Créer une unité d’organisation (UO) dans un domaine managé Microsoft Entra Domain Services

Les unités d’organisation (UO) dans un domaine managé Active Directory Domain Services (AD DS) vous permettent de regrouper logiquement des objets tels que des comptes d’utilisateur, des comptes de service ou des comptes d’ordinateur. Vous pouvez ensuite affecter des administrateurs à des unités d’organisation spécifiques et appliquer une stratégie de groupe, donc des paramètres de configuration ciblés.

Les domaines managés Domain Services incluent les deux UO intégrées suivantes :

• Ordinateurs AADDC : contient des objets ordinateur associés à tous les ordinateurs qui sont joints au domaine managé.
• Utilisateurs AADDC : comprend les utilisateurs et les groupes qui y sont synchronisés depuis le locataire Microsoft Entra.

Lors de la création et de l’exécution de charges de travail utilisant Domain Services, vous devrez peut-être créer des comptes de service pour que les applications s’authentifient elles-mêmes. Pour organiser ces comptes de service, vous créez souvent une unité d’organisation personnalisée dans le domaine managé, puis des comptes de service au sein de cette unité d’organisation.

Dans un environnement hybride, les unités d’organisation créées dans un environnement AD DS local ne sont pas synchronisées avec le domaine managé. Les domaines managés utilisent une structure d’unité d’organisation plate. Tous les comptes d’utilisateurs et les groupes sont stockés dans le conteneur Utilisateurs AADDC, en dépit de la synchronisation effectuée à partir de forêts ou de domaines locaux différents, même si vous y avez configuré une structure d’unités d’organisation hiérarchique.

Cet article vous explique comment créer une UO dans votre domaine géré.

Avant de commencer

Pour faire ce qui est décrit dans cet article, vous avez besoin des ressources et des privilèges suivants :

• Un abonnement Azure actif.
  • Si vous n’avez pas d’abonnement Azure, créez un compte.
• Un client Microsoft Entra associé à votre abonnement, soit synchronisé avec un annuaire sur site, soit avec un annuaire cloud uniquement.
  • Si nécessaire, créez un client Microsoft Entra ou associez un abonnement Azure à votre compte.
• Un domaine géré Microsoft Entra Domain Services activé et configuré dans votre locataire Microsoft Entra.
  • Si nécessaire, suivez le didacticiel pour créer et configurer un domaine géré Microsoft Entra Domain Services.
• Une machine virtuelle de gestion Windows Server jointe au domaine managé Domain Services.
  • Si nécessaire, suivez le tutoriel Créer une machine virtuelle de gestion.
• Un compte d’utilisateur membre du groupe Administrateurs Microsoft Entra DC dans votre locataire Microsoft Entra.

Considérations et limitations relatives aux unités d’organisation personnalisées

Lorsque vous créez des unités d’organisation personnalisées dans un domaine managé, vous bénéficiez d’une plus grande souplesse de gestion pour la gestion des utilisateurs et l’application de la stratégie de groupe. Par rapport à un environnement AD DS local, il existe certaines limitations et considérations à prendre en compte lors de la création et de la gestion d’une structure d’unité d’organisation personnalisée dans un domaine managé :

• Pour créer des unités d’organisation personnalisées, les utilisateurs doivent être membres du groupe Administrateurs AAD DC.
• Un utilisateur qui crée une unité d’organisation personnalisée se voit accorder des privilèges d’administration (contrôle total) sur cette unité d’organisation et est le propriétaire de la ressource.
  • Par défaut, le groupe Administrateurs AAD DC a également le contrôle total sur l’unité d’organisation personnalisée.
• Une UO par défaut Utilisateurs AADDC est créée et contient tous les comptes d’utilisateur synchronisés depuis votre locataire Microsoft Entra.
  • Vous ne pouvez pas déplacer des utilisateurs ou des groupes de l’unité d’organisation Utilisateurs AADDC vers des unités d’organisation personnalisées que vous créez. Seuls les comptes d’utilisateurs ou les ressources créés dans le domaine managé peuvent être déplacés dans des unités d’organisation personnalisées.
• Les comptes d’utilisateur, les groupes, les comptes de service et les objets ordinateur que vous créez dans des UO personnalisées ne sont pas disponibles dans votre locataire Microsoft Entra.
  • Ces objets n’apparaissent ni avec l’API Microsoft Graph ni dans l’interface utilisateur Microsoft Entra ; ils sont disponibles uniquement dans votre domaine managé.

Créer une unité d’organisation personnalisée

Pour créer une unité d’organisation personnalisée, vous utilisez les outils d’administration Active Directory à partir d’une machine virtuelle jointe à un domaine. Le Centre d’administration Active Directory vous permet d’afficher, de modifier et de créer des ressources dans un domaine managé, notamment des unités d’organisation.

Notes

Pour créer une unité d’organisation personnalisée dans un domaine managé, vous devez être connecté à un compte d’utilisateur membre du groupe d administrateurs du contrôleur de domaine AAD.

1. Connectez-vous à votre machine virtuelle de gestion. Pour savoir comment se connecter à l’aide du centre d’administration Microsoft Entra, consultez Se connecter à une machine virtuelle Windows Server.

2. Dans l’écran d’accueil, sélectionnez Outils d’administration. La liste des outils de gestion disponibles qui ont été installés dans le tutoriel Créer une machine virtuelle de gestion s’affiche à l’écran.

3. Pour créer et gérer des unités d’organisation, sélectionnez Centre d’administration Active Directory dans la liste des outils d’administration.

4. Dans le volet de gauche, choisissez votre domaine managé, par exemple aaddscontoso.com. Une liste des unités d’organisation et des ressources s’affiche :

   

5. Le volet Tâches s’affiche sur le côté droit du Centre d’administration Active Directory. Sous le domaine, par exemple aaddscontoso.com, sélectionnez Nouveau > Unité d’organisation.

   

6. Dans la boîte de dialogue Créer une unité d’organisation, indiquez un Nom pour la nouvelle unité d’organisation, par exemple MyCustomOu. Fournissez une brève description de l’unité d’organisation, telle qu’unité d’organisation personnalisée pour les comptes de service. Si vous le souhaitez, vous pouvez également renseigner le champ Managée par de l’unité d’organisation. Sélectionnez OKpour créer l’unité d’organisation personnalisée.

   

7. De retour dans le Centre d’administration Active Directory, l’unité d’organisation personnalisée est désormais listée et peut être utilisée :

   

Étapes suivantes

Pour plus d’informations sur l’utilisation des outils d’administration ou la création et l’utilisation de comptes de service, consultez les articles suivants :

• Centre d'administration Active Directory : Prise en main
• Guide pas à pas des comptes de service (éventuellement en anglais)