Öğretici: Etki Alanı Hizmetleri tarafından yönetilen bir etki alanını yapılandırmak ve Azure Active Directory yönetim VM'si oluşturma

Azure Active Directory Etki Alanı Hizmetleri (Azure AD DS), etki alanına katılma, grup ilkesi, LDAP ve Kerberos/NTLM kimlik doğrulaması gibi etki alanına tam olarak uyumlu yönetilen etki alanı Windows Server Active Directory. Bu yönetilen etki alanını, etki alanı Uzak Sunucu Yönetim Araçları etki alanıyla aynı şirket içi Active Directory (RSAT) kullanarak yönetebilirsiniz. Azure AD DS yönetilen bir hizmet olduğu için, etki alanı denetleyicilerine bağlanmak için uzak masaüstü protokolünü (RDP) kullanma gibi gerçekleştireyebilirsiniz bazı yönetim görevleri vardır.

Bu öğreticide, Azure'da Windows Server VM'lerini yapılandırma ve yönetilen bir etki alanını yönetmek için Azure AD DS yükleme açıklanır.

Bu öğreticide şunların nasıl yapıldığını öğreneceksiniz:

Azure aboneliğiniz yoksa başlamadan önce bir hesap oluşturun.

Önkoşullar

Bu öğreticiyi tamamlamak için aşağıdaki kaynaklara ve ayrıcalıklara ihtiyacınız vardır:

• Etkin bir Azure aboneliği.
  • Azure aboneliğiniz yoksa bir hesap oluşturun.
• Aboneliğiniz Azure Active Directory bir şirket içi dizin veya yalnızca bulut diziniyle eşitlenmiş bir kiracı.
  • Gerekirse, yeni bir Azure Active Directory oluşturun veya bir Azure aboneliğini hesabınızla ilişkilendirmeniz gerekir.
• Azure AZURE ACTIVE DIRECTORY Etki Alanı Hizmetleri tarafından yönetilen bir etki alanı etkinleştirildi ve yapılandırıldı.
  • Gerekirse, Etki Alanı Hizmetleri tarafından yönetilen bir etki alanı oluşturmak ve yapılandırmak Azure Active Directory öğreticiye bakın.
• Yönetilen Windows katılmış bir Sunucu VM'si.
  • Gerekirse, sunucu sunucusu vm'leri oluşturmak ve bunu yönetilen bir etki alanına Windows önceki öğreticiye bakın.
• Azure AD kiracınız içinde Azure AD DC yöneticiler grubunun üyesi olan bir kullanıcı hesabı.
• Sanal Azure Bastion dağıtılmış bir Azure AD DS konak.
  • Gerekirse, bir konak Azure Bastion oluşturun.

Azure portalında oturum açın

Bu öğreticide, sanal makineyi kullanarak bir yönetim VM'Azure portal. Çalışmaya başlamanız için ilk olarak Azure portal.

Azure AD DS'de kullanılabilir yönetim görevleri

Azure AD DS kullanıcılarınız, uygulamalarınız ve hizmetleriniz için bir yönetilen etki alanı sağlar. Bu yaklaşım, bazı kullanılabilir yönetim görevlerini ve yönetilen etki alanı içinde sahip olduğunuz ayrıcalıkları değiştirir. Bu görevler ve izinler, normal bir Etki Alanı Hizmetleri ortamında şirket içi Active Directory farklı olabilir. Ayrıca, Uzak Masaüstü kullanarak yönetilen etki alanındaki etki alanı denetleyicilerine bağlanaabilirsiniz.

Yönetilen bir etki alanında gerçekleştirebilirsiniz yönetim görevleri

AAD DC Administrators grubunun üyelerine, yönetilen etki alanında aşağıdaki gibi görevler gerçekleştirmelerine olanak sağlayan ayrıcalıklar verildi:

• Yönetilen etki alanındaki AADDC Bilgisayarları ve AADDC Kullanıcıları kapsayıcıları için yerleşik grup ilkesi nesnesini (GPO) yapılandırma.
• Yönetilen etki alanında DNS’yi yönetin.
• Yönetilen etki alanında özel kuruluş birimleri (OU) oluşturma ve yönetme.
• Yönetilen etki alanına katılan bilgisayarlara yönetici erişimi edinin.

Yönetilen etki alanında sahip olmadığınız yönetim ayrıcalıkları

Yönetilen etki alanı kilitlidir, bu nedenle etki alanında belirli yönetim görevlerini gerçekleştirme ayrıcalıklarınız yoktur. Aşağıdaki örneklerden bazıları, gerçekleştire olmadığınız görevlerdir:

• Yönetilen etki alanının şemasını genişletme.
• Bağlan Masaüstü kullanarak yönetilen etki alanı için etki alanı denetleyicilerine bağlanabilirsiniz.
• Etki alanı denetleyicilerini yönetilen etki alanına ekleyin.
• Yönetilen etki alanı için Etki Alanı Yöneticisi Enterprise Yönetici ayrıcalıklarınız yok.

Windows Server VM'de oturum açma

Önceki öğreticide, Windows Sunucu VM'si oluşturulmuş ve yönetilen etki alanına katılmıştı. Yönetim araçlarını yüklemek için bu VM'yi kullanın. Gerekirse, Windows Server VM'lerini oluşturmak ve yönetilen bir etki alanına katarak öğreticide yer alan adımları izleyin.

