Öğretici: Azure Active Directory Domain Services yönetilen bir etki alanını yapılandırmak ve yönetmek için bir yönetim sanal makinesi oluşturmaTutorial: Create a management VM to configure and administer an Azure Active Directory Domain Services managed domain

Azure Active Directory Domain Services (AD DS), Windows Server Active Directory ile tamamen uyumlu etki alanına katılması, Grup ilkesi, LDAP ve Kerberos/NTLM kimlik doğrulaması gibi yönetilen etki alanı Hizmetleri sağlar.Azure Active Directory Domain Services (AD DS) provides managed domain services such as domain join, group policy, LDAP, and Kerberos/NTLM authentication that is fully compatible with Windows Server Active Directory. Bu yönetilen etki alanını, şirket içi Active Directory Domain Services etki alanı ile aynı Uzak Sunucu Yönetim Araçları (RSAT) kullanarak yönetebilirsiniz.You administer this managed domain using the same Remote Server Administration Tools (RSAT) as with an on-premises Active Directory Domain Services domain. Azure AD DS yönetilen bir hizmet olduğundan, etki alanı denetleyicilerine bağlanmak için Uzak Masaüstü Protokolü (RDP) kullanma gibi, gerçekleştiremeyecek bazı yönetim görevleri vardır.As Azure AD DS is a managed service, there are some administrative tasks that you can't perform, such as using remote desktop protocol (RDP) to connect to the domain controllers.

Bu öğreticide, Azure 'da bir Windows Server VM oluşturma ve Azure AD DS yönetilen bir etki alanını yönetmek için gerekli araçları nasıl yükleyeceğiniz gösterilmektedir.This tutorial shows you how to create a Windows Server VM in Azure and install the required tools to administer an Azure AD DS managed domain.

Bu öğreticide şunların nasıl yapıldığını öğreneceksiniz:In this tutorial, you learn how to:

  • Azure AD DS yönetilen bir etki alanında kullanılabilir yönetim görevlerini anlayınUnderstand the available administrative tasks in an Azure AD DS managed domain
  • Windows Server VM 'ye Active Directory Yönetim Araçları 'nı yüklerInstall the Active Directory administrative tools on a Windows Server VM
  • Ortak görevleri gerçekleştirmek için Active Directory Yönetim Merkezi kullanınUse the Active Directory Administrative Center to perform common tasks

Azure aboneliğiniz yoksa başlamadan önce bir hesap oluşturun .If you don’t have an Azure subscription, create an account before you begin.

ÖnkoşullarPrerequisites

Bu öğreticiyi tamamlayabilmeniz için aşağıdaki kaynaklar ve ayrıcalıklar gereklidir:To complete this tutorial, you need the following resources and privileges:

Azure portalında oturum açınSign in to the Azure portal

Bu öğreticide, Azure portal kullanarak bir yönetim sanal makinesi oluşturup yapılandırırsınız.In this tutorial, you create and configure a management VM using the Azure portal. Başlamak için öncelikle Azure Portaloturum açın.To get started, first sign in to the Azure portal.

Azure AD DS 'de kullanılabilir yönetim görevleriAvailable administrative tasks in Azure AD DS

Azure AD DS, kullanıcılarınız, uygulamalarınız ve hizmetleriniz tarafından kullanılacak yönetilen bir etki alanı sağlar.Azure AD DS provides a managed domain for your users, applications, and services to consume. Bu yaklaşım, yapabileceğiniz bazı kullanılabilir yönetim görevlerini ve yönetilen etki alanı içinde sahip olduğunuz ayrıcalıkları değiştirir.This approach changes some of the available management tasks you can do, and what privileges you have within the managed domain. Bu görevler ve izinler, düzenli bir şirket içi Active Directory Domain Services ortamıyla deneyiminizden farklı olabilir.These tasks and permissions may be different than what you experience with a regular on-premises Active Directory Domain Services environment. Ayrıca, Uzak Masaüstü kullanarak Azure AD DS yönetilen etki alanındaki etki alanı denetleyicilerine bağlanamazsınız.You also can't connect to domain controllers on the Azure AD DS managed domain using Remote Desktop.

