Felügyeleti fogalmak a felhasználói fiókokhoz, jelszavakhoz és felügyelethez Azure Active Directory Domain ServicesManagement concepts for user accounts, passwords, and administration in Azure Active Directory Domain Services

Ha Azure Active Directory Domain Services (AD DS) felügyelt tartományt hoz létre és futtat, a viselkedés a hagyományos helyszíni AD DS környezethez képest valamilyen eltérést mutat.When you create and run an Azure Active Directory Domain Services (AD DS) managed domain, there are some differences in behavior compared to a traditional on-premises AD DS environment. Ugyanazokat a felügyeleti eszközöket használja az Azure AD DS önálló felügyelt tartományként, de nem férhet hozzá közvetlenül a tartományvezérlőhöz (DC).You use the same administrative tools in Azure AD DS as a self-managed domain, but you can't directly access the domain controllers (DC). A felhasználói fiókok létrehozásának forrásától függően a jelszóházirend és a jelszó-kivonatok viselkedése is fennáll.There's also some differences in behavior for password policies and password hashes depending on the source of the user account creation.

Ez a fogalmi cikk részletesen ismerteti a felügyelt tartományok felügyeletét és a felhasználói fiókok különböző viselkedését a létrehozásuk módjától függően.This conceptual article details how to administer a managed domain and the different behavior of user accounts depending on the way they're created.

Tartományi felügyeletDomain management

A felügyelt tartomány a DNS-névtér és a hozzá tartozó könyvtár.A managed domain is a DNS namespace and matching directory. A felügyelt tartományokban az összes erőforrást (például a felhasználókat és a csoportokat, a hitelesítő adatokat és a szabályzatokat) tartalmazó tartományvezérlők (DCs-EK) a felügyelt szolgáltatás részét képezik.In a managed domain, the domain controllers (DCs) that contain all the resources like users and groups, credentials, and policies are part of the managed service. A redundancia érdekében a rendszer két tartományvezérlőt hoz létre egy felügyelt tartomány részeként.For redundancy, two DCs are created as part of a managed domain. A felügyeleti feladatok elvégzéséhez nem lehet bejelentkezni a tartományvezérlőre.You can't sign in to these DCs to perform management tasks. Ehelyett a felügyelt tartományhoz csatlakoztatott felügyeleti virtuális gépet kell létrehoznia, majd telepítenie kell a rendszeres AD DS felügyeleti eszközöket.Instead, you create a management VM that's joined to the managed domain, then install your regular AD DS management tools. Használhatja például a Active Directory felügyeleti központ vagy a Microsoft Management Console (MMC) beépülő modult, például a DNS-vagy Csoportházirend-objektumokat.You can use the Active Directory Administrative Center or Microsoft Management Console (MMC) snap-ins like DNS or Group Policy objects, for example.

Felhasználói fiók létrehozásaUser account creation

A felhasználói fiókok több módon is létrehozhatók felügyelt tartományokban.User accounts can be created in a managed domain in multiple ways. A legtöbb felhasználói fiók szinkronizálva van az Azure AD-ből, amely tartalmazhatja a helyszíni AD DS környezetből szinkronizált felhasználói fiókot is.Most user accounts are synchronized in from Azure AD, which can also include user account synchronized from an on-premises AD DS environment. A fiókokat manuálisan is létrehozhatja közvetlenül a felügyelt tartományban.You can also manually create accounts directly in the managed domain. Bizonyos funkciók, például a kezdeti jelszó-szinkronizálás vagy a jelszóházirend, eltérően viselkednek, attól függően, hogyan és hol jönnek létre a felhasználói fiókok.Some features, like initial password synchronization or password policy, behave differently depending on how and where user accounts are created.

