Creare un'unità organizzativa (OU) in un dominio gestito di Servizi di dominio Azure ADCreate an Organizational Unit (OU) on an Azure AD Domain Services managed domain

I domini gestiti di Servizi di dominio Azure AD includono due contenitori predefiniti denominati rispettivamente "AADDC Computers" e "AADDC Users".Azure AD Domain Services managed domains include two built-in containers called 'AADDC Computers' and 'AADDC Users' respectively. Il contenitore "AADDC Computers" include oggetti computer per tutti i computer aggiunti al dominio gestito.The 'AADDC Computers' container has computer objects for all computers that are joined to the managed domain. Il contenitore "AADDC Users" include utenti e gruppi nel tenant Azure AD.The 'AADDC Users' container includes users and groups in the Azure AD tenant. In alcuni casi può essere necessario creare account del servizio nel dominio gestito per distribuire i carichi di lavoro.Occasionally, it may be necessary to create service accounts on the managed domain to deploy workloads. A questo scopo, è possibile creare un'unità organizzativa (OU) personalizzata nel dominio gestito e creare gli account del servizio nell'unità organizzativa.For this purpose, you can create a custom Organizational Unit (OU) on the managed domain and create service accounts within that OU. Questo articolo descrive come creare una OU nel dominio gestito.This article shows you how to create an OU in your managed domain.

Prima di iniziareBefore you begin

Per eseguire le attività elencate in questo articolo sono necessari gli elementi seguenti:To perform the tasks listed in this article, you need:

  1. Una sottoscrizione di Azurevalida.A valid Azure subscription.
  2. Una directory di Azure AD sincronizzata con una directory locale o con una directory solo cloud.An Azure AD directory - either synchronized with an on-premises directory or a cloud-only directory.
  3. Servizi di dominio Azure AD devono essere abilitati per la directory di Azure AD.Azure AD Domain Services must be enabled for the Azure AD directory. Se non è stato fatto, eseguire tutte le attività descritte nella guida introduttiva.If you haven't done so, follow all the tasks outlined in the Getting Started guide.
  4. Una macchina virtuale aggiunta al dominio da cui si amministrerà il dominio gestito di Servizi di dominio Azure AD.A domain-joined virtual machine from which you administer the Azure AD Domain Services managed domain. Se non è disponibile una macchina virtuale di questo tipo, seguire tutte le attività illustrate nell'articolo Aggiungere una macchina virtuale Windows Server a un dominio gestito.If you don't have such a virtual machine, follow all the tasks outlined in the article titled Join a Windows virtual machine to a managed domain.
  5. È necessario disporre delle credenziali di un account utente appartenente al gruppo "AAD DC Administrators" nella directory per poter creare un'unità organizzativa personalizzata per il dominio gestito.You need the credentials of a user account belonging to the 'AAD DC Administrators' group in your directory, to create a custom OU on your managed domain.

Installare gli strumenti di amministrazione di AD in una macchina virtuale aggiunta al dominio per l'amministrazione remotaInstall AD administration tools on a domain-joined virtual machine for remote administration

I domini gestiti di Servizi di dominio Azure AD possono essere gestiti in remoto con i familiari strumenti di amministrazione di Active Directory, ad esempio il Centro di amministrazione di Active Directory o AD PowerShell.Azure AD Domain Services managed domains can be managed remotely using familiar Active Directory administrative tools such as the Active Directory Administrative Center (ADAC) or AD PowerShell. Gli amministratori tenant non hanno i privilegi necessari per connettersi ai controller di dominio nel dominio gestito con Desktop remoto.Tenant administrators do not have privileges to connect to domain controllers on the managed domain via Remote Desktop. Per amministrare il dominio gestito, installare la funzionalità Strumenti di amministrazione di AD in una macchina virtuale aggiunta al dominio gestito.To administer the managed domain, install the AD administration tools feature on a virtual machine joined to the managed domain. Per istruzioni, vedere l'articolo Amministrare un dominio gestito di Servizi di dominio Azure AD .Refer to the article titled administer an Azure AD Domain Services managed domain for instructions.

Creare un'unità organizzativa nel dominio gestitoCreate an Organizational Unit on the managed domain

Dopo aver installato gli strumenti di amministrazione di AD nella macchina virtuale aggiunta al dominio, sarà possibile usarli per creare un'unità organizzativa nel dominio gestito.Now that the AD Administrative Tools are installed on the domain joined virtual machine, we can use these tools to create an organization unit on the managed domain. Eseguire la procedura seguente:Perform the following steps:

Nota

Solo i membri del gruppo "AAD DC Administrators" hanno i privilegi necessari per creare un'unità organizzativa personalizzata.Only members of the 'AAD DC Administrators' group have the required privileges to create a custom OU. Assicurarsi di eseguire la procedura seguente come utente appartenente a questo gruppo.Ensure that you perform the following steps as a user who belongs to this group.

