자습서: Microsoft Entra Domain Services 관리되는 도메인을 구성 및 관리하기 위한 관리 VM 만들기

Microsoft Entra Domain Services는 Windows Server Active Directory와 완벽하게 호환되는 도메인 가입, 그룹 정책, LDAP 및 Kerberos/NTLM 인증과 같은 관리되는 Domain Services를 제공합니다. 온-프레미스 Active Directory Do기본 Services에서 수행하는 것과 동일한 RSAT(원격 서버 관리istration Tools)를 사용하여 기본 관리되는 작업을 관리합니다기본. Domain Services는 관리형 서비스이므로 RDP(원격 데스크톱 프로토콜)를 사용하여 도메인 컨트롤러에 연결하는 것과 같이 수행할 수 없는 몇 가지 관리 작업이 있습니다.

이 자습서에서는 Azure에서 Windows Server VM을 구성하고 Domain Services 관리되는 도메인을 관리하는 데 필요한 도구를 설치하는 방법을 보여 줍니다.

이 자습서에서는 다음을 하는 방법을 알아볼 수 있습니다.

• 관리되는 작업에서 사용 가능한 관리 작업을 이해합니다기본
• Windows Server VM에 Active Directory 관리 도구 설치
• Active Directory 관리Istrative Center를 사용하여 일반적인 작업 수행

Azure 구독이 없는 경우 시작하기 전에 계정을 만드세요.

필수 조건

이 자습서를 완료하는 데 필요한 리소스와 권한은 다음과 같습니다.

• 활성화된 Azure 구독.
  • Azure 구독이 없는 경우 계정을 만듭니다.
• 온-프레미스 디렉터리 또는 클라우드 전용 디렉터리와 동기화되어 구독과 연결된 Microsoft Entra 테넌트.
  • 필요한 경우 Microsoft Entra 테넌트를 만들거나Azure 구독을 계정에 연결합니다.
• Microsoft Entra 테넌트에서 사용하도록 설정되고 구성된 Microsoft Entra Domain Services 관리되는 도메인입니다.
  • 필요한 경우 Microsoft Entra Domain Services 관리되는 도메인 만들기 및 구성에 대한 첫 번째 자습서를 참조하세요.
• 관리되는 do기본 조인된 Windows Server VM입니다.
  • 필요한 경우 이전 자습서를 참조하여 Windows Server VM을 만들고 관리되는 작업기본 조인합니다.
• Microsoft Entra 테넌트의 Microsoft Entra DC 관리자 그룹의 멤버인 사용자 계정.
• Domain Services 가상 네트워크에 배포된 Azure Bastion 호스트.
  • 필요한 경우 Azure Bastion 호스트를 만듭니다.

Microsoft Entra 관리 센터에 로그인합니다.

이 자습서에서는 Microsoft Entra 관리 센터를 사용하여 관리 VM을 만들고 구성합니다. 시작하려면 먼저 Microsoft Entra 관리 센터에 로그인합니다.

Domain Services에서 사용 가능한 관리 작업

Domain Services는 사용자, 애플리케이션 및 서비스가 사용할 관리되는 도메인을 제공합니다. 이 방법에서는 사용 가능한 관리 작업 중 일부와 관리되는 도메인 내에서 보유한 권한을 변경합니다. 이러한 작업 및 권한은 일반 온-프레미스 Active Directory Do기본 Services 환경에서 경험하는 것과 다를 수 있습니다. 또한 원격 데스크톱을 사용하여 관리되는 do기본 기본 컨트롤러에 연결할 수 없습니다.

관리관리되는 작업에서 수행할 수 있는 주된 작업입니다기본

AAD DC 관리istrators 그룹의 멤버는 관리되는 do기본 대해 다음과 같은 작업을 수행할 수 있는 권한을 부여합니다.

• 관리되는 작업에서 AADDC 컴퓨터 및 AADDC 사용자 컨테이너에 대한 기본 제공 GPO(그룹 정책 개체)를 구성합니다기본.
• 관리되는 도메인에서 DNS 관리
• 관리되는 도메인에서 사용자 지정 OU(조직 구성 단위)를 만들고 관리합니다.
• 관리되는 도메인에 가입된 컴퓨터에 대한 관리 액세스 권한을 얻습니다.

관리되는 도메인에 없는 관리자 권한

관리되는 do기본 잠겨 있으므로 할 일기본 특정 관리 작업을 수행할 수 있는 권한이 없습니다. 다음 예제 중 일부는 수행할 수 없는 작업입니다.

• 관리되는 도메인의 스키마를 확장합니다.
• 원격 데스크톱을 사용하여 관리되는 도메인의 도메인 컨트롤러에 연결합니다.
• 도메인 컨트롤러를 관리되는 도메인에 추가합니다.
• 관리되는 도메인에 대한 도메인 관리자 또는 엔터프라이즈 관리자 권한이 없습니다.

Windows Server VM에 로그인

이전 자습서에서는 Windows Server VM을 만들고 관리되는 do기본 조인했습니다. 이 VM을 사용하여 관리 도구를 설치합니다. 필요한 경우 자습서의 단계에 따라 Windows Server VM을 만들고 관리되는 작업기본 조인합니다.

참고 항목

이 자습서에서는 관리되는 do기본 조인된 Azure의 Windows Server VM을 사용합니다. 또한 관리되는 도메인에 조인된 Windows 10과 같은 Windows 클라이언트를 사용할 수도 있습니다.

Windows 클라이언트에 관리 도구를 설치하는 방법에 대한 자세한 내용은 RSAT(원격 서버 관리Istration Tools) 설치를 참조하세요.

시작하려면 다음과 같이 Windows Server VM에 연결합니다.

1. Microsoft Entra 관리 센터에서 왼쪽의 리소스 그룹을 선택합니다. myResourceGroup과 같이 VM이 만들어진 리소스 그룹을 선택한 다음 myVM과 같은 VM을 선택합니다.

2. VM에 대한 개요 창에서 커넥트 선택한 다음 Bastion을 선택합니다.

   

3. VM에 대한 자격 증명을 입력한 다음, 커넥트 선택합니다.

   

필요한 경우 웹 브라우저에서 Bastion 연결이 표시될 팝업을 열 수 있도록 허용합니다. VM에 연결하려면 몇 초 정도 걸립니다.

Active Directory 관리 도구 설치

관리되는 도메인에서 온-프레미스 AD DS 환경과 동일한 관리 도구를 사용합니다(예: ADAC(Active Directory 관리 센터) 또는 AD PowerShell). 이러한 도구는 Windows Server 및 클라이언트 컴퓨터에서 RSAT(원격 서버 관리Istration Tools) 기능의 일부로 설치할 수 있습니다. 그러면 AAD DC Administrators 그룹의 멤버가 관리되는 도메인에 조인된 컴퓨터에서 이러한 AD 관리 도구를 사용하여 관리되는 도메인을 원격으로 관리할 수 있습니다.

do기본 조인된 VM에 Active Directory 관리istration Tools를 설치하려면 다음 단계를 완료합니다.

1. VM에 로그인할 때 서버 관리자 기본적으로 열리지 않으면 시작 메뉴를 선택한 다음 서버 관리자 선택합니다.

2. 서버 관리자 창의 대시보드 창에서 역할 및 기능 추가를 선택합니다.

3. 역할 및 기능 추가 마법사의 시작하기 전에 페이지에서 다음을 선택합니다.

4. 설치 유형에 대해 역할 기반 또는 기능 기반 설치 옵션을 검사 그대로 두고 다음을 선택합니다.

5. 서버 선택 페이지에서 서버 풀에서 현재 VM(예: myvm.aaddscontoso.com)을 선택한 다음, 다음을 선택합니다.

6. 서버 역할 페이지에서 다음을 클릭합니다.

7. 기능 페이지에서 원격 서버 관리 도구 노드, 역할 관리 도구 노드를 차례로 펼칩니다.

   역할 관리 도구 목록에서 AD DS 및 AD LDS 도구 기능을 선택한 다음, 다음을 선택합니다.

   

8. 확인 페이지에서 설치를 선택합니다. 관리 도구를 설치하는 데 1~2분 정도 걸릴 수 있습니다.

9. 기능 설치가 완료되면 닫기를 선택하여 역할 및 기능 추가 마법사를 종료합니다.

Active Directory 관리 도구 사용

관리 도구가 설치된 상태에서 관리 도구를 사용하여 관리되는 작업을 관리하는 방법을 살펴보겠습니다기본. AAD DC 관리istrators 그룹의 멤버인 사용자 계정으로 VM에 로그인했는지 확인합니다.

1. 시작 메뉴에서 Windows 관리 도구를 선택합니다. 이전 단계에 설치된 AD 관리 도구가 나열됩니다.

   

2. Active Directory 관리istrative Center를 선택합니다.

3. 관리되는 do기본 탐색하려면 왼쪽 창에서 do기본 이름(예: aaddscontoso)을 선택합니다. AADDC 컴퓨터와 AADDC 사용자라는 두 개의 컨테이너가 목록 맨 위에 있습니다.

   

4. 관리되는 do기본 속한 사용자 및 그룹을 보려면 AADDC 사용자 컨테이너를 선택합니다. Microsoft Entra 테넌트의 사용자 계정과 그룹이 이 컨테이너에 나열됩니다.

   다음 출력 예에는 이름이 Contoso Admin인 사용자 계정과 AAD DC Administrators에 대한 그룹이 이 컨테이너에 표시됩니다.

   

5. 관리되는 도메인에 조인된 컴퓨터를 확인하려면 AADDC Computers 컨테이너를 선택합니다. myVM과 같은 현재 가상 머신에 대한 항목이 나열됩니다. 관리되는 do기본 조인된 모든 디바이스에 대한 컴퓨터 계정은 이 AADDC 컴퓨터 컨테이너에 저장됩니다.

사용자 계정 암호 재설정 또는 그룹 멤버 자격 관리와 같은 일반적인 Active Directory 관리Istrative Center 작업을 사용할 수 있습니다. 이러한 작업은 관리되는 도메인에서 직접 만든 사용자 및 그룹에 대해서만 작동합니다. ID 정보는 Microsoft Entra ID를 에서 Domain Services로만 동기화합니다. Domain Services에서 Microsoft Entra ID로 쓰기 저장은 없습니다. Microsoft Entra ID에서 동기화된 사용자의 암호 또는 관리되는 그룹 멤버 자격을 변경할 수 없으며 해당 변경 내용을 다시 동기화할 수 없습니다.

관리 도구의 일부로 설치된 Windows PowerShell용 Active Directory 모듈을 사용하여 관리되는 작업에서 일반적인 작업을 관리할 수도 있습니다기본.

다음 단계

이 자습서에서는 다음 작업 방법을 알아보았습니다.

• 관리되는 작업에서 사용 가능한 관리 작업을 이해합니다기본
• Windows Server VM에 Active Directory 관리 도구 설치
• Active Directory 관리Istrative Center를 사용하여 일반적인 작업 수행

관리되는 do기본 다른 애플리케이션과 안전하게 상호 작용하려면 안전한 LDAPS(Lightweight Directory Access Protocol)를 사용하도록 설정합니다.

관리되는 작업에 대해 보안 LDAP를 구성합니다기본