Erstellen einer Organisationseinheit (OE) in einer verwalteten Azure Active Directory Domain Services-Domäne

Mit Organisationseinheiten in einer von Active Directory Domain Services (AD DS) verwalteten Domäne können Sie Objekte wie Benutzerkonten, Dienstkonten oder Computerkonten logisch gruppieren. Sie können dann Administratoren bestimmten Organisationseinheiten zuordnen und Gruppenrichtlinien anwenden, um gezielte Konfigurationseinstellungen zu erzwingen.

Von Azure AD DS verwaltete Domänen umfassen die folgenden beiden integrierten Organisationseinheiten:

  • AADDC-Computer: enthält Computerobjekte für alle Computer, die in die verwaltete Domäne eingebunden sind.
  • AADDC-Benutzer: enthält Benutzer und Gruppen, die über den Azure AD-Mandanten synchronisiert wurden.

Wenn Sie Workloads erstellen und ausführen, die Azure AD DS verwenden, müssen Sie möglicherweise Dienstkonten für Anwendungen erstellen, damit diese sich selbst authentifizieren können. Um diese Dienstkonten zu organisieren, erstellen Sie häufig eine benutzerdefinierte Organisationseinheit in der verwalteten Domäne und erstellen dann Dienstkonten innerhalb dieser Organisationseinheit.

In einer Hybridumgebung werden in einer lokalen AD DS-Umgebung erstellte Organisationseinheiten nicht mit der verwalteten Domäne synchronisiert. Verwaltete Domänen weisen eine flache OE-Struktur auf. Alle Benutzerkonten und -gruppen werden ungeachtet der Synchronisierung aus verschiedenen lokalen Domänen oder Gesamtstrukturen im Container AADDC Users gespeichert, auch wenn Sie eine hierarchische OE-Struktur konfiguriert haben.

In diesem Artikel wird gezeigt, wie Sie in der verwalteten Domäne eine Organisationseinheit erstellen.

Voraussetzungen

Für diesen Artikel benötigen Sie die folgenden Ressourcen und Berechtigungen:

Überlegungen und Einschränkungen zu benutzerdefinierten Organisationseinheiten

Wenn Sie benutzerdefinierte Organisationseinheiten in einer verwalteten Domäne erstellen, erhalten Sie zusätzliche Flexibilität bei der Benutzerverwaltung und der Anwendung von Gruppenrichtlinien. Im Vergleich zu einer lokalen AD DS-Umgebung gibt es einige Einschränkungen und Aspekte, die beim Erstellen und Verwalten einer benutzerdefinierten OE-Struktur in einer verwalteten Domäne zu berücksichtigen sind:

  • Um benutzerdefinierte Organisationseinheiten erstellen zu können, müssen Benutzer Mitglied der Gruppe AAD DC Administrators sein.
  • Ein Benutzer, der eine benutzerdefinierte Organisationseinheit erstellt, erhält Administratorrechte (Vollzugriff) über diese Organisationseinheit und ist der Ressourcenbesitzer.
    • Standardmäßig hat die Gruppe AAD DC Administrators auch Vollzugriff auf die benutzerdefinierte Organisationseinheit.
  • Es wird eine Standardorganisationseinheit für AADDC-Benutzer erstellt, die alle synchronisierten Benutzerkonten Ihres Azure AD-Mandanten enthält.
    • Sie können keine Benutzer oder Gruppen der Organisationseinheit AADDC-Benutzer in benutzerdefinierte Organisationseinheiten verschieben, die Sie erstellen. Es können nur in der verwalteten Domäne erstellte Benutzerkonten oder Ressourcen in benutzerdefinierte Organisationseinheiten verschoben werden.
  • Benutzerkonten, Gruppen, Dienstkonten und Computerobjekte, die Sie in benutzerdefinierten Organisationseinheiten erstellen, stehen in Ihrem Azure AD-Mandanten nicht zur Verfügung.
    • Diese Objekte werden nicht über die Microsoft Graph-API oder auf der Azure AD-Benutzeroberfläche angezeigt. Sie sind nur in Ihrer verwalteten Domäne verfügbar.

Erstellen einer benutzerdefinierten Organisationseinheit

Um eine benutzerdefinierte Organisationseinheit zu erstellen, verwenden Sie die Active Directory-Verwaltungstools auf einer in die Domäne eingebundenen VM. Im Active Directory-Verwaltungscenter können Sie Ressourcen in einer verwalteten Domäne (einschließlich Organisationseinheiten) anzeigen, bearbeiten und erstellen.

Hinweis

Um eine benutzerdefinierte Organisationseinheit in einer verwalteten Domäne erstellen zu können, müssen Sie bei einem Benutzerkonto angemeldet sein, das Mitglied der Gruppe AAD DC-Administratoren ist.

  1. Melden Sie sich bei Ihrer Verwaltungs-VM an. Weitere Informationen zu den Schritten zum Herstellen einer Verbindung mithilfe des Azure-Portals finden Sie unter Herstellen einer Verbindung mit einer Windows Server-VM.

  2. Klicken Sie auf dem Startbildschirm auf Verwaltung. Es wird eine Liste der verfügbaren Verwaltungstools angezeigt, die im Tutorial zum Erstellen eines virtuellen Verwaltungscomputers installiert wurden.

  3. Wählen Sie zum Erstellen und Verwalten von Organisationseinheiten Active Directory-Verwaltungscenter aus der Liste der Verwaltungstools aus.

  4. Wählen Sie im linken Bereich Ihre verwaltete Domäne (z. B. aaddscontoso.com) aus. Eine Liste der vorhandenen Organisationseinheiten und Ressourcen wird angezeigt:

    Select your managed domain in the Active Directory Administrative Center

  5. Der Bereich Aufgaben wird auf der rechten Seite des Active Directory-Verwaltungscenters angezeigt. Wählen Sie unter der Domäne (z. B. aaddscontoso.com) die Option Neu > Organisationseinheit aus.

    Select the option to create a new OU in the Active Directory Administrative Center

  6. Geben Sie im Dialogfeld Organisationseinheit erstellen einen Namen für die neue Organisationseinheit an, z. B. MyCustomOu. Geben Sie eine kurze Beschreibung für die Organisationseinheit an, z. B. Benutzerdefinierte Organisationseinheit für Dienstkonten. Bei Bedarf können Sie auch das Feld Verwaltet von für die Organisationseinheit festlegen. Wählen Sie OK aus, um die benutzerdefinierte Organisationseinheit zu erstellen.

    Create a custom OU from the Active Directory Administrative Center

  7. Im Active Directory-Verwaltungscenter ist jetzt die benutzerdefinierte Organisationseinheit aufgeführt und kann verwendet werden:

    Custom OU available for use in the Active Directory Administrative Center

Nächste Schritte

Weitere Informationen zur Verwendung der Verwaltungstools oder zum Erstellen und Verwenden von Dienstkonten finden Sie in den folgenden Artikeln: