Koncepty správy uživatelských účtů, hesel a správy ve službě Microsoft Entra Domain Services
Při vytváření a spouštění spravované domény služby Microsoft Entra Domain Services existují určité rozdíly v chování v porovnání s tradičním místním prostředím SLUŽBY AD DS. Stejné nástroje pro správu ve službě Domain Services používáte jako doménu spravovanou vlastním systémem, ale nemůžete k řadičům domény přistupovat přímo. Existují také určité rozdíly v chování zásad hesel a hodnot hash hesel v závislosti na zdroji vytvoření uživatelského účtu.
Tento koncepční článek popisuje, jak spravovat spravovanou doménu a různé chování uživatelských účtů v závislosti na způsobu jejich vytvoření.
Správa domény
Spravovaná doména je obor názvů DNS a odpovídající adresář. Ve spravované doméně jsou řadiče domény (DCS), které obsahují všechny prostředky, jako jsou uživatelé a skupiny, přihlašovací údaje a zásady, součástí spravované služby. V případě redundance se vytvoří dva řadiče domény jako součást spravované domény. K těmto řadičům domény se nemůžete přihlásit, abyste mohli provádět úlohy správy. Místo toho vytvoříte virtuální počítač pro správu, který je připojený ke spravované doméně, a pak nainstalujete běžné nástroje pro správu služby AD DS. Můžete například použít moduly snap-in Centra pro správu služby Active Directory nebo konzoly MMC (Microsoft Management Console), jako jsou například objekty DNS nebo Zásady skupiny.
Vytvoření uživatelského účtu
Uživatelské účty je možné vytvořit ve spravované doméně několika způsoby. Většina uživatelských účtů se synchronizuje z ID Microsoft Entra, které může zahrnovat také uživatelský účet synchronizovaný z místního prostředí SLUŽBY AD DS. Účty můžete také vytvářet ručně přímo ve spravované doméně. Některé funkce, jako je počáteční synchronizace hesel nebo zásady hesel, se chovají odlišně v závislosti na tom, jak a kde se vytvářejí uživatelské účty.
- Uživatelský účet je možné synchronizovat z ID Microsoft Entra. To zahrnuje pouze cloudové uživatelské účty vytvořené přímo v Microsoft Entra ID a hybridní uživatelské účty synchronizované z místního prostředí SLUŽBY AD DS pomocí Microsoft Entra Connect.
- Většinauživatelských
- Uživatelský účet je možné ručně vytvořit ve spravované doméně a v Microsoft Entra ID neexistuje.
- Pokud potřebujete vytvořit účty služeb pro aplikace, které běží jenom ve spravované doméně, můžete je ručně vytvořit ve spravované doméně. Vzhledem k tomu, že synchronizace je jedním ze způsobů z ID Microsoft Entra, uživatelské účty vytvořené ve spravované doméně se nesynchronují zpět do Microsoft Entra ID.
Zásady hesel
Domain Services obsahuje výchozí zásady hesel, které definují nastavení pro věci, jako je uzamčení účtu, maximální stáří hesla a složitost hesel. Nastavení, jako jsou zásady uzamčení účtu, platí pro všechny uživatele ve spravované doméně bez ohledu na to, jak byl uživatel vytvořen, jak je popsáno v předchozí části. Několik nastavení, jako je minimální délka hesla a složitost hesla, platí jenom pro uživatele vytvořené přímo ve spravované doméně.
Můžete vytvořit vlastní zásady hesel, které přepíší výchozí zásady ve spravované doméně. Tyto vlastní zásady se pak dají podle potřeby použít pro konkrétní skupiny uživatelů.
Další informace o rozdílech ve způsobu použití zásad hesel v závislosti na zdroji vytváření uživatelů najdete v tématu Zásady uzamčení hesla a účtu ve spravovaných doménách.
