Tutorial: Creación de una máquina virtual de administración para configurar y administrar un dominio administrado de Microsoft Entra Domain Services

Microsoft Entra Domain Services proporciona servicios de dominio administrado, como unión a dominio, directiva de grupo, LDAP y autenticación Kerberos/NTLM que es totalmente compatible con Windows Server Active Directory. Este dominio administrado se administra con las mismas Herramientas de administración remota del servidor (RSAT) que con un dominio de Active Directory Domain Services en el entorno local. Como Domain Services es un servicio administrado, hay algunas tareas administrativas que no se pueden realizar, como usar el protocolo de escritorio remoto (RDP) para conectarse a los controladores de dominio.

En este tutorial se muestra cómo configurar una máquina virtual de Windows Server en Azure e instalar las herramientas necesarias para administrar un dominio administrado de Domain Services.

En este tutorial, aprenderá a:

• Usar las tareas administrativas disponibles en un dominio administrado
• Instalación de las herramientas administrativas de Azure Active Directory en una máquina virtual de Windows Server
• Uso del Centro de administración de Active Directory para realizar tareas comunes

Si no tiene una suscripción a Azure, cree una cuenta antes de empezar.

Prerrequisitos

Para completar este tutorial, necesitará los siguientes recursos y privilegios:

• Una suscripción de Azure activa.
  • Si no tiene una suscripción a Azure, cree una cuenta.
• Un inquilino de Microsoft Entra asociado a su suscripción, ya sea sincronizado con un directorio en el entorno local o con un directorio solo en la nube.
  • Si es necesario, cree un inquilino de Microsoft Entra o asocie una suscripción de Azure a su cuenta.
• Un dominio administrado de Microsoft Entra Domain Services habilitado y configurado en el inquilino de Microsoft Entra.
  • Si es necesario, vea el primer tutorial para crear y configurar un dominio administrado de Microsoft Entra Domain Services.
• Una máquina virtual Windows Server que esté unida al dominio administrado.
  • Si es necesario, consulte el tutorial anterior sobre Creación de una máquina virtual con Windows Server y su unión a un dominio administrado.
• Una cuenta de usuario que sea miembro del grupo de administradores de Microsoft Entra DC en el inquilino de Microsoft Entra.
• Un host de Azure Bastion implementado en la red virtual de Domain Services.
  • Si es necesario, cree un host de Azure Bastion.

Inicie sesión en el centro de administración de Microsoft Entra

En este tutorial, creará y configurará una máquina virtual de administración mediante el Centro de administración de Microsoft Entra. Para empezar, inicie sesión primero en el centro de administración de Microsoft Entra.

Tareas administrativas disponibles en Domain Services

Domain Services proporciona un dominio administrado para que lo consuman los usuarios, las aplicaciones y los servicios. Este enfoque cambia algunas de las tareas de administración disponibles que puede realizar y los privilegios que tiene dentro del dominio administrado. Estas tareas y permisos pueden ser diferentes de lo que experimenta con un entorno de Active Directory Domain Services en el entorno local normal. No puede conectarse a los controladores de dominio en el dominio administrado mediante Escritorio remoto.

Tareas administrativas que puede realizar en un dominio administrado

A los miembros del grupo Administradores de controlador de dominio de AAD se les conceden privilegios en el dominio administrado que les permiten realizar tareas como:

• Configurar el objeto de directiva de grupo (GPO) integrado para los contenedores Equipos de AADDC y Usuarios de AADDC en el dominio administrado.
• Administrar DNS en el dominio administrado.
• Crear y administrar unidades organizativas (OU) personalizadas en el dominio administrado.
• Obtener acceso administrativo a los equipos unidos al dominio administrado.

Privilegios de administrador que no tiene en un dominio administrado

El dominio administrado está bloqueado, por lo que no tiene privilegios para realizar ciertas tareas administrativas en él. Algunos de los ejemplos siguientes son tareas que no puede realizar:

• Extender el esquema del dominio administrado.
• Conectarse a los controladores de dominio para el dominio administrado mediante Escritorio remoto.
• Agregar controladores de dominio al dominio administrado.
• No tiene privilegios de administrador de dominio ni de administrador de empresa para el dominio administrado.

Inicio de sesión en la máquina virtual de Windows Server

En el tutorial anterior, se creó una máquina virtual Windows Server y se unió al dominio administrado. Use esa máquina virtual para instalar las herramientas de administración. Si es necesario, siga los pasos del tutorial para crear una máquina virtual Windows Server y unirla a un dominio administrado.

Nota

En este tutorial, se usa una máquina virtual Windows Server en Azure que esté unida al dominio administrado. También puede usar un cliente de Windows, como Windows 10, que esté unido al dominio administrado.

Para más información sobre cómo instalar las herramientas administrativas en un cliente Windows, consulte cómo se instalan las herramientas de administración remota del servidor (RSAT).

Para empezar, conéctese a la máquina virtual de Windows Server tal y como se muestra a continuación:

1. En el Centro de administración de Microsoft Entra, seleccione Grupos de recursos en el lado izquierdo. Elija el grupo de recursos donde se creó la máquina virtual, por ejemplo, miGrupoDeRecursos, y luego seleccione la máquina virtual, por ejemplo, miVM.

2. En el panel Información general de la máquina virtual, seleccione Conectar y, a continuación, Bastion.

   

3. Escriba las credenciales de la máquina virtual y seleccione Conectar.

   

Si es necesario, permita que el explorador web abra elementos emergentes para que se muestre la conexión de Bastion. La conexión a la máquina virtual tarda unos segundos en establecerse.

Instalación de las herramientas administrativas de Active Directory

En un dominio administrado se utilizan las mismas herramientas administrativas que en los entornos de AD DS locales, como el Centro de administración de Active Directory (ADAC) o AD PowerShell. Estas herramientas se pueden instalar como parte de la característica Herramientas de administración remota del servidor (RSAT) en Windows Server y los equipos cliente. Los miembros del grupo Administradores de controlador de dominio de AAD pueden ocuparse de los dominios administrados de forma remota mediante estas herramientas administrativas de AD, desde un equipo que se haya unido al dominio administrado.

Para instalar las herramientas de administración de Active Directory en la máquina virtual unida al dominio, siga los pasos a continuación:

1. Si Administrador del servidor no se abre de forma predeterminada al iniciar sesión en la máquina virtual, seleccione el menú Inicio y, a continuación, elija Administrador del servidor.

2. En el Panel de información de la ventana Administrador del servidor, seleccione Agregar roles y características.

3. En la página Antes de comenzar del Asistente para agregar roles y características, seleccione Siguiente.

4. En Tipo de instalación, deje activada la opción Instalación basada en características o en roles y seleccione Siguiente.

5. En la página Selección de servidor, elija la máquina virtual actual del grupo de servidores, por ejemplo mivm.aaddscontoso.com, y seleccione Siguiente.

6. En la página Roles de servidor, haga clic en Siguiente.

7. En la página Características, expanda el nodo Herramientas de administración remota del servidor y el nodo Herramientas de administración de roles.

   Elija la característica Herramientas de AD DS y AD LDS en la lista de herramientas de administración de roles y, después, seleccione Siguiente.

   

8. En la página Confirmación, seleccione Instalar. Puede tardar un minuto o dos en instalar las herramientas administrativas.

9. Cuando finalice la instalación de la característica, haga clic en Cerrar para salir del Asistente para Agregar roles y características.

Herramientas administrativas de Active Directory

Con las herramientas administrativas instaladas, vamos a ver cómo usarlas para administrar el dominio administrado. Asegúrese de haber iniciado sesión en la máquina virtual con una cuenta de usuario que sea miembro del grupo Administradores del controlador de dominio de AAD.

1. En el menú Inicio, seleccione Herramientas administrativas de Windows. Se enumeran las herramientas administrativas de AD instaladas en el paso anterior.

   

2. Seleccione Centro de administración de Active Directory.

3. Para explorar el dominio administrado, elija el nombre de dominio en el panel izquierdo, como aaddscontoso. En la parte superior de la lista hay dos contenedores denominados Equipos de AADDC y Usuarios de AADDC.

   

4. Para ver los usuarios y los grupos que pertenecen al dominio administrado, seleccione el contenedor Usuarios de AADDC. Las cuentas de usuario y los grupos de su inquilino de Microsoft Entra se enumeran en este contenedor.

   En la salida de ejemplo siguiente, se muestran en este contenedor una cuenta de usuario denominada Contoso Admin y un grupo para los administradores de AAD DC.

   

5. Para ver los equipos unidos al dominio administrado, seleccione el contenedor Equipos de AADDC. Se muestra una entrada para la máquina virtual actual, por ejemplo miVM. Las cuentas de equipo de todos los dispositivos unidos al dominio administrado se almacenan en este contenedor Equipos de AADDC.

Están disponibles acciones comunes del Centro de administración de Active Directory como son el restablecimiento de la contraseña de una cuenta de usuario o la administración de la pertenencia a grupos. Estas acciones solo funcionan para los usuarios y grupos creados directamente en el dominio administrado. La información de identidad solo se sincroniza desde Microsoft Entra ID a Domain Services. No se realiza ninguna escritura de Domain Services a Microsoft Entra ID. No se pueden cambiar las contraseñas ni la pertenencia a grupos administrados de los usuarios sincronizados desde Microsoft Entra ID y volver a sincronizar estos cambios.

También puede usar el Módulo Active Directory para Windows PowerShell, instalado como parte de las herramientas administrativas, para administrar acciones comunes en el dominio administrado.

Pasos siguientes

En este tutorial, ha aprendido a:

• Usar las tareas administrativas disponibles en un dominio administrado
• Instalación de las herramientas administrativas de Azure Active Directory en una máquina virtual de Windows Server
• Uso del Centro de administración de Active Directory para realizar tareas comunes

Para interactuar de forma segura con su dominio administrado desde otras aplicaciones, habilite el protocolo ligero de acceso a directorios seguro (LDAPS).

Configuración de LDAP seguro para un dominio administrado