A Felhasználói fiókok, jelszavak és felügyelet felügyeleti fogalmai a Microsoft Entra Domain Servicesben
Felügyelt Microsoft Entra Domain Services-tartomány létrehozásakor és futtatásakor a hagyományos helyszíni AD DS-környezethez képest van néhány különbség a viselkedésben. A Tartományi szolgáltatásokban ugyanazokat a felügyeleti eszközöket használja, mint egy ön által felügyelt tartományt, de közvetlenül nem férhet hozzá a tartományvezérlőkhöz (DC). A felhasználói fiók létrehozásának forrásától függően a jelszószabályzatok és a jelszókivonatok viselkedése is eltér.
Ez a fogalmi cikk bemutatja, hogyan felügyelhet felügyelt tartományokat, és a felhasználói fiókok különböző viselkedését a létrehozásuk módjától függően.
Tartománykezelés
A felügyelt tartomány egy DNS-névtér és egyező könyvtár. A felügyelt tartományokban a felügyelt szolgáltatás részét képezik azok a tartományvezérlők (tartományvezérlők), amelyek tartalmazzák az összes erőforrást, például a felhasználókat és csoportokat, a hitelesítő adatokat és a házirendeket. Redundancia esetén a rendszer két tartományvezérlőt hoz létre egy felügyelt tartomány részeként. A felügyeleti feladatok elvégzéséhez nem lehet bejelentkezni ezekbe a tartományvezérlőkbe. Ehelyett létrehoz egy felügyelt tartományhoz csatlakoztatott felügyeleti virtuális gépet, majd telepíti a szokásos AD DS felügyeleti eszközöket. Használhatja például az Active Directory Rendszergazda istrative Center vagy a Microsoft Management Console (MMC) beépülő modulokat, például DNS- vagy csoportházirend-objektumokat.
Felhasználói fiók létrehozása
A felhasználói fiókok több módon is létrehozhatók felügyelt tartományban. A felhasználói fiókok többsége a Microsoft Entra-azonosítóból van szinkronizálva, amely magában foglalhatja a helyszíni AD DS-környezetből szinkronizált felhasználói fiókot is. Manuálisan is létrehozhat fiókokat közvetlenül a felügyelt tartományban. Egyes funkciók, például a kezdeti jelszó-szinkronizálás vagy a jelszóházirend eltérően működnek a felhasználói fiókok létrehozásának módjától és helyszínétől függően.
- A felhasználói fiók szinkronizálható a Microsoft Entra-azonosítóból. Ide tartoznak a közvetlenül a Microsoft Entra ID-ban létrehozott felhőalapú felhasználói fiókok, valamint a helyszíni AD DS-környezetből szinkronizált hibrid felhasználói fiókok a Microsoft Entra Csatlakozás használatával.
- A felügyelt tartományban lévő felhasználói fiókok többsége a Microsoft Entra ID szinkronizálási folyamatán keresztül jön létre.
- A felhasználói fiók manuálisan hozható létre egy felügyelt tartományban, és nem létezik a Microsoft Entra-azonosítóban.
- Ha olyan szolgáltatásfiókokat kell létrehoznia, amelyek csak a felügyelt tartományban futnak, manuálisan is létrehozhatja őket a felügyelt tartományban. Mivel a szinkronizálás a Microsoft Entra-azonosító egyik módja, a felügyelt tartományban létrehozott felhasználói fiókok nem lesznek szinkronizálva a Microsoft Entra-azonosítóval.
Password policy
A Domain Services tartalmaz egy alapértelmezett jelszóházirendet, amely olyan beállításokat határoz meg, mint a fiókzárolás, a jelszó maximális életkora és a jelszó összetettsége. Gépház például a fiókzárolási szabályzat a felügyelt tartomány összes felhasználójára vonatkozik, függetlenül attól, hogy a felhasználó hogyan lett létrehozva az előző szakaszban leírtak szerint. Néhány beállítás, például a jelszó minimális hossza és a jelszó összetettsége csak a közvetlenül felügyelt tartományban létrehozott felhasználókra vonatkozik.
Létrehozhat saját egyéni jelszóházirendeket a felügyelt tartományok alapértelmezett házirendjének felülbírálásához. Ezek az egyéni szabályzatok ezután szükség szerint alkalmazhatók bizonyos felhasználói csoportokra.
A jelszószabályzatok alkalmazásának a felhasználólétrehozás forrásától függően történő alkalmazásával kapcsolatos további információkért tekintse meg a felügyelt tartományok jelszó- és fiókzárolási szabályzatait.
Jelszókivonatok
A felügyelt tartomány felhasználóinak hitelesítéséhez a Domain Servicesnek olyan formátumú jelszókivonatokra van szüksége, amelyek alkalmasak az NT LAN Manager (NTLM) és a Kerberos-hitelesítés használatára. A Microsoft Entra-azonosító nem hozza létre vagy tárolja a jelszókivonatokat az NTLM- vagy Kerberos-hitelesítéshez szükséges formátumban, amíg nem engedélyezi a tartományi szolgáltatásokat a bérlő számára. Biztonsági okokból a Microsoft Entra ID nem tárolja a jelszó hitelesítő adatait tiszta szöveges formában. Ezért a Microsoft Entra-azonosító nem tudja automatikusan létrehozni ezeket az NTLM- vagy Kerberos-jelszókivonatokat a felhasználók meglévő hitelesítő adatai alapján.
A csak felhőalapú felhasználói fiókok esetében a felhasználóknak módosítaniuk kell a jelszavukat, mielőtt használhatják a felügyelt tartományt. Ez a jelszómódosítási folyamat a Kerberos- és NTLM-hitelesítés jelszókivonatait hozza létre és tárolja a Microsoft Entra-azonosítóban. A fiók nem szinkronizálódik a Microsoft Entra-azonosítóról a Domain Servicesre, amíg a jelszó nem változik.
A helyszíni AD DS-környezetből a Microsoft Entra Csatlakozás használatával szinkronizált felhasználók esetében engedélyezze a jelszókivonatok szinkronizálását.
Fontos
A Microsoft Entra Csatlakozás csak akkor szinkronizálja az örökölt jelszókivonatokat, ha engedélyezi a Tartományi szolgáltatásokat a Microsoft Entra-bérlő számára. Az örökölt jelszókivonatok nem használhatók, ha csak a Microsoft Entra Csatlakozás használatával szinkronizál egy helyszíni AD DS-környezetet a Microsoft Entra-azonosítóval.
Ha az örökölt alkalmazások nem használnak NTLM-hitelesítést vagy egyszerű LDAP-kötéseket, javasoljuk, hogy tiltsa le az NTLM jelszókivonat-szinkronizálását a Domain Services esetében. További információ: A gyenge titkosítási csomagok és az NTLM hitelesítőadat-kivonat szinkronizálásának letiltása.
A megfelelő konfigurálás után a használható jelszókivonatok a felügyelt tartományban lesznek tárolva. Ha törli a felügyelt tartományt, az abban a pillanatban tárolt jelszókivonatok is törlődnek. A Szinkronizált hitelesítő adatok Microsoft Entra-azonosítóban nem használhatók fel újra, ha később egy másik felügyelt tartományt hoz létre – újra kell konfigurálnia a jelszókivonat-szinkronizálást a jelszókivonatok újbóli tárolásához. A korábban tartományhoz csatlakoztatott virtuális gépek vagy felhasználók nem tudnak azonnal hitelesíteni – a Microsoft Entra-azonosítónak létre kell hoznia és tárolnia kell a jelszókivonatokat az új felügyelt tartományban. További információ: A Domain Services és a Microsoft Entra Csatlakozás jelszókivonat-szinkronizálási folyamata.
Fontos
A Microsoft Entra Csatlakozás csak a helyszíni AD DS-környezetekkel való szinkronizáláshoz telepíthető és konfigurálható. A Microsoft Entra Csatlakozás nem telepíthető felügyelt tartományba az objektumok Microsoft Entra-azonosítóba való visszaszinkronizálásához.
Erdők és megbízhatóságok
Az erdő a Active Directory tartományi szolgáltatások (AD DS) által egy vagy több tartomány csoportosítására használt logikai szerkezet. A tartományok ezután felhasználói vagy csoportok objektumait tárolják, és hitelesítési szolgáltatásokat nyújtanak.
A Domain Servicesben az erdő csak egy tartományt tartalmaz. A helyszíni AD DS-erdők gyakran sok tartományt tartalmaznak. A nagy szervezetekben, különösen az egyesülések és felvásárlások után, előfordulhat, hogy több helyszíni erdőt fog tartalmazni, amelyek mindegyike több tartományt tartalmaz.
A felügyelt tartomány alapértelmezés szerint szinkronizálja a Microsoft Entra-azonosító összes objektumát, beleértve a helyszíni AD DS-környezetben létrehozott felhasználói fiókokat is. A felhasználói fiókok közvetlenül hitelesíthetők a felügyelt tartományon, például bejelentkezhetnek egy tartományhoz csatlakoztatott virtuális gépre. Ez a módszer akkor működik, ha a jelszókivonatok szinkronizálhatók, és a felhasználók nem használnak kizárólagos bejelentkezési módszereket, például intelligenskártya-hitelesítést.
Tartományi szolgáltatásokban létrehozhat egy egyirányú erdőszintű megbízhatósági kapcsolatot is, amellyel a felhasználók bejelentkezhetnek a helyszíni AD DS-ből. Ezzel a módszerrel a rendszer nem szinkronizálja a felhasználói objektumokat és a jelszókivonatokat a Domain Services szolgáltatással. A felhasználói objektumok és hitelesítő adatok csak a helyszíni AD DS-ben léteznek. Ez a megközelítés lehetővé teszi, hogy a vállalatok olyan erőforrásokat és alkalmazásplatformokat üzemeltetnek az Azure-ban, amelyek a klasszikus hitelesítéstől, például LDAPS-től, Kerberostól vagy NTLM-től függenek, de a hitelesítési problémák és problémák megszűnnek.
Tartományi szolgáltatások termékváltozatai
A Domain Servicesben az elérhető teljesítmény és funkciók a termékváltozaton alapulnak. A felügyelt tartomány létrehozásakor kiválaszt egy termékváltozatot, és a felügyelt tartomány üzembe helyezése után az üzleti követelmények változásával válthat termékváltozatok között. Az alábbi táblázat a rendelkezésre álló termékváltozatokat és a köztük lévő különbségeket ismerteti:
| Termékváltozat neve | Objektumok maximális száma | Biztonsági mentés gyakorisága |
|---|---|---|
| Standard | Korlátlan | 5 naponta |
| Enterprise | Korlátlan | 3 naponta |
| Prémium | Korlátlan | Daily |
A Domain Services termékváltozatai előtt a felügyelt tartományban lévő objektumok (felhasználói és számítógépfiókok) számán alapuló számlázási modellt használtunk. A felügyelt tartományban lévő objektumok száma alapján már nincs változó díjszabás.
További információkért tekintse meg a Domain Services díjszabási oldalát.
Felügyelt tartomