Lernprogramm: Erstellen einer Verwaltungs-VM zum Konfigurieren und Verwalten einer verwalteten Domäne von Microsoft Entra Domain Services

Microsoft Entra Domain Services bietet verwaltete Domänendienste wie Domänenbeitritt, Gruppenrichtlinie, LDAP und Kerberos/NTLM-Authentifizierung, die vollständig mit Windows Server Active Directory kompatibel ist. Sie verwalten diese verwaltete Domäne mit denselben Remoteserver-Verwaltungstools (RSAT) wie bei einer lokalen Active Directory Domain Services-Domäne. Da Domänendienste ein verwalteter Dienst sind, gibt es einige administrative Aufgaben, die Sie nicht ausführen können, z. B. die Verwendung des Remotedesktopprotokolls (RDP), um eine Verbindung mit den Domänencontrollern herzustellen.

In diesem Lernprogramm erfahren Sie, wie Sie eine Windows Server-VM in Azure konfigurieren und die erforderlichen Tools zum Verwalten einer verwalteten Domäne für Domänendienste installieren.

In diesem Tutorial lernen Sie Folgendes:

• Verstehen Sie die verfügbaren administrativen Aufgaben in einer verwalteten Domäne
• Installieren der Active Directory-Verwaltungstools auf einer Windows Server-VM
• Verwenden des Active Directory-Verwaltungscenters zum Ausführen allgemeiner Aufgaben

Wenn Sie nicht über ein Azure-Abonnement verfügen, erstellen Sie ein Konto , bevor Sie beginnen.

Voraussetzungen

Um dieses Lernprogramm abzuschließen, benötigen Sie die folgenden Ressourcen und Berechtigungen:

• Ein aktives Azure-Abonnement.
  • Wenn Sie nicht über ein Azure-Abonnement verfügen, erstellen Sie ein Konto.
• Ein Microsoft Entra-Mandant, der Ihrem Abonnement zugeordnet ist und entweder mit einem lokalen Verzeichnis oder einem reinen Cloud-Verzeichnis synchronisiert ist.
  • Erstellen Sie bei Bedarf einen Microsoft Entra-Mandanten, oder ordnen Sie Ihrem Konto ein Azure-Abonnement zu.
• Eine verwaltete Domäne von Microsoft Entra Domain Services ist in Ihrem Microsoft Entra-Mandanten aktiviert und konfiguriert.
  • Falls erforderlich, lesen Sie das erste Lernprogramm zum Erstellen und Konfigurieren einer verwalteten Domäne von Microsoft Entra Domain Services.
• Eine Windows Server-VM, die der verwalteten Domäne beigetreten ist.
  • Falls erforderlich, lesen Sie das vorherige Lernprogramm zum Erstellen einer Windows Server-VM und verknüpfen Sie ihn mit einer verwalteten Domäne.
• Ein Benutzerkonto, das Mitglied der Microsoft Entra DC-Administratorgruppe in Ihrem Microsoft Entra-Mandanten ist.
• Einen in Ihrem virtuellen Domain Services-Netzwerk bereitgestellten Azure Bastion-Host.
  • Eine Anleitung zum Erstellen eines Azure Bastion-Hosts finden Sie hier.

Melden Sie sich beim Microsoft Entra Admin Center an

In diesem Lernprogramm erstellen und konfigurieren Sie eine Verwaltungs-VM mithilfe des Microsoft Entra Admin Centers. Um zu beginnen, melden Sie sich zuerst beim Microsoft Entra Admin Centeran.

Verfügbare Administrative Aufgaben in Domänendiensten

Domain Services stellt eine verwaltete Domäne für Ihre Benutzer, Anwendungen und Dienste bereit, die sie nutzen können. Bei diesem Ansatz ändern sich einige der für Sie verfügbaren Verwaltungsaufgaben und die Berechtigungen, die Sie in der verwalteten Domäne haben. Diese Aufgaben und Berechtigungen unterscheiden sich möglicherweise von dem, was Sie mit einer normalen lokalen Active Directory Domain Services-Umgebung erleben. Sie können auch keine Verbindung mit Domänencontrollern in der verwalteten Domäne mithilfe von Remotedesktop herstellen.

