Vytvoření organizační jednotky (OU) ve spravované doméně služby Microsoft Entra Domain Services

Organizační jednotky (OU) ve spravované doméně služby Doména služby Active Directory Services (AD DS) umožňují logicky seskupovat objekty, jako jsou uživatelské účty, účty služeb nebo účty počítačů. Pak můžete přiřadit správce ke konkrétním organizačním jednotce a použít zásady skupiny k vynucení cílených nastavení konfigurace.

Spravované domény služby Domain Services zahrnují následující dvě předdefinované organizační jednotky:

• Počítače AADDC – obsahuje počítačové objekty pro všechny počítače, které jsou připojené ke spravované doméně.
• Uživatelé AADDC – zahrnuje uživatele a skupiny synchronizované z tenanta Microsoft Entra.

Při vytváření a spouštění úloh, které používají Službu Domain Services, budete možná muset vytvořit účty služeb pro aplikace, které se budou ověřovat. Pokud chcete tyto účty služeb uspořádat, často vytvoříte vlastní organizační jednotky ve spravované doméně a pak v této organizační lekci vytvoříte účty služeb.

V hybridním prostředí se organizační jednotky vytvořené v místním prostředí SLUŽBY AD DS nesynchronují se spravovanou doménou. Spravované domény používají plochou strukturu organizační jednotky. Všechny uživatelské účty a skupiny jsou uložené v kontejneru Uživatelé AADDC, i když jsou synchronizované z různých místních domén nebo doménových struktur, i když jste tam nakonfigurovali hierarchickou strukturu organizační jednotky.

V tomto článku se dozvíte, jak vytvořit organizační jednotky ve spravované doméně.

Než začnete

K dokončení tohoto článku potřebujete následující prostředky a oprávnění:

• Aktivní předplatné Azure.
  • Pokud nemáte předplatné Azure, vytvořte účet.
• Tenant Microsoft Entra přidružený k vašemu předplatnému, buď synchronizovaný s místním adresářem, nebo s cloudovým adresářem.
  • V případě potřeby vytvořte tenanta Microsoft Entra nebo přidružte předplatné Azure k vašemu účtu.
• Spravovaná doména služby Microsoft Entra Domain Services je povolená a nakonfigurovaná ve vašem tenantovi Microsoft Entra.
  • V případě potřeby dokončete kurz a vytvořte a nakonfigurujte spravovanou doménu služby Microsoft Entra Domain Services.
• Virtuální počítač pro správu Windows Serveru, který je připojený ke spravované doméně Domain Services.
  • V případě potřeby dokončete kurz a vytvořte virtuální počítač pro správu.
• Uživatelský účet, který je členem skupiny správců Microsoft Entra DC ve vašem tenantovi Microsoft Entra.

Aspekty a omezení vlastní organizační jednotky

Při vytváření vlastních organizačních jednotek ve spravované doméně získáte další flexibilitu správy pro správu uživatelů a použití zásad skupiny. V porovnání s místním prostředím služby AD DS existují určitá omezení a aspekty při vytváření a správě vlastní struktury organizační jednotky ve spravované doméně:

• Pokud chcete vytvořit vlastní organizační jednotky, musí být uživatelé členem skupiny AAD DC Správa istrators.
• Uživateli, který vytvoří vlastní organizační jednotky, má udělená oprávnění správce (úplná kontrola) nad danou organizační jednotkou a je vlastníkem prostředku.
  • Ve výchozím nastavení má skupina AAD DC Správa istrators také úplnou kontrolu nad vlastní organizační jednotky.
• Vytvoří se výchozí organizační jednotky pro uživatele AADDC, která obsahuje všechny synchronizované uživatelské účty z vašeho tenanta Microsoft Entra.
  • Uživatele ani skupiny nemůžete přesunout z organizační jednotky AADDC Users do vlastních organizačních jednotek, které vytvoříte. Do vlastních organizačních jednotek je možné přesunout pouze uživatelské účty nebo prostředky vytvořené ve spravované doméně.
• Uživatelské účty, skupiny, účty služeb a objekty počítače, které vytvoříte v rámci vlastních organizačních jednotek, nejsou ve vašem tenantovi Microsoft Entra k dispozici.
  • Tyto objekty se nezobrazují pomocí rozhraní Microsoft Graph API ani v uživatelském rozhraní Microsoft Entra; jsou dostupné jenom ve vaší spravované doméně.

Vytvoření vlastní organizační jednotky

K vytvoření vlastní organizační jednotky použijete active directory Správa istrativní nástroje z virtuálního počítače připojeného k doméně. Centrum Správa istrativní centrum služby Active Directory umožňuje zobrazovat, upravovat a vytvářet prostředky ve spravované doméně, včetně organizačních jednotek.

Poznámka:

Pokud chcete vytvořit vlastní organizační jednotky ve spravované doméně, musíte být přihlášení k uživatelskému účtu, který je členem skupiny AAD DC Správa istrators.

1. Přihlaste se k virtuálnímu počítači pro správu. Postup připojení pomocí Centra pro správu Microsoft Entra najdete v tématu Připojení k virtuálnímu počítači s Windows Serverem.

2. Na obrazovce Start vyberte Správa istrativní nástroje. Zobrazí se seznam dostupných nástrojů pro správu, které byly nainstalovány v kurzu pro vytvoření virtuálního počítače pro správu.

3. Pokud chcete vytvořit a spravovat organizační jednotky, v seznamu nástrojů pro správu vyberte Active Directory Správa istrativní centrum.

4. V levém podokně zvolte spravovanou doménu, například aaddscontoso.com. Zobrazí se seznam existujících organizačních jednotek a prostředků:

   

5. Podokno Úlohy se zobrazí na pravé straně Správa istrativního centra služby Active Directory. V doméně, například aaddscontoso.com, vyberte Nová > organizační jednotka.

   

6. V dialogovém okně Vytvořit organizační jednotku zadejte název nové organizační jednotky, například MyCustomOu. Zadejte krátký popis organizační jednotky, například vlastní organizační jednotky pro účty služeb. V případě potřeby můžete také nastavit pole Spravované podle organizační jednotky. Pokud chcete vytvořit vlastní organizační jednotky, vyberte OK.

   

7. Zpátky ve službě Active Directory Správa istrativní centrum je teď uvedené vlastní organizační jednotky a je k dispozici pro použití:

   

Další kroky

Další informace o používání nástrojů pro správu nebo vytváření a používání účtů služeb najdete v následujících článcích:

• Active Directory Správa istrative Center: Začínáme
• Podrobný průvodce účty služeb