Hodnoty hash hesel
Aby bylo možné ověřovat uživatele ve spravované doméně, služba Domain Services potřebuje hodnoty hash hesel ve formátu, který je vhodný pro ověřování NT LAN Manager (NTLM) a Kerberos. Microsoft Entra ID nevygeneruje ani neukládá hodnoty hash hesel ve formátu, který je vyžadován pro ověřování protokolem NTLM nebo Kerberos, dokud pro svého tenanta nepovolíte službu Domain Services. Zbezpečnostních Proto microsoft Entra ID nemůže automaticky vygenerovat tyto hodnoty hash hesel NTLM nebo Kerberos na základě stávajících přihlašovacích údajů uživatelů.
U uživatelských účtů jenom v cloudu musí uživatelé změnit svá hesla, aby mohli používat spravovanou doménu. Tento proces změny hesla způsobí, že se vygenerují a ukládají hodnoty hash hesel pro ověřování Kerberos a NTLM v Microsoft Entra ID. Účet se nesynchronuje z ID Microsoft Entra do Domain Services, dokud se nezmění heslo.
Pro uživatele synchronizované z místního prostředí SLUŽBY AD DS pomocí nástroje Microsoft Entra Connect povolte synchronizaci hodnot hash hesel.
Důležité
Microsoft Entra Connect synchronizuje pouze starší hodnoty hash hesel, pokud pro svého tenanta Microsoft Entra povolíte službu Domain Services. Starší hodnoty hash hesel se nepoužívají, pokud k synchronizaci místního prostředí SLUŽBY AD DS s MICROSOFT Entra ID používáte pouze Microsoft Entra Connect.
Pokud starší verze aplikací nepoužívají ověřování NTLM nebo jednoduché vazby LDAP, doporučujeme zakázat synchronizaci hodnot hash hesel NTLM pro službu Domain Services. Další informace naleznete v tématu Zakázání slabých šifrovacích sad a synchronizace hodnot hash přihlašovacích údajů NTLM.
Po správné konfiguraci se použitelné hodnoty hash hesel ukládají do spravované domény. Pokud odstraníte spravovanou doménu, odstraní se také všechny hodnoty hash hesel uložené v tomto okamžiku. Synchronizované informace o přihlašovacích údajích v ID Microsoft Entra se nedají znovu použít, pokud později vytvoříte jinou spravovanou doménu – synchronizaci hodnot hash hesel musíte znovu nakonfigurovat, aby se hodnoty hash hesel ukládaly znovu. Dříve připojené virtuální počítače nebo uživatelé k doméně se nebudou moct okamžitě ověřit – ID Microsoft Entra potřebuje vygenerovat a uložit hodnoty hash hesel v nové spravované doméně. Další informace naleznete v tématu Proces synchronizace hodnot hash hesel pro Domain Services a Microsoft Entra Connect.
Důležité
Microsoft Entra Connect by se měl nainstalovat a nakonfigurovat jenom pro synchronizaci s místními prostředími AD DS. Není podporována instalace služby Microsoft Entra Connect ve spravované doméně, aby se synchronizovaly objekty zpět s ID Microsoft Entra.
Doménové struktury a vztahy důvěryhodnosti
Doménová struktura je logická konstrukce používaná službou Doména služby Active Directory Services (AD DS) k seskupení jedné nebo více domén. Domény pak ukládají objekty pro uživatele nebo skupiny a poskytují ověřovací služby.
Ve službě Domain Services doménová struktura obsahuje pouze jednu doménu. Místní doménové struktury služby AD DS často obsahují mnoho domén. Ve velkých organizacích, zejména po fúzi a akvizicích, můžete skončit s několika místními doménovými strukturami, které každá z nich pak obsahuje více domén.
Spravovaná doména ve výchozím nastavení synchronizuje všechny objekty z ID Microsoft Entra, včetně všech uživatelských účtů vytvořených v místním prostředí SLUŽBY AD DS. Uživatelské účty se můžou přímo ověřit ve spravované doméně, například se přihlásit k virtuálnímu počítači připojenému k doméně. Tento přístup funguje, když je možné synchronizovat hodnoty hash hesel a uživatelé nepoužívají exkluzivní metody přihlašování, jako je ověřování pomocí čipových karet.
