Självstudie: Skapa en hanterings-VM för att konfigurera och administrera en Azure Active Directory Domain Services-hanterad domän

Azure Active Directory Domain Services (Azure AD DS) tillhandahåller hanterade domäntjänster som domänkoppling, grupprincip, LDAP och Kerberos/NTLM-autentisering som är helt kompatibel med Windows Server Active Directory. Du administrerar den här hanterade domänen med samma verktyg för fjärrserveradministration (RSAT) som med en lokal Active Directory Domain Services-domän. Eftersom Azure AD DS är en hanterad tjänst finns det vissa administrativa uppgifter som du inte kan utföra, till exempel att använda RDP (Remote Desktop Protocol) för att ansluta till domänkontrollanterna.

Den här självstudien visar hur du konfigurerar en Windows Server VM i Azure och installerar de verktyg som krävs för att administrera en Azure AD DS hanterad domän.

I den här guiden får du lära dig att:

Om du inte har någon Azure-prenumeration skapar du ett konto innan du börjar.

Förutsättningar

För att slutföra den här självstudien behöver du följande resurser och behörigheter:

• En aktiv Azure-prenumeration.
  • Om du inte har en Azure-prenumeration skapar du ett konto.
• En Azure Active Directory klient som är associerad med din prenumeration, antingen synkroniserad med en lokal katalog eller en endast molnbaserad katalog.
  • Om det behövs skapar du en Azure Active Directory klientorganisation eller associerar en Azure-prenumeration med ditt konto.
• En Azure Active Directory Domain Services-hanterad domän aktiverad och konfigurerad i din Azure AD-klientorganisation.
  • Om det behövs kan du gå den första självstudien för att skapa och konfigurera en Azure Active Directory Domain Services-hanterad domän.
• En Windows Server VM som är ansluten till den hanterade domänen.
  • Om det behövs kan du se föregående självstudie för att skapa en virtuell Windows Server och ansluta den till en hanterad domän.
• Ett användarkonto som är medlem i gruppen Azure AD DC-administratörer i din Azure AD-klientorganisation.
• En Azure Bastion värd som distribuerats i ditt Azure AD DS virtuella nätverk.
  • Om det behövs skapar du en Azure Bastion värd.

Logga in på Azure Portal

I den här självstudien skapar och konfigurerar du en virtuell hanteringsdatorn med hjälp av Azure Portal. Kom igång genom att först logga in på Azure Portal.

Tillgängliga administrativa uppgifter i Azure AD DS

Azure AD DS en hanterad domän som dina användare, program och tjänster kan använda. Den här metoden ändrar några av de tillgängliga hanteringsuppgifter som du kan utföra och vilka behörigheter du har inom den hanterade domänen. Dessa uppgifter och behörigheter kan vara annorlunda än vad du upplever med en vanlig lokal Active Directory Domain Services-miljö. Du kan inte heller ansluta till domänkontrollanter på den hanterade domänen med hjälp av Fjärrskrivbord.

Administrativa uppgifter som du kan utföra på en hanterad domän

Medlemmar i gruppen AAD DC-administratörer beviljas behörigheter på den hanterade domänen som gör att de kan utföra uppgifter som:

• Konfigurera det inbyggda grupprincipobjektet (GPO) för containrarna AADDC-datorer och AADDC-användare i den hanterade domänen.
• Administrera DNS i den hanterade domänen.
• Skapa och administrera anpassade organisationsenheter (ORGANISATIONSENHETER) på den hanterade domänen.
• Få administrativ åtkomst till datorer som är anslutna till den hanterade domänen.

Administratörsbehörigheter som du inte har på en hanterad domän

Den hanterade domänen är låst, så du har inte behörighet att utföra vissa administrativa uppgifter i domänen. Några av följande exempel är uppgifter som du inte kan utföra:

• Utöka schemat för den hanterade domänen.
• Anslut till domänkontrollanter för den hanterade domänen med hjälp av Fjärrskrivbord.
• Lägg till domänkontrollanter i den hanterade domänen.
• Du har inte behörighet som domänadministratör eller företagsadministratör för den hanterade domänen.

Logga in på den virtuella Windows Server

I den föregående självstudien skapades Windows server-VM och anslöts till den hanterade domänen. Använd den virtuella datorn för att installera hanteringsverktygen. Om det behövs följer du stegen i självstudien för att skapa och ansluta en virtuell Windows Server till en hanterad domän.

Kom igång genom att ansluta till den virtuella Windows Server enligt följande:

1. I Azure Portal väljer du Resursgrupper till vänster. Välj den resursgrupp där den virtuella datorn skapades, till exempel myResourceGroup, och välj sedan den virtuella datorn, till exempel myVM.

