Szervezeti egység (szervezeti egység) létrehozása felügyelt Microsoft Entra Domain Services-tartományban

Egy Active Directory tartományi szolgáltatások (AD DS) felügyelt tartományban lévő szervezeti egységek (OU-k) segítségével logikailag csoportosíthat objektumokat, például felhasználói fiókokat, szolgáltatásfiókokat vagy számítógépfiókokat. Ezután hozzárendelhet rendszergazdákat adott szervezeti egységekhez, és csoportházirendet alkalmazhat a célzott konfigurációs beállítások kényszerítéséhez.

A Domain Services által felügyelt tartományok a következő két beépített szervezeti egységre terjednek ki:

• AADDC-számítógépek – a felügyelt tartományhoz csatlakoztatott összes számítógép számítógép-objektumait tartalmazza.
• AADDC-felhasználók – a Microsoft Entra-bérlőről szinkronizált felhasználókat és csoportokat tartalmazza.

Amikor Tartományi szolgáltatásokat használó számítási feladatokat hoz létre és futtat, előfordulhat, hogy szolgáltatásfiókokat kell létrehoznia az alkalmazások számára a hitelesítéshez. A szolgáltatásfiókok rendszerezéséhez gyakran létre kell hoznia egy egyéni szervezeti egységet a felügyelt tartományban, majd szolgáltatásfiókokat kell létrehoznia a szervezeti egységen belül.

Hibrid környezetben a helyszíni AD DS-környezetben létrehozott szervezeti egységek nincsenek szinkronizálva a felügyelt tartománnyal. A felügyelt tartományok egyszerű szervezeti egység struktúrát használnak. Minden felhasználói fiók és csoport az AADDC-felhasználók tárolóban van tárolva, annak ellenére, hogy különböző helyszíni tartományokból vagy erdőkből szinkronizálódik, még akkor is, ha hierarchikus szervezeti egység-struktúrát konfigurált ott.

Ez a cikk bemutatja, hogyan hozhat létre szervezeti egységet a felügyelt tartományban.

Előkészületek

A cikk elvégzéséhez a következő erőforrásokra és jogosultságokra van szüksége:

• Aktív Azure-előfizetés.
  • Ha nem rendelkezik Azure-előfizetéssel, hozzon létre egy fiókot.
• Az előfizetéséhez társított Microsoft Entra-bérlő, amely egy helyszíni vagy egy csak felhőalapú címtárral van szinkronizálva.
  • Szükség esetén hozzon létre egy Microsoft Entra-bérlőt, vagy rendelje hozzá az Azure-előfizetést a fiókjához.
• A Microsoft Entra Domain Services által felügyelt tartomány engedélyezve és konfigurálva van a Microsoft Entra-bérlőben.
  • Ha szükséges, végezze el az oktatóanyagot egy Felügyelt Microsoft Entra Domain Services-tartomány létrehozásához és konfigurálásához.
• A Domain Services által felügyelt tartományhoz csatlakoztatott Windows Server felügyeleti virtuális gép.
  • Ha szükséges, végezze el az oktatóanyagot egy felügyeleti virtuális gép létrehozásához.
• Egy felhasználói fiók, amely a Microsoft Entra DC rendszergazdák csoportjának tagja a Microsoft Entra-bérlőben.

Egyéni szervezeti egység szempontjai és korlátozásai

Ha egyéni szervezeti egységeket hoz létre egy felügyelt tartományban, további felügyeleti rugalmasságot kap a felhasználókezeléshez és a csoportházirend alkalmazásához. A helyszíni AD DS-környezethez képest bizonyos korlátozások és szempontok vonatkoznak az egyéni szervezeti egységek struktúrájának felügyelt tartományban való létrehozásakor és kezelésekor:

• Egyéni szervezeti egységek létrehozásához a felhasználóknak az AAD DC Rendszergazda istrators csoport tagjának kell lenniük.
• Az egyéni szervezeti egységet létrehozó felhasználó rendszergazdai jogosultságokat (teljes körű vezérlést) kap az adott szervezeti egység felett, és az erőforrás tulajdonosa.
  • Alapértelmezés szerint az AAD DC Rendszergazda istrators csoport is teljes körűen felügyeli az egyéni szervezeti egységet.
• Létrejön egy alapértelmezett szervezeti egység az AADDC-felhasználók számára, amely tartalmazza a Microsoft Entra-bérlő összes szinkronizált felhasználói fiókját.
  • Nem helyezhet át felhasználókat vagy csoportokat az AADDC-felhasználók szervezeti egységéből a létrehozott egyéni szervezeti egységekbe. Csak a felügyelt tartományban létrehozott felhasználói fiókok vagy erőforrások helyezhetők át egyéni szervezeti egységekbe.
• Az egyéni szervezeti egységekben létrehozott felhasználói fiókok, csoportok, szolgáltatásfiókok és számítógép-objektumok nem érhetők el a Microsoft Entra-bérlőben.
  • Ezek az objektumok nem jelennek meg a Microsoft Graph API vagy a Microsoft Entra felhasználói felületén; csak a felügyelt tartományban érhetők el.

Egyéni szervezeti egység létrehozása

Egyéni szervezeti egység létrehozásához használja az Active Directory Rendszergazda istrative Toolst egy tartományhoz csatlakoztatott virtuális gépről. Az Active Directory Rendszergazda istrative Center lehetővé teszi az erőforrások megtekintését, szerkesztését és létrehozását egy felügyelt tartományban, beleértve a szervezeti egységeket is.

Megjegyzés:

Ha egyéni szervezeti egységet szeretne létrehozni egy felügyelt tartományban, be kell jelentkeznie egy olyan felhasználói fiókba, amely az AAD DC Rendszergazda istrators csoport tagja.

1. Jelentkezzen be a felügyeleti virtuális gépre. A Microsoft Entra felügyeleti központtal való csatlakozással kapcsolatos lépésekért tekintse meg a Windows Server virtuális géphez való Csatlakozás.

2. A kezdőképernyőn válassza a Rendszergazda istrative Tools elemet. Megjelenik a felügyeleti virtuális gép létrehozásához az oktatóanyagban telepített elérhető felügyeleti eszközök listája.

3. Szervezeti egységek létrehozásához és kezeléséhez válassza az Active Directory Rendszergazda istrative Centert a felügyeleti eszközök listájából.

4. A bal oldali panelen válassza ki a felügyelt tartományt, például aaddscontoso.com. Megjelenik a meglévő szervezeti egységek és erőforrások listája:

   

5. A Feladatok panel az Active Directory Rendszergazda istrative center jobb oldalán látható. A tartomány (például aaddscontoso.com) alatt válassza az Új > szervezeti egység lehetőséget.

   

6. A Szervezeti egység létrehozása párbeszédpanelen adja meg az új szervezeti egység nevét, például a MyCustomOu nevet. Adja meg a szervezeti egység rövid leírását, például a szolgáltatásfiókok egyéni szervezeti egységét. Igény szerint beállíthatja a szervezeti egység Felügyelt szerint mezőjét is. Az egyéni szervezeti egység létrehozásához válassza az OK gombot.

   

7. Az Active Directory Rendszergazda istrative Centerben az egyéni szervezeti egység mostantól megjelenik, és használható:

   

További lépések

A felügyeleti eszközök használatáról, illetve a szolgáltatásfiókok létrehozásáról és használatáról az alábbi cikkekben talál további információt:

• Active Directory Rendszergazda istrative Center: Első lépések
• Szolgáltatásfiókok részletes útmutatója