Kurz: Vytvoření virtuálního počítače pro správu pro konfiguraci a správu spravované domény Azure Active Directory Domain Services

Azure Active Directory Domain Services (Azure AD DS) poskytuje spravované doménové služby, jako jsou připojení k doméně, zásady skupiny, LDAP a ověřování Kerberos/NTLM, které je plně kompatibilní s Windows Server Active Directory. Tuto spravovanou doménu spravujete pomocí stejných nástrojů pro vzdálenou správu serveru (RSAT) jako u domény služby místní Active Directory Domain Services. Vzhledem k tomu, že azure AD DS je spravovaná služba, existují některé úlohy správy, které nemůžete provádět, jako je použití protokolu RDP (Remote Desktop Protocol) pro připojení k řadičům domény.

V tomto kurzu se dozvíte, jak nakonfigurovat virtuální počítač Windows Serveru v Azure a nainstalovat požadované nástroje pro správu spravované domény Azure AD DS.

V tomto kurzu se naučíte:

  • Vysvětlení dostupných úloh správy ve spravované doméně
  • Instalace nástrojů pro správu služby Active Directory na virtuální počítač Windows Serveru
  • Použití Centra správy služby Active Directory k provádění běžných úloh

Pokud nemáte předplatné Azure, vytvořte si účet , než začnete.

Požadavky

K dokončení tohoto kurzu potřebujete následující prostředky a oprávnění:

Přihlášení k webu Azure Portal

V tomto kurzu vytvoříte a nakonfigurujete virtuální počítač pro správu pomocí Azure Portal. Začněte tím, že se nejdřív přihlásíte k Azure Portal.

Dostupné úlohy správy ve službě Azure AD DS

Azure AD DS poskytuje spravovanou doménu pro vaše uživatele, aplikace a služby, které se mají využívat. Tento přístup změní některé dostupné úlohy správy, které můžete udělat, a jaká oprávnění máte v rámci spravované domény. Tyto úlohy a oprávnění se můžou lišit od toho, co máte zkušenosti s běžným prostředím služby Domain Services místní Active Directory. Pomocí vzdálené plochy se také nemůžete připojit k řadičům domény ve spravované doméně.

Úlohy správy, které můžete provádět ve spravované doméně

Členové skupiny AAD SPRÁVCI řadiče domény mají udělená oprávnění ke spravované doméně, která jim umožňuje provádět úlohy, jako jsou:

  • Nakonfigurujte předdefinovaný objekt zásad skupiny (GPO) pro kontejnery AADDC Computers a AADDC Users ve spravované doméně.
  • Správa DNS ve spravované doméně.
  • Vytvořte a spravujte vlastní organizační jednotky (OU) ve spravované doméně.
  • Získání přístupu pro správu k počítačům připojeným ke spravované doméně.

Oprávnění správce, která nemáte ve spravované doméně

Spravovaná doména je uzamčená, takže nemáte oprávnění k určitým úlohám správy v doméně. Některé z následujících příkladů jsou úkoly, které nemůžete udělat:

  • Rozšíření schématu spravované domény
  • Připojení řadičům domény spravované domény pomocí vzdálené plochy.
  • Přidejte řadiče domény do spravované domény.
  • Nemáte oprávnění správce domény ani správce Enterprise pro spravovanou doménu.

Přihlaste se k virtuálnímu počítači Windows Serveru.

V předchozím kurzu se vytvořil virtuální počítač Windows Serveru a připojil se ke spravované doméně. Tento virtuální počítač použijte k instalaci nástrojů pro správu. V případě potřeby vytvořte a připojte virtuální počítač Windows Serveru ke spravované doméně podle pokynů v tomto kurzu.

Poznámka

V tomto kurzu použijete virtuální počítač Windows Serveru v Azure, který je připojený ke spravované doméně. Můžete také použít klienta Windows, například Windows 10, který je připojený ke spravované doméně.

Další informace o tom, jak nainstalovat nástroje pro správu na Windows klienta, najdete v tématu instalace nástrojů pro vzdálenou správu serveru (RSAT)

Pokud chcete začít, připojte se k virtuálnímu počítači Windows Serveru následujícím způsobem:

  1. V Azure Portal vyberte skupiny prostředků na levé straně. Zvolte skupinu prostředků, ve které byl virtuální počítač vytvořen, například myResourceGroup, a pak vyberte virtuální počítač, například myVM.

  2. V podokně Přehled virtuálního počítače vyberte Připojení a potom Bastion.

    Connect to Windows virtual machine using Bastion in the Azure portal

  3. Zadejte přihlašovací údaje pro virtuální počítač a pak vyberte Připojení.

    Connect through the Bastion host in the Azure portal

V případě potřeby povolte webovému prohlížeči, aby se zobrazilo automaticky otevírané okno pro připojení Bastionu. Připojení k virtuálnímu počítači trvá několik sekund.

Instalace nástrojů pro správu služby Active Directory

Stejné nástroje pro správu používáte ve spravované doméně jako místní prostředí SLUŽBY AD DS, například Centrum správy služby Active Directory (ADAC) nebo AD PowerShell. Tyto nástroje je možné nainstalovat jako součást funkce Nástroje pro vzdálenou správu serveru (RSAT) na Windows Serveru a klientských počítačích. Členové skupiny AAD SPRÁVCI řadiče domény pak můžou spravovat spravované domény vzdáleně pomocí těchto nástrojů pro správu AD z počítače připojeného ke spravované doméně.

Pokud chcete nainstalovat nástroje pro správu služby Active Directory na virtuální počítač připojený k doméně, proveďte následující kroky:

  1. Pokud se Správce serveru při přihlášení k virtuálnímu počítači ve výchozím nastavení neotevře, vyberte nabídku Start a pak zvolte Správce serveru.

  2. V podokně řídicího panelu okna Správce serveru vyberte Přidat role a funkce.

  3. Na stránce Před zahájenímprůvodce přidáním rolí a funkcí vyberte Další.

  4. U typu instalace ponechte zaškrtnutou možnost instalace na základě role nebo funkce a vyberte Další.

  5. Na stránce Výběr serveru zvolte aktuální virtuální počítač z fondu serverů, například myvm.aaddscontoso.com, a pak vyberte Další.

  6. Na stránce Role serveru klepněte na tlačítko Další.

  7. Na stránce Funkce rozbalte uzel Nástroje pro vzdálenou správu serveru a pak rozbalte uzel Nástroje pro správu rolí .

    V seznamu nástrojů pro správu rolí zvolte funkci AD DS a NÁSTROJE SLUŽBY AD LDS a pak vyberte Další.

    Install the 'AD DS and AD LDS Tools' from the Features page

  8. Na stránce Potvrzení vyberte Nainstalovat. Instalace nástrojů pro správu může trvat minutu nebo dvě.

  9. Po dokončení instalace funkce vyberte Zavřít a ukončete průvodce přidáním rolí a funkcí .

Použití nástrojů pro správu služby Active Directory

S nainstalovanými nástroji pro správu se podíváme, jak je používat ke správě spravované domény. Ujistěte se, že jste přihlášení k virtuálnímu počítači pomocí uživatelského účtu, který je členem skupiny AAD DC Administrators.

  1. V nabídce Start vyberte Windows Nástroje pro správu. Jsou uvedené nástroje pro správu AD nainstalované v předchozím kroku.

    List of Administrative Tools installed on the server

  2. Vyberte Centrum správy služby Active Directory.

  3. Pokud chcete prozkoumat spravovanou doménu, zvolte název domény v levém podokně, například aaddscontoso. V horní části seznamu jsou dva kontejnery s názvem AADDC Computers a AADDC Users .

    List the available containers part of the managed domain

  4. Pokud chcete zobrazit uživatele a skupiny, které patří do spravované domény, vyberte kontejner AADDC Users . Uživatelské účty a skupiny z vašeho tenanta Azure AD jsou uvedené v tomto kontejneru.

    V následujícím příkladu výstupu se v tomto kontejneru zobrazí uživatelský účet Contoso Admin a skupina pro správce řadiče domény AAD.

    View the list of Azure AD DS domain users in the Active Directory Administrative Center

  5. Pokud chcete zobrazit počítače připojené ke spravované doméně, vyberte kontejner Počítače AADDC . Zobrazí se položka pro aktuální virtuální počítač, například myVM. Účty počítačů pro všechna zařízení připojená ke spravované doméně jsou uloženy v tomto kontejneru počítačů AADDC .

K dispozici jsou běžné akce Centra správy služby Active Directory, jako je resetování hesla uživatelského účtu nebo správa členství ve skupinách. Tyto akce fungují jenom pro uživatele a skupiny vytvořené přímo ve spravované doméně. Informace o identitě se synchronizují jenom z Azure AD do Azure AD DS. Z Azure AD DS do Azure AD neexistuje žádný zápis. Nemůžete změnit hesla ani členství ve spravované skupině pro uživatele synchronizované z Azure AD a tyto změny synchronizovat zpět.

Ke správě běžných akcí ve vaší spravované doméně můžete také použít modul Služby Active Directory pro Windows PowerShell nainstalovaný jako součást nástrojů pro správu.

Další kroky

V tomto kurzu jste se naučili:

  • Vysvětlení dostupných úloh správy ve spravované doméně
  • Instalace nástrojů pro správu služby Active Directory na virtuální počítač Windows Serveru
  • Použití Centra správy služby Active Directory k provádění běžných úloh

Pokud chcete bezpečně pracovat s vaší spravovanou doménou z jiných aplikací, povolte zabezpečený protokol LDAPS (Lightweight Directory Access Protocol).