Gerenciar o Windows Server 2019 em um ambiente do Microsoft Entra Domain Services
O Microsoft Entra Domain Services fornece um domínio gerenciado para usuários, aplicativos e serviços consumirem. Essa abordagem altera algumas das tarefas de gerenciamento disponíveis que você pode fazer e quais privilégios você tem dentro do domínio gerenciado. Essas tarefas e permissões podem ser diferentes do que você enfrenta com um ambiente do AD DS local regular.
Observação
Não é possível conectar-se a controladores de domínio no domínio gerenciado pelo Microsoft Entra Domain Services utilizando a Área de Trabalho Remota da Microsoft.
Visão geral
Os membros do grupo Administradores do AAD DC têm privilégios concedidos no domínio gerenciado pelo Microsoft Entra Domain Services. Como resultado, esses administradores podem executar as seguintes tarefas no domínio:
- Configure o GPO interno para os Computadores AADDC de contêineres e Usuários AADDC no domínio gerenciado.
- Administre o DNS no domínio gerenciado.
- Crie e administre UOs personalizadas no domínio gerenciado.
- Obter acesso administrativo a computadores ingressados no domínio gerenciado.
Entretanto, como o domínio gerenciado pelo Microsoft Entra Domain Services está bloqueado, você não tem privilégios para concluir determinadas tarefas administrativas no domínio. Alguns dos seguintes exemplos são tarefas que você não pode executar:
- Estender o esquema do domínio gerenciado.
- Conectar-se a controladores de domínio do domínio gerenciado usando a Área de Trabalho Remota.
- Adicionar controladores de domínio ao domínio gerenciado.
- Utilizar privilégios de administrador de domínio ou de administrador corporativo para o domínio gerenciado.
Após a criação de uma instância do Microsoft Entra Domain Services, você precisará ingressar um computador a um domínio gerenciado pelo Microsoft Entra Domain Services. Este computador está conectado a uma VNet do Azure que fornece conectividade ao domínio gerenciado pelo Microsoft Entra Domain Services. O processo para ingressar em um domínio gerenciado pelo Microsoft Entra Domain Services é o mesmo que ingressar em um domínio normal do AD DS local. Após o computador ser ingressado, você deverá instalar as ferramentas para gerenciar a instância do Microsoft Entra Domain Services.
Dica
Para conectar-se com segurança ao computador, você pode considerar o uso de um host do Azure Bastion. Com o Azure Bastion, um host gerenciado é implantado em sua VNet e fornece conexões protocolo RDP (protocolo de área de trabalho remota) ou SSH (Secure Shell) baseadas na Web para VMs. Nenhum endereço IP público é necessário para as VMs. Você não precisará abrir as regras do grupo de segurança de rede para o tráfego remoto externo. Você se conecta às VMs usando o portal do Azure.
Você deve gerenciar os domínios do Microsoft Entra Domain Services utilizando as mesmas ferramentas administrativas dos ambientes locais do AD DS, como o Active Directory Administrative Center (ADAC) ou o Active Directory PowerShell. Você pode instalar essas ferramentas como parte do recurso RSAT (Ferramentas de Administração de Servidor Remoto) em computadores cliente e Windows Server. Os membros do grupo Administradores do AAD DC podem, então, administrar remotamente os domínios gerenciados pelo Microsoft Entra Domain Services utilizando essas ferramentas administrativas do Active Directory a partir de um computador que esteja ingressado no domínio gerenciado.
Ações comuns do ADAC, como redefinir a senha de uma conta de usuário ou gerenciar a associação a grupos, estão disponíveis. Entretanto, essas ações só funcionam para usuários e grupos criados diretamente no domínio gerenciado pelo Microsoft Entra Domain Services. As informações de identidade são sincronizadas apenas do Microsoft Entra ID para o Microsoft Entra Domain Services; não existe nenhum write-back do Microsoft Entra Domain Services para o Microsoft Entra ID. Como resultado, você não pode alterar senhas ou associações a grupos gerenciados para usuários sincronizados do Microsoft Entra ID e ter essas alterações sincronizadas de volta.
Você também pode utilizar o módulo Active Directory para Windows PowerShell, que é instalado como parte das ferramentas administrativas, para gerenciar ações comuns em seu domínio gerenciado pelo Microsoft Entra Domain Services.
Habilitar as contas de usuário do Microsoft Entra Domain Services
Para autenticar usuários no domínio gerenciado, o Microsoft Entra Domain Services precisa de hashes de senha em um formato adequado para autenticação NTLM e Kerberos. O Microsoft Entra ID não gera nem armazena hashes de senha no formato exigido para autenticação NTLM ou Kerberos até que você habilite o Microsoft Entra Domain Services para seu locatário. Por motivos de segurança, a ID do Microsoft Entra também não armazena nenhuma credencial de senha no formato de texto não criptografado. Portanto, o Microsoft Entra ID não pode gerar automaticamente essas hashes de senha NTLM ou Kerberos com base nas credenciais existentes dos usuários.
Uma vez configurados adequadamente, os hashes de senha utilizáveis são armazenados no domínio gerenciado pelo Microsoft Entra Domain Services.
Cuidado
Se você excluir o domínio gerenciado, todos os hashes de senha armazenados nesse ponto também serão excluídos.
As informações de credenciais sincronizadas no Microsoft Entra ID não poderão ser reutilizadas se você criar posteriormente um domínio gerenciado pelo Microsoft Entra Domain Services. Como resultado, você deve reconfigurar a sincronização de hash de senha para armazenar os hashes de senha novamente. Mesmo assim, as VMs ou os usuários previamente conectados ao domínio não poderão se autenticar imediatamente porque o Microsoft Entra ID precisa gerar e armazenar os hashes de senha no novo domínio gerenciado pelo Microsoft Entra Domain Services.
As etapas para gerar e armazenar esses hashes de senha são diferentes para as contas de usuário somente em nuvem criadas no Microsoft Entra ID versus as contas de usuário sincronizadas do seu diretório local usando o Microsoft Entra Connect. Uma conta de usuário somente na nuvem é uma conta criada no diretório do Microsoft Entra usando o portal do Azure ou cmdlets do Microsoft Graph PowerShell. Essas contas de usuário não são sincronizadas de um diretório local.
Para contas de usuário somente na nuvem, os usuários devem alterar suas senhas antes de poderem utilizar o Microsoft Entra Domain Services. Esse processo de alteração de senha faz com que os hashes de senha para a autenticação Kerberos e NTLM sejam gerados e armazenados no Microsoft Entra ID. A conta não é sincronizada do Microsoft Entra ID para o Microsoft Entra Domain Services até que a senha seja alterada. Como resultado, você deve expirar as senhas de todos os usuários da nuvem no locatário que precisam usar o Microsoft Entra Domain Services, o que força uma alteração de senha na próxima entrada; ou instruir os usuários da nuvem a alterar manualmente suas senhas. No entanto, talvez seja necessário habilitar a redefinição de senha por autoatendimento para que os usuários da nuvem possam redefini-las.