إدارة Windows Server 2019 في بيئة Microsoft Entra Domain Services

  • 8 دقائق

توفر Microsoft Entra Domain Services مجالا مدارا للمستخدمين والتطبيقات والخدمات للاستهلاك. هذا النهج يغير بعض المهام الإدارية المتوفرة التي يمكنك القيام بها، والامتيازات المتاحة لديك داخل المجال المدار. قد تختلف هذه المهام والأذون عن تلك التي واجهتها مع بيئة AD DS الداخلية العادية.

إشعار

لا يمكنك الاتصال بوحدات التحكم بالمجال على المجال المدار من Microsoft Entra Domain Services باستخدام سطح المكتب البعيد لـ Microsoft.

نظرة عامة

يتم منح أعضاء مجموعة AAD (دليل Azure النشط) DC مسؤول istrators امتيازات على المجال المدار من Microsoft Entra Domain Services. ونتيجة لذلك، يستطيع هؤلاء المسؤولون تنفيذ المهام التالية على المجال:

  • ضبط إعدادات عنصر سياسة المجموعة المضمن لحاويات AADDC Computers وAADDC Users في المجال المدار.
  • إدارة DNS على المجال المدار.
  • إنشاء وإدارة وحدات تنظيمية مخصصة على المجال المدار.
  • الحصول على حق الوصول الإداري إلى أجهزة الحاسوب المنضمة إلى المجال المدار.

ومع ذلك، نظرا لأن المجال المدار من Microsoft Entra Domain Services مؤمن، فليس لديك امتيازات لإكمال مهام إدارية معينة على المجال. بعض الأمثلة التالية هي مهام لا يمكنك تنفيذها:

  • توسيع مخطط المجال المدار.
  • الاتصال بأجهزة تحكم المجال للمجال المدار باستخدام Remote Desktop.
  • إضافة وحدات تحكم المجال إلى المجال المدار.
  • استخدام امتيازات مسؤول المجال أو مسؤول المؤسسة للمجال المدار.

بعد إنشاء مثيل Microsoft Entra Domain Services، يجب عليك ضم كمبيوتر إلى مجال مدار بواسطة Microsoft Entra Domain Services. هذا الكمبيوتر متصل بشبكة Azure الظاهرية التي توفر الاتصال بالمجال المدار من Microsoft Entra Domain Services. عملية الانضمام إلى مجال مدار من Microsoft Entra Domain Services هي نفس عملية الانضمام إلى مجال AD DS محلي عادي. بعد الانضمام إلى الكمبيوتر، يجب تثبيت الأدوات لإدارة مثيل Microsoft Entra Domain Services.

تلميح

للاتصال بالحاسوب بأمان، قد تفكر في استخدام مضيف Azure Bastion. مع Azure Bastion، يتم تشغيل مضيف مُدار في VNet الخاص بك ويقدم اتصالات بروتوكول Remote Desktop Protocol أو Secure Shell المستندة إلى الويب إلى الآلات الظاهرية. عناوين بروتوكول الإنترنت العامة غير مطلوبة للآلات الظاهرية، ولا تحتاج إلى فتح قواعد مجموعة أمان الشبكة لحركة المرور الخارجية عن بعد. يمكنك الاتصال إلى الآلات الظاهرية باستخدام بوابة Azure.

يمكنك إدارة مجالات Microsoft Entra Domain Services باستخدام نفس الأدوات الإدارية مثل بيئات AD DS المحلية، مثل Active Directory مسؤول istrative Center (ADAC) أو Active Directory PowerShell. ويمكنك تثبيت هذه الأدوات كجزء من ميزة Remote Server Administration Tools على Windows Server وأجهزة الحاسوب العميلة. يمكن لأعضاء مجموعة AAD (دليل Azure النشط) DC مسؤول istrators بعد ذلك إدارة المجالات المدارة من Microsoft Entra Domain Services عن بعد باستخدام هذه الأدوات الإدارية ل Active Directory من كمبيوتر مرتبط بالمجال المدار.

وتتوفر إجراءات ADAC الشائعة، مثل إعادة تعيين كلمة مرور لحساب مستخدم أو إدارة عضوية المجموعة. ومع ذلك، تعمل هذه الإجراءات فقط للمستخدمين والمجموعات التي تم إنشاؤها مباشرة في المجال المدار بواسطة Microsoft Entra Domain Services. تتم مزامنة معلومات الهوية فقط من معرف Microsoft Entra إلى Microsoft Entra Domain Services؛ لا توجد إعادة كتابة من Microsoft Entra Domain Services إلى معرف Microsoft Entra. ونتيجة لذلك، لا يمكنك تغيير كلمات المرور أو عضوية المجموعة المدارة للمستخدمين المتزامنين من معرف Microsoft Entra وإعادة مزامنة هذه التغييرات.