  • A felhasználói fiók szinkronizálható az Azure AD-ből.The user account can be synchronized in from Azure AD. Ez magában foglalja a közvetlenül az Azure AD-ben létrehozott felhőalapú felhasználói fiókokat, valamint a helyi AD DS környezetből Azure AD Connect használatával szinkronizált hibrid felhasználói fiókokat.This includes cloud-only user accounts created directly in Azure AD, and hybrid user accounts synchronized from an on-premises AD DS environment using Azure AD Connect.
    • A felügyelt tartományokban lévő felhasználói fiókok többségét az Azure AD szinkronizálási folyamata hozza létre.The majority of user accounts in a managed domain are created through the synchronization process from Azure AD.
  • A felhasználói fiók manuálisan is létrehozható egy felügyelt tartományban, és nem létezik az Azure AD-ben.The user account can be manually created in a managed domain, and doesn't exist in Azure AD.
    • Ha olyan alkalmazásokhoz kell szolgáltatásfiókot létrehoznia, amelyek csak a felügyelt tartományban futnak, manuálisan is létrehozhatja őket a felügyelt tartományban.If you need to create service accounts for applications that only run in the managed domain, you can manually create them in the managed domain. Mivel a szinkronizálás az Azure AD egyik módja, a felügyelt tartományban létrehozott felhasználói fiókok nem szinkronizálhatók vissza az Azure AD-be.As synchronization is one way from Azure AD, user accounts created in the managed domain aren't synchronized back to Azure AD.

JelszóházirendPassword policy

Az Azure AD DS tartalmaz egy alapértelmezett jelszóházirend-szabályzatot, amely meghatározza a fiókok zárolási beállításait, a jelszavak maximális élettartamát és a jelszó bonyolultságát.Azure AD DS includes a default password policy that defines settings for things like account lockout, maximum password age, and password complexity. Az olyan beállítások, mint a fiókzárolási házirend a felügyelt tartomány összes felhasználójára érvényesek, függetlenül attól, hogy a felhasználó hogyan lett létrehozva az előző szakaszban leírt módon.Settings like account lockout policy apply to all users in a managed domain, regardless of how the user was created as outlined in the previous section. Néhány beállítás, például a jelszó minimális hossza és a jelszó bonyolultsága, csak a felügyelt tartományokban közvetlenül létrehozott felhasználókra érvényesek.A few settings, like minimum password length and password complexity, only apply to users created directly in a managed domain.

A felügyelt tartományokban lévő alapértelmezett házirend felülbírálásához létrehozhat saját egyéni jelszóházirend-szabályzatokat is.You can create your own custom password policies to override the default policy in a managed domain. Ezeket az egyéni házirendeket ezután a felhasználók adott csoportjaira lehet alkalmazni, igény szerint.These custom policies can then be applied to specific groups of users as needed.

A jelszó-szabályzatok felhasználói létrehozási forrástól függően történő alkalmazásával kapcsolatos további információkért lásd: jelszó-és fiókzárolási házirendek a felügyelt tartományokon.For more information on the differences in how password policies are applied depending on the source of user creation, see Password and account lockout policies on managed domains.

Jelszó-kivonatokPassword hashes

A felügyelt tartományon lévő felhasználók hitelesítéséhez az Azure AD DS a jelszó-kivonatokat az NT LAN Manager (NTLM) és a Kerberos-hitelesítéshez megfelelő formátumban kell megadni.To authenticate users on the managed domain, Azure AD DS needs password hashes in a format that's suitable for NT LAN Manager (NTLM) and Kerberos authentication. Az Azure AD az NTLM-vagy Kerberos-hitelesítéshez szükséges formátumban nem állítja elő vagy tárolja a jelszó-kivonatokat, amíg nem engedélyezi az Azure-AD DS a bérlő számára.Azure AD doesn't generate or store password hashes in the format that's required for NTLM or Kerberos authentication until you enable Azure AD DS for your tenant. Biztonsági okokból az Azure AD nem tárolja a jelszó hitelesítő adatait a tiszta szöveges formában.For security reasons, Azure AD also doesn't store any password credentials in clear-text form. Ezért az Azure AD nem tudja automatikusan előállítani ezeket az NTLM-vagy Kerberos-jelszó-kivonatokat a felhasználók meglévő hitelesítő adatai alapján.Therefore, Azure AD can't automatically generate these NTLM or Kerberos password hashes based on users' existing credentials.

A csak felhőalapú felhasználói fiókok esetében a felhasználóknak módosítaniuk kell a jelszavukat, mielőtt használhatják a felügyelt tartományt.For cloud-only user accounts, users must change their passwords before they can use the managed domain. Ez a jelszó-módosítási folyamat okozza a Kerberos és az NTLM hitelesítés jelszavas kivonatait az Azure AD-ben való létrehozásához és tárolásához.This password change process causes the password hashes for Kerberos and NTLM authentication to be generated and stored in Azure AD. A fiók nincs szinkronizálva az Azure AD-ből az Azure AD DSig, amíg meg nem változtatják a jelszót.The account isn't synchronized from Azure AD to Azure AD DS until the password is changed.

A helyszíni AD DS környezetből Azure AD Connect használatával szinkronizált felhasználók számára engedélyezze a jelszó-kivonatok szinkronizálását.For users synchronized from an on-premises AD DS environment using Azure AD Connect, enable synchronization of password hashes.

Fontos

Azure AD Connect csak a régi jelszavakat szinkronizálja, amikor engedélyezi az Azure AD DSt az Azure AD-bérlő számára.Azure AD Connect only synchronizes legacy password hashes when you enable Azure AD DS for your Azure AD tenant. A rendszer nem használja az örökölt jelszavas kivonatokat, ha a helyszíni AD DS-környezet Azure AD-vel való szinkronizálásához csak Azure AD Connectt használ.Legacy password hashes aren't used if you only use Azure AD Connect to synchronize an on-premises AD DS environment with Azure AD.

Ha az örökölt alkalmazásai nem használnak NTLM-hitelesítést vagy LDAP egyszerű kötéseket, javasoljuk, hogy tiltsa le az NTLM-jelszó kivonatának szinkronizálását az Azure AD DS.If your legacy applications don't use NTLM authentication or LDAP simple binds, we recommend that you disable NTLM password hash synchronization for Azure AD DS. További információ: a gyenge titkosítási csomagok letiltása és az NTLM hitelesítő adatok kivonatának szinkronizálása.For more information, see Disable weak cipher suites and NTLM credential hash synchronization.

A megfelelő konfigurálást követően a rendszer a használható jelszavak kivonatait a felügyelt tartományban tárolja.Once appropriately configured, the usable password hashes are stored in the managed domain. Ha törli a felügyelt tartományt, az ezen a ponton tárolt jelszó-kivonatokat is törli a rendszer.If you delete the managed domain, any password hashes stored at that point are also deleted. A szinkronizált hitelesítő adatokat az Azure AD-ben nem lehet újra felhasználni, ha később egy másik felügyelt tartományt hoz létre – újra kell konfigurálnia a jelszó-kivonat szinkronizálását, hogy a rendszer újra tárolja a jelszó-kivonatokat.Synchronized credential information in Azure AD can't be reused if you later create another managed domain - you must reconfigure the password hash synchronization to store the password hashes again. Korábban a tartományhoz csatlakoztatott virtuális gépek vagy felhasználók nem fognak tudni azonnal hitelesíteni magukat – az Azure AD-nek a jelszó-kivonatokat az új felügyelt tartományban kell kiállítania és tárolnia.Previously domain-joined VMs or users won't be able to immediately authenticate - Azure AD needs to generate and store the password hashes in the new managed domain. További információ: jelszó- kivonatolási szinkronizálási folyamat az Azure AD DS és Azure ad Connect.For more information, see Password hash sync process for Azure AD DS and Azure AD Connect.

Fontos

A Azure AD Connect csak a helyszíni AD DS környezetekkel való szinkronizálásra kell telepíteni és konfigurálni.Azure AD Connect should only be installed and configured for synchronization with on-premises AD DS environments. A felügyelt tartományokban való Azure AD Connect telepítése nem támogatott az objektumok Azure AD-be való visszaszinkronizálásához.It's not supported to install Azure AD Connect in a managed domain to synchronize objects back to Azure AD.

Erdők és megbízhatóságokForests and trusts

Az erdők Active Directory tartományi szolgáltatások (AD DS) által használt logikai szerkezetek egy vagy több tartománycsoportosításához.A forest is a logical construct used by Active Directory Domain Services (AD DS) to group one or more domains. A tartományok ezután objektumokat tárolnak a felhasználók vagy csoportok számára, és biztosítják a hitelesítési szolgáltatásokat.The domains then store objects for user or groups, and provide authentication services.

Az Azure AD DSban az erdő csak egy tartományt tartalmaz.In Azure AD DS, the forest only contains one domain. A helyszíni AD DS erdők gyakran sok tartományt tartalmaznak.On-premises AD DS forests often contain many domains. A nagyméretű szervezeteknél – különösen az összevonások és a beszerzések után – előfordulhat, hogy több helyszíni erdővel is rendelkezik, amelyek mindegyike több tartományt tartalmaz.In large organizations, especially after mergers and acquisitions, you may end up with multiple on-premises forests that each then contain multiple domains.

Alapértelmezés szerint a felügyelt tartomány felhasználói erdőként jön létre.By default, a managed domain is created as a user forest. Ez a típusú erdő az Azure AD összes objektumát szinkronizálja, beleértve a helyszíni AD DS környezetben létrehozott felhasználói fiókokat is.This type of forest synchronizes all objects from Azure AD, including any user accounts created in an on-premises AD DS environment. A felhasználói fiókok közvetlenül hitelesíthetők a felügyelt tartományon, például bejelentkezhetnek egy tartományhoz csatlakoztatott virtuális gépre.User accounts can directly authenticate against the managed domain, such as to sign in to a domain-joined VM. A felhasználói erdő akkor működik, ha a jelszó-kivonatok szinkronizálhatók, és a felhasználók nem használnak exkluzív bejelentkezési módszereket, például az intelligens kártyás hitelesítést.A user forest works when the password hashes can be synchronized and users aren't using exclusive sign-in methods like smart card authentication.

Egy Azure-AD DS erőforrás -erdőben a felhasználók egy egyirányú erdőszintű megbízhatósági kapcsolaton keresztül hitelesíthetők a helyszíni AD DS.In an Azure AD DS resource forest, users authenticate over a one-way forest trust from their on-premises AD DS. Ezzel a módszerrel a felhasználói objektumok és jelszavak kivonatai nem szinkronizálhatók az Azure AD DS.With this approach, the user objects and password hashes aren't synchronized to Azure AD DS. A felhasználói objektumok és a hitelesítő adatok csak a helyszíni AD DSban találhatók.The user objects and credentials only exist in the on-premises AD DS. Ez a megközelítés lehetővé teszi, hogy a vállalatok az Azure-ban olyan erőforrásokat és alkalmazás-platformokat működtessenek, amelyek a klasszikus hitelesítéstől (például LDAPs, Kerberos vagy NTLM) függenek, de a hitelesítési problémák és a problémák elThis approach lets enterprises host resources and application platforms in Azure that depend on classic authentication such LDAPS, Kerberos, or NTLM, but any authentication issues or concerns are removed.

További információ az Azure AD DS erdők típusairól: Mik az erőforrás-erdők? és hogyan működnek az erdőszintű megbízhatósági kapcsolatok az Azure ad DSban?For more information about forest types in Azure AD DS, see What are resource forests? and How do forest trusts work in Azure AD DS?

Azure AD DS SKU-iAzure AD DS SKUs

Az Azure AD DS a rendelkezésre álló teljesítmény és szolgáltatások az SKU-on alapulnak.In Azure AD DS, the available performance and features are based on the SKU. A felügyelt tartomány létrehozásakor ki kell választania egy SKU-t, és az üzleti követelmények változása után átválthat a SKU-ra a felügyelt tartomány telepítése után.You select a SKU when you create the managed domain, and you can switch SKUs as your business requirements change after the managed domain has been deployed. Az alábbi táblázat a rendelkezésre álló SKU-ket és a köztük lévő különbségeket ismerteti:The following table outlines the available SKUs and the differences between them:

SKU neveSKU name Objektumok maximális számaMaximum object count Biztonsági mentés gyakoriságaBackup frequency Kimenő erdőszintű Megbízhatóságok maximális számaMaximum number of outbound forest trusts
StandardStandard KorlátlanUnlimited 7 napontaEvery 7 days 00
EnterpriseEnterprise KorlátlanUnlimited 3 napontaEvery 3 days 55
PrémiumPremium KorlátlanUnlimited NapiDaily 1010

Ezeknek az Azure AD DS SKU-nak a megkezdése előtt a felügyelt tartomány objektumainak (felhasználói és számítógépfiókok) számán alapuló számlázási modell volt használatban.Before these Azure AD DS SKUs, a billing model based on the number of objects (user and computer accounts) in the managed domain was used. A felügyelt tartomány objektumainak száma alapján már nem változik a díjszabás.There is no longer variable pricing based on the number of objects in the managed domain.