Administrative Aufgaben, die Sie für eine verwaltete Domäne ausführen können

Mitgliedern der Gruppe "AAD DC-Administratoren " werden Berechtigungen für die verwaltete Domäne gewährt, mit der sie Aufgaben ausführen können, z. B.:

• Konfigurieren Sie das integrierte Gruppenrichtlinienobjekt (GPO) für die AADDC-Computer und AADDC-Benutzercontainer in der verwalteten Domäne.
• Verwalten von DNS in der verwalteten Domäne
• Erstellen und Verwalten von benutzerdefinierten Organisationseinheiten (OUs) in der verwalteten Domäne.
• Administrativer Zugriff auf Computer, die der verwalteten Domäne beigetreten sind

Administratorrechte, die Sie nicht für eine verwaltete Domäne haben

Die verwaltete Domäne ist gesperrt, sodass Sie keine Berechtigungen zum Ausführen bestimmter administrativer Aufgaben in der Domäne haben. Einige der folgenden Beispiele sind Aufgaben, die Sie nicht ausführen können:

• Sie können das Schema der verwalteten Domäne nicht erweitern.
• Stellen Sie eine Verbindung zu Domänencontrollern der verwalteten Domäne über Remotedesktop her.
• Fügen Sie der verwalteten Domäne Domänencontroller hinzu.
• Sie verfügen nicht über Domänenadministrator - oder Unternehmensadministratorberechtigungen für die verwaltete Domäne.

Anmelden bei der Windows Server-VM

Im vorherigen Lernprogramm wurde eine Windows Server-VM erstellt und der verwalteten Domäne hinzugefügt. Verwenden Sie diesen virtuellen Computer, um die Verwaltungstools zu installieren. Führen Sie bei Bedarf die Schritte im Lernprogramm aus, um eine Windows Server-VM mit einer verwalteten Domäne zu erstellen und zu verbinden.

Hinweis

In diesem Lernprogramm verwenden Sie eine Windows Server-VM in Azure, die der verwalteten Domäne beigetreten ist. Sie können auch einen Windows-Client wie Windows 10 verwenden, der der verwalteten Domäne beigetreten ist.

Weitere Informationen zum Installieren der Verwaltungstools auf einem Windows-Client finden Sie unter Installieren von Remoteserver-Verwaltungstools (RSAT)

Stellen Sie zunächst eine Verbindung mit der Windows Server-VM wie folgt her:

1. Wählen Sie im Microsoft Entra Admin Center die Option "Ressourcengruppen " auf der linken Seite aus. Wählen Sie die Ressourcengruppe aus, in der Ihr virtueller Computer erstellt wurde, z. B. myResourceGroup, und wählen Sie dann den virtuellen Computer aus, z. B. myVM.

2. Wählen Sie im Bereich Übersicht für Ihren virtuellen Computer zuerst Verbinden und dann Bastion aus.

   

3. Geben Sie die Anmeldeinformationen für Ihren virtuellen Computer ein, und wählen Sie dann "Verbinden" aus.

   

Lassen Sie in Ihrem Webbrowser bei Bedarf das Öffnen von Popups zu, damit die Bastion-Verbindung angezeigt wird. Es dauert einige Sekunden, bis die Verbindung mit Ihrem virtuellen Computer hergestellt wurde.

Installieren von Active Directory-Verwaltungstools

Sie verwenden dieselben Verwaltungstools in einer verwalteten Domäne wie lokale AD DS-Umgebungen, z. B. das Active Directory Administrative Center (ADAC) oder AD PowerShell. Diese Tools können als Teil des REMOTE Server Administration Tools (RSAT)-Features auf Windows Server- und Clientcomputern installiert werden. Mitglieder der Gruppe "AAD DC-Administratoren " können verwaltete Domänen dann remote mithilfe dieser AD-Verwaltungstools von einem Computer verwalten, der der verwalteten Domäne beigetreten ist.

Führen Sie die folgenden Schritte aus, um die Active Directory-Verwaltungstools auf einer in eine Domäne eingebundenen VM zu installieren:

1. Wenn der Server-Manager nicht standardmäßig geöffnet wird, wenn Sie sich bei der VM anmelden, wählen Sie das Startmenü und dann den Server-Manager aus.

2. Wählen Sie im Dashboardbereich des Fensters "Server-Manager " die Option "Rollen und Features hinzufügen" aus.

3. Wählen Sie auf der Seite "Bevor Sie beginnen" des Assistenten zum Hinzufügen von Rollen und FunktionenWeiter aus.

4. Lassen Sie für den Installationstyp die Option " Rollenbasierte oder featurebasierte Installation " aktiviert, und wählen Sie "Weiter" aus.