  1. Dalla schermata Start fare clic su Strumenti di amministrazione.From the Start screen, click Administrative Tools. Gli strumenti di amministrazione di AD risulteranno installati nella macchina virtuale.You should see the AD administrative tools installed on the virtual machine.

    Strumenti di amministrazione installati nel server

  2. Fare clic su Centro di amministrazione di Active Directory.Click Active Directory Administrative Center.

    Centro di amministrazione di Active Directory

  3. Per visualizzare il dominio, fare clic sul nome di dominio nel riquadro a sinistra, ad esempio "contoso100.com".To view the domain, click the domain name in the left pane (for example, 'contoso100.com').

    Centro di amministrazione di Active Directory - Visualizza dominio

  4. Nel riquadro Attività sul lato destro fare clic su Nuovo sotto il nodo del nome di dominio.On the right side Tasks pane, click New under the domain name node. In questo esempio fare clic su Nuovo sotto il nodo "contoso100(local)" nel riquadro Attività sul lato destro.In this example, we click New under the 'contoso100(local)' node on the right side Tasks pane.

    Centro di amministrazione di Active Directory - Nuova OU

  5. Verrà visualizzata l'opzione per creare un'unità organizzativa.You should see the option to create an Organizational Unit. Fare clic su Unità organizzativa per visualizzare la finestra di dialogo Crea unità organizzativa.Click Organizational Unit to launch the Create Organizational Unit dialog.
  6. Nella finestra di dialogo Crea unità organizzativa specificare un Nome per la nuova unità organizzativa.In the Create Organizational Unit dialog, specify a Name for the new OU. Fornire una breve descrizione per la OU.Provide a short description for the OU. È anche possibile impostare il campo Gestita da per la OU.You may also set the Managed By field for the OU. Toccare OKper creare l'unità organizzativa personalizzata.To create the custom OU, click OK.

    Centro di amministrazione di Active Directory - finestra di dialogo Crea OU

  7. La OU appena creato verrà visualizzata nel Centro di amministrazione di Active Directory.The newly created OU should now appear in the AD Administrative Center (ADAC).

    Centro di amministrazione di Active Directory - OU creata

Autorizzazioni/sicurezza per le OU appena createPermissions/Security for newly created OUs

Per impostazione predefinita, all'utente, membro del gruppo "AAD DC Administrators", che ha creato l'unità organizzativa personalizzata verranno concessi privilegi amministrativi con controllo completo per l'unità organizzativa.By default, the user (member of the 'AAD DC Administrators' group) who created the custom OU is granted administrative privileges (full control) over the OU. L'utente può quindi procedere alla concessione di autorizzazioni ad altri utenti o al gruppo "AAD DC Administrators" secondo le esigenze.The user can then go ahead and grant privileges to other users or to the 'AAD DC Administrators' group as desired. Come illustrato nello screenshot seguente, all'utente 'bob@domainservicespreview.onmicrosoft.com' che ha creato la nuova unità organizzativa "MyCustomOU" è concesso il controllo completo dell'unità organizzativa.As seen in the following screenshot, the user 'bob@domainservicespreview.onmicrosoft.com' who created the new 'MyCustomOU' organizational unit is granted full control over it.

Centro di amministrazione di Active Directory - Sicurezza della nuova OU

Note sull'amministrazione delle OU personalizzateNotes on administering custom OUs

Dopo avere creato un'unità organizzativa personalizzata, è possibile procedere alla creazione di utenti, gruppi, computer e account del servizio in questa unità organizzativa.Now that you have created a custom OU, you can go ahead and create users, groups, computers, and service accounts in this OU. Non è possibile spostare utenti o gruppi dall'unità organizzativa "AADDC Users" dell'utente alle unità organizzative personalizzate.You cannot move users or groups from the 'AADDC Users' OU to custom OUs.

Avviso

Account utente, gruppi, account del servizio e oggetti computer creati in unità organizzative personalizzate non sono disponibili nel tenant di Azure AD.User accounts, groups, service accounts, and computer objects that you create under custom OUs are not available in your Azure AD tenant. In altre parole, questi oggetti non saranno visualizzati con l'API Graph di Azure AD o nell'interfaccia utente di Azure AD.In other words, these objects do not show up using the Azure AD Graph API or in the Azure AD UI. Questi oggetti saranno disponibili solo nel dominio gestito di Servizi di dominio Azure AD.These objects are only available in your Azure AD Domain Services managed domain.