Kurz: Vytvoření virtuálního počítače pro správu pro konfiguraci a správu spravované domény Azure Active Directory Domain Services

Azure Active Directory Domain Services (Azure AD DS) poskytuje spravované doménové služby, jako je připojení k doméně, zásady skupiny, ldap a ověřování kerberos/NTLM, které jsou plně kompatibilní s Windows Server Active Directory. Tuto spravovanou doménu spravujete pomocí stejných nástrojů pro vzdálenou správu serveru (RSAT) jako v doméně místní Active Directory Domain Services. Protože Azure AD DS je spravovaná služba, některé úlohy správy nemůžete provádět, například pomocí protokolu RDP (Remote Desktop Protocol) pro připojení k řadičům domény.

V tomto kurzu se dozvíte, jak nakonfigurovat virtuální počítač s Windows Serverem v Azure a nainstalovat požadované nástroje pro správu spravované domény Azure AD DS.

V tomto kurzu se naučíte:

  • Vysvětlení dostupných úloh správy ve spravované doméně
  • Instalace nástrojů pro správu služby Active Directory na virtuální počítač s Windows Serverem
  • Použití Centra správy služby Active Directory k provádění běžných úloh

Pokud nemáte předplatné Azure, vytvořte si účet před tím, než začnete.

Požadavky

K dokončení tohoto kurzu potřebujete následující prostředky a oprávnění:

Přihlášení k webu Azure Portal

V tomto kurzu vytvoříte a nakonfigurujete virtuální počítač pro správu pomocí Azure Portal. Začněte tím, že se nejdřív přihlásíte k Azure Portal.

Dostupné úlohy správy v Azure AD DS

Azure AD DS poskytuje spravovanou doménu, kterou můžou využívat uživatelé, aplikace a služby. Tento přístup změní některé z dostupných úloh správy, které můžete provádět, a oprávnění, která máte ve spravované doméně. Tyto úlohy a oprávnění se můžou lišit od běžných místní Active Directory prostředí Domain Services. Nemůžete se také připojit k řadičům domény ve spravované doméně pomocí Vzdálené plochy.

Úlohy správy, které můžete provádět ve spravované doméně

Členům skupiny AAD DC Administrators jsou udělena oprávnění ve spravované doméně, která jim umožňují provádět například tyto úlohy:

  • Nakonfigurujte předdefinovaný objekt zásad skupiny (GPO) pro kontejnery AADDC Computers a AADDC Users ve spravované doméně.
  • Správa DNS ve spravované doméně.
  • Vytvořte a spravujte vlastní organizační jednotky (OU) ve spravované doméně.
  • Získání přístupu pro správu k počítačům připojeným ke spravované doméně.

Oprávnění správce, která nemáte ve spravované doméně

Spravovaná doména je uzamčená, takže nemáte oprávnění k určitým úlohám správy domény. Některé z následujících příkladů jsou úkoly, které nemůžete dělat:

  • Rozšíření schématu spravované domény
  • Připojte se k řadičům domény pro spravovanou doménu pomocí Vzdálené plochy.
  • Přidejte řadiče domény do spravované domény.
  • Nemáte oprávnění správce domény ani podnikového správce pro spravovanou doménu.

Přihlášení k virtuálnímu počítači s Windows Serverem

V předchozím kurzu se vytvořil virtuální počítač s Windows Serverem a připojil se ke spravované doméně. Tento virtuální počítač použijte k instalaci nástrojů pro správu. V případě potřeby postupujte podle kroků v tomto kurzu a vytvořte virtuální počítač s Windows Serverem a připojte ho ke spravované doméně.

Poznámka

V tomto kurzu použijete virtuální počítač s Windows Serverem v Azure, který je připojený ke spravované doméně. Můžete také použít klienta systému Windows, například Windows 10, který je připojený ke spravované doméně.

Další informace o instalaci nástrojů pro správu na klientovi Windows najdete v tématu Instalace Nástrojů pro vzdálenou správu serveru (RSAT).

Začněte tím, že se následujícím způsobem připojíte k virtuálnímu počítači s Windows Serverem:

  1. V Azure Portal vyberte na levé straně Skupiny prostředků. Zvolte skupinu prostředků, ve které se váš virtuální počítač vytvořil, například myResourceGroup, a pak vyberte virtuální počítač, například myVM.

  2. V podokně Přehled pro váš virtuální počítač vyberte Připojit a pak Bastion.

    Připojení k virtuálnímu počítači s Windows pomocí Bastionu v Azure Portal

  3. Zadejte přihlašovací údaje pro virtuální počítač a pak vyberte Připojit.

    Připojení prostřednictvím hostitele Bastion v Azure Portal

V případě potřeby povolte ve webovém prohlížeči otevírání automaticky otevíraných oken, aby se zobrazilo připojení Bastion. Vytvoření připojení k virtuálnímu počítači trvá několik sekund.

