Skapa en organisationsenhet (OU) i en Azure Active Directory Domain Services hanterad domän

Organisationsenheter (OU) i en Active Directory Domain Services (AD DS)-hanterad domän gör det möjligt att logiskt gruppera objekt, till exempel användar konton, tjänst konton eller dator konton. Du kan sedan tilldela administratörer till specifika organisationsenheter och tillämpa grup principer för att genomdriva aktuella konfigurations inställningar.

Azure AD DS-hanterade domäner innehåller följande två inbyggda organisationsenheter:

• AADDC-datorer – innehåller dator objekt för alla datorer som är anslutna till den hanterade domänen.
• AADDC-användare – innehåller användare och grupper som är synkroniserade i från Azure AD-klienten.

När du skapar och kör arbets belastningar som använder Azure AD DS kan du behöva skapa tjänst konton för att program ska kunna autentisera sig själva. För att organisera dessa tjänst konton skapar du ofta en anpassad ORGANISATIONSENHET i den hanterade domänen och skapar sedan tjänst konton inom den ORGANISATIONSENHETen.

I en hybrid miljö synkroniseras inte organisationsenheter som skapats i en lokal AD DS-miljö till den hanterade domänen. Hanterade domäner använder en ORGANISATIONSENHETs struktur. Alla användar konton och grupper lagras i behållaren AADDC Users , trots att de synkroniseras från olika lokala domäner eller skogar, även om du har konfigurerat en hierarkisk ou-struktur där.

Den här artikeln visar hur du skapar en ORGANISATIONSENHET i din hanterade domän.

Innan du börjar

För att slutföra den här artikeln behöver du följande resurser och behörigheter:

• En aktiv Azure-prenumeration.
  • Skapa ett kontoom du inte har någon Azure-prenumeration.
• En Azure Active Directory klient som är associerad med din prenumeration, antingen synkroniserad med en lokal katalog eller en katalog som endast är moln.
  • Om det behövs kan du skapa en Azure Active Directory klient eller associera en Azure-prenumeration med ditt konto.
• En Azure Active Directory Domain Services hanterad domän aktive rad och konfigurerad i Azure AD-klienten.
  • Om det behövs, slutför du själv studie kursen för att skapa och konfigurera en Azure Active Directory Domain Services hanterad domän.
• En virtuell Windows Server Management-dator som är ansluten till den hanterade Azure AD DS-domänen.
  • Om det behövs kan du slutföra självstudien för att skapa en virtuell hanterings dator.
• Ett användar konto som är medlem i Administratörs gruppen för Azure AD DC i din Azure AD-klient.

Överväganden och begränsningar för anpassade OU

När du skapar anpassade organisationsenheter i en hanterad domän får du ytterligare hanterings möjligheter för användar hantering och användning av grup principer. Jämfört med en lokal AD DS-miljö finns det några begränsningar och överväganden när du skapar och hanterar en anpassad OU-struktur i en hanterad domän:

• Om du vill skapa anpassade organisationsenheter måste användare vara medlem i gruppen AAD DC-administratörer .
• En användare som skapar en anpassad ORGANISATIONSENHET beviljas administratörs behörighet (fullständig behörighet) över ORGANISATIONSENHETen och är resurs ägare.
  • Som standard innehåller Administratörs gruppen för AAD-domänkontrollanten även fullständig kontroll över den anpassade organisationsenheten.
• En standard-OU för AADDC-användare skapas som innehåller alla synkroniserade användar konton från din Azure AD-klient.
  • Du kan inte flytta användare eller grupper från AADDC-användarens organisationsenhet till anpassade organisationsenheter som du skapar. Endast användar konton eller resurser som skapats i den hanterade domänen kan flyttas till anpassade organisationsenheter.
• Användar konton, grupper, tjänst konton och dator objekt som du skapar under anpassade organisationsenheter är inte tillgängliga i din Azure AD-klient.
  • De här objekten visas inte med Microsoft Graph API eller i användar gränssnittet för Azure AD; de är bara tillgängliga i din hanterade domän.

Skapa en anpassad ORGANISATIONSENHET

Om du vill skapa en anpassad ORGANISATIONSENHET använder du Active Directory administrations verktyg från en domänansluten virtuell dator. Med Active Directory Administrationscenter kan du Visa, redigera och skapa resurser i en hanterad domän, inklusive organisationsenheter.

1. Logga in på den virtuella hanterings datorn. Anvisningar om hur du ansluter med hjälp av Azure Portal finns i ansluta till en virtuell Windows Server-dator.

2. Välj administrations verktyg på Start skärmen. En lista över tillgängliga hanterings verktyg visas som har installerats i självstudien för att skapa en virtuell hanterings dator.

3. Om du vill skapa och hantera organisationsenheter väljer du Active Directory Administrationscenter i listan över administrations verktyg.

4. I det vänstra fönstret väljer du din hanterade domän, till exempel aaddscontoso.com. En lista över befintliga organisationsenheter och resurser visas:

   

5. Fönstret uppgifter visas till höger om Active Directory Administrationscenter. Under domänen, till exempel aaddscontoso.com, väljer du ny > organisationsenhet.

   

6. I dialog rutan skapa organisationsenhet anger du ett namn för den nya organisationsenheten, till exempel MyCustomOu. Ange en kort beskrivning av ORGANISATIONSENHETen, till exempel anpassad organisationsenhet för tjänst konton. Om du vill kan du också ange fältet som hanteras av för organisationsenheten. Välj OK om du vill skapa en anpassad Organisationsenhet.

   

7. I Active Directory Administrationscenter visas den anpassade ORGANISATIONSENHETen nu och är tillgänglig för användning:

   

Nästa steg

Mer information om hur du använder administrations verktyg eller skapar och använder tjänst konton finns i följande artiklar:

• Active Directory Administrationscenter: Komma igång
• Stegvisa instruktioner för tjänstkonton