在 Microsoft Entra Domain Services 環境中管理 Windows Server
Microsoft Entra Domain Services 提供受控網域,讓使用者、應用程式與服務使用。 此方法會變更您可以執行的一些可用管理工作,以及您在受控網域內擁有哪些權限。 這些工作與權限可能不同於您在一般內部部署 AD DS 環境中的體驗。
注意
您無法使用 Microsoft 遠端桌面,連線至 Microsoft Entra Domain Services 受控網域上的網域控制站。
概觀
AAD DC Administrators 群組的成員會被授與 Microsoft Entra Domain Services 受控網域的權限。 因此,這些系統管理員可以對網域執行下列工作:
- 為受控網域中的容器 AADDC Computers 與 AADDC Users,設定內建 GPO。
- 管理受控網域上的 DNS。
- 建立及管理受控網域上的自訂 OU。
- 取得已加入受控網域之電腦的系統管理存取權。
然而,因為 Microsoft Entra Domain Services 受控網域已被封鎖,所以您無權對網域完成某些特定的管理工作。 下列一些範例是您「無法」執行的工作:
- 擴充受控網域的結構描述。
- 連線至使用遠端桌面之受控網域的網域控制站。
- 將網域控制站新增至受控網域。
- 使用受控網域的「網域系統管理員」或「企業系統管理員」權限。
建立 Microsoft Entra Domain Services 執行個體之後,您必須將電腦加入 Microsoft Entra Domain Services 受控網域。 此電腦已連線至為 Microsoft Entra Domain Services 受控網域提供連線的 Azure VNet。 加入 Microsoft Entra Domain Services 受控網域的流程,與加入一般內部部署 AD DS 網域的流程相同。 電腦加入之後,必須安裝工具來管理 Microsoft Entra Domain Services 執行個體。
提示
若要安全地連線至電腦,可以考慮使用 Azure Bastion 主機。 有了 Azure Bastion,就能將受控主機部署至您的 VNet,並可從網路透過遠端桌面通訊協定 (RDP) 或安全殼層 (SSH) 連線到 VM。 VM 不需要公用 IP 位址,您不需要開啟外部遠端流量的網路安全性群組規則。 您使用 Azure 入口網站連線至 VM。
您可以使用與內部部署 AD DS 環境所用的相同系統管理工具來管理 Microsoft Entra Domain Services 網域,例如 Active Directory 管理中心 (ADAC) 或 Active Directory PowerShell。 您可以安裝這些工具,作為 Windows Server 與用戶端電腦上,遠端伺服器管理工具 (RSAT) 功能的一部分。 如此一來,AAD DC Administrators 群組的成員就能使用已加入受控網域之電腦提供的 Active Directory 管理工具,從遠端管理 Microsoft Entra Domain Services 受控網域。
可以使用常見的 ADAC 動作,例如:重設使用者帳戶密碼,或管理群組成員資格。 然而,這些動作僅適用於直接在 Microsoft Entra Domain Services 受控網域中建立的使用與群組。 身分識別資訊只會從 Microsoft Entra ID 同步處理至 Microsoft Entra Domain Services;不會從 Microsoft Entra Domain Services 回寫至 Microsoft Entra ID。 因此,對於從 Microsoft Entra ID 同步的使用者,您無法變更密碼或受控群組成員資格,也無法將這些變更反向同步。
您也可以使用適用於 Windows PowerShell 的 Active Directory 模組 (安裝在系統管理工具中) 來管理 Microsoft Entra Domain Services 受控網域中的一般動作。
啟用 Microsoft Entra Domain Services 的使用者帳戶
若要驗證受控網域上的使用者,Microsoft Entra Domain Services 需要格式適合 NTLM 和 Kerberos 驗證的密碼雜湊。 在您為租用戶啟用 Microsoft Entra Domain Services 之前,Microsoft Entra ID 不會以 NTLM 或 Kerberos 驗證所需的格式產生或儲存密碼雜湊。 基於安全性考量,Microsoft Entra ID 也不會以清晰文字格式儲存任何密碼認證。 因此,Microsoft Entra ID 無法根據使用者現有的認證自動產生這些 NTLM 或 Kerberos 密碼雜湊。
適當設定之後,可使用的密碼雜湊將會儲存在 Microsoft Entra Domain Services 受控網域中。
警告
若您刪除受控網域,將會一併刪除該時儲存的所有密碼雜湊。
如果您稍後會建立 Microsoft Entra Domain Services 受控網域,就無法重複使用 Microsoft Entra ID 中的同步認證資訊。 因此,您必須重新設定密碼雜湊同步,以再次儲存密碼雜湊。 儘管如此,由於 Microsoft Entra ID 必須在新的 Microsoft Entra Domain Services 受控網域中產生密碼雜湊和加以儲存,因此先前加入網域的 VM 或使用者將無法立即進行驗證。
針對在 Microsoft Entra ID 中建立的僅限雲端使用者帳戶產生和儲存這些密碼雜湊的步驟,與使用 Microsoft Entra Connect 從內部部署目錄同步的使用者帳戶的步驟不同。 「僅限雲端」使用者帳戶是一個使用 Azure 入口網站或 Microsoft Graph PowerShell Cmdlet 在 Microsoft Entra 目錄中所建立的帳戶。 這些使用者帳戶不會從內部部署目錄同步。
針對僅限雲端的使用者帳戶,使用者必須先變更其密碼,才能使用 Microsoft Entra Domain Services。 此密碼變更流程會在 Microsoft Entra ID 中產生 Kerberos 與 NTLM 驗證的密碼雜湊並加以儲存。 帳戶不會從 Microsoft Entra ID 同步處理至 Microsoft Entra Domain Services,直到密碼變更為止。 因此,您應將租用戶中所有需要使用 Microsoft Entra Domain Services 之雲端使用者的密碼過期 (這會在下次登入時強制變更密碼),或是指示雲端使用者手動變更其密碼。 您可能需要啟用自助式密碼重設,方便雲端使用者重設其密碼。