Instalace nástrojů pro správu služby Active Directory

Ve spravované doméně používáte stejné nástroje pro správu jako místní prostředí služby AD DS, například Centrum správy služby Active Directory (ADAC) nebo AD PowerShell. Tyto nástroje je možné nainstalovat jako součást funkce Nástroje pro vzdálenou správu serveru (RSAT) na windows Serveru a klientských počítačích. Členové skupiny AAD DC Administrators pak můžou spravovat spravované domény vzdáleně pomocí těchto nástrojů pro správu služby AD z počítače, který je připojený ke spravované doméně.

Pokud chcete nainstalovat nástroje pro správu služby Active Directory na virtuální počítač připojený k doméně, proveďte následující kroky:

  1. Pokud se Správce serveru při přihlášení k virtuálnímu počítači ve výchozím nastavení neotevře, vyberte nabídku Start a pak zvolte Správce serveru.

  2. V podokně Řídicí panelokna Správce serveru vyberte Přidat role a funkce.

  3. Na stránce Než začnete v Průvodci přidáním rolí a funkcí vyberte Další.

  4. U možnosti Typ instalace ponechte zaškrtnutou možnost Instalace na základě rolí nebo na základě funkcí a vyberte Další.

  5. Na stránce Výběr serveru zvolte aktuální virtuální počítač z fondu serverů, například myvm.aaddscontoso.com, a pak vyberte Další.

  6. Na stránce Role serveru klikněte na Další.

  7. Na stránce Funkce rozbalte uzel Nástroje pro vzdálenou správu serveru a pak rozbalte uzel Nástroje pro správu rolí .

    V seznamu nástrojů pro správu rolí zvolte funkce NÁSTROJE SLUŽBY AD DS a SLUŽBY AD LDS a pak vyberte Další.

    Nainstalujte nástroje služby AD DS a AD LDS ze stránky Funkce.

  8. Na stránce Potvrzení vyberte Nainstalovat. Instalace nástrojů pro správu může trvat několik minut.

  9. Po dokončení instalace funkce vyberte Zavřít a ukončete průvodce přidáním rolí a funkcí .

Použití nástrojů pro správu služby Active Directory

S nainstalovanými nástroji pro správu se podíváme, jak je použít ke správě spravované domény. Ujistěte se, že jste k virtuálnímu počítači přihlášení pomocí uživatelského účtu, který je členem skupiny AAD DC Administrators .

  1. V nabídce Start vyberte Nástroje pro správu Windows. Jsou uvedené nástroje pro správu AD nainstalované v předchozím kroku.

    Seznam nástrojů pro správu nainstalovaných na serveru

  2. Vyberte Centrum správy služby Active Directory.

  3. Pokud chcete prozkoumat spravovanou doménu, zvolte název domény v levém podokně, například aaddscontoso. Dva kontejnery s názvem AADDC Computers (Počítače AADDC ) a AADDC Users (Uživatelé AADDC ) jsou v horní části seznamu.

    Výpis dostupných kontejnerů ve spravované doméně

  4. Pokud chcete zobrazit uživatele a skupiny, které patří do spravované domény, vyberte kontejner AADDC Users . V tomto kontejneru jsou uvedené uživatelské účty a skupiny z vašeho tenanta Azure AD.

    V následujícím příkladu výstupu se v tomto kontejneru zobrazí uživatelský účet Contoso Správa a skupina pro správce řadiče domény AAD.

    Zobrazení seznamu uživatelů domény Azure AD DS v Centru správy služby Active Directory

  5. Pokud chcete zobrazit počítače, které jsou připojené ke spravované doméně, vyberte kontejner Počítače AADDC . Je uvedena položka pro aktuální virtuální počítač, například myVM. Účty počítačů pro všechna zařízení připojená ke spravované doméně jsou uloženy v tomto kontejneru počítače AADDC .

K dispozici jsou běžné akce Centra správy služby Active Directory, jako je resetování hesla uživatelského účtu nebo správa členství ve skupinách. Tyto akce fungují jenom pro uživatele a skupiny vytvořené přímo ve spravované doméně. Informace o identitě se synchronizují jenom z Azure AD do Azure AD DS. Z Azure AD DS do Azure AD není žádný zpětný zápis. U uživatelů synchronizovaných z Azure AD nemůžete měnit hesla ani členství ve spravovaných skupinách a tyto změny pak synchronizovat zpátky.

Modul služby Active Directory můžete použít také pro Windows PowerShell, které se instalují jako součást nástrojů pro správu, ke správě běžných akcí ve spravované doméně.

Další kroky

V tomto kurzu jste se naučili:

  • Vysvětlení dostupných úloh správy ve spravované doméně
  • Instalace nástrojů pro správu služby Active Directory na virtuální počítač s Windows Serverem
  • Použití Centra správy služby Active Directory k provádění běžných úloh

Pokud chcete se spravovanou doménou bezpečně pracovat z jiných aplikací, povolte protokol LDAPS (Secure Lightweight Directory Access Protocol).