Поделиться через

Создайте организационную единицу (OU) в управляемом домене службы Microsoft Entra Domain Services.

  • Статья

Подразделения (OUS) в управляемом домене доменных служб Active Directory (AD DS) позволяют логически группировать объекты, такие как учетные записи пользователей, учетные записи служб или учетные записи компьютера. Затем вы можете назначить администраторов определенным подразделениям и применить групповую политику для применения целевых параметров конфигурации.

Управляемые домены доменных служб включают следующие два встроенных подразделения:

  • компьютеры AADDC — содержит объекты компьютеров для всех компьютеров, присоединенных к управляемому домену.
  • Пользователи AADDC — включает пользователей и группы, синхронизированные из клиента Microsoft Entra.

При создании и запуске рабочих нагрузок, использующих доменные службы, может потребоваться создать учетные записи служб для самих приложений для проверки подлинности. Для организации этих учетных записей служб часто создается пользовательское подразделение в управляемом домене, а затем создаются учетные записи служб в этой OU.

В гибридной среде ОУ, созданные в локальной среде AD DS на площадке, не синхронизируются с управляемым доменом. Управляемые домены используют плоскую структуру организационных единиц (OU). Все учетные записи пользователей и группы хранятся в контейнере AADDC пользователей, даже если вы настроили иерархическую структуру организационных единиц, несмотря на синхронизацию из разных локальных доменов или лесов.

В этой статье показано, как создать организационную единицу в управляемом домене.

Перед началом работы

Чтобы завершить эту статью, вам потребуются следующие ресурсы и привилегии:

Особенности и ограничения пользовательской организационной единицы

При создании пользовательских подразделений в управляемом домене вы получаете дополнительную гибкость управления для управления пользователями и применения групповой политики. По сравнению с локальной средой AD DS существуют некоторые ограничения и рекомендации при создании и управлении пользовательской структурой OU в управляемом домене:

  • Чтобы создать пользовательские организационные единицы, пользователи должны быть членами группы AAD DC Администраторы.
  • Пользователь, создающий настраиваемое подразделение, получает административные привилегии (полный контроль) над этим подразделением и является владельцем ресурса.
    • По умолчанию группа администраторов контроллеров домена AAD также имеет полный контроль над пользовательским организационным подразделением.
  • Создается подразделение по умолчанию для пользователей AADDC, содержащее все синхронизированные учетные записи пользователей из клиента Microsoft Entra.
    • Вы не можете переместить пользователей или группы из AADDC Users подразделения в настраиваемые подразделения, которые вы создаете. Только учетные записи пользователей или ресурсы, созданные в управляемом домене, могут быть перемещены в настраиваемые ОЕ.
  • Учетные записи пользователей, группы, учетные записи служб и объекты компьютеров, создаваемые в настраиваемых организационных единицах, недоступны в клиенте Microsoft Entra.
    • Эти объекты не отображаются с помощью API Microsoft Graph или в пользовательском интерфейсе Microsoft Entra; они доступны только в управляемом домене.

Создайте настраиваемую организационную единицу

Чтобы создать настраиваемую организационную единицу, используйте административные инструменты Active Directory на виртуальной машине, присоединенной к домену. Центр администрирования Active Directory позволяет просматривать, изменять и создавать ресурсы в управляемом домене, включая организационные единицы.

Заметка

Чтобы создать пользовательское подразделение в управляемом домене, необходимо войти в учетную запись пользователя, которая входит в состав группы администраторов контроллера домена AAD.

  1. Войдите на виртуальную машину управления. Инструкции по подключению с помощью Центра администрирования Microsoft Entra см. в статье Подключение к виртуальной машине Windows Server.

  2. На начальном экране выберите Административные инструменты. Список доступных средств управления, установленных в ходе руководства, показан для создания виртуальной машины управления.

  3. Чтобы создать организационные единицы и управлять ими, выберите Центр администрирования Active Directory из списка средств администрирования.

  4. В левой области выберите управляемый домен, например aaddscontoso.com. Отображается список существующих подразделений и ресурсов:

    Выберите управляемый домен в центре администрирования Active Directory

  5. Область задач отображается справа от центра администрирования Active Directory. В домене, например aaddscontoso.com, выберите "Новая > организационная единица".

    Выберите параметр для создания нового организационного подразделения в Центре администрирования Active Directory

  6. В диалоговом окне создания подразделения укажите имя для нового подразделения, например MyCustomOu. Укажите краткое описание подразделения, например настраиваемого подразделения для учетных записей служб. При необходимости можно также задать поле Managed By для подразделения. Чтобы создать настраиваемое организационное подразделение, нажмите кнопку ОК.

    Создайте настраиваемое подразделение в Центре администрирования Active Directory

  7. Вернувшись в Центр администрирования Active Directory, пользовательское OU теперь указано и доступно для использования.

    настраиваемое организационное подразделение, доступное для использования в Центре администрирования Active Directory

Дальнейшие действия

Дополнительные сведения об использовании средств администрирования или создании учетных записей служб см. в следующих статьях: