Freigeben über


Synchronisieren von Objekten und Anmeldeinformationen in einer verwalteten Domäne von Microsoft Entra Domain Services

Objekte und Anmeldeinformationen in einer von Microsoft Entra Domain Services verwalteten Domäne können entweder lokal innerhalb der Domäne erstellt oder von einem Microsoft Entra-Mandanten synchronisiert werden. Beim ersten Bereitstellen von Domänendiensten wird eine automatische unidirektionale Synchronisierung konfiguriert und startet die Replikation der Objekte aus Microsoft Entra ID. Diese unidirektionale Synchronisierung wird weiterhin im Hintergrund ausgeführt, um die von Domain Services verwaltete Domäne mit allen Änderungen aus Microsoft Entra ID auf dem neuesten Stand zu halten. Es erfolgt keine Synchronisierung von Domänendiensten zurück zur Microsoft Entra-ID.

In einer Hybridumgebung können Objekte und Anmeldeinformationen aus einer lokalen AD DS-Domäne mithilfe von Microsoft Entra Connect mit Microsoft Entra ID synchronisiert werden. Sobald diese Objekte erfolgreich mit der Microsoft Entra-ID synchronisiert wurden, stellt die automatische Hintergrundsynchronisierung diese Objekte und Anmeldeinformationen anwendungen mit der verwalteten Domäne zur Verfügung.

Das folgende Diagramm veranschaulicht, wie die Synchronisierung zwischen Domänendiensten, Microsoft Entra-ID und einer optionalen lokalen AD DS-Umgebung funktioniert:

Übersicht über die Synchronisierung für eine verwaltete Domäne von Microsoft Entra Domain Services

Synchronisierung von Microsoft Entra ID zu Domänendiensten

Benutzerkonten, Gruppenmitgliedschaften und Anmeldeinformationshashes werden unidirektional von Microsoft Entra ID mit Domain Services synchronisiert. Dieser Synchronisierungsvorgang erfolgt automatisch. Sie müssen diesen Synchronisierungsprozess nicht konfigurieren, überwachen oder verwalten. Die anfängliche Synchronisierung kann je nach Anzahl der Objekte im Microsoft Entra-Verzeichnis einige Stunden dauern. Nach Abschluss der ersten Synchronisierung werden Änderungen, die in der Microsoft Entra-ID vorgenommen werden, z. B. Kennwort- oder Attributänderungen, dann automatisch mit Domänendiensten synchronisiert.

Wenn ein Benutzer in der Microsoft Entra-ID erstellt wird, wird er erst mit Domänendiensten synchronisiert, wenn er sein Kennwort in der Microsoft Entra-ID ändert. Diese Kennwortänderung führt dazu, dass die Kennworthashes für die Kerberos- und NTLM-Authentifizierung in Microsoft Entra ID generiert und gespeichert werden. Die Passworthashes sind erforderlich, um einen Benutzer in den Domänendiensten erfolgreich zu authentifizieren.

Der Synchronisierungsprozess ist von Natur aus ein Einwegvorgang. Es gibt keine umgekehrte Synchronisierung von Änderungen von Domänendiensten zurück zur Microsoft Entra-ID. Eine verwaltete Domäne ist weitgehend schreibgeschützt, mit Ausnahme von benutzerdefinierten OUs, die Sie erstellen können. Sie können keine Änderungen an Benutzerattributen, Benutzerwörtern oder Gruppenmitgliedschaften innerhalb einer verwalteten Domäne vornehmen.

Bereichssynchronisierung und Gruppenfilter

Sie können die Synchronisierung nur auf Benutzerkonten beschränken, die aus der Cloud stammen. Innerhalb dieses Synchronisierungsbereichs können Sie nach bestimmten Gruppen oder Benutzern filtern. Sie können zwischen nur Cloudgruppen, lokalen Gruppen oder beiden auswählen. Weitere Informationen zum Konfigurieren der bereichsbezogenen Synchronisierung finden Sie unter Konfigurieren der bereichsbezogenen Synchronisierung.

Screenshot der Gruppenfilteroption.

Attributsynchronisierung und Zuordnung zu Domänendiensten

In der folgenden Tabelle sind einige allgemeine Attribute und ihre Synchronisierung mit Domänendiensten aufgeführt.

Attribut in Domänendiensten Quelle Hinweise
UPN UPN-Attribut der Benutzenden im Microsoft Entra-Mandanten Das UPN-Attribut aus dem Microsoft Entra-Mandanten wird unverändert mit Domain Services synchronisiert. Die zuverlässigste Möglichkeit, sich bei einer verwalteten Domäne anzumelden, verwendet den UPN.
SAMAccountName mailNickname-Attribut der Benutzenden im Microsoft Entra-Mandanten oder automatisch generiert Das SAMAccountName-Attribut stammt aus dem attribut mailNickname im Microsoft Entra-Mandanten. Wenn mehrere Benutzerkonten dasselbe mailNickname-Attribut aufweisen, wird der SAMAccountName automatisch generiert. Wenn das Präfix "mailNickname " oder " UPN " des Benutzers länger als 20 Zeichen ist, wird der SAMAccountName automatisch generiert, um den Grenzwert von 20 Zeichen für SAMAccountName-Attribute zu erfüllen.
Kennwörter Benutzerkennwort aus dem Microsoft Entra-Mandanten Legacykennworthashes, die für die NTLM- oder Kerberos-Authentifizierung erforderlich sind, werden aus dem Microsoft Entra-Mandanten synchronisiert. Wenn der Microsoft Entra-Mandant für die Hybridsynchronisierung mithilfe von Microsoft Entra Connect konfiguriert ist, stammen diese Kennworthashes aus der lokalen AD DS-Umgebung.
Primäre Benutzer-/Gruppen-SID Automatisch generiert Die primäre SID für Benutzer-/Gruppenkonten wird automatisch in Domänendiensten generiert. Dieses Attribut stimmt nicht mit der primären Benutzer-/Gruppen-SID des Objekts in einer lokalen AD DS-Umgebung überein. Dieser Konflikt liegt daran, dass die verwaltete Domäne einen anderen SID-Namespace aufweist als die lokale AD DS-Domäne.
SID-Verlauf für Benutzende und Gruppen SID für lokale primäre Benutzende und Gruppen Das SidHistory-Attribut für Benutzer und Gruppen in Domänendiensten ist so festgelegt, dass es mit der entsprechenden primären Benutzer- oder Gruppen-SID in einer lokalen AD DS-Umgebung übereinstimmt. Dieses Feature erleichtert die Aufhebung und Verschiebung lokaler Anwendungen auf Domänendienste, da Sie keine ACL-Ressourcen erneut verwenden müssen.

Tipp

Melden Sie sich mit dem UPN-Format bei der verwalteten Domäne an. Das SAMAccountName-Attribut, z. B., kann für einige Benutzerkonten in einer verwalteten Domäne automatisch generiert werden. Der automatisch generierte SAMAccountName des Benutzers unterscheidet sich möglicherweise von ihrem UPN-Präfix, daher ist es nicht immer eine zuverlässige Möglichkeit, sich anzumelden.

Wenn z. B. mehrere Benutzer dasselbe mailNickname-Attribut haben oder Benutzer über übermäßig lange UPN-Präfixe verfügen, wird der SAMAccountName für diese Benutzer möglicherweise automatisch generiert. Verwenden Sie das UPN-Format, z. B. driley@aaddscontoso.com, für die zuverlässige Anmeldung bei einer verwalteten Domäne.

Attributzuordnung für Benutzerkonten

In der folgenden Tabelle wird veranschaulicht, wie bestimmte Attribute für Benutzerobjekte in Der Microsoft Entra-ID mit den entsprechenden Attributen in Domänendiensten synchronisiert werden.

Benutzer-Attribut in Microsoft Entra ID Benutzerattribute in Domänendiensten
accountEnabled userAccountControl (legt das ACCOUNT_DISABLED-Bit fest oder löscht es)
Stadt l
FirmenName FirmenName
country co
department department
Anzeigename Anzeigename
Mitarbeiter-ID Mitarbeiter-ID
facsimileTelephoneNumber facsimileTelephoneNumber
givenName givenName
Berufsbezeichnung title
mail mail
mailNickname msDS-AzureADMailNickname
mailNickname SAMAccountName (kann manchmal automatisch generiert werden)
Leiter Leiter
mobile mobile
objectid msDS-aadObjectId
onPremiseSecurityIdentifier sidHistory
Passwortrichtlinien userAccountControl (legt das DONT_EXPIRE_PASSWORD-Bit fest oder löscht es)
physicalDeliveryOfficeName physicalDeliveryOfficeName
Postleitzahl Postleitzahl
bevorzugteSprache bevorzugteSprache
Proxy-Adressen Proxy-Adressen
Staat st
streetAddress streetAddress
Familienname sn
telephoneNumber telephoneNumber
Benutzerprinzipalname Benutzerprinzipalname

Attributzuordnung für Gruppen

In der folgenden Tabelle wird veranschaulicht, wie bestimmte Attribute für Gruppenobjekte in Microsoft Entra ID mit den entsprechenden Attributen in Domänendiensten synchronisiert werden.

