Kurz: Vytvoření virtuálního počítače pro správu pro konfiguraci a správu spravované domény služby Microsoft Entra Domain Services

Služba Microsoft Entra Domain Services poskytuje spravované doménové služby, jako je připojení k doméně, zásady skupiny, ldap a ověřování Kerberos/NTLM, které je plně kompatibilní se službou Windows Server Active Directory. Tuto spravovanou doménu spravujete pomocí stejného nástroje pro vzdálenou správu serveru Správa istrace nástrojů (RSAT) jako u domény místní Active Directory Domain Services. Protože služba Domain Services je spravovaná služba, některé úlohy správy nemůžete provádět, například pomocí protokolu RDP (Remote Desktop Protocol) pro připojení k řadičům domény.

V tomto kurzu se dozvíte, jak nakonfigurovat virtuální počítač s Windows Serverem v Azure a nainstalovat požadované nástroje pro správu spravované domény Domain Services.

V tomto kurzu se naučíte:

• Vysvětlení dostupných úloh správy ve spravované doméně
• Instalace nástrojů pro správu služby Active Directory na virtuální počítač s Windows Serverem
• Provádění běžných úloh pomocí centra active directory Správa istrative Center

Pokud nemáte předplatné Azure, vytvořte si účet , než začnete.

Požadavky

K dokončení tohoto kurzu potřebujete následující prostředky a oprávnění:

• Aktivní předplatné Azure.
  • Pokud nemáte předplatné Azure, vytvořte účet.
• Tenant Microsoft Entra přidružený k vašemu předplatnému, buď synchronizovaný s místním adresářem, nebo s cloudovým adresářem.
  • V případě potřeby vytvořte tenanta Microsoft Entra nebo přidružte předplatné Azure k vašemu účtu.
• Spravovaná doména služby Microsoft Entra Domain Services je povolená a nakonfigurovaná ve vašem tenantovi Microsoft Entra.
  • V případě potřeby si prohlédnou první kurz vytvoření a konfigurace spravované domény služby Microsoft Entra Domain Services.
• Virtuální počítač s Windows Serverem, který je připojený ke spravované doméně.
  • V případě potřeby si prohlédni předchozí kurz vytvoření virtuálního počítače s Windows Serverem a jeho připojení ke spravované doméně.
• Uživatelský účet, který je členem skupiny správců Microsoft Entra DC ve vašem tenantovi Microsoft Entra.
• Hostitel služby Azure Bastion nasazený ve virtuální síti Domain Services.
  • V případě potřeby vytvořte hostitele služby Azure Bastion.

Přihlaste se do Centra pro správu Microsoft Entra

V tomto kurzu vytvoříte a nakonfigurujete virtuální počítač pro správu pomocí Centra pro správu Microsoft Entra. Začněte tím, že se nejprve přihlásíte do Centra pro správu Microsoft Entra.

Dostupné úlohy správy ve službě Domain Services

Domain Services poskytuje spravovanou doménu, kterou můžou vaši uživatelé, aplikace a služby využívat. Tento přístup změní některé z dostupných úloh správy, které můžete dělat a jaká oprávnění máte ve spravované doméně. Tyto úlohy a oprávnění se můžou lišit od toho, co máte v běžném prostředí místní Active Directory Domain Services. Nemůžete se také připojit k řadičům domény ve spravované doméně pomocí vzdálené plochy.

Správa istrativní úlohy, které můžete provádět ve spravované doméně

Členům skupiny řadičů domény AAD Správa istrators jsou udělena oprávnění ke spravované doméně, která jim umožňuje provádět úlohy, jako jsou:

• Nakonfigurujte předdefinovaný objekt zásad skupiny (GPO) pro kontejnery AADDC Computers a AADDC Users ve spravované doméně.
• Správa DNS ve spravované doméně.
• Vytvořte a spravujte vlastní organizační jednotky (OU) ve spravované doméně.
• Získání přístupu pro správu k počítačům připojeným ke spravované doméně.

Správa istrativní oprávnění, která nemáte ve spravované doméně

Spravovaná doména je uzamčená, takže nemáte oprávnění k určitým úlohám správy v doméně. Některé z následujících příkladů jsou úkoly, které nemůžete udělat:

• Rozšíření schématu spravované domény
• Připojení řadičům domény pro spravovanou doménu pomocí Vzdálené plochy.
• Přidejte řadiče domény do spravované domény.
• Nemáte oprávnění domain Správa istrator nebo Enterprise Správa istrator pro spravovanou doménu.

Přihlášení k virtuálnímu počítači s Windows Serverem

V předchozím kurzu se vytvořil a připojil virtuální počítač s Windows Serverem ke spravované doméně. Tento virtuální počítač použijte k instalaci nástrojů pro správu. V případě potřeby vytvořte a připojte virtuální počítač s Windows Serverem ke spravované doméně podle kroků v tomto kurzu.

Poznámka:

V tomto kurzu použijete virtuální počítač s Windows Serverem v Azure, který je připojený ke spravované doméně. Můžete také použít klienta Windows, například Windows 10, který je připojený ke spravované doméně.

Další informace o tom, jak nainstalovat nástroje pro správu na klienta systému Windows, najdete v tématu instalace nástrojů vzdáleného serveru Správa istrace nástrojů (RSAT).