يمكنك أيضا استخدام الوحدة النمطية Active Directory ل Windows PowerShell، والتي تم تثبيتها كجزء من الأدوات الإدارية، لإدارة الإجراءات الشائعة في المجال المدار لخدمات مجال Microsoft Entra.

تمكين حسابات المستخدمين لخدمات مجال Microsoft Entra

لمصادقة المستخدمين على المجال المدار، تحتاج Microsoft Entra Domain Services إلى تجزئة كلمة المرور بتنسيق مناسب لمصادقة NTLM وKerberos. لا يقوم معرف Microsoft Entra بإنشاء أو تخزين تجزئات كلمة المرور بالتنسيق المطلوب لمصادقة NTLM أو Kerberos حتى تقوم بتمكين Microsoft Entra Domain Services للمستأجر الخاص بك. لأسباب أمنية، لا يخزن معرف Microsoft Entra أيضا أي بيانات اعتماد كلمة مرور في نموذج نص واضح. لذلك، لا يمكن لمعرف Microsoft Entra إنشاء تجزئات كلمة مرور NTLM أو Kerberos تلقائيا استنادا إلى بيانات اعتماد المستخدمين الحالية.

بمجرد تكوينها بشكل مناسب، يتم تخزين تجزئات كلمة المرور القابلة للاستخدام في المجال المدار من Microsoft Entra Domain Services.

تنبيه

إذا قمت بحذف هذا المجال، يتم حذف أي تجزئة كلمة مرور مخزنة في تلك النقطة أيضًا.

لا يمكن إعادة استخدام معلومات بيانات الاعتماد المتزامنة في معرف Microsoft Entra إذا قمت لاحقا بإنشاء مجال مدار بواسطة Microsoft Entra Domain Services. ونتيجة لذلك، يتعين إعادة ضبط إعدادات مزامنة تجزئة كلمة المرور لتخزين تجزئة كلمة المرور مرة أخرى. حتى بعد ذلك، لن يتمكن المستخدمون أو الأجهزة الظاهرية المنضمة إلى المجال سابقا من المصادقة على الفور لأن معرف Microsoft Entra يحتاج إلى إنشاء وتخزين تجزئة كلمة المرور في المجال الجديد المدار من Microsoft Entra Domain Services.

تختلف خطوات إنشاء تجزئة كلمة المرور هذه وتخزينها لحسابات المستخدمين السحابية فقط التي تم إنشاؤها في Microsoft Entra ID مقابل حسابات المستخدمين التي تتم مزامنتها من الدليل المحلي باستخدام Microsoft Entra الاتصال. حساب مستخدم السحابة فقط هو حساب يتم إنشاؤه في دليل Microsoft Entra باستخدام مدخل Microsoft Azure أو Microsoft Graph PowerShell cmdlets. لا تتم مزامنة حسابات المستخدمين هذه من دليل الداخلي.

بالنسبة لحسابات المستخدمين السحابية فقط، يجب على المستخدمين تغيير كلمات المرور الخاصة بهم قبل أن يتمكنوا من استخدام Microsoft Entra Domain Services. تؤدي عملية تغيير كلمة المرور هذه إلى إنشاء تجزئات كلمة المرور لكل من مصادقة Kerberos وNTLM وتخزينها في معرف Microsoft Entra. لا تتم مزامنة الحساب من معرف Microsoft Entra إلى Microsoft Entra Domain Services حتى يتم تغيير كلمة المرور. ونتيجة لذلك، يجب إما أن تنتهي صلاحية كلمات المرور لجميع مستخدمي السحابة في المستأجر الذين يحتاجون إلى استخدام Microsoft Entra Domain Services، مما يفرض تغيير كلمة المرور عند تسجيل الدخول التالي، أو إرشاد مستخدمي السحابة إلى تغيير كلمات المرور الخاصة بهم يدويا. إلا أنك قد تحتاج إلى تمكين إعادة تعيين كلمة مرور الخدمة الذاتية لمستخدمي السحابة لإعادة تعيين كلمة المرور الخاصة بهم.