Správa Windows Serveru 2019 v prostředí Microsoft Entra Domain Services
Služba Microsoft Entra Domain Services poskytuje spravovanou doménu uživatelům, aplikacím a službám, které mohou využívat. Tento přístup změní některé z dostupných úloh správy, které můžete dělat a jaká oprávnění máte ve spravované doméně. Tyto úlohy a oprávnění se můžou lišit od toho, co máte v běžném místním prostředí SLUŽBY AD DS.
Poznámka:
Pomocí Vzdálená plocha Microsoft se nemůžete připojit k řadičům domény spravované službou Microsoft Entra Domain Services.
Přehled
Členové skupiny AAD DC Správa istrators mají udělená oprávnění k doméně spravované službou Microsoft Entra Domain Services. V důsledku toho můžou tito správci v doméně provádět následující úlohy:
- Nakonfigurujte předdefinovaný objekt zásad skupiny pro kontejnery počítače AADDC a uživatele AADDC ve spravované doméně.
- Správa DNS ve spravované doméně.
- Vytvořte a spravujte vlastní organizační jednotky ve spravované doméně.
- Získání přístupu pro správu k počítačům připojeným ke spravované doméně.
Protože je však doména spravovaná službou Microsoft Entra Domain Services uzamčená, nemáte oprávnění k dokončení určitých úloh správy v doméně. Některé z následujících příkladů jsou úlohy, které nelze provést:
- Rozšíření schématu spravované domény
- Připojení řadičům domény pro spravovanou doménu pomocí Vzdálené plochy.
- Přidejte řadiče domény do spravované domény.
- Použijte oprávnění domain Správa istrator nebo Enterprise Správa istrator pro spravovanou doménu.
Po vytvoření instance služby Microsoft Entra Domain Services je nutné připojit počítač k doméně spravované službou Microsoft Entra Domain Services. Tento počítač je připojený k virtuální síti Azure, která poskytuje připojení k doméně spravované službou Microsoft Entra Domain Services. Postup připojení domény spravované službou Microsoft Entra Domain Services je stejný jako připojování k běžné místní doméně služby AD DS. Po připojení počítače je nutné nainstalovat nástroje pro správu instance služby Microsoft Entra Domain Services.
Tip
Pokud se chcete bezpečně připojit k počítači, můžete zvážit použití hostitele Služby Azure Bastion. Pomocí služby Azure Bastion se spravovaný hostitel nasadí do vaší virtuální sítě a poskytuje připojení protokolu RDP (Web-Based Remote Desktop Protocol) nebo SSH (Secure Shell) k virtuálním počítačům. Virtuální počítače nevyžadují žádné veřejné IP adresy a nemusíte otevírat pravidla skupin zabezpečení sítě pro externí vzdálený provoz. K virtuálním počítačům se připojujete pomocí webu Azure Portal.
Domény služby Microsoft Entra Domain Services spravujete pomocí stejných nástrojů pro správu jako místní prostředí SLUŽBY AD DS, jako je například Active Directory Správa istrative Center (ADAC) nebo Active Directory PowerShell. Tyto nástroje můžete nainstalovat jako součást funkce Nástroje pro vzdálenou Správa správu serveru (RSAT) na počítačích se systémem Windows Server a klientských počítačů. Členové skupiny AAD DC Správa istrators pak mohou vzdáleně spravovat domény spravované službou Microsoft Entra Domain Services pomocí těchto nástrojů pro správu služby Active Directory z počítače, který je připojený ke spravované doméně.
K dispozici jsou běžné akce ADAC, jako je resetování hesla uživatelského účtu nebo správa členství ve skupině. Tyto akce ale fungují jenom pro uživatele a skupiny vytvořené přímo v doméně spravované službou Microsoft Entra Domain Services. Informace o identitě se synchronizují pouze z ID Microsoft Entra do služby Microsoft Entra Domain Services; Neexistuje žádný zpětný zápis ze služby Microsoft Entra Domain Services do ID Microsoft Entra. V důsledku toho nemůžete změnit hesla ani členství ve spravované skupině pro uživatele synchronizované z Microsoft Entra ID a tyto změny synchronizovat zpět.
Ke správě běžných akcí ve spravované doméně Microsoft Entra Domain Services můžete také použít modul Active Directory pro Windows PowerShell, který je nainstalovaný jako součást nástrojů pro správu.
Povolení uživatelských účtů pro službu Microsoft Entra Domain Services
K ověřování uživatelů ve spravované doméně potřebuje služba Microsoft Entra Domain Services hodnoty hash hesel ve formátu, který je vhodný pro ověřování protokolem NTLM a Kerberos. Microsoft Entra ID nevygeneruje ani neukládá hodnoty hash hesel ve formátu, který je vyžadován pro ověřování protokolem NTLM nebo Kerberos, dokud pro svého tenanta nepovolíte službu Microsoft Entra Domain Services. Zbezpečnostních Proto microsoft Entra ID nemůže automaticky vygenerovat tyto hodnoty hash hesel NTLM nebo Kerberos na základě stávajících přihlašovacích údajů uživatelů.
Po odpovídající konfiguraci se použitelné hodnoty hash hesel ukládají do domény spravované službou Microsoft Entra Domain Services.
Upozornění
Pokud odstraníte tuto doménu, odstraní se také všechny hodnoty hash hesel uložené v tomto okamžiku.
Synchronizované informace o přihlašovacích údajích v MICROSOFT Entra ID nelze znovu použít, pokud později vytvoříte doménu spravovanou službou Microsoft Entra Domain Services. V důsledku toho je nutné znovu nakonfigurovat synchronizaci hodnot hash hesel, aby se hodnoty hash hesel ukládaly znovu. I v té době se virtuální počítače nebo uživatele připojené k doméně nebudou moct okamžitě ověřit, protože ID Microsoft Entra potřebuje vygenerovat a uložit hodnoty hash hesel v nové spravované doméně Služby Microsoft Entra Domain Services.
Postup vygenerování a ukládání těchto hodnot hash hesel se liší pro uživatelské účty pouze v cloudu vytvořené v Microsoft Entra ID a uživatelské účty synchronizované z místního adresáře pomocí microsoft Entra Připojení. Uživatelský účet jen pro cloud je účet, který se vytvoří v adresáři Microsoft Entra pomocí webu Azure Portal nebo rutin Prostředí Microsoft Graph PowerShell. Tyto uživatelské účty se nesynchronují z místního adresáře.
V případě uživatelských účtů jen pro cloud musí uživatelé před použitím služby Microsoft Entra Domain Services změnit svá hesla. Tento proces změny hesla způsobí, že se hodnoty hash hesel pro ověřování Kerberos i NTLM generují a ukládají v Microsoft Entra ID. Účet se nesynchronuje z ID Microsoft Entra do služby Microsoft Entra Domain Services, dokud se nezmění heslo. V důsledku toho byste měli buď vypršet hesla pro všechny cloudové uživatele v tenantovi, kteří potřebují používat službu Microsoft Entra Domain Services, která vynutí změnu hesla při příštím přihlášení, nebo dát cloudovým uživatelům pokyn, aby si heslo změnili ručně. Možná ale budete muset povolit samoobslužné resetování hesla, aby si uživatelé cloudu resetovali heslo.