Beheerconcepten voor gebruikersaccounts, wachtwoorden en beheer in Microsoft Entra Domain Services
Wanneer u een door Microsoft Entra Domain Services beheerd domein maakt en uitvoert, zijn er enkele verschillen in gedrag vergeleken met een traditionele on-premises AD DS-omgeving. U gebruikt dezelfde beheerprogramma's in Domain Services als een zelfbeheerd domein, maar u hebt geen rechtstreeks toegang tot de domeincontrollers (DC). Er zijn ook enkele verschillen in gedrag voor wachtwoordbeleid en wachtwoordhashes, afhankelijk van de bron van het maken van het gebruikersaccount.
In dit conceptuele artikel wordt beschreven hoe u een beheerd domein en het verschillende gedrag van gebruikersaccounts beheert, afhankelijk van de manier waarop ze worden gemaakt.
Domeinbeheer
Een beheerd domein is een DNS-naamruimte en bijbehorende directory. In een beheerd domein maken de domeincontrollers (DC's) die alle resources, zoals gebruikers en groepen, referenties en beleidsregels, bevatten, deel uit van de beheerde service. Voor redundantie worden twee DC's gemaakt als onderdeel van een beheerd domein. U kunt zich niet aanmelden bij deze DC's om beheertaken uit te voeren. In plaats daarvan maakt u een beheer-VM die is gekoppeld aan het beheerde domein en installeert u vervolgens uw reguliere AD DS-beheerprogramma's. U kunt bijvoorbeeld de MMC-modules (Active Directory Beheer istrative Center of Microsoft Management Console) gebruiken, zoals DNS- of Groepsbeleidsobjecten.
Gebruikersaccount maken
Gebruikersaccounts kunnen op meerdere manieren in een beheerd domein worden gemaakt. De meeste gebruikersaccounts worden gesynchroniseerd vanuit Microsoft Entra-id, waaronder ook gebruikersaccounts die zijn gesynchroniseerd vanuit een on-premises AD DS-omgeving. U kunt ook handmatig accounts rechtstreeks in het beheerde domein maken. Sommige functies, zoals initiële wachtwoordsynchronisatie of wachtwoordbeleid, gedragen zich anders, afhankelijk van hoe en waar gebruikersaccounts worden gemaakt.
- Het gebruikersaccount kan worden gesynchroniseerd vanuit Microsoft Entra ID. Dit omvat cloudgebruikersaccounts die rechtstreeks zijn gemaakt in Microsoft Entra ID en hybride gebruikersaccounts die zijn gesynchroniseerd vanuit een on-premises AD DS-omgeving met behulp van Microsoft Entra Verbinding maken.
- Het merendeel van de gebruikersaccounts in een beheerd domein wordt gemaakt via het synchronisatieproces van Microsoft Entra-id.
- Het gebruikersaccount kan handmatig worden gemaakt in een beheerd domein en bestaat niet in Microsoft Entra-id.
- Als u serviceaccounts moet maken voor toepassingen die alleen worden uitgevoerd in het beheerde domein, kunt u deze handmatig maken in het beheerde domein. Omdat synchronisatie één manier is vanuit Microsoft Entra-id, worden gebruikersaccounts die in het beheerde domein zijn gemaakt, niet gesynchroniseerd met Microsoft Entra-id.
Wachtwoordbeleid
Domain Services bevat een standaardwachtwoordbeleid waarmee instellingen worden gedefinieerd voor zaken zoals accountvergrendeling, maximale wachtwoordduur en wachtwoordcomplexiteit. Instellingen zoals accountvergrendelingsbeleid gelden voor alle gebruikers in een beheerd domein, ongeacht hoe de gebruiker is gemaakt zoals beschreven in de vorige sectie. Enkele instellingen, zoals minimale wachtwoordlengte en wachtwoordcomplexiteit, zijn alleen van toepassing op gebruikers die rechtstreeks in een beheerd domein zijn gemaakt.
U kunt uw eigen aangepaste wachtwoordbeleid maken om het standaardbeleid in een beheerd domein te overschrijven. Deze aangepaste beleidsregels kunnen vervolgens indien nodig worden toegepast op specifieke groepen gebruikers.
Zie wachtwoord- en accountvergrendelingsbeleidsregels voor beheerde domeinen voor meer informatie over de verschillen in hoe wachtwoordbeleid wordt toegepast, afhankelijk van de bron van het maken van gebruikers.
Wachtwoordhashes
Voor het verifiëren van gebruikers in het beheerde domein heeft Domain Services wachtwoordhashes nodig in een indeling die geschikt is voor NT LAN Manager (NTLM) en Kerberos-verificatie. Microsoft Entra-id genereert of slaat wachtwoordhashes niet op in de indeling die is vereist voor NTLM- of Kerberos-verificatie totdat u Domain Services voor uw tenant inschakelt. Om veiligheidsredenen slaat Microsoft Entra ID ook geen wachtwoordreferenties op in tekst zonder opmaak. Daarom kan microsoft Entra-id deze NTLM- of Kerberos-wachtwoordhashes niet automatisch genereren op basis van de bestaande referenties van gebruikers.
Voor gebruikersaccounts in de cloud moeten gebruikers hun wachtwoorden wijzigen voordat ze het beheerde domein kunnen gebruiken. Dit wachtwoordwijzigingsproces zorgt ervoor dat de wachtwoordhashes voor Kerberos- en NTLM-verificatie worden gegenereerd en opgeslagen in Microsoft Entra-id. Het account wordt pas gesynchroniseerd vanuit Microsoft Entra-id naar Domain Services als het wachtwoord is gewijzigd.
Voor gebruikers die zijn gesynchroniseerd vanuit een on-premises AD DS-omgeving met behulp van Microsoft Entra Verbinding maken, schakelt u synchronisatie van wachtwoordhashes in.
Belangrijk
Microsoft Entra Verbinding maken synchroniseert alleen verouderde wachtwoordhashes wanneer u Domain Services inschakelt voor uw Microsoft Entra-tenant. Verouderde wachtwoordhashes worden niet gebruikt als u alleen Microsoft Entra Verbinding maken gebruikt om een on-premises AD DS-omgeving te synchroniseren met Microsoft Entra-id.
Als uw verouderde toepassingen geen gebruikmaken van NTLM-verificatie of eenvoudige LDAP-bindingen, raden we u aan om synchronisatie van NTLM-wachtwoordhash voor Domain Services uit te schakelen. Zie Zwakke coderingssuites en hashsynchronisatie van NTLM-referenties uitschakelen voor meer informatie.
Zodra de configuratie is geslaagd, worden de bruikbare wachtwoordhashes opgeslagen in het beheerde domein. Als u het beheerde domein verwijdert, worden alle wachtwoordhashes die op dat punt zijn opgeslagen ook verwijderd. Gesynchroniseerde referentiegegevens in Microsoft Entra-id kunnen niet opnieuw worden gebruikt als u later een ander beheerd domein maakt. U moet de wachtwoord-hashsynchronisatie opnieuw configureren om de wachtwoordhashes opnieuw op te slaan. Eerder aan een domein gekoppelde VM's of gebruikers kunnen zich niet onmiddellijk verifiëren. Microsoft Entra-id moet de wachtwoordhashes genereren en opslaan in het nieuwe beheerde domein. Zie wachtwoord-hashsynchronisatieproces voor Domain Services en Microsoft Entra Verbinding maken voor meer informatie.
Belangrijk
Microsoft Entra Verbinding maken mag alleen worden geïnstalleerd en geconfigureerd voor synchronisatie met on-premises AD DS-omgevingen. Het wordt niet ondersteund om Microsoft Entra Verbinding maken te installeren in een beheerd domein om objecten terug te synchroniseren naar Microsoft Entra-id.
Forests en vertrouwensrelaties
Een forest is een logische constructie die door Active Directory-domein Services (AD DS) wordt gebruikt om een of meer domeinen te groeperen. De domeinen slaan vervolgens objecten op voor gebruikers of groepen en bieden verificatieservices.
In Domain Services bevat het forest slechts één domein. On-premises AD DS-forests bevatten vaak veel domeinen. In grote organisaties, met name na fusies en overnames, kunt u eindigen met meerdere on-premises forests die elk vervolgens meerdere domeinen bevatten.
Standaard synchroniseert een beheerd domein alle objecten van Microsoft Entra-id, inclusief alle gebruikersaccounts die zijn gemaakt in een on-premises AD DS-omgeving. Gebruikersaccounts kunnen zich rechtstreeks verifiëren bij het beheerde domein, zoals aanmelden bij een vm die lid is van een domein. Deze methode werkt wanneer de wachtwoordhashes kunnen worden gesynchroniseerd en gebruikers geen exclusieve aanmeldingsmethoden gebruiken, zoals smartcardverificatie.
In een Domain Services kunt u ook een eenrichtingsforestvertrouwensrelatie maken om gebruikers zich te laten aanmelden vanuit hun on-premises AD DS. Met deze methode worden de gebruikersobjecten en wachtwoordhashes niet gesynchroniseerd met Domain Services. De gebruikersobjecten en -referenties bestaan alleen in de on-premises AD DS. Met deze aanpak kunnen ondernemingen resources en toepassingsplatforms hosten in Azure die afhankelijk zijn van klassieke verificatie, zoals LDAPS, Kerberos of NTLM, maar eventuele verificatieproblemen of problemen worden verwijderd.
Domain Services-SKU's
In Domain Services zijn de beschikbare prestaties en functies gebaseerd op de SKU. U selecteert een SKU wanneer u het beheerde domein maakt en u kunt schakelen tussen SKU's wanneer uw bedrijfsvereisten veranderen nadat het beheerde domein is geïmplementeerd. De volgende tabel bevat een overzicht van de beschikbare SKU's en de verschillen tussen deze SKU's:
| SKU-naam | Maximumaantal objecten | Back-upfrequentie |
|---|---|---|
| Standaard | Onbeperkt | Om de 5 dagen |
| Enterprise | Onbeperkt | Elke 3 dagen |
| Premium | Onbeperkt | Dagelijks |
Vóór deze Domain Services-SKU's werd een factureringsmodel gebruikt op basis van het aantal objecten (gebruikers- en computeraccounts) in het beheerde domein. Er zijn geen variabele prijzen meer op basis van het aantal objecten in het beheerde domein.
Zie de pagina met prijzen van Domain Services voor meer informatie.
Prestaties van beheerd domein
Domeinprestaties variëren op basis van hoe verificatie wordt geïmplementeerd voor een toepassing. Extra rekenresources kunnen helpen bij het verbeteren van de reactietijd van query's en het verminderen van de tijd die wordt besteed aan synchronisatiebewerkingen. Naarmate het SKU-niveau toeneemt, worden de rekenresources die beschikbaar zijn voor het beheerde domein verhoogd. Bewaak de prestaties van uw toepassingen en plan de vereiste resources.
Als uw bedrijf of toepassing vraagt om verandering en u extra rekenkracht nodig hebt voor uw beheerde domein, kunt u overschakelen naar een andere SKU.
Back-upfrequentie
De back-upfrequentie bepaalt hoe vaak een momentopname van het beheerde domein wordt gemaakt. Back-ups zijn een geautomatiseerd proces dat wordt beheerd door het Azure-platform. In het geval van een probleem met uw beheerde domein kan ondersteuning voor Azure u helpen bij het herstellen vanuit een back-up. Aangezien synchronisatie slechts één manier van Microsoft Entra-id optreedt, hebben eventuele problemen in een beheerd domein geen invloed op Microsoft Entra ID of on-premises AD DS-omgevingen en -functionaliteit.
Naarmate het SKU-niveau toeneemt, neemt de frequentie van deze back-upmomentopnamen toe. Controleer uw bedrijfsvereisten en RPO (Recovery Point Objective) om de vereiste back-upfrequentie voor uw beheerde domein te bepalen. Als uw bedrijfs- of toepassingsvereisten veranderen en u vaker back-ups nodig hebt, kunt u overschakelen naar een andere SKU.
Volgende stappen
Maak een beheerd domein van Domain Services om aan de slag te gaan.