Microsoft Entra Domain Services yönetilen etki alanında Kuruluş Birimi (OU) oluşturma

Active Directory Etki Alanı Hizmetleri (AD DS) yönetilen etki alanındaki kuruluş birimleri (OU), kullanıcı hesapları, hizmet hesapları veya bilgisayar hesapları gibi nesneleri mantıksal olarak gruplandırmanıza olanak tanır. Ardından belirli OU'lara yönetici atayabilir ve hedeflenen yapılandırma ayarlarını zorunlu kılmak için grup ilkesi uygulayabilirsiniz.

Domain Services yönetilen etki alanları aşağıdaki iki yerleşik OU'yu içerir:

• AADDC Bilgisayarları - Yönetilen etki alanına katılmış tüm bilgisayarlar için bilgisayar nesneleri içerir.
• AADDC Kullanıcıları - Microsoft Entra kiracısından eşitlenen kullanıcıları ve grupları içerir.

Etki Alanı Hizmetleri'ni kullanan iş yüklerini oluşturup çalıştırırken, uygulamaların kimlik doğrulaması için hizmet hesapları oluşturmanız gerekebilir. Bu hizmet hesaplarını düzenlemek için, genellikle yönetilen etki alanında özel bir OU oluşturur ve ardından bu OU içinde hizmet hesapları oluşturursunuz.

Karma bir ortamda, şirket içi AD DS ortamında oluşturulan OU'lar yönetilen etki alanıyla eşitlenmez. Yönetilen etki alanları düz bir OU yapısı kullanır. Tüm kullanıcı hesapları ve grupları, farklı şirket içi etki alanlarından veya ormanlardan eşitlenmesine rağmen, orada hiyerarşik bir OU yapısı yapılandırmış olsanız bile AADDC Kullanıcıları kapsayıcısında depolanır.

Bu makalede, yönetilen etki alanınızda bir OU'nun nasıl oluşturulacağı gösterilmektedir.

Başlamadan önce

Bu makaleyi tamamlamak için aşağıdaki kaynaklara ve ayrıcalıklara ihtiyacınız vardır:

• Etkin bir Azure aboneliği.
  • Azure aboneliğiniz yoksa bir hesap oluşturun.
• Aboneliğinizle ilişkilendirilmiş bir Microsoft Entra kiracısı, şirket içi dizinle veya yalnızca bulut diziniyle eşitlenir.
  • Gerekirse bir Microsoft Entra kiracısı oluşturun veya bir Azure aboneliğini hesabınızla ilişkilendirin.
• Microsoft Entra Kiracınızda etkinleştirilmiş ve yapılandırılmış bir Microsoft Entra Domain Services yönetilen etki alanı.
  • Gerekirse, Microsoft Entra Domain Services yönetilen etki alanı oluşturmak ve yapılandırmak için öğreticiyi tamamlayın.
• Etki Alanı Hizmetleri tarafından yönetilen etki alanına katılmış bir Windows Server yönetim VM'si.
  • Gerekirse, yönetim VM'sini oluşturmak için öğreticiyi tamamlayın.
• Microsoft Entra kiracınızdaki Microsoft Entra DC yöneticiler grubunun üyesi olan bir kullanıcı hesabı.

Özel OU ile ilgili önemli noktalar ve sınırlamalar

Yönetilen bir etki alanında özel OU oluşturduğunuzda, kullanıcı yönetimi ve grup ilkesi uygulama için ek yönetim esnekliği elde edebilirsiniz. Şirket içi AD DS ortamıyla karşılaştırıldığında, yönetilen bir etki alanında özel bir OU yapısı oluştururken ve yönetirken bazı sınırlamalar ve önemli noktalar vardır:

• Özel OU'lar oluşturmak için kullanıcıların AAD DC Yönetici istrators grubunun üyesi olması gerekir.
• Özel bir OU oluşturan kullanıcıya bu OU üzerinde yönetim ayrıcalıkları (tam denetim) verilir ve kaynak sahibi olur.
  • Varsayılan olarak, AAD DC Yönetici istrators grubu da özel OU üzerinde tam denetime sahiptir.
• Microsoft Entra kiracınızdaki tüm eşitlenmiş kullanıcı hesaplarını içeren AADDC Kullanıcıları için varsayılan bir OU oluşturulur.
  • Kullanıcıları veya grupları AADDC Kullanıcıları OU'sundan oluşturduğunuz özel OU'lara taşıyamazsınız. Yalnızca yönetilen etki alanında oluşturulan kullanıcı hesapları veya kaynaklar özel OU'lara taşınabilir.
• Özel OU'lar altında oluşturduğunuz kullanıcı hesapları, gruplar, hizmet hesapları ve bilgisayar nesneleri Microsoft Entra kiracınızda kullanılamaz.
  • Bu nesneler Microsoft Graph API'sini veya Microsoft Entra kullanıcı arabirimini kullanarak gösterilmez; bunlar yalnızca yönetilen etki alanınızda kullanılabilir.

Özel OU oluşturma

Özel bir OU oluşturmak için, etki alanına katılmış bir VM'den Active Directory Yönetici istrative Araçları'nı kullanırsınız. Active Directory Yönetici istrative Center, OU'lar da dahil olmak üzere yönetilen bir etki alanındaki kaynakları görüntülemenize, düzenlemenize ve oluşturmanıza olanak tanır.

Dekont

Yönetilen etki alanında özel bir OU oluşturmak için AAD DC Yönetici istrators grubunun üyesi olan bir kullanıcı hesabında oturum açmanız gerekir.

1. Yönetim VM'nizde oturum açın. Microsoft Entra yönetim merkezini kullanarak bağlanma adımları için bkz. Windows Server VM'sine Bağlan.

2. Başlangıç ekranından Yönetici Istrative Tools'ı seçin. Yönetim VM'si oluşturma öğreticisinde yüklü olan kullanılabilir yönetim araçlarının listesi gösterilir.

3. OU'ları oluşturmak ve yönetmek için yönetim araçları listesinden Active Directory Yönetici istrative Center'ı seçin.

4. Sol bölmede, aaddscontoso.com gibi yönetilen etki alanınızı seçin. Mevcut OU'ların ve kaynakların listesi gösterilir:

   

5. Görevler bölmesi, Active Directory Yönetici istrative Center'ın sağ tarafında gösterilir. Etki alanının altında, örneğin aaddscontoso.com, Yeni Kuruluş Birimi'ni> seçin.

   

6. Kuruluş Birimi Oluştur iletişim kutusunda, yeni OU için MyCustomOu gibi bir Ad belirtin. Hizmet hesapları için Özel OU gibi OU için kısa bir açıklama sağlayın. İsterseniz, OU için Yönetilen alanı da ayarlayabilirsiniz. Özel OU oluşturmak için Tamam'ı seçin.

   

7. Active Directory Yönetici Istrative Center'a döndüğünüzde, özel OU artık listelenmiştir ve kullanılabilir:

   

Sonraki adımlar

Yönetim araçlarını kullanma veya hizmet hesaplarını oluşturma ve kullanma hakkında daha fazla bilgi için aşağıdaki makalelere bakın:

• Active Directory Yönetici Istrative Center: Başlarken
• Hizmet Hesapları Adım Adım Kılavuz