5. Wählen Sie auf der Seite "Serverauswahl " den aktuellen virtuellen Computer aus dem Serverpool aus, z. B. myvm.aaddscontoso.com, und wählen Sie dann "Weiter" aus.

6. Klicken Sie auf der Seite "Serverrollen " auf "Weiter".

7. Erweitern Sie auf der Seite "Features " den Knoten " Remoteserver-Verwaltungstools ", und erweitern Sie dann den Knoten "Rollenverwaltungstools ".

   Wählen Sie in der Liste der Rollenverwaltungstools AD DS und AD LDS Tools aus, und wählen Sie dann Weiter aus.

   

8. Wählen Sie auf der Seite "Bestätigung " die Option "Installieren" aus. Es kann eine oder zwei Minuten dauern, bis die Verwaltungstools installiert werden.

9. Wenn die Featureinstallation abgeschlossen ist, wählen Sie "Schließen " aus, um den Assistenten zum Hinzufügen von Rollen und Features zu beenden.

Verwenden von Active Directory-Verwaltungstools

Sehen wir uns mit den installierten Verwaltungstools an, wie sie zum Verwalten der verwalteten Domäne verwendet werden. Stellen Sie sicher, dass Sie bei der VM mit einem Benutzerkonto angemeldet sind, das Mitglied der Gruppe "AAD DC-Administratoren " ist.

1. Wählen Sie im Startmenüdie Option "Windows-Verwaltungstools" aus. Die im vorherigen Schritt installierten AD-Verwaltungstools sind aufgeführt.

   

2. Wählen Sie das Active Directory-Verwaltungscenter aus.

3. Um die verwaltete Domäne zu erkunden, wählen Sie den Domänennamen im linken Bereich aus, z. B. aaddscontoso. Zwei Container mit dem Namen AADDC-Computer und AADDC-Benutzer befinden sich am Anfang der Liste.

   

4. Um die Benutzer und Gruppen anzuzeigen, die zur verwalteten Domäne gehören, wählen Sie den AADDC-Benutzercontainer aus. Die Benutzerkonten und Gruppen aus Ihrem Microsoft Entra-Mandanten werden in diesem Container aufgeführt.

   In der folgenden Beispielausgabe wird ein Benutzerkonto namens Contoso Admin und eine Gruppe für AAD DC-Administratoren in diesem Container angezeigt.

   

5. Um die Computer anzuzeigen, die der verwalteten Domäne beigetreten sind, wählen Sie den Container "AADDC-Computer" aus. Ein Eintrag für den aktuellen virtuellen Computer, z. B. myVM, wird aufgeführt. Computerkonten für alle Geräte, die der verwalteten Domäne beigetreten sind, werden in diesem AADDC-Computercontainer gespeichert.

Allgemeine Active Directory-Verwaltungscenteraktionen wie das Zurücksetzen eines Benutzerkontokennworts oder das Verwalten der Gruppenmitgliedschaft sind verfügbar. Diese Aktionen funktionieren nur für Benutzer und Gruppen, die direkt in der verwalteten Domäne erstellt wurden. Identitätsinformationen werden nur aus Microsoft Entra ID zu Domänendiensten synchronisiert. Es gibt keinen Rückschreibvorgang von Domänendiensten auf die Microsoft Entra-ID. Sie können keine Kennwörter oder verwaltete Gruppenmitgliedschaften für Benutzer ändern, die aus der Microsoft Entra ID synchronisiert wurden, und diese Änderungen können nicht zurück synchronisiert werden.

Sie können auch das Active Directory-Modul für Windows PowerShell verwenden, das als Teil der Verwaltungstools installiert ist, um allgemeine Aktionen in Ihrer verwalteten Domäne zu verwalten.

Nächste Schritte

In diesem Tutorial haben Sie Folgendes gelernt:

• Verstehen Sie die verfügbaren administrativen Aufgaben in einer verwalteten Domäne
• Installieren der Active Directory-Verwaltungstools auf einer Windows Server-VM
• Verwenden des Active Directory-Verwaltungscenters zum Ausführen allgemeiner Aufgaben

Um sicher mit Ihrer verwalteten Domäne aus anderen Anwendungen zu interagieren, aktivieren Sie secure Lightweight Directory Access Protocol (LDAPS).

Konfigurieren von sicherem LDAP für Ihre verwaltete Domäne