Hantera Windows Server i en Microsoft Entra Domain Services-miljö
Microsoft Entra Domain Services tillhandahåller en hanterad domän som användare, program och tjänster kan använda. Den här metoden ändrar några av de tillgängliga hanteringsuppgifter som du kan utföra och vilka behörigheter du har inom den hanterade domänen. Dessa uppgifter och behörigheter kan skilja sig från vad du upplever med en vanlig lokal AD DS-miljö.
Kommentar
Du kan inte ansluta till domänkontrollanter på den Microsoft Entra Domain Services-hanterade domänen med hjälp av Microsoft Fjärrskrivbord.
Översikt
Medlemmar i gruppen AAD DC-administratörer beviljas behörigheter på den Microsoft Entra Domain Services-hanterade domänen. Därför kan dessa administratörer utföra följande uppgifter på domänen:
- Konfigurera det inbyggda grupprincipobjektet för containrarna AADDC-datorer och AADDC-användare i den hanterade domänen.
- Administrera DNS i den hanterade domänen.
- Skapa och administrera anpassade ORGANISATION:er på den hanterade domänen.
- Få administrativ åtkomst till datorer som är anslutna till den hanterade domänen.
Men eftersom Den Microsoft Entra Domain Services-hanterade domänen är låst har du inte behörighet att utföra vissa administrativa uppgifter på domänen. Några av följande exempel är uppgifter som du inte kan utföra:
- Utöka schemat för den hanterade domänen.
- Anslut till domänkontrollanter för den hanterade domänen med fjärrskrivbord.
- Lägg till domänkontrollanter i den hanterade domänen.
- Använd domänadministratörs- eller företagsadministratörsbehörigheter för den hanterade domänen.
När du har skapat en Microsoft Entra Domain Services-instans måste du ansluta en dator till en Microsoft Entra Domain Services-hanterad domän. Den här datorn är ansluten till ett virtuellt Azure-nätverk som tillhandahåller anslutning till den Microsoft Entra Domain Services-hanterade domänen. Processen för att ansluta till en Microsoft Entra Domain Services-hanterad domän är densamma som att ansluta till en vanlig lokal AD DS-domän. När datorn har anslutits måste du installera verktygen för att hantera Microsoft Entra Domain Services-instansen.
Dricks
Om du vill ansluta på ett säkert sätt till datorn kan du överväga att använda en Azure Bastion-värd. Med Azure Bastion distribueras en hanterad värd till ditt virtuella nätverk och tillhandahåller webbaserade RDP-anslutningar (Remote Desktop Protocol) eller SSH-anslutningar (Secure Shell) till virtuella datorer. Inga offentliga IP-adresser krävs för de virtuella datorerna och du behöver inte öppna regler för nätverkssäkerhetsgrupp för extern fjärrtrafik. Du ansluter till virtuella datorer med hjälp av Azure Portal.
Du hanterar Microsoft Entra Domain Services-domäner med samma administrativa verktyg som lokala AD DS-miljöer, till exempel Active Directory Administrationscenter (ADAC) eller Active Directory PowerShell. Du kan installera dessa verktyg som en del av RSAT-funktionen (Remote Server Administration Tools) på Windows Server och klientdatorer. Medlemmar i gruppen AAD DC-administratörer kan sedan administrera Microsoft Entra Domain Services–hanterade domäner via fjärranslutning med hjälp av dessa Active Directory-administrativa verktyg från en dator som är ansluten till den hanterade domänen.
Vanliga ADAC-åtgärder, till exempel återställning av lösenord för användarkonto eller hantering av gruppmedlemskap, är tillgängliga. De här åtgärderna fungerar dock bara för användare och grupper som skapats direkt i den Microsoft Entra Domain Services-hanterade domänen. Identitetsinformation synkroniseras endast från Microsoft Entra-ID till Microsoft Entra Domain Services. Det finns ingen tillbakaskrivning från Microsoft Entra Domain Services till Microsoft Entra ID. Därför kan du inte ändra lösenord eller hanterat gruppmedlemskap för användare som synkroniserats från Microsoft Entra-ID och låta dessa ändringar synkroniseras tillbaka.
Du kan också använda Active Directory-modulen för Windows PowerShell, som är installerad som en del av de administrativa verktygen, för att hantera vanliga åtgärder i din hanterade domän i Microsoft Entra Domain Services.
Aktivera användarkonton för Microsoft Entra Domain Services
För att autentisera användare på den hanterade domänen behöver Microsoft Entra Domain Services lösenordshashvärden i ett format som är lämpligt för NTLM- och Kerberos-autentisering. Microsoft Entra-ID genererar eller lagrar inte lösenordshashvärden i det format som krävs för NTLM- eller Kerberos-autentisering förrän du aktiverar Microsoft Entra Domain Services för din klientorganisation. Av säkerhetsskäl lagrar Inte heller Microsoft Entra-ID några autentiseringsuppgifter för lösenord i klartext. Microsoft Entra-ID kan därför inte automatiskt generera dessa NTLM- eller Kerberos-lösenordshashvärden baserat på användarnas befintliga autentiseringsuppgifter.
När de är korrekt konfigurerade lagras de användbara lösenordshashvärdena i den Microsoft Entra Domain Services-hanterade domänen.
Varning
Om du tar bort den här domänen tas även eventuella lösenordshashvärden som lagras vid den tidpunkten bort.
Synkroniserad information om autentiseringsuppgifter i Microsoft Entra-ID kan inte återanvändas om du senare skapar en Microsoft Entra Domain Services-hanterad domän. Därför måste du konfigurera om synkroniseringen av lösenordshash för att lagra lösenordshasharna igen. Även då kommer tidigare domänanslutna virtuella datorer eller användare inte att kunna autentiseras omedelbart eftersom Microsoft Entra-ID måste generera och lagra lösenordshasherna i den nya hanterade domänen Microsoft Entra Domain Services.
Stegen för att generera och lagra dessa lösenordshashvärden skiljer sig åt för molnbaserade användarkonton som skapats i Microsoft Entra-ID jämfört med användarkonton som synkroniseras från din lokala katalog med hjälp av Microsoft Entra Connect. Ett molnbaserat användarkonto är ett konto som skapas i din Microsoft Entra-katalog med antingen Azure Portal- eller Microsoft Graph PowerShell-cmdletar. Dessa användarkonton synkroniseras inte från en lokal katalog.
För endast molnbaserade användarkonton måste användarna ändra sina lösenord innan de kan använda Microsoft Entra Domain Services. Den här lösenordsändringsprocessen gör att lösenordshasherna för både Kerberos- och NTLM-autentisering genereras och lagras i Microsoft Entra-ID. Kontot synkroniseras inte från Microsoft Entra-ID till Microsoft Entra Domain Services förrän lösenordet har ändrats. Därför bör du antingen upphöra att gälla lösenorden för alla molnanvändare i klientorganisationen som behöver använda Microsoft Entra Domain Services, vilket tvingar fram en lösenordsändring vid nästa inloggning, eller instruera molnanvändare att manuellt ändra sina lösenord. Du kan dock behöva aktivera självbetjäning av lösenordsåterställning för molnanvändare för att återställa sitt lösenord.