Oktatóanyag: Felügyeleti virtuális gép létrehozása felügyelt Microsoft Entra Domain Services-tartomány konfigurálásához és felügyeletéhez
A Microsoft Entra Domain Services olyan felügyelt tartományi szolgáltatásokat biztosít, mint a tartományhoz való csatlakozás, a csoportházirend, az LDAP és a Kerberos/NTLM-hitelesítés, amely teljes mértékben kompatibilis a Windows Server Active Directoryval. Ezt a felügyelt tartományt ugyanazokkal a távoli kiszolgálói Rendszergazda istration Tools (RSAT) használatával felügyelheti, mint egy helyi Active Directory Domain Services-tartománnyal. Mivel a Domain Services felügyelt szolgáltatás, bizonyos felügyeleti feladatok nem végezhetők el, például távoli asztali protokoll (RDP) használata a tartományvezérlőkhöz való csatlakozáshoz.
Ez az oktatóanyag bemutatja, hogyan konfigurálhat Windows Server rendszerű virtuális gépeket az Azure-ban, és hogyan telepítheti a tartományi szolgáltatások által felügyelt tartományok felügyeletéhez szükséges eszközöket.
Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:
- A felügyelt tartományokban elérhető felügyeleti feladatok ismertetése
- Az Active Directory felügyeleti eszközeinek telepítése Windows Server rendszerű virtuális gépen
- Az Active Directory Rendszergazda istrative Center használata gyakori feladatok végrehajtásához
Ha nem rendelkezik Azure-előfizetéssel, a kezdés előtt hozzon létre egy fiókot .
Előfeltételek
Az oktatóanyag elvégzéséhez a következő erőforrásokra és jogosultságokra van szüksége:
- Aktív Azure-előfizetés.
- Ha nem rendelkezik Azure-előfizetéssel, hozzon létre egy fiókot.
- Az előfizetéséhez társított Microsoft Entra-bérlő, amely egy helyszíni vagy egy csak felhőalapú címtárral van szinkronizálva.
- Szükség esetén hozzon létre egy Microsoft Entra-bérlőt, vagy rendelje hozzá az Azure-előfizetést a fiókjához.
- A Microsoft Entra Domain Services által felügyelt tartomány engedélyezve és konfigurálva van a Microsoft Entra-bérlőben.
- Szükség esetén tekintse meg a Microsoft Entra Domain Services által felügyelt tartomány létrehozásához és konfigurálásához szükséges első oktatóanyagot.
- A felügyelt tartományhoz csatlakoztatott Windows Server rendszerű virtuális gép.
- Ha szükséges, tekintse meg az előző oktatóanyagot egy Windows Server rendszerű virtuális gép létrehozásához és felügyelt tartományhoz való csatlakoztatásához.
- Egy felhasználói fiók, amely a Microsoft Entra DC rendszergazdák csoportjának tagja a Microsoft Entra-bérlőben.
- A Domain Services virtuális hálózatában üzembe helyezett Azure Bastion-gazdagép.
- Szükség esetén hozzon létre egy Azure Bastion-gazdagépet.
Jelentkezzen be a Microsoft Entra felügyeleti központba
Ebben az oktatóanyagban felügyeleti virtuális gépet hoz létre és konfigurál a Microsoft Entra felügyeleti központ használatával. Első lépésként jelentkezzen be a Microsoft Entra felügyeleti központjába.
Elérhető felügyeleti feladatok a Domain Servicesben
A Domain Services egy felügyelt tartományt biztosít a felhasználók, alkalmazások és szolgáltatások számára. Ez a megközelítés megváltoztatja az elérhető felügyeleti feladatok némelyikét, valamint a felügyelt tartományon belüli jogosultságokat. Ezek a feladatok és engedélyek eltérhetnek a szokásos helyi Active Directory Domain Services-környezetekben tapasztaltaktól. A felügyelt tartomány tartományvezérlőihez a Távoli asztal használatával sem tud csatlakozni.
Rendszergazda felügyelt tartományon végrehajtható tevékenységek
Az AAD DC Rendszergazda istrators csoport tagjai jogosultságokat kapnak a felügyelt tartományon, amely lehetővé teszi számukra a következő feladatok elvégzését:
- Konfigurálja a beépített csoportházirend-objektumot (GPO) a felügyelt tartományban lévő AADDC-számítógépekhez és AADDC-felhasználók tárolókhoz .
- DNS-kezelés a felügyelt tartományon.
- Egyéni szervezeti egységek (OU-k) létrehozása és felügyelete a felügyelt tartományban.
- Felügyeleti hozzáférés szerzése a felügyelt tartományhoz csatlakoztatott számítógépekhez.
Rendszergazda felügyelt tartományhoz nem tartozó jogosultságok
A felügyelt tartomány zárolva van, így önnek nincs jogosultsága bizonyos rendszergazdai feladatok elvégzésére a tartományban. Az alábbi példák közé tartoznak azok a feladatok, amelyeket nem lehet elvégezni:
- A felügyelt tartomány sémájának kiterjesztése.
- Csatlakozás a felügyelt tartomány tartományvezérlőinek távoli asztal használatával.
- Adjon hozzá tartományvezérlőket a felügyelt tartományhoz.
- Nem rendelkezik Tartomány Rendszergazda istrator vagy Enterprise Rendszergazda istrator jogosultsággal a felügyelt tartományhoz.
Bejelentkezés a Windows Server rendszerű virtuális gépre
Az előző oktatóanyagban létre lett hozva egy Windows Server rendszerű virtuális gép, és csatlakozott a felügyelt tartományhoz. Ezzel a virtuális géppel telepítheti a felügyeleti eszközöket. Ha szükséges, kövesse az oktatóanyag lépéseit egy Windows Server rendszerű virtuális gép felügyelt tartományhoz való létrehozásához és csatlakoztatásához.
Megjegyzés:
Ebben az oktatóanyagban egy Windows Server rendszerű virtuális gépet használ az Azure-ban, amely csatlakozik a felügyelt tartományhoz. A felügyelt tartományhoz csatlakoztatott Windows-ügyfelet, például a Windows 10-et is használhatja.
A felügyeleti eszközök Windows-ügyfélen való telepítéséről további információt a Távoli kiszolgáló Rendszergazda istration Tools (RSAT) telepítése című témakörben talál.
Első lépésként csatlakozzon a Windows Server rendszerű virtuális géphez az alábbiak szerint:
A Microsoft Entra Felügyeleti központban válassza az Erőforráscsoportok lehetőséget a bal oldalon. Válassza ki azt az erőforráscsoportot, amelyben a virtuális gép létre lett hozva(például myResourceGroup), majd válassza ki a virtuális gépet, például a myVM-et.
A virtuális gép Áttekintés paneljén válassza a Csatlakozás, majd a Bastion lehetőséget.
Adja meg a virtuális gép hitelesítő adatait, majd válassza a Csatlakozás.
Ha szükséges, engedélyezze a webböngészőnek, hogy előugró ablakokat nyisson meg a Bastion-kapcsolat megjelenítéséhez. A virtuális géphez való csatlakozás néhány másodpercet vesz igénybe.
Az Active Directory felügyeleti eszközeinek telepítése
A felügyelt tartományokban ugyanazokat a felügyeleti eszközöket használja, mint a helyszíni AD DS-környezetek, például az Active Directory Rendszergazda istrative Center (ADAC) vagy az AD PowerShell. Ezek az eszközök a Távoli kiszolgáló Rendszergazda istration Tools (RSAT) funkció részeként telepíthetők Windows Server és ügyfélszámítógépeken. Az AAD DC Rendszergazda istrators csoport tagjai ezután távolról felügyelhetik a felügyelt tartományokat az AD felügyeleti eszközeivel a felügyelt tartományhoz csatlakoztatott számítógépről.
Az Active Directory Rendszergazda istration-eszközök tartományhoz csatlakoztatott virtuális gépre való telepítéséhez hajtsa végre a következő lépéseket:
Ha Kiszolgálókezelő alapértelmezés szerint nem nyílik meg a virtuális gépre való bejelentkezéskor, válassza a Start menüt, majd válassza a Kiszolgálókezelő.
Az Kiszolgálókezelő ablak Irányítópult paneljén válassza a Szerepkörök és szolgáltatások hozzáadása lehetőséget.
A Szerepkörök és szolgáltatások hozzáadása varázsló Before You Begin (Szerepkörök és szolgáltatások hozzáadása) lapján válassza a Tovább gombot.
A Telepítés típusa beállításnál hagyja bejelölve a szerepköralapú vagy funkcióalapú telepítési beállítást, és válassza a Tovább gombot.
A Kiszolgáló kiválasztása lapon válassza ki az aktuális virtuális gépet a kiszolgálókészletből, például myvm.aaddscontoso.com, majd válassza a Tovább gombot.
A Kiszolgálói szerepkörök lapon kattintson a Tovább gombra.
A Szolgáltatások lapon bontsa ki a Távoli kiszolgáló Rendszergazda istration Tools csomópontot, majd bontsa ki a Szerepkör Rendszergazda istration Tools csomópontot.
Válassza az AD DS és az AD LDS-eszközök funkciót a szerepkör-felügyeleti eszközök listájából, majd válassza a Tovább lehetőséget.
A Megerősítés lapon válassza a Telepítés lehetőséget. A felügyeleti eszközök telepítése eltarthat egy-két percig.
Ha a szolgáltatás telepítése befejeződött, válassza a Bezárás lehetőséget a Szerepkörök és szolgáltatások hozzáadása varázslóból való kilépéshez.
Active Directory felügyeleti eszközök használata
Ha telepítve vannak a felügyeleti eszközök, nézzük meg, hogyan használhatja őket a felügyelt tartomány felügyeletére. Győződjön meg arról, hogy olyan felhasználói fiókkal jelentkezett be a virtuális gépre, amely tagja az AAD DC Rendszergazda istrators csoportnak.
A Start menüben válassza a Windows Rendszergazda istrative Tools lehetőséget. Az előző lépésben telepített AD felügyeleti eszközök listája megjelenik.
Válassza az Active Directory Rendszergazda istrative Center lehetőséget.
A felügyelt tartomány megismeréséhez válassza ki a tartománynevet a bal oldali panelen, például az aaddscontoso-t. A lista tetején két AADDC-számítógép és AADDC-felhasználó nevű tároló található.
A felügyelt tartományhoz tartozó felhasználók és csoportok megtekintéséhez válassza ki az AADDC-felhasználók tárolót. A Microsoft Entra-bérlő felhasználói fiókjai és csoportjai ebben a tárolóban találhatók.
A következő példakimenetben megjelenik egy Contoso Rendszergazda nevű felhasználói fiók és az AAD DC Rendszergazda istratorok csoportja ebben a tárolóban.
A felügyelt tartományhoz csatlakoztatott számítógépek megtekintéséhez válassza ki az AADDC-számítógépek tárolót . Megjelenik egy bejegyzés az aktuális virtuális géphez, például a myVM-hez. A felügyelt tartományhoz csatlakoztatott összes eszköz számítógépfiókja ebben az AADDC Számítógépek tárolóban van tárolva.
Az Active Directory Rendszergazda istrative Center gyakori műveletei, például a felhasználói fiók jelszavának alaphelyzetbe állítása vagy a csoporttagság kezelése. Ezek a műveletek csak a közvetlenül a felügyelt tartományban létrehozott felhasználók és csoportok esetében működnek. Az identitásadatok csak a Microsoft Entra-azonosítóról a Domain Services szolgáltatásba szinkronizálódnak. Nincs visszaírás a Domain Servicesből a Microsoft Entra-azonosítóba. A Microsoft Entra-azonosítóból szinkronizált felhasználók jelszavait és felügyelt csoporttagságait nem módosíthatja, és ezeket a módosításokat újra szinkronizálhatja.
A Felügyeleti eszközök részeként telepített Windows PowerShell Active Directory-modullal is kezelheti a felügyelt tartomány gyakori műveleteit.
További lépések
Ez az oktatóanyag bemutatta, hogyan végezheti el az alábbi műveleteket:
- A felügyelt tartományokban elérhető felügyeleti feladatok ismertetése
- Az Active Directory felügyeleti eszközeinek telepítése Windows Server rendszerű virtuális gépen
- Az Active Directory Rendszergazda istrative Center használata gyakori feladatok végrehajtásához
Ha más alkalmazásokból szeretné biztonságosan kezelni a felügyelt tartományt, engedélyezze a biztonságos Lightweight Directory Access Protocol (LDAPS) protokollt.