Çalışmaya başlamanız için Windows Server VM'ye bağlanabilirsiniz:

1. Sol Azure portal Kaynak grupları'ı seçin. Vm'nizin oluşturularak oluşturulan kaynak grubunu (örneğin, myResourceGroup) seçin ve sonra myVM gibi bir VM seçin.

2. VM'nizin Genel Bakış bölmesinde Bağlan'ı ve ardından Bastion'ı seçin.

   

3. VM'nizin kimlik bilgilerini girin, sonra da Sanal Makine'Bağlan.

   

Gerekirse, Bastion bağlantısının görüntülenebilir olması için web tarayıcınızın açılır pencereleri açmasına izin ver. VM'nize bağlantının birkaç saniye içinde uzlatır.

Active Directory yönetim araçlarını yükleme

Yönetilen bir etki alanında, Active Directory Yönetim Merkezi (ADAC) veya AD PowerShell gibi şirket içi AD DS ortamları ile aynı yönetim araçlarını kullanırsiniz. Bu araçlar, Windows Server ve istemci bilgisayarlarında Uzak Sunucu Yönetim Araçları (RSAT) özelliğinin bir parçası olarak yükleyebilir. AAD DC Administrators grubunun üyeleri, yönetilen etki alanına katılmış bir bilgisayardan bu AD yönetim araçlarını kullanarak yönetilen etki alanlarını uzaktan yönetebilirsiniz.

Active Directory Yönetim araçlarını etki alanına katılmış bir VM'ye yüklemek için aşağıdaki adımları tamamlayın:

1. Vm Sunucu Yöneticisi oturum asanız varsayılan olarak açılmazsa Başlat menüsünü seçin ve sonra da Sunucu Yöneticisi.

2. Pano penceresinin Pano bölmesinde Sunucu Yöneticisi Ve Özellik Ekle'yi seçin.

3. Rol ve Özellik Ekleme Sihirbazı'nın Başlamadan Önce sayfasında, Sonraki'yi seçin.

4. Yükleme Türü için Rol tabanlı veya özellik tabanlı yükleme seçeneğini işaretli bırakın ve Sonraki'yi seçin.

5. Sunucu Seçimi sayfasında, sunucu havuzundan geçerli VM'yi seçin , örneğin, myvm.aaddscontoso.com'yi seçin.

6. Sunucu Rolleri sayfasında, Sonraki 'ye tıklayın.

7. Özellikler sayfasında, Uzak Sunucu Yönetim Araçları düğümünü ve ardından Rol Yönetimi Araçları düğümünü genişletin.

   Rol AD DS araç listesinden AD LDS araçları özelliğini seçin ve ardından Sonraki'yi seçin.

   

8. Onay sayfasında Yükle'yi seçin. Yönetim araçlarının yüklemesi bir veya iki dakika kadar zaman alır.

9. Özellik yüklemesi tamamlandığında, Rol ve Özellik Ekleme sihirbazından çıkmak için Kapat'ı seçin.

Active Directory yönetim araçlarını kullanma

Yönetim araçları yüklüken, yönetilen etki alanını yönetmek için bunları nasıl kullanabileceğinize bakalım. VM'de DC Administrators grubunun üyesi olan bir kullanıcı hesabıyla AAD emin olun.

1. Başlat menüsünden Yönetimsel Araçlar'Windows seçin. Önceki adımda yüklü olan AD yönetim araçları listelenir.

   

2. Öğesini Active Directory Yönetim Merkezi.

3. Yönetilen etki alanını keşfetmek için sol bölmede aaddscontoso gibi etki alanı adını seçin. AADDC Bilgisayarları ve AADDC Kullanıcıları adlı iki kapsayıcı listenin en üstünde yer alıyor.

   

4. Yönetilen etki alanına ait kullanıcıları ve grupları görmek için AADDC Kullanıcıları kapsayıcıyı seçin. Azure AD kiracınıza yönelik kullanıcı hesapları ve grupları bu kapsayıcıda listelenir.

   Aşağıdaki örnek çıktıda, bu kapsayıcıda Contoso Admin adlı bir kullanıcı hesabı AAD DC Administrators için bir grup gösterilir.

   

5. Yönetilen etki alanına katılan bilgisayarları görmek için AADDC Bilgisayarları kapsayıcısı'ni seçin. Geçerli sanal makine için myVM gibi bir giriş listelenir. Yönetilen etki alanına katılan tüm cihazların bilgisayar hesapları bu AADDC Bilgisayarları kapsayıcısı içinde depolanır.

Kullanıcı Active Directory Yönetim Merkezi sıfırlama veya grup üyeliğini yönetme gibi yaygın eylemler kullanılabilir. Bu eylemler yalnızca doğrudan yönetilen etki alanında oluşturulan kullanıcılar ve gruplar için çalışır. Kimlik bilgileri yalnızca Azure AD'den Azure AD DS. Azure AD'ye geri Azure AD DS yoktur. Azure AD 'den eşitlenen kullanıcılar için parolaları veya yönetilen grup üyeliklerini değiştiremezsiniz ve bu değişiklikleri geri eşitlenmiş olacak şekilde değiştirebilirsiniz.

yönetilen etki alanındaki yaygın işlemleri yönetmek için yönetim araçlarının bir parçası olarak yüklenen Windows PowerShell için Active Directory modülünü de kullanabilirsiniz.

Sonraki adımlar

Bu öğreticide, şunların nasıl yapıldığını öğrendiniz:

Diğer uygulamalardan yönetilen etki alanı ile güvenli bir şekilde etkileşimde bulunmak için güvenli basit Dizin Erişimi Protokolü 'Nü (LDAPS) etkinleştirin.