Creación de una unidad organizativa (UO) en un dominio administrado de Microsoft Entra Domain Services

Las unidades organizativas (OU) de un dominio administrado de Active Directory Domain Services (AD DS) le permiten agrupar lógicamente objetos como cuentas de usuario, cuentas de servicio o cuentas de equipo. Después, puede asignar administradores a unidades organizativas específicas y aplicar la directiva de grupo para aplicar los valores de configuración de destino.

Los dominios administrados de Domain Services incluyen las dos unidades organizativas integradas siguientes:

  • AADDC Computers contiene objetos de equipo para todos los equipos que están unidos al dominio administrado.
  • AADDC Users incluye los usuarios y grupos sincronizados desde el inquilino de Microsoft Entra.

A medida que crea y ejecuta cargas de trabajo que usan Domain Services, puede que necesite crear cuentas de servicio para que las aplicaciones se autentiquen a sí mismas. Para organizar estas cuentas de servicio, a menudo se crea una unidad organizativa personalizada en el dominio administrado y luego, se crean cuentas de servicio dentro de esa unidad organizativa.

En un entorno híbrido, las unidades organizativas creadas en un entorno de AD DS local no se sincronizan con el dominio administrado. Los dominios administrados usan una estructura de unidad organizativa plana. Todas las cuentas de usuario y los grupos se almacenan en el contenedor Usuarios de AADDC, aunque se sincronicen desde dominios o bosques locales distintos, incluso si se ha configurado una estructura jerárquica de unidad organizativa ahí.

En este artículo se muestra cómo crear una unidad organizativa en el dominio administrado.

Antes de empezar

Para completar este artículo, necesitará los siguientes recursos y privilegios:

Consideraciones y limitaciones de las unidades organizativas personalizadas

Cuando crea unidades organizativas personalizadas en un dominio administrado, obtiene flexibilidad de administración adicional para la administración de usuarios y la aplicación de la directiva de grupo. En comparación con un entorno de AD DS local, hay algunas limitaciones y consideraciones a la hora de crear y administrar una estructura de unidad organizativa personalizada en un dominio administrado:

  • Para crear unidades organizativas personalizadas, los usuarios deben ser miembros del grupo Administradores de controladores de dominio de AAD.
  • A un usuario que crea una unidad organizativa personalizada se le conceden privilegios de administración (control total) sobre esa unidad organizativa y es el propietario del recurso.
    • De forma predeterminada, el grupo Administradores de controladores de dominio de AAD también tiene control total sobre la unidad organizativa personalizada.
  • Se crea una unidad organizativa predeterminada para los usuarios de AADDC que contiene todas las cuentas de usuario sincronizadas del inquilino de Microsoft Entra.
    • No podrá mover usuarios o grupos de la unidad organizativa AADDC Users a las unidades organizativas personalizadas que cree. Solo las cuentas de usuario o los recursos creados en el dominio administrado se pueden pasar a unidades organizativas personalizadas.
  • Las cuentas de usuario, los grupos, las cuentas de servicio y los objetos de equipo que se creen en unidades organizativas personalizadas no estarán disponibles en el inquilino de Microsoft Entra.
    • Estos objetos no se muestran con la API de Microsoft Graph ni en la interfaz de usuario de Microsoft Entra, solo están disponibles en el dominio administrado.

Creación de una unidad organizativa personalizada

Para crear una unidad organizativa personalizada, use las herramientas administrativas de Active Directory desde una máquina virtual unida a un dominio. El Centro de administración de Active Directory le permite ver, editar y crear recursos en un dominio administrado, incluidas las unidades organizativas.

Nota:

Para crear una unidad organizativa personalizada en un dominio administrado, debe haber iniciado sesión en una cuenta de usuario que sea miembro del grupo Administradores de controlador de dominio de AAD.

  1. Inicie sesión en la máquina virtual de administración. Para los pasos sobre cómo conectarse usando el centro de administración de Microsoft Entra, consulte Conectarse a una máquina virtual de Windows Server.

  2. En la pantalla Inicio, seleccione Herramientas administrativas. Se muestra una lista de las herramientas de administración disponibles que se instalaron en el tutorial para crear una máquina virtual de administración.

  3. Para crear y administrar unidades organizativas, seleccione Centro de administración de Active Directory de la lista de herramientas administrativas.

  4. En el panel izquierdo, elija el dominio administrado, como aaddscontoso.com. Aparecerá una lista de las unidades organizativas y los recursos existentes:

    Select your managed domain in the Active Directory Administrative Center

  5. El panel Tareas aparece en el lado derecho del Centro de administración de Active Directory. En el dominio, por ejemplo, aaddscontoso.com, seleccione Nueva > Unidad organizativa.

    Select the option to create a new OU in the Active Directory Administrative Center

  6. En el cuadro de diálogo Create Organizational Unit (Crear unidad organizativa), especifique un Nombre para la nueva unidad organizativa como, por ejemplo MyCustomOu. Proporcione una descripción breve de la unidad organizativa como Unidad organizativa personalizada para las cuentas de servicio. Si lo desea, también puede establecer el campo Administrado por de la unidad organizativa. Seleccione Aceptarpara crear la unidad organizativa personalizada.

    Create a custom OU from the Active Directory Administrative Center

  7. De nuevo en el Centro de administración de Active Directory, la unidad organizativa personalizada aparece ahora en la lista y está disponible para su uso:

    Custom OU available for use in the Active Directory Administrative Center

Pasos siguientes

Para más información sobre el uso de las herramientas administrativas o la creación y el uso de cuentas de servicio, consulte los siguientes artículos: