kurz: vytvoření virtuálního počítače pro správu pro konfiguraci a správu spravované domény Azure Active Directory domain Services

Azure Active Directory Domain Services (Azure služba AD DS) poskytují spravované doménové služby, jako je připojení k doméně, zásady skupiny, LDAP a ověřování pomocí protokolu Kerberos nebo NTLM, které jsou plně kompatibilní s Windows Server Active Directory. Tuto spravovanou doménu spravujete pomocí stejné Nástroje pro vzdálenou správu serveru (RSAT) jako v místní doméně Active Directory Domain Services. Jelikož je Azure služba AD DS spravovaná služba, existují některé úlohy správy, které nemůžete provést, například používání protokolu RDP (Remote Desktop Protocol) pro připojení k řadičům domény.

v tomto kurzu se dozvíte, jak nakonfigurovat virtuální počítač s Windows serverem v Azure a nainstalovat potřebné nástroje pro správu azure služba AD DS spravované domény.

V tomto kurzu se naučíte:

Pokud ještě nemáte předplatné Azure, vytvořte si účet před tím, než začnete.

Požadavky

K dokončení tohoto kurzu potřebujete následující prostředky a oprávnění:

• Musíte mít aktivní předplatné Azure.
  • Pokud nemáte předplatné Azure, vytvořte účet.
• tenant Azure Active Directory přidružený k vašemu předplatnému, buď synchronizovaný s místním adresářem, nebo jenom s cloudovým adresářem.
  • v případě potřeby vytvořte tenanta Azure Active Directory nebo přidružte předplatné Azure k vašemu účtu.
• ve vašem tenantovi Azure AD je povolená a nakonfigurovaná doména spravovaná doménovou službou Azure Active Directory.
  • v případě potřeby si přečtěte první kurz vytvoření a konfigurace spravované domény Azure Active Directory domain Services.
• virtuální počítač Windows serveru, který je připojený ke spravované doméně.
  • v případě potřeby si přečtěte předchozí kurz a vytvořte virtuální počítač s Windows serverem a připojte ho ke spravované doméně.
• Uživatelský účet, který je členem skupiny správců řadičů domény Azure AD ve vašem TENANTOVI Azure AD.
• Hostitel Azure bastionu nasazený ve vaší virtuální síti Azure služba AD DS.
  • V případě potřeby Vytvořte hostitele Azure bastionu.

Přihlášení k webu Azure Portal

V tomto kurzu vytvoříte a nakonfigurujete virtuální počítač pro správu pomocí Azure Portal. Chcete-li začít, nejprve se přihlaste k Azure Portal.

Dostupné úlohy správy v Azure služba AD DS

Azure služba AD DS poskytuje spravované domény pro vaše uživatele, aplikace a služby, které se mají využívat. Tento postup mění některé dostupné úlohy správy, které můžete provádět, a jaká oprávnění máte ve spravované doméně. Tyto úlohy a oprávnění se můžou lišit od toho, co se setkáte s běžným místním Active Directory Domain Servicesovým prostředím. Nemůžete se také připojit k řadičům domény ve spravované doméně pomocí vzdálené plochy.

Úlohy správy, které můžete provádět ve spravované doméně

Členům skupiny AAD řadič domény Administrators jsou udělena oprávnění ve spravované doméně, která jim umožňují provádět následující úlohy:

• Nakonfigurujte integrovaný objekt zásad skupiny (GPO) pro AADDC počítače a kontejnery AADDC uživatelů ve spravované doméně.
• Správa DNS ve spravované doméně.
• Vytvořte a spravujte vlastní organizační jednotky (OU) ve spravované doméně.
• Získání přístupu pro správu k počítačům připojeným ke spravované doméně.

Oprávnění správce, která nemáte ve spravované doméně

Spravovaná doména je uzamčena, takže nemáte oprávnění k provádění určitých úloh správy v doméně. Některé z následujících příkladů jsou úlohy, které nemůžete provést:

• Rozšíří schéma spravované domény.
• Připojení k řadičům domény pro spravovanou doménu pomocí vzdálené plochy.
• Přidejte řadiče domény do spravované domény.
• nemáte oprávnění správce domény nebo Enterprise oprávnění správce pro spravovanou doménu.

přihlaste se k virtuálnímu počítači s Windows serverem

v předchozím kurzu se vytvořil virtuální počítač s Windows serverem a připojil se ke spravované doméně. Pomocí tohoto virtuálního počítače nainstalujte nástroje pro správu. v případě potřeby postupujte podle kroků v tomto kurzu a vytvořte virtuální počítač Windows serveru a připojte se ke spravované doméně.

pokud chcete začít, připojte se k virtuálnímu počítači s Windows serverem následujícím způsobem:

1. V Azure Portal na levé straně vyberte skupiny prostředků . Zvolte skupinu prostředků, ve které se vytvořil váš virtuální počítač, třeba myResourceGroup, a potom vyberte virtuální počítač, jako je třeba myVM.

