Oktatóanyag: Felügyeleti virtuális gép létrehozása felügyelt Microsoft Entra Domain Services-tartomány konfigurálásához és felügyeletéhez

A Microsoft Entra Domain Services olyan felügyelt tartományi szolgáltatásokat biztosít, mint a tartományhoz való csatlakozás, a csoportházirend, az LDAP és a Kerberos/NTLM-hitelesítés, amely teljes mértékben kompatibilis a Windows Server Active Directoryval. Ezt a felügyelt tartományt ugyanazokkal a távoli kiszolgálói Rendszergazda istration Tools (RSAT) használatával felügyelheti, mint egy helyi Active Directory Domain Services-tartománnyal. Mivel a Domain Services felügyelt szolgáltatás, bizonyos felügyeleti feladatok nem végezhetők el, például távoli asztali protokoll (RDP) használata a tartományvezérlőkhöz való csatlakozáshoz.

Ez az oktatóanyag bemutatja, hogyan konfigurálhat Windows Server rendszerű virtuális gépeket az Azure-ban, és hogyan telepítheti a tartományi szolgáltatások által felügyelt tartományok felügyeletéhez szükséges eszközöket.

Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:

• A felügyelt tartományokban elérhető felügyeleti feladatok ismertetése
• Az Active Directory felügyeleti eszközeinek telepítése Windows Server rendszerű virtuális gépen
• Az Active Directory Rendszergazda istrative Center használata gyakori feladatok végrehajtásához

Ha nem rendelkezik Azure-előfizetéssel, a kezdés előtt hozzon létre egy fiókot .

Előfeltételek

Az oktatóanyag elvégzéséhez a következő erőforrásokra és jogosultságokra van szüksége:

• Aktív Azure-előfizetés.
  • Ha nem rendelkezik Azure-előfizetéssel, hozzon létre egy fiókot.
• Az előfizetéséhez társított Microsoft Entra-bérlő, amely egy helyszíni vagy egy csak felhőalapú címtárral van szinkronizálva.
  • Szükség esetén hozzon létre egy Microsoft Entra-bérlőt, vagy rendelje hozzá az Azure-előfizetést a fiókjához.
• A Microsoft Entra Domain Services által felügyelt tartomány engedélyezve és konfigurálva van a Microsoft Entra-bérlőben.
  • Szükség esetén tekintse meg a Microsoft Entra Domain Services által felügyelt tartomány létrehozásához és konfigurálásához szükséges első oktatóanyagot.
• A felügyelt tartományhoz csatlakoztatott Windows Server rendszerű virtuális gép.
  • Ha szükséges, tekintse meg az előző oktatóanyagot egy Windows Server rendszerű virtuális gép létrehozásához és felügyelt tartományhoz való csatlakoztatásához.
• Egy felhasználói fiók, amely a Microsoft Entra DC rendszergazdák csoportjának tagja a Microsoft Entra-bérlőben.
• A Domain Services virtuális hálózatában üzembe helyezett Azure Bastion-gazdagép.
  • Szükség esetén hozzon létre egy Azure Bastion-gazdagépet.

Jelentkezzen be a Microsoft Entra felügyeleti központba

Ebben az oktatóanyagban felügyeleti virtuális gépet hoz létre és konfigurál a Microsoft Entra felügyeleti központ használatával. Első lépésként jelentkezzen be a Microsoft Entra felügyeleti központjába.

Elérhető felügyeleti feladatok a Domain Servicesben

A Domain Services egy felügyelt tartományt biztosít a felhasználók, alkalmazások és szolgáltatások számára. Ez a megközelítés megváltoztatja az elérhető felügyeleti feladatok némelyikét, valamint a felügyelt tartományon belüli jogosultságokat. Ezek a feladatok és engedélyek eltérhetnek a szokásos helyi Active Directory Domain Services-környezetekben tapasztaltaktól. A felügyelt tartomány tartományvezérlőihez a Távoli asztal használatával sem tud csatlakozni.

Rendszergazda felügyelt tartományon végrehajtható tevékenységek

Az AAD DC Rendszergazda istrators csoport tagjai jogosultságokat kapnak a felügyelt tartományon, amely lehetővé teszi számukra a következő feladatok elvégzését:

• Konfigurálja a beépített csoportházirend-objektumot (GPO) a felügyelt tartományban lévő AADDC-számítógépekhez és AADDC-felhasználók tárolókhoz .
• DNS-kezelés a felügyelt tartományon.
• Egyéni szervezeti egységek (OU-k) létrehozása és felügyelete a felügyelt tartományban.
• Felügyeleti hozzáférés szerzése a felügyelt tartományhoz csatlakoztatott számítógépekhez.

Rendszergazda felügyelt tartományhoz nem tartozó jogosultságok

A felügyelt tartomány zárolva van, így önnek nincs jogosultsága bizonyos rendszergazdai feladatok elvégzésére a tartományban. Az alábbi példák közé tartoznak azok a feladatok, amelyeket nem lehet elvégezni:

• A felügyelt tartomány sémájának kiterjesztése.
• Csatlakozás a felügyelt tartomány tartományvezérlőinek távoli asztal használatával.
• Adjon hozzá tartományvezérlőket a felügyelt tartományhoz.
• Nem rendelkezik Tartomány Rendszergazda istrator vagy Enterprise Rendszergazda istrator jogosultsággal a felügyelt tartományhoz.

Bejelentkezés a Windows Server rendszerű virtuális gépre

Az előző oktatóanyagban létre lett hozva egy Windows Server rendszerű virtuális gép, és csatlakozott a felügyelt tartományhoz. Ezzel a virtuális géppel telepítheti a felügyeleti eszközöket. Ha szükséges, kövesse az oktatóanyag lépéseit egy Windows Server rendszerű virtuális gép felügyelt tartományhoz való létrehozásához és csatlakoztatásához.

Megjegyzés:

Ebben az oktatóanyagban egy Windows Server rendszerű virtuális gépet használ az Azure-ban, amely csatlakozik a felügyelt tartományhoz. A felügyelt tartományhoz csatlakoztatott Windows-ügyfelet, például a Windows 10-et is használhatja.

A felügyeleti eszközök Windows-ügyfélen való telepítéséről további információt a Távoli kiszolgáló Rendszergazda istration Tools (RSAT) telepítése című témakörben talál.

Első lépésként csatlakozzon a Windows Server rendszerű virtuális géphez az alábbiak szerint:

1. A Microsoft Entra Felügyeleti központban válassza az Erőforráscsoportok lehetőséget a bal oldalon. Válassza ki azt az erőforráscsoportot, amelyben a virtuális gép létre lett hozva(például myResourceGroup), majd válassza ki a virtuális gépet, például a myVM-et.

2. A virtuális gép Áttekintés paneljén válassza a Csatlakozás, majd a Bastion lehetőséget.

   

3. Adja meg a virtuális gép hitelesítő adatait, majd válassza a Csatlakozás.

   

Ha szükséges, engedélyezze a webböngészőnek, hogy előugró ablakokat nyisson meg a Bastion-kapcsolat megjelenítéséhez. A virtuális géphez való csatlakozás néhány másodpercet vesz igénybe.

Az Active Directory felügyeleti eszközeinek telepítése

A felügyelt tartományokban ugyanazokat a felügyeleti eszközöket használja, mint a helyszíni AD DS-környezetek, például az Active Directory Rendszergazda istrative Center (ADAC) vagy az AD PowerShell. Ezek az eszközök a Távoli kiszolgáló Rendszergazda istration Tools (RSAT) funkció részeként telepíthetők Windows Server és ügyfélszámítógépeken. Az AAD DC Rendszergazda istrators csoport tagjai ezután távolról felügyelhetik a felügyelt tartományokat az AD felügyeleti eszközeivel a felügyelt tartományhoz csatlakoztatott számítógépről.

Az Active Directory Rendszergazda istration-eszközök tartományhoz csatlakoztatott virtuális gépre való telepítéséhez hajtsa végre a következő lépéseket:

1. Ha Kiszolgálókezelő alapértelmezés szerint nem nyílik meg a virtuális gépre való bejelentkezéskor, válassza a Start menüt, majd válassza a Kiszolgálókezelő.

2. Az Kiszolgálókezelő ablak Irányítópult paneljén válassza a Szerepkörök és szolgáltatások hozzáadása lehetőséget.

3. A Szerepkörök és szolgáltatások hozzáadása varázsló Before You Begin (Szerepkörök és szolgáltatások hozzáadása) lapján válassza a Tovább gombot.

4. A Telepítés típusa beállításnál hagyja bejelölve a szerepköralapú vagy funkcióalapú telepítési beállítást, és válassza a Tovább gombot.

5. A Kiszolgáló kiválasztása lapon válassza ki az aktuális virtuális gépet a kiszolgálókészletből, például myvm.aaddscontoso.com, majd válassza a Tovább gombot.

6. A Kiszolgálói szerepkörök lapon kattintson a Tovább gombra.

7. A Szolgáltatások lapon bontsa ki a Távoli kiszolgáló Rendszergazda istration Tools csomópontot, majd bontsa ki a Szerepkör Rendszergazda istration Tools csomópontot.

   Válassza az AD DS és az AD LDS-eszközök funkciót a szerepkör-felügyeleti eszközök listájából, majd válassza a Tovább lehetőséget.

   

8. A Megerősítés lapon válassza a Telepítés lehetőséget. A felügyeleti eszközök telepítése eltarthat egy-két percig.

9. Ha a szolgáltatás telepítése befejeződött, válassza a Bezárás lehetőséget a Szerepkörök és szolgáltatások hozzáadása varázslóból való kilépéshez.

Active Directory felügyeleti eszközök használata

Ha telepítve vannak a felügyeleti eszközök, nézzük meg, hogyan használhatja őket a felügyelt tartomány felügyeletére. Győződjön meg arról, hogy olyan felhasználói fiókkal jelentkezett be a virtuális gépre, amely tagja az AAD DC Rendszergazda istrators csoportnak.

1. A Start menüben válassza a Windows Rendszergazda istrative Tools lehetőséget. Az előző lépésben telepített AD felügyeleti eszközök listája megjelenik.

   

2. Válassza az Active Directory Rendszergazda istrative Center lehetőséget.

3. A felügyelt tartomány megismeréséhez válassza ki a tartománynevet a bal oldali panelen, például az aaddscontoso-t. A lista tetején két AADDC-számítógép és AADDC-felhasználó nevű tároló található.

   

4. A felügyelt tartományhoz tartozó felhasználók és csoportok megtekintéséhez válassza ki az AADDC-felhasználók tárolót. A Microsoft Entra-bérlő felhasználói fiókjai és csoportjai ebben a tárolóban találhatók.

   A következő példakimenetben megjelenik egy Contoso Rendszergazda nevű felhasználói fiók és az AAD DC Rendszergazda istratorok csoportja ebben a tárolóban.

   

5. A felügyelt tartományhoz csatlakoztatott számítógépek megtekintéséhez válassza ki az AADDC-számítógépek tárolót . Megjelenik egy bejegyzés az aktuális virtuális géphez, például a myVM-hez. A felügyelt tartományhoz csatlakoztatott összes eszköz számítógépfiókja ebben az AADDC Számítógépek tárolóban van tárolva.

Az Active Directory Rendszergazda istrative Center gyakori műveletei, például a felhasználói fiók jelszavának alaphelyzetbe állítása vagy a csoporttagság kezelése. Ezek a műveletek csak a közvetlenül a felügyelt tartományban létrehozott felhasználók és csoportok esetében működnek. Az identitásadatok csak a Microsoft Entra-azonosítóról a Domain Services szolgáltatásba szinkronizálódnak. Nincs visszaírás a Domain Servicesből a Microsoft Entra-azonosítóba. A Microsoft Entra-azonosítóból szinkronizált felhasználók jelszavait és felügyelt csoporttagságait nem módosíthatja, és ezeket a módosításokat újra szinkronizálhatja.

A Felügyeleti eszközök részeként telepített Windows PowerShell Active Directory-modullal is kezelheti a felügyelt tartomány gyakori műveleteit.

További lépések

Ez az oktatóanyag bemutatta, hogyan végezheti el az alábbi műveleteket:

• A felügyelt tartományokban elérhető felügyeleti feladatok ismertetése
• Az Active Directory felügyeleti eszközeinek telepítése Windows Server rendszerű virtuális gépen
• Az Active Directory Rendszergazda istrative Center használata gyakori feladatok végrehajtásához

Ha más alkalmazásokból szeretné biztonságosan kezelni a felügyelt tartományt, engedélyezze a biztonságos Lightweight Directory Access Protocol (LDAPS) protokollt.

Biztonságos LDAP konfigurálása a felügyelt tartományhoz