Azure AD DS yönetilen bir etki alanında gerçekleştirebileceğiniz yönetim görevleriAdministrative tasks you can perform on an Azure AD DS managed domain

AAD DC Administrators grubunun üyelerine Azure AD DS yönetilen etki alanı üzerinde, bunların gibi görevleri gerçekleştirmesine olanak veren ayrıcalıklar verilir:Members of the AAD DC Administrators group are granted privileges on the Azure AD DS managed domain that enables them to do tasks such as:

  • Makineleri yönetilen etki alanına ekleyin.Join machines to the managed domain.
  • Yönetilen etki alanındaki Aaddc bilgisayarları ve Aaddc kullanıcıları kapsayıcıları için yerleşik Grup İlkesi nesnesini (GPO) yapılandırın.Configure the built-in group policy object (GPO) for the AADDC Computers and AADDC Users containers in the managed domain.
  • Yönetilen etki alanında DNS’yi yönetin.Administer DNS on the managed domain.
  • Yönetilen etki alanında özel kuruluş birimleri (OU) oluşturun ve yönetin.Create and administer custom organizational units (OUs) on the managed domain.
  • Yönetilen etki alanına katılan bilgisayarlara yönetici erişimi edinin.Gain administrative access to computers joined to the managed domain.

Azure AD DS yönetilen bir etki alanında bulunmayan yönetim ayrıcalıklarıAdministrative privileges you don't have on an Azure AD DS managed domain

Azure AD DS yönetilen etki alanı kilitlidir, bu nedenle etki alanında belirli yönetim görevlerini yapmak için ayrıcalıklarınız yok.The Azure AD DS managed domain is locked down, so you don't have privileges to do certain administrative tasks on the domain. Aşağıdaki örneklerden bazıları yapamıyorum görevlerdir:Some of the following examples are tasks you can't do:

  • Yönetilen etki alanının şemasını genişletin.Extend the schema of the managed domain.
  • Uzak Masaüstü 'Nü kullanarak yönetilen etki alanı için etki alanı denetleyicilerine bağlanın.Connect to domain controllers for the managed domain using Remote Desktop.
  • Yönetilen etki alanına etki alanı denetleyicileri ekleyin.Add domain controllers to the managed domain.
  • Yönetilen etki alanı için etki alanı yöneticisi veya Kuruluş Yöneticisi ayrıcalıklarınız yok.You don't have Domain Administrator or Enterprise Administrator privileges for the managed domain.

Windows Server VM 'de oturum açmaSign in to the Windows Server VM

Önceki öğreticide, bir Windows Server VM oluşturulup Azure AD DS yönetilen etki alanına katıldı.In the previous tutorial, a Windows Server VM was created and joined to the Azure AD DS managed domain. Yönetim araçlarını yüklemek için bu VM 'yi kullanalım.Let's use that VM to install the management tools. Gerekirse, bir Windows Server VM 'si oluşturup yönetilen bir etki alanına katmak için öğreticideki adımları izleyin.If needed, follow the steps in the tutorial to create and join a Windows Server VM to a managed domain.

Not

Bu öğreticide Azure AD DS yönetilen etki alanına katılmış bir Windows Server VM 'si kullanırsınız.In this tutorial, you use a Windows Server VM in Azure that is joined to the Azure AD DS managed domain. Yönetilen etki alanına katılmış Windows 10 gibi bir Windows istemcisi de kullanabilirsiniz.You can also use a Windows client, such as Windows 10, that is joined to the managed domain.

Windows istemcisine yönetimsel araçların nasıl yükleneceği hakkında daha fazla bilgi için bkz. ınstall uzak sunucu yönetim araçları (RSAT)For more information on how to install the administrative tools on a Windows client, see install Remote Server Administration Tools (RSAT)

Başlamak için Windows Server VM 'sine aşağıdaki şekilde bağlanın:To get started, connect to the Windows Server VM as follows:

  1. Azure portal sol taraftaki kaynak grupları ' nı seçin.In the Azure portal, select Resource groups on the left-hand side. SANAL makinenizin oluşturulduğu kaynak grubunu ( Myresourcegroupgibi) seçin ve ardından VM 'yi seçin ( myvmgibi).Choose the resource group where your VM was created, such as myResourceGroup, then select the VM, such as myVM.

  2. VM 'nin genel bakış penceresinde Bağlan' ı seçin.In the Overview windows of the VM, select Connect.

    Azure portal Windows sanal makinesine bağlanma

    Yalnızca SSL üzerinden Azure portal erişim sağlamak için bir Azure savunma ana bilgisayarı oluşturup kullanabilirsiniz (Şu anda önizleme aşamasında) .You can also create and use an Azure Bastion host (currently in preview) to allow access only through the Azure portal over SSL.

