej.
- Połącz się z kontrolerami domeny dla domeny zarządzanej przy użyciu pulpitu zdalnego.
- Dodaj kontrolery domeny do domeny zarządzanej.
- Zatrudniaj uprawnienia administratora domeny lub administratora przedsiębiorstwa dla domeny zarządzanej.
Po utworzeniu wystąpienia usług Microsoft Entra Domain Services należy dołączyć komputer do domeny zarządzanej przez usługi Microsoft Entra Domain Services. Ten komputer jest połączony z siecią wirtualną platformy Azure, która zapewnia łączność z domeną zarządzaną przez usługi Microsoft Entra Domain Services. Proces dołączania do domeny zarządzanej przez usługi Microsoft Entra Domain Services jest taki sam, jak w przypadku dołączania do regularnej lokalnej domeny usług AD DS. Po dołączeniu komputera należy zainstalować narzędzia do zarządzania wystąpieniem usług Microsoft Entra Domain Services.
Napiwek
Aby bezpiecznie nawiązać połączenie z komputerem, możesz rozważyć użycie hosta usługi Azure Bastion. W usłudze Azure Bastion zarządzany host jest wdrażany w sieci wirtualnej i zapewnia internetowe połączenia protokołu RDP (Remote Desktop Protocol) lub Secure Shell (SSH) z maszynami wirtualnymi. Dla maszyn wirtualnych nie są wymagane żadne publiczne adresy IP i nie trzeba otwierać reguł sieciowej grupy zabezpieczeń dla ruchu zdalnego zewnętrznego. Nawiąż połączenie z maszynami wirtualnymi przy użyciu witryny Azure Portal.
Domeny usług Microsoft Entra Domain Services można zarządzać przy użyciu tych samych narzędzi administracyjnych co lokalne środowiska usług AD DS, takich jak Centrum administracyjne usługi Active Directory (ADAC) lub Program PowerShell usługi Active Directory. Te narzędzia można zainstalować w ramach funkcji Narzędzia administracji zdalnej serwera (RSAT) na komputerach z systemem Windows Server i klienta. Członkowie grupy Administratorzy kontrolera domeny usługi AAD mogą następnie zdalnie administrować domenami zarządzanymi przez usługi Microsoft Entra Domain Services przy użyciu tych narzędzi administracyjnych usługi Active Directory z komputera przyłączonego do domeny zarządzanej.
Dostępne są typowe akcje usługi ADAC, takie jak resetowanie hasła konta użytkownika lub zarządzanie członkostwem w grupie. Jednak te akcje działają tylko dla użytkowników i grup utworzonych bezpośrednio w domenie zarządzanej przez usługi Microsoft Entra Domain Services. Informacje o tożsamości są synchronizowane tylko z identyfikatora Entra firmy Microsoft do usług Microsoft Entra Domain Services; nie ma zapisywania zwrotnego z usług Microsoft Entra Domain Services do identyfikatora Entra firmy Microsoft. W związku z tym nie można zmienić haseł ani członkostwa w grupie zarządzanej dla użytkowników zsynchronizowanych z identyfikatorem Microsoft Entra ID i zsynchronizować te zmiany z powrotem.
Możesz również użyć modułu Active Directory dla programu Windows PowerShell, który jest instalowany jako część narzędzi administracyjnych, do zarządzania typowymi akcjami w domenie zarządzanej usług Microsoft Entra Domain Services.
Włączanie kont użytkowników dla usług Microsoft Entra Domain Services
Aby uwierzytelnić użytkowników w domenie zarządzanej, usługi Microsoft Entra Domain Services wymagają skrótów haseł w formacie odpowiednim do uwierzytelniania NTLM i Kerberos. Identyfikator Entra firmy Microsoft nie generuje ani nie przechowuje skrótów haseł w formacie wymaganym do uwierzytelniania NTLM lub Kerberos do momentu włączenia usług Microsoft Entra Domain Services dla dzierżawy. Ze względów bezpieczeństwa identyfikator Entra firmy Microsoft również nie przechowuje żadnych poświadczeń hasła w postaci zwykłego tekstu. W związku z tym identyfikator Entra firmy Microsoft nie może automatycznie wygenerować tych skrótów haseł NTLM ani Kerberos na podstawie istniejących poświadczeń użytkowników.
Po odpowiednim skonfigurowaniu skróty haseł do użycia są przechowywane w domenie zarządzanej przez usługi Microsoft Entra Domain Services.
Uwaga
Jeśli usuniesz tę domenę, wszystkie skróty haseł przechowywane w tym momencie również zostaną usunięte.
Zsynchronizowane informacje o poświadczeniach w identyfikatorze Entra firmy Microsoft nie mogą być ponownie używane, jeśli później utworzysz domenę zarządzaną przez usługi Microsoft Entra Domain Services. W związku z tym należy ponownie skonfigurować synchronizację skrótów haseł, aby ponownie przechowywać skróty haseł. Nawet wtedy wcześniej przyłączone do domeny maszyny wirtualne lub użytkownicy nie będą mogli natychmiast uwierzytelniać się, ponieważ identyfikator Entra firmy Microsoft musi wygenerować i zapisać skróty haseł w nowej domenie zarządzanej usług Microsoft Entra Domain Services.
Kroki generowania i przechowywania tych skrótów haseł różnią się w przypadku kont użytkowników tylko w chmurze utworzonych w usłudze Microsoft Entra ID w porównaniu z kontami użytkowników synchronizowanymi z katalogu lokalnego przy użyciu programu Microsoft Entra Connect. Konto użytkownika tylko w chmurze to konto utworzone w katalogu Microsoft Entra przy użyciu witryny Azure Portal lub poleceń cmdlet programu PowerShell programu Microsoft Graph. Te konta użytkowników nie są synchronizowane z katalogu lokalnego.
W przypadku kont użytkowników tylko w chmurze użytkownicy muszą zmienić swoje hasła, zanim będą mogli korzystać z usług Microsoft Entra Domain Services. Ten proces zmiany hasła powoduje wygenerowanie i zapisanie skrótów haseł zarówno dla uwierzytelniania Kerberos, jak i NTLM w usłudze Microsoft Entra ID. Konto nie jest synchronizowane z usługi Microsoft Entra ID do usług Microsoft Entra Domain Services, dopóki hasło nie zostanie zmienione. W związku z tym należy wygasnąć hasła dla wszystkich użytkowników chmury w dzierżawie, którzy muszą używać usług Microsoft Entra Domain Services, co wymusza zmianę hasła podczas następnego logowania, lub poinstruować użytkowników chmury, aby ręcznie zmienili swoje hasła. Może jednak być konieczne włączenie samoobsługowego resetowania hasła dla użytkowników chmury w celu zresetowania hasła.