További információkért tekintse meg az Azure AD DS díjszabását ismertető oldalt.For more information, see the Azure AD DS pricing page.

Felügyelt tartomány teljesítményeManaged domain performance

A tartomány teljesítménye attól függően változik, hogy a hitelesítés Hogyan valósul meg az alkalmazáshoz.Domain performance varies based on how authentication is implemented for an application. A további számítási erőforrások segíthetnek a lekérdezési válaszidő javításában és a szinkronizálási műveletekben eltöltött idő csökkentésében.Additional compute resources may help improve query response time and reduce time spent in sync operations. Az SKU szintjének növekedésével a felügyelt tartomány számára elérhető számítási erőforrások megnövekednek.As the SKU level increases, the compute resources available to the managed domain is increased. Figyelje az alkalmazások teljesítményét, és tervezze meg a szükséges erőforrásokat.Monitor the performance of your applications and plan for the required resources.

Ha a vállalat vagy az alkalmazás megváltoztatja a változást, és további számítási teljesítményre van szüksége a felügyelt tartományhoz, átválthat egy másik SKU-ra.If your business or application demands change and you need additional compute power for your managed domain, you can switch to a different SKU.

Biztonsági mentés gyakoriságaBackup frequency

A biztonsági mentés gyakorisága határozza meg, hogy a rendszer milyen gyakran készítsen pillanatképet a felügyelt tartományról.The backup frequency determines how often a snapshot of the managed domain is taken. A biztonsági mentések az Azure platform által felügyelt automatizált folyamatok.Backups are an automated process managed by the Azure platform. Ha a felügyelt tartománnyal kapcsolatos probléma merül fel, az Azure-támogatás segíthet a biztonsági mentésből való visszaállításban.In the event of an issue with your managed domain, Azure support can assist you in restoring from backup. Mivel a szinkronizálás csak az Azure ad egyik módja, a felügyelt tartományokban előforduló problémák nem befolyásolják az Azure ad-t vagy a helyszíni AD DS környezeteket és funkciókat.As synchronization only occurs one way from Azure AD, any issues in a managed domain won't impact Azure AD or on-premises AD DS environments and functionality.

Az SKU szintjének növekedésével a biztonsági mentési Pillanatképek gyakorisága növekszik.As the SKU level increases, the frequency of those backup snapshots increases. A felügyelt tartomány szükséges biztonsági mentési gyakoriságának meghatározásához tekintse át az üzleti követelmények és a helyreállítási pont célkitűzését (RPO).Review your business requirements and recovery point objective (RPO) to determine the required backup frequency for your managed domain. Ha az üzleti vagy az alkalmazásra vonatkozó követelmények változnak, és több gyakori biztonsági mentésre van szüksége, átválthat egy másik SKU-ra.If your business or application requirements change and you need more frequent backups, you can switch to a different SKU.

Kimenő erdőszintű megbízhatósági kapcsolatokOutbound forest trusts

Az előző szakaszban az egyirányú kimenő erdő megbízhatónak tekinti a felügyelt tartományból egy helyszíni AD DS környezetet.The previous section detailed one-way outbound forest trusts from a managed domain to an on-premises AD DS environment. Az SKU meghatározza a felügyelt tartományhoz létrehozható erdőszintű megbízhatósági kapcsolatok maximális számát.The SKU determines the maximum number of forest trusts you can create for a managed domain. Tekintse át az üzleti és az alkalmazásra vonatkozó követelményeket, hogy meghatározza, hány megbízhatónak kell lennie, és válassza ki a megfelelő Azure AD DS SKU-t.Review your business and application requirements to determine how many trusts you actually need, and pick the appropriate Azure AD DS SKU. Ha az üzleti követelmények megváltoznak, és további erdőszintű megbízhatósági kapcsolatokat kell létrehoznia, váltson át egy másik SKU-ra.Again, if your business requirements change and you need to create additional forest trusts, you can switch to a different SKU.

Következő lépésekNext steps

Első lépésként hozzon létre egy Azure AD DS felügyelt tartományt.To get started, create an Azure AD DS managed domain.