  3. RDP dosyasını indirmeseçeneğini belirleyin.Select the option to Download RDP File. Bu RDP dosyasını Web tarayıcınıza kaydedin.Save this RDP file in your web browser.

  4. VM'nize bağlanmak için indirilen RDP dosyasını açın.To connect to your VM, open the downloaded RDP file. İstendiğinde Bağlan’ı seçin.If prompted, select Connect.

  5. Azure AD DC Administrators grubunun parçası olan bir kullanıcının kimlik bilgilerini ( contoso\dee gibi) girinEnter the credentials of a user that's part of the Azure AD DC administrators group, such as contoso\dee

  6. Oturum açma işlemi sırasında bir sertifika uyarısı görürseniz, Evet ' i seçin veya bağlanmaya devam edin .If you see a certificate warning during the sign in process, select Yes or Continue to connect.

Active Directory Yönetim Araçları 'nı yüklerInstall Active Directory administrative tools

Azure AD DS yönetilen etki alanları, Active Directory Yönetim Merkezi (ADAC) veya AD PowerShell gibi şirket içi AD DS ortamlarla aynı yönetim araçları kullanılarak yönetilir.Azure AD DS managed domains are managed using the same administrative tools as on-premises AD DS environments, such as the Active Directory Administrative Center (ADAC) or AD PowerShell. Bu araçlar Windows Server ve istemci bilgisayarlarda Uzak Sunucu Yönetim Araçları (RSAT) özelliğinin bir parçası olarak yüklenebilir.These tools can be installed as part of the Remote Server Administration Tools (RSAT) feature on Windows Server and client computers. AAD DC yöneticileri grubunun üyeleri, yönetilen etki alanına katılmış bir BILGISAYARDAN bu ad yönetim araçlarını kullanarak Azure AD DS yönetilen etki alanlarını uzaktan yönetebilir.Members of the AAD DC Administrators group can then administer Azure AD DS managed domains remotely using these AD administrative tools from a computer that is joined to the managed domain.

Etki alanına katılmış bir VM 'ye Active Directory Yönetim Araçları 'nı yüklemek için aşağıdaki adımları izleyin:To install the Active Directory Administration tools on a domain-joined VM, complete the following steps:

  1. Sunucu Yöneticisi , VM 'de oturum açtığınızda varsayılan olarak açılmalıdır.Server Manager should open by default when you sign in to the VM. Aksi takdirde, Başlat menüsünde Sunucu Yöneticisi' yi seçin.If not, on the Start menu, select Server Manager.

  2. Sunucu Yöneticisi penceresinin Pano bölmesinde rol ve Özellik Ekle' yi seçin.In the Dashboard pane of the Server Manager window, select Add Roles and Features.

  3. Rol ve Özellik Ekleme Sihirbazı' nın başlamadan önce sayfasında İleri' yi seçin.On the Before You Begin page of the Add Roles and Features Wizard, select Next.

  4. Yükleme türüIçin, rol tabanlı veya özellik tabanlı yükleme seçeneğini işaretli bırakın ve İleri ' yiseçin.For the Installation Type, leave the Role-based or feature-based installation option checked and select Next.

  5. Sunucu seçimi sayfasında, sunucu havuzundan MYVM.contoso.comgibi geçerli VM 'Yi seçin ve ardından İleri' yi seçin.On the Server Selection page, choose the current VM from the server pool, such as myvm.contoso.com, then select Next.

  6. Sunucu rolleri sayfasında, İleri' ye tıklayın.On the Server Roles page, click Next.

  7. Özellikler sayfasında, uzak sunucu yönetim araçları düğümünü genişletin ve ardından rol yönetim araçları düğümünü genişletin.On the Features page, expand the Remote Server Administration Tools node, then expand the Role Administration Tools node.

    Rol yönetim araçları listesinden AD DS ve AD LDS Araçları özelliğini seçin ve ardından İleri' yi seçin.Choose AD DS and AD LDS Tools feature from the list of role administration tools, then select Next.

    Özellikler sayfasından ' AD DS ve AD LDS Araçları ' ' nı yükler

  8. Onay sayfasında, yükler' i seçin.On the Confirmation page, select Install. Yönetim araçlarının yüklenmesi bir veya iki dakika sürebilir.It may take a minute or two to install the administrative tools.

  9. Özellik yüklemesi tamamlandığında, rol ve özellik ekleme Sihirbazı 'ndan çıkmak için Kapat ' ı seçin.When feature installation is complete, select Close to exit the Add Roles and Features wizard.