2. I fönstret Översikt för den virtuella datorn väljer du Anslut och sedan Bastion.

   

3. Ange autentiseringsuppgifterna för den virtuella datorn och välj sedan Anslut.

   

Om det behövs tillåter du att webbläsaren öppnar popup-fönster för att Bastion-anslutningen ska visas. Det tar några sekunder att upprätta anslutningen till den virtuella datorn.

Installera Active Directory-administrationsverktyg

Du använder samma administrativa verktyg i en hanterad domän som lokala AD DS-miljöer, till exempel Active Directory Administrationscenter (ADAC) eller AD PowerShell. Dessa verktyg kan installeras som en del av verktyg för fjärrserveradministration (RSAT) på Windows Server och klientdatorer. Medlemmar i gruppen AAD DC-administratörer kan sedan fjärradministrerade hanterade domäner med hjälp av dessa AD-administrationsverktyg från en dator som är ansluten till den hanterade domänen.

Utför följande steg för att installera Active Directory-administrationsverktygen på en domän-ansluten virtuell dator:

1. Om Serverhanteraren inte öppnas som standard när du loggar in på den virtuella datorn väljer du Start-menyn och väljer sedan Serverhanteraren.

2. I fönstret Instrumentpanel i fönstret Serverhanteraren väljer du Lägg till roller och funktioner.

3. På sidan Innan du börjar i guiden Lägg till roller och funktioner väljer du Nästa.

4. För Installationstyp låter du alternativet Rollbaserad eller funktionsbaserad installation vara markerat och väljer Nästa.

5. På sidan Serverval väljer du den aktuella virtuella datorn från serverpoolen, till exempel myvm.aaddscontoso.com och sedan Nästa.

6. På sidan Serverroller klickar du på Nästa.

7. På sidan Funktioner expanderar du noden verktyg för fjärrserveradministration och expanderar sedan noden Rolladministrationsverktyg.

   Välj AD DS och AD LDS Verktyg i listan över rolladministrationsverktyg och välj sedan Nästa.

   

8. På sidan Bekräftelse väljer du Installera. Det kan ta ett par minuter att installera de administrativa verktygen.

9. När funktionsinstallationen är klar väljer du Stäng för att avsluta guiden Lägg till roller och funktioner.

Använda Active Directory-administrationsverktyg

Nu när de administrativa verktygen är installerade ska vi se hur du använder dem för att administrera den hanterade domänen. Kontrollera att du är inloggad på den virtuella datorn med ett användarkonto som är medlem i gruppen AAD DC-administratörer.

1. På Start-menyn väljer du Windows Administrationsverktyg. Ad-administrationsverktygen som installerades i föregående steg visas.

   

2. Välj Active Directory Administrationscenter.

3. Om du vill utforska den hanterade domänen väljer du domännamnet i den vänstra rutan, till exempel aaddscontoso. Två containrar med namnet AADDC-datorer och AADDC-användare finns överst i listan.

   

4. Om du vill se de användare och grupper som tillhör den hanterade domänen väljer du containern AADDC-användare. Användarkonton och grupper från din Azure AD-klientorganisation visas i den här containern.

   I följande exempelutdata visas ett användarkonto med namnet Contoso Admin och en grupp för AAD DC-administratörer i den här containern.

   

5. Om du vill se de datorer som är ansluten till den hanterade domänen väljer du containern AADDC Computers. En post för den aktuella virtuella datorn, till exempel myVM, visas. Datorkonton för alla enheter som är anslutna till den hanterade domänen lagras i den här containern för AADDC-datorer.

Vanliga Active Directory Administrationscenter åtgärder som att återställa ett användarkontolösenord eller hantera gruppmedlemskap är tillgängliga. De här åtgärderna fungerar bara för användare och grupper som skapats direkt i den hanterade domänen. Identitetsinformation synkroniseras endast från Azure AD till Azure AD DS. Det finns ingen tillbakaskrivning från Azure AD DS till Azure AD. Du kan inte ändra lösenord eller hanterat gruppmedlemskap för användare som synkroniseras från Azure AD och synkronisera tillbaka dessa ändringar.

Du kan också använda Active Directory-modulen för Windows PowerShell, som installeras som en del av administrationsverktygen, för att hantera vanliga åtgärder i din hanterade domän.

Nästa steg

I den här självstudiekursen lärde du dig att:

Om du vill interagera på ett säkert sätt med din hanterade domän från andra program aktiverar du LDAPS (Secure Lightweight Directory Access Protocol).