Ve službě Domain Services můžete také vytvořit vztah důvěryhodnosti doménové struktury s jinou doménou, která uživatelům umožní přístup k prostředkům. V závislosti na požadavcích na přístup můžete vztah důvěryhodnosti doménové struktury vytvořit v různých směrech.
| Směr důvěryhodnosti | Přístup uživatelů |
|---|---|
| Obousměrný | Umožňuje uživatelům ve spravované doméně i místní doméně přistupovat k prostředkům v jedné doméně. |
| Jednosměrná odchozí | Umožňuje uživatelům v místní doméně přistupovat k prostředkům ve spravované doméně, ale ne naopak. |
| Jednosměrná příchozí | Umožňuje uživatelům ve spravované doméně přístup k prostředkům v místní doméně. |
Skladové položky služby Domain Services
Ve službě Domain Services jsou dostupné výkon a funkce založené na skladové posílce. Při vytváření spravované domény vyberete skladovou položku a po nasazení spravované domény můžete podle svých obchodních požadavků přepnout skladové položky. Následující tabulka popisuje dostupné skladové položky a rozdíly mezi nimi:
| Název skladové položky | Maximální počet objektů | Frekvence zálohování |
|---|---|---|
| Standard | Bez omezení | Každých 5 dnů |
| Enterprise | Bez omezení | Každých 3 dny |
| Premium | Bez omezení | Každý den |
Před těmito skladovými jednotkami služby Domain Services byl použit fakturační model založený na počtu objektů (uživatelských a počítačových účtů) ve spravované doméně. Na základě počtu objektů ve spravované doméně už nejsou ceny proměnných.
Další informace najdete na stránce s cenami služby Domain Services.
Výkon spravované domény
Výkon domény se liší podle toho, jak se pro aplikaci implementuje ověřování. Další výpočetní prostředky můžou pomoct zlepšit dobu odezvy dotazů a zkrátit dobu strávenou v operacích synchronizace. S rostoucí úrovní skladové položky se zvýší výpočetní prostředky dostupné pro spravovanou doménu. Monitorujte výkon aplikací a naplánujte požadované prostředky.
Pokud se vaše firma nebo aplikace mění a potřebujete další výpočetní výkon pro vaši spravovanou doménu, můžete přepnout na jinou skladovou položku.
Frekvence zálohování
Frekvence zálohování určuje, jak často se vytváří snímek spravované domény. Zálohy jsou automatizovaný proces spravovaný platformou Azure. V případě problému se spravovanou doménou vám podpora Azure může pomoct s obnovením ze zálohy. Vzhledem k tomu, že synchronizace probíhá pouze jedním ze způsobů z ID Microsoft Entra, nebudou mít všechny problémy ve spravované doméně vliv na ID Microsoft Entra ani na místní prostředí a funkce služby AD DS.
S nárůstem úrovně skladové položky se zvyšuje frekvence těchto snímků zálohování. Zkontrolujte své obchodní požadavky a cíl bodu obnovení (RPO) a určete požadovanou frekvenci zálohování pro vaši spravovanou doménu. Pokud se požadavky vaší firmy nebo aplikace změní a potřebujete častější zálohování, můžete přepnout na jinou skladovou položku.
Domain Services poskytuje následující pokyny pro časové rozpětí obnovení pro různé typy problémů:
- Cíl bodu obnovení (RPO) je maximální časový rozsah, ve kterém dochází k potenciální ztrátě dat nebo transakcí z incidentu.
- RtO (Recovery Time Object) je cílový časový rozsah, ke kterému dochází před návratem úrovní služby do provozu po incidentu.
| Problémy | RPO | RTO |
|---|---|---|
| Problémy způsobené ztrátou nebo poškozením dat na řadičích domény služby Domain Services, závislými službami, zneužitím, které ohrožovalo doménu, nebo jiným incidentem, který vyžaduje obnovení řadiče domény. | Pět dní před výskytem události | Dvě hodiny až čtyři dny v závislosti na velikosti tenanta |
| Problémy zjištěné naší diagnostikou domény | Nula (0 minut) | Dvě hodiny až čtyři dny v závislosti na velikosti tenanta |
Další kroky
Začněte vytvořením spravované domény domain Services.