2. v podokně přehled pro váš virtuální počítač vyberte Připojení a pak bastionu.

   

3. zadejte přihlašovací údaje pro váš virtuální počítač a pak vyberte Připojení.

   

V případě potřeby umožněte webovému prohlížeči otevřít automaticky otevíraná okna pro zobrazení připojení bastionu. Vytvoření připojení k VIRTUÁLNÍmu počítači trvá několik sekund.

Nainstalovat nástroje pro správu služby Active Directory

Ve spravované doméně používáte stejné nástroje pro správu jako místní služba AD DS prostředí, jako je například Centrum správy služby Active Directory (ADAC) nebo AD PowerShell. tyto nástroje je možné nainstalovat jako součást funkce Nástroje pro vzdálenou správu serveru (RSAT) na Windows Server a klientské počítače. Členové skupiny správci AAD řadiče domény pak můžou vzdáleně spravovat spravované domény pomocí těchto nástrojů pro správu služby AD z počítače, který je připojený ke spravované doméně.

Pokud chcete nainstalovat nástroje pro správu služby Active Directory do virtuálního počítače připojeného k doméně, proveďte následující kroky:

1. Pokud se při přihlášení k virtuálnímu počítači ve výchozím nastavení Správce serveru neotevře, vyberte nabídku Start a pak zvolte Správce serveru.

2. V podokně řídicí panel v okně Správce serveru vyberte Přidat role a funkce.

3. Na stránce než začnete v Průvodci přidáním rolí a funkcí vyberte Další.

4. Pro typ instalace ponechte zaškrtnutou možnost instalace na základě rolí nebo na základě funkcí a vyberte Další.

5. Na stránce Výběr serveru zvolte aktuální virtuální počítač z fondu serverů, například myvm.aaddscontoso.com, a pak vyberte Další.

6. Na stránce role serveru klikněte na Další.

7. Na stránce funkce rozbalte uzel Nástroje pro vzdálenou správu serveru a potom rozbalte uzel Nástroje pro správu rolí .

   V seznamu nástrojů pro správu rolí zvolte Služba AD DS a funkce nástrojů služby AD LDS a pak vyberte Další.

   

8. Na stránce potvrzení vyberte nainstalovat. Instalace nástrojů pro správu může trvat minutu nebo dvě.

9. Po dokončení instalace funkce vyberte Zavřít a ukončete průvodce přidáním rolí a funkcí .

Použití nástrojů pro správu služby Active Directory

V nainstalovaných nástrojích pro správu se podívejme, jak je používat ke správě spravované domény. Ujistěte se, že jste přihlášeni k virtuálnímu počítači pomocí uživatelského účtu, který je členem skupiny správci AAD řadiče domény .

1. v nabídce Start vyberte Windows nástroje pro správu. Zobrazí se nástroje pro správu služby AD nainstalované v předchozím kroku.

   

2. Vyberte Centrum správy služby Active Directory.

3. Chcete-li prozkoumat spravovanou doménu, vyberte název domény v levém podokně, například aaddscontoso. Dva kontejnery s názvem počítače AADDC a Uživatelé AADDC jsou v horní části seznamu.

   

4. Pokud chcete zobrazit uživatele a skupiny patřící do spravované domény, vyberte kontejner AADDC Users . Uživatelské účty a skupiny z vašeho tenanta Azure AD jsou uvedené v tomto kontejneru.

   V následujícím příkladu výstupu se v tomto kontejneru zobrazí uživatelský účet s názvem Contoso admin a skupina pro AAD správců řadičů domény .

   

5. Pokud chcete zobrazit počítače, které jsou připojené ke spravované doméně, vyberte kontejner AADDC Computers . V seznamu se zobrazí položka pro aktuální virtuální počítač, například myVM. Účty počítačů pro všechna zařízení, která jsou připojená do spravované domény, se ukládají do kontejneru AADDC Computers .

K dispozici jsou běžné Centrum správy služby Active Directory akce, jako je resetování hesla uživatelského účtu nebo Správa členství ve skupinách. Tyto akce fungují jenom pro uživatele a skupiny vytvořené přímo ve spravované doméně. Informace o identitě se synchronizují jenom z Azure AD do Azure služba AD DS. Nebudete moct zpátky zapisovat z Azure služba AD DS do Azure AD. Nemůžete měnit hesla ani členství spravované skupiny pro uživatele synchronizované z Azure AD a tyto změny se synchronizují zpátky.

modul služby Active Directory pro Windows PowerShell, který je nainstalovaný jako součást nástrojů pro správu, můžete použít také ke správě běžných akcí ve spravované doméně.

Další kroky

V tomto kurzu jste se naučili:

Pokud chcete bezpečně pracovat se svojí spravovanou doménou z jiných aplikací, povolte protokol LDAPs zabezpečený protokol LDAP (Lightweight Directory Access Protocol).