Koncepty správy uživatelských účtů, hesel a správy ve službě Microsoft Entra Domain Services
Při vytváření a spouštění spravované domény služby Microsoft Entra Domain Services existují určité rozdíly v chování v porovnání s tradičním místním prostředím SLUŽBY AD DS. Stejné nástroje pro správu ve službě Domain Services používáte jako doménu spravovanou vlastním systémem, ale nemůžete k řadičům domény přistupovat přímo. Existují také určité rozdíly v chování zásad hesel a hodnot hash hesel v závislosti na zdroji vytvoření uživatelského účtu.
Tento koncepční článek popisuje, jak spravovat spravovanou doménu a různé chování uživatelských účtů v závislosti na způsobu jejich vytvoření.
Správa domény
Spravovaná doména je obor názvů DNS a odpovídající adresář. Ve spravované doméně jsou řadiče domény (DCS), které obsahují všechny prostředky, jako jsou uživatelé a skupiny, přihlašovací údaje a zásady, součástí spravované služby. V případě redundance se vytvoří dva řadiče domény jako součást spravované domény. K těmto řadičům domény se nemůžete přihlásit, abyste mohli provádět úlohy správy. Místo toho vytvoříte virtuální počítač pro správu, který je připojený ke spravované doméně, a pak nainstalujete běžné nástroje pro správu služby AD DS. Můžete použít moduly snap-in služby Active Directory Správa istrative Center nebo konzoly MMC (Microsoft Management Console), jako jsou například objekty DNS nebo zásady skupiny.
Vytvoření uživatelského účtu
Uživatelské účty je možné vytvořit ve spravované doméně několika způsoby. Většina uživatelských účtů se synchronizuje z ID Microsoft Entra, které může zahrnovat také uživatelský účet synchronizovaný z místního prostředí SLUŽBY AD DS. Účty můžete také vytvářet ručně přímo ve spravované doméně. Některé funkce, jako je počáteční synchronizace hesel nebo zásady hesel, se chovají odlišně v závislosti na tom, jak a kde se vytvářejí uživatelské účty.
- Uživatelský účet je možné synchronizovat z ID Microsoft Entra. To zahrnuje jenom cloudové uživatelské účty vytvořené přímo v Microsoft Entra ID a hybridní uživatelské účty synchronizované z místního prostředí AD DS pomocí Microsoft Entra Připojení.
- Většinauživatelských
- Uživatelský účet je možné ručně vytvořit ve spravované doméně a v Microsoft Entra ID neexistuje.
- Pokud potřebujete vytvořit účty služeb pro aplikace, které běží jenom ve spravované doméně, můžete je ručně vytvořit ve spravované doméně. Vzhledem k tomu, že synchronizace je jedním ze způsobů z ID Microsoft Entra, uživatelské účty vytvořené ve spravované doméně se nesynchronují zpět do Microsoft Entra ID.
Zásady hesel
Domain Services obsahuje výchozí zásady hesel, které definují nastavení pro věci, jako je uzamčení účtu, maximální stáří hesla a složitost hesel. Nastavení, jako jsou zásady uzamčení účtu, platí pro všechny uživatele ve spravované doméně bez ohledu na to, jak byl uživatel vytvořen, jak je popsáno v předchozí části. Několik nastavení, jako je minimální délka hesla a složitost hesla, platí jenom pro uživatele vytvořené přímo ve spravované doméně.
Můžete vytvořit vlastní zásady hesel, které přepíší výchozí zásady ve spravované doméně. Tyto vlastní zásady se pak dají podle potřeby použít pro konkrétní skupiny uživatelů.
Další informace o rozdílech ve způsobu použití zásad hesel v závislosti na zdroji vytváření uživatelů najdete v tématu Zásady uzamčení hesla a účtu ve spravovaných doménách.
Hodnoty hash hesel
Aby bylo možné ověřovat uživatele ve spravované doméně, služba Domain Services potřebuje hodnoty hash hesel ve formátu, který je vhodný pro ověřování NT LAN Manager (NTLM) a Kerberos. Microsoft Entra ID nevygeneruje ani neukládá hodnoty hash hesel ve formátu, který je vyžadován pro ověřování protokolem NTLM nebo Kerberos, dokud pro svého tenanta nepovolíte službu Domain Services. Zbezpečnostních Proto microsoft Entra ID nemůže automaticky vygenerovat tyto hodnoty hash hesel NTLM nebo Kerberos na základě stávajících přihlašovacích údajů uživatelů.
U uživatelských účtů jenom v cloudu musí uživatelé změnit svá hesla, aby mohli používat spravovanou doménu. Tento proces změny hesla způsobí, že se vygenerují a ukládají hodnoty hash hesel pro ověřování Kerberos a NTLM v Microsoft Entra ID. Účet se nesynchronuje z ID Microsoft Entra do Domain Services, dokud se nezmění heslo.
Pro uživatele synchronizované z místního prostředí SLUŽBY AD DS pomocí microsoft Entra Připojení povolte synchronizaci hodnot hash hesel.
Důležité
Microsoft Entra Připojení synchronizuje pouze starší hodnoty hash hesel, pokud pro svého tenanta Microsoft Entra povolíte službu Domain Services. Starší hodnoty hash hesel se nepoužívají, pokud k synchronizaci místního prostředí SLUŽBY AD DS s Microsoft Entra ID používáte jenom Microsoft Entra Připojení.
Pokud starší verze aplikací nepoužívají ověřování NTLM nebo jednoduché vazby LDAP, doporučujeme zakázat synchronizaci hodnot hash hesel NTLM pro službu Domain Services. Další informace naleznete v tématu Zakázání slabých šifrovacích sad a synchronizace hodnot hash přihlašovacích údajů NTLM.
Po správné konfiguraci se použitelné hodnoty hash hesel ukládají do spravované domény. Pokud odstraníte spravovanou doménu, odstraní se také všechny hodnoty hash hesel uložené v tomto okamžiku. Synchronizované informace o přihlašovacích údajích v ID Microsoft Entra se nedají znovu použít, pokud později vytvoříte jinou spravovanou doménu – synchronizaci hodnot hash hesel musíte znovu nakonfigurovat, aby se hodnoty hash hesel ukládaly znovu. Dříve připojené virtuální počítače nebo uživatelé k doméně se nebudou moct okamžitě ověřit – ID Microsoft Entra potřebuje vygenerovat a uložit hodnoty hash hesel v nové spravované doméně. Další informace naleznete v tématu Proces synchronizace hodnot hash hesel pro Domain Services a Microsoft Entra Připojení.
Důležité
Microsoft Entra Připojení by se měl nainstalovat a nakonfigurovat jenom pro synchronizaci s místními prostředími AD DS. Instalace služby Microsoft Entra Připojení ve spravované doméně není podporovaná, aby se synchronizovaly objekty zpět s ID Microsoft Entra.
Doménové struktury a vztahy důvěryhodnosti
Doménová struktura je logická konstrukce používaná službou Doména služby Active Directory Services (AD DS) k seskupení jedné nebo více domén. Domény pak ukládají objekty pro uživatele nebo skupiny a poskytují ověřovací služby.
Ve službě Domain Services doménová struktura obsahuje pouze jednu doménu. Místní doménové struktury služby AD DS často obsahují mnoho domén. Ve velkých organizacích, zejména po fúzi a akvizicích, můžete skončit s několika místními doménovými strukturami, které každá z nich pak obsahuje více domén.
Spravovaná doména ve výchozím nastavení synchronizuje všechny objekty z ID Microsoft Entra, včetně všech uživatelských účtů vytvořených v místním prostředí SLUŽBY AD DS. Uživatelské účty se můžou přímo ověřit ve spravované doméně, například se přihlásit k virtuálnímu počítači připojenému k doméně. Tento přístup funguje, když je možné synchronizovat hodnoty hash hesel a uživatelé nepoužívají exkluzivní metody přihlašování, jako je ověřování pomocí čipových karet.
Ve službě Domain Services můžete také vytvořit jednosměrný vztah důvěryhodnosti doménové struktury, který uživatelům umožní přihlásit se z místní služby AD DS. S tímto přístupem se objekty uživatelů a hodnoty hash hesel nesynchronizuje se službou Domain Services. Objekty a přihlašovací údaje uživatele existují pouze v místní službě AD DS. Tento přístup umožňuje podnikům hostovat prostředky a aplikační platformy v Azure, které závisí na klasickém ověřování, jako je LDAPS, Kerberos nebo NTLM, ale všechny problémy nebo problémy s ověřováním se odeberou.
Skladové položky služby Domain Services
Ve službě Domain Services jsou dostupné výkon a funkce založené na skladové posílce. Při vytváření spravované domény vyberete skladovou položku a po nasazení spravované domény můžete podle svých obchodních požadavků přepnout skladové položky. Následující tabulka popisuje dostupné skladové položky a rozdíly mezi nimi:
| Název skladové položky | Maximální počet objektů | Frekvence zálohování |
|---|---|---|
| Standard | Bez omezení | Každých 5 dnů |
| Enterprise | Bez omezení | Každých 3 dny |
| Premium | Bez omezení | denně |
Před těmito skladovými jednotkami služby Domain Services byl použit fakturační model založený na počtu objektů (uživatelských a počítačových účtů) ve spravované doméně. Na základě počtu objektů ve spravované doméně už nejsou ceny proměnných.
Další informace najdete na stránce s cenami služby Domain Services.
Výkon spravované domény
Výkon domény se liší podle toho, jak se pro aplikaci implementuje ověřování. Další výpočetní prostředky můžou pomoct zlepšit dobu odezvy dotazů a zkrátit dobu strávenou v operacích synchronizace. S rostoucí úrovní skladové položky se zvýší výpočetní prostředky dostupné pro spravovanou doménu. Monitorujte výkon aplikací a naplánujte požadované prostředky.
Pokud se vaše firma nebo aplikace mění a potřebujete další výpočetní výkon pro vaši spravovanou doménu, můžete přepnout na jinou skladovou položku.
Frekvence zálohování
Frekvence zálohování určuje, jak často se vytváří snímek spravované domény. Zálohy jsou automatizovaný proces spravovaný platformou Azure. V případě problému se spravovanou doménou vám podpora Azure může pomoct s obnovením ze zálohy. Vzhledem k tomu, že synchronizace probíhá pouze jedním ze způsobů z ID Microsoft Entra, nebudou mít všechny problémy ve spravované doméně vliv na ID Microsoft Entra ani na místní prostředí a funkce služby AD DS.
S nárůstem úrovně skladové položky se zvyšuje frekvence těchto snímků zálohování. Zkontrolujte své obchodní požadavky a cíl bodu obnovení (RPO) a určete požadovanou frekvenci zálohování pro vaši spravovanou doménu. Pokud se požadavky vaší firmy nebo aplikace změní a potřebujete častější zálohování, můžete přepnout na jinou skladovou položku.
Další kroky
Začněte vytvořením spravované domény domain Services.