Začněte tím, že se připojíte k virtuálnímu počítači s Windows Serverem následujícím způsobem:

1. V Centru pro správu Microsoft Entra vyberte na levé straně skupiny prostředků. Vyberte skupinu prostředků, ve které byl virtuální počítač vytvořen, například myResourceGroup, a pak vyberte virtuální počítač, například myVM.

2. V podokně Přehled virtuálního počítače vyberte Připojení a pak Bastion.

   

3. Zadejte přihlašovací údaje pro virtuální počítač a pak vyberte Připojení.

   

V případě potřeby povolte webovému prohlížeči otevření automaticky otevíraných oken pro zobrazení připojení Bastion. Připojení k virtuálnímu počítači trvá několik sekund.

Instalace nástrojů pro správu služby Active Directory

Stejné nástroje pro správu používáte ve spravované doméně jako místní prostředí SLUŽBY AD DS, jako je služba Active Directory Správa istrative Center (ADAC) nebo AD PowerShell. Tyto nástroje lze nainstalovat jako součást funkce Nástroje pro vzdálenou Správa správu serveru (RSAT) na počítačích s Windows Serverem a klientskými počítači. Členové skupiny AAD DC Správa istrators pak můžou spravovat spravované domény vzdáleně pomocí těchto nástrojů pro správu AD z počítače, který je připojený ke spravované doméně.

Pokud chcete nainstalovat nástroje služby Active Directory Správa istrace na virtuální počítač připojený k doméně, proveďte následující kroky:

1. Pokud Správce serveru se při přihlášení k virtuálnímu počítači ve výchozím nastavení neotevře, vyberte nabídku Start a pak zvolte Správce serveru.

2. V podokně řídicího panelu okna Správce serveru vyberte Přidat role a funkce.

3. Na stránce Před zahájenímprůvodce přidáním rolí a funkcí vyberte Další.

4. U typu instalace ponechte zaškrtnutou možnost instalace na základě role nebo funkce a vyberte Další.

5. Na stránce Výběr serveru zvolte aktuální virtuální počítač z fondu serverů, například myvm.aaddscontoso.com, a pak vyberte Další.

6. Na stránce Role serveru klikněte na Další.

7. Na stránce Funkce rozbalte uzel Nástroje vzdáleného serveru Správa istrace a potom rozbalte uzel Nástroje Správa istrace rolí.

   V seznamu nástrojů pro správu rolí zvolte službu AD DS a nástroje služby AD LDS a pak vyberte Další.

   

8. Na stránce Potvrzení vyberte Nainstalovat. Instalace nástrojů pro správu může trvat minutu nebo dvě.

9. Po dokončení instalace funkcí ukončete průvodce přidáním rolí a funkcí výběrem možnosti Zavřít.

Použití nástrojů pro správu služby Active Directory

S nainstalovanými nástroji pro správu se podíváme, jak je používat ke správě spravované domény. Ujistěte se, že jste k virtuálnímu počítači přihlášení pomocí uživatelského účtu, který je členem skupiny AAD DC Správa istrators.

1. V nabídce Start vyberte nástroje windows Správa istrativní nástroje. Zobrazí se nástroje pro správu AD nainstalované v předchozím kroku.

   

2. Vyberte Active Directory Správa istrativní centrum.

3. Pokud chcete prozkoumat spravovanou doménu, zvolte název domény v levém podokně, například aaddscontoso. V horní části seznamu jsou dva kontejnery s názvem AADDC Computers a AADDC Users .

   

4. Pokud chcete zobrazit uživatele a skupiny, které patří do spravované domény, vyberte kontejner Uživatelé AADDC. Uživatelské účty a skupiny z vašeho tenanta Microsoft Entra jsou uvedené v tomto kontejneru.

   V následujícím příkladu výstupu se v tomto kontejneru zobrazí uživatelský účet Contoso Správa a skupina pro Správa istrátory AAD DC.

   

5. Pokud chcete zobrazit počítače připojené ke spravované doméně, vyberte kontejner AADDC Computers . Zobrazí se položka pro aktuální virtuální počítač, například myVM. Účty počítačů pro všechna zařízení připojená ke spravované doméně jsou uloženy v tomto kontejneru počítače AADDC.

K dispozici jsou běžné akce centra active directory Správa istrativní centrum, jako je resetování hesla uživatelského účtu nebo správa členství ve skupině. Tyto akce fungují jenom pro uživatele a skupiny vytvořené přímo ve spravované doméně. Informace o identitě se synchronizují pouze z ID Microsoft Entra do domain Services. Z Domain Services se do ID Microsoft Entra nevrátí zpětný zápis. Nemůžete změnit hesla ani členství ve spravované skupině pro uživatele synchronizované z Microsoft Entra ID a tyto změny synchronizovat zpět.

Ke správě běžných akcí ve spravované doméně můžete také použít modul Active Directory pro Windows PowerShell nainstalovaný jako součást nástrojů pro správu.

Další kroky

V tomto kurzu jste se naučili, jak:

• Vysvětlení dostupných úloh správy ve spravované doméně
• Instalace nástrojů pro správu služby Active Directory na virtuální počítač s Windows Serverem
• Provádění běžných úloh pomocí centra active directory Správa istrative Center

Pokud chcete bezpečně pracovat se spravovanou doménou z jiných aplikací, povolte zabezpečený protokol LDAPS (Lightweight Directory Access Protocol).

Konfigurace protokolu SECURE LDAP pro vaši spravovanou doménu