Active Directory yönetim araçlarını kullanmaUse Active Directory administrative tools

Yönetim Araçları yüklüyken Azure AD DS yönetilen etki alanını yönetmek için bunları nasıl kullanacağınızı görelim.With the administrative tools installed, let's see how to use them to administer the Azure AD DS managed domain. Sanal makinede AAD DC Administrators grubunun üyesi olan bir kullanıcı hesabıyla oturum açtığınızdan emin olun.Make sure that you're signed in to the VM with a user account that's a member of the AAD DC Administrators group.

  1. Başlat menüsünde Windows Yönetim Araçları' nı seçin.From the Start menu, select Windows Administrative Tools. Önceki adımda yüklenen AD Yönetim Araçları listelenir.The AD administrative tools installed in the previous step are listed.

    Sunucuda yüklü yönetim araçlarının listesi

  2. Active Directory Yönetim Merkeziseçin.Select Active Directory Administrative Center.

  3. Azure AD DS yönetilen etki alanını araştırmak için sol bölmedeki contoso.comgibi etki alanı adını seçin.To explore the Azure AD DS managed domain, choose the domain name in the left pane, such as contoso.com. Aaddc bilgisayarları ve Aaddc kullanıcıları adlı iki kapsayıcı listenin en üstünde bulunur.Two containers named AADDC Computers and AADDC Users are at the top of the list.

    Azure AD DS yönetilen etki alanının kullanılabilir kapsayıcılar bölümünü listeleyin

  4. Azure AD DS yönetilen etki alanına ait olan kullanıcıları ve grupları görmek için Aaddc kullanıcıları kapsayıcısını seçin.To see the users and groups that belong to the Azure AD DS managed domain, select the AADDC Users container. Azure AD kiracınızdaki Kullanıcı hesapları ve grupları bu kapsayıcıda listelenmiştir.The user accounts and groups from your Azure AD tenant are listed in this container.

    Aşağıdaki örnek çıktıda, contosoadmin adlı bir kullanıcı hesabı ve AAD DC yöneticileri için bir grup bu kapsayıcıda gösterilmektedir.In the following example output, a user account named contosoadmin and a group for AAD DC Administrators are shown in this container.

    Active Directory Yönetim Merkezi Azure AD DS etki alanı kullanıcılarının listesini görüntüleyin

  5. Azure AD DS yönetilen etki alanına katılmış bilgisayarları görmek için Aaddc bilgisayarları kapsayıcısını seçin.To see the computers that are joined to the Azure AD DS managed domain, select the AADDC Computers container. Geçerli sanal makine için Myvmgibi bir giriş listelenir.An entry for the current virtual machine, such as myVM, is listed. Azure AD DS tarafından yönetilen etki alanına katılmış tüm bilgisayarlar için bilgisayar hesapları, bu Aaddc bilgisayarları kapsayıcısında depolanır.Computer accounts for all computers that are joined to the Azure AD DS managed domain are stored in this AADDC Computers container.

Kullanıcı hesabı parolasını sıfırlama veya grup üyeliğini yönetme gibi genel Active Directory Yönetim Merkezi eylemler kullanılabilir.Common Active Directory Administrative Center actions such as resetting a user account password or managing group membership are available. Ayrıca, yönetim araçlarının bir parçası olarak yüklenen Windows PowerShell için Active Directory modülünü, Azure AD DS yönetilen etki alanında sık kullanılan eylemleri yönetmek için de kullanabilirsiniz.You can also use the Active Directory Module for Windows PowerShell, installed as part of the administrative tools, to manage common actions in your Azure AD DS managed domain.

Sonraki adımlarNext steps

Bu öğreticide, şunların nasıl yapıldığını öğrendiniz:In this tutorial, you learned how to:

  • Azure AD DS yönetilen bir etki alanında kullanılabilir yönetim görevlerini anlayınUnderstand the available administrative tasks in an Azure AD DS managed domain
  • Windows Server VM 'ye Active Directory Yönetim Araçları 'nı yüklerInstall the Active Directory administrative tools on a Windows Server VM
  • Ortak görevleri gerçekleştirmek için Active Directory Yönetim Merkezi kullanınUse the Active Directory Administrative Center to perform common tasks

Azure AD DS yönetilen etki alanı ile güvenli bir şekilde etkileşimde bulunmak için güvenli basit Dizin Erişimi Protokolü 'Nü (LDAPS) etkinleştirin.To safely interact with your Azure AD DS managed domain, enable secure Lightweight Directory Access Protocol (LDAPS).