Gruppenattribut in Microsoft Entra ID Gruppenattribut in Domänendienste
Anzeigename Anzeigename
Anzeigename SAMAccountName (kann manchmal automatisch generiert werden)
mail mail
mailNickname msDS-AzureADMailNickname
objectid msDS-AzureADObjectId
onPremiseSecurityIdentifier sidHistory
Proxy-Adressen Proxy-Adressen
securityEnabled Gruppentyp

Synchronisierung von lokalem AD DS zu Microsoft Entra-ID und Domänendiensten

Microsoft Entra Connect wird verwendet, um Benutzerkonten, Gruppenmitgliedschaften und Anmeldeinformationshashes aus einer lokalen AD DS-Umgebung mit Microsoft Entra ID zu synchronisieren. Attribute von Benutzerkonten wie dem UPN und der lokalen Sicherheits-ID (SID) werden synchronisiert. Für die Anmeldung mit Domain Services werden Legacykennworthashes, die für die NTLM- und Kerberos-Authentifizierung benötigt werden, ebenfalls mit Microsoft Entra ID synchronisiert.

Von Bedeutung

Microsoft Entra Connect sollte nur für die Synchronisierung mit lokalen AD DS-Umgebungen installiert und konfiguriert werden. Es wird nicht unterstützt, Microsoft Entra Connect in einer verwalteten Domäne zu installieren, um Objekte zurück zu Microsoft Entra ID zu synchronisieren.

Wenn Sie den Rückschreibvorgang konfigurieren, werden Änderungen aus der Microsoft Entra-ID wieder mit der lokalen AD DS-Umgebung synchronisiert. Wenn ein Benutzer beispielsweise sein Kennwort mithilfe der Self-Service-Kennwortverwaltung von Microsoft Entra ändert, wird das Kennwort wieder in der lokalen AD DS-Umgebung aktualisiert.

Hinweis

Verwenden Sie immer die neueste Version von Microsoft Entra Connect, um sicherzustellen, dass Sie Korrekturen für alle bekannten Fehler haben.

Synchronisierung aus einer lokalen Umgebung mit mehreren Gesamtstrukturen

Viele Organisationen verfügen über eine relativ komplexe lokale AD DS-Umgebung mit mehreren Gesamtstrukturen. Microsoft Entra Connect unterstützt die Synchronisierung von Benutzenden, Gruppen und Anmeldeinformationshashes aus Umgebungen mit mehreren Gesamtstrukturen mit Microsoft Entra ID.

Microsoft Entra ID verfügt über einen viel einfacheren und flachen Namespace. Um Benutzern den zuverlässigen Zugriff auf Anwendungen zu ermöglichen, die durch die Microsoft Entra-ID gesichert sind, lösen Sie UPN-Konflikte zwischen Benutzerkonten in verschiedenen Wäldern. Verwaltete Domänen verwenden eine flache OU-Struktur, ähnlich der Microsoft Entra ID. Alle Benutzerkonten und Gruppen werden im AADDC Users-Container gespeichert, obwohl sie von verschiedenen lokalen Domänen oder Forests synchronisiert werden, selbst wenn Sie eine hierarchische OU-Struktur lokal konfiguriert haben. Die verwaltete Domäne vereinfacht alle hierarchischen OU-Strukturen.

Wie zuvor beschrieben, gibt es keine Synchronisierung von Domänendiensten zurück zur Microsoft Entra-ID. Sie können eine benutzerdefinierte Organisationseinheit (OU) in Domänendiensten und dann Benutzer, Gruppen oder Dienstkonten innerhalb dieser benutzerdefinierten Organisationseinheiten erstellen. Keine der Objekte, die in benutzerdefinierten OUs erstellt wurden, werden zurück zu Microsoft Entra-ID synchronisiert. Diese Objekte sind nur in der verwalteten Domäne verfügbar und werden nicht mithilfe von Microsoft Graph PowerShell-Cmdlets, Der Microsoft Graph-API oder dem Microsoft Entra Admin Center angezeigt.

Was nicht mit Domänendiensten synchronisiert wird

Die folgenden Objekte oder Attribute werden nicht aus einer lokalen AD DS-Umgebung mit Microsoft Entra-ID oder Domänendiensten synchronisiert:

  • Ausgeschlossene Attribute: Sie können auswählen, dass bestimmte Attribute von der Synchronisierung mit Microsoft Entra-ID aus einer lokalen AD DS-Umgebung mit Microsoft Entra Connect ausgeschlossen werden. Diese ausgeschlossenen Attribute sind in Den Domänendiensten nicht verfügbar.
  • Gruppenrichtlinien: Gruppenrichtlinien, die in einer lokalen AD DS-Umgebung konfiguriert sind, werden nicht mit Domänendiensten synchronisiert.
  • Sysvol-Ordner: Der Inhalt des Sysvol-Ordners in einer lokalen AD DS-Umgebung wird nicht mit Domänendiensten synchronisiert.
  • Computerobjekte: Computerobjekte für Computer, die mit einer lokalen AD DS-Umgebung verbunden sind, werden nicht mit Domänendiensten synchronisiert. Diese Computer verfügen nicht über eine Vertrauensstellung mit der verwalteten Domäne und gehören nur zur lokalen AD DS-Umgebung. In den Domänendiensten werden nur Computerobjekte für Computer angezeigt, die explizit der verwalteten Domäne beigetreten sind.
  • SidHistory-Attribute für Benutzer und Gruppen: Die primären Benutzer- und primären Gruppen-SIDs aus einer lokalen AD DS-Umgebung werden mit Domänendiensten synchronisiert. Vorhandene SidHistory-Attribute für Benutzer und Gruppen werden jedoch nicht aus der lokalen AD DS-Umgebung mit Domänendiensten synchronisiert.
  • Organisationseinheiten (OU)-Strukturen: Organisationseinheiten, die in einer lokalen AD DS-Umgebung definiert sind, werden nicht mit Domänendiensten synchronisiert. Es gibt zwei integrierte OUs in Domänendiensten – eine für Benutzer und eine für Computer. Die verwaltete Domäne verfügt über eine flache OU-Struktur. Sie können eine benutzerdefinierte OU in Ihrer verwalteten Domäne erstellen.

Kennworthashsynchronisierung und Sicherheitsüberlegungen

Wenn Sie Domänendienste aktivieren, sind veraltete Kennwort-Hashes für die NTLM- und Kerberos-Authentifizierung erforderlich. Die Microsoft Entra-ID speichert keine Klartextkennwörter, sodass diese Hashes nicht automatisch für vorhandene Benutzerkonten generiert werden können. NTLM- und Kerberos-kompatible Kennwort-Hashes werden immer auf eine verschlüsselte Weise in Microsoft Entra ID gespeichert.

Die Verschlüsselungsschlüssel sind für jeden Microsoft Entra-Mandanten eindeutig. Diese Hashes werden verschlüsselt, sodass nur Domänendienste Zugriff auf die Entschlüsselungsschlüssel haben. Kein anderer Dienst oder eine andere Komponente in der Microsoft Entra-ID hat Zugriff auf die Entschlüsselungsschlüssel.

Legacykennworthashes werden dann aus Microsoft Entra ID mit den Domänencontrollern für eine verwaltete Domäne synchronisiert. Die Datenträger für diese verwalteten Domänencontroller in den Domänendiensten sind im Ruhezustand verschlüsselt. Diese Kennwort-Hashes werden auf diesen Domänencontrollern gespeichert und gesichert, ähnlich wie Kennwörter in einer lokalen AD DS-Umgebung gespeichert und gesichert werden.

Für reine Microsoft Entra-Umgebungen in der Cloud müssen Benutzer ihr Kennwort zurücksetzen/ändern , damit die erforderlichen Kennworthashes generiert und in der Microsoft Entra-ID gespeichert werden können. Für jedes Cloudbenutzerkonto, das nach der Aktivierung von Microsoft Entra Domain Services in Microsoft Entra ID erstellt wurde, werden die Kennworthashes generiert und in den NTLM- und Kerberos-kompatiblen Formaten gespeichert. Alle Cloudbenutzerkonten müssen ihr Kennwort ändern, bevor sie mit Domänendiensten synchronisiert werden.

Für hybride Benutzerkonten, die über die lokale AD DS-Umgebung mit Microsoft Entra Connect synchronisiert werden, müssen Sie Microsoft Entra Connect so konfigurieren, dass Kennworthashes in den NTLM- und Kerberos-kompatiblen Formaten synchronisiert werden.

Nächste Schritte

Weitere Informationen zu den Besonderheiten der Kennwortsynchronisierung finden Sie unter Funktionsweise der Kennworthashsynchronisierung mit Microsoft Entra Connect.

Um mit Domänendiensten zu beginnen, erstellen Sie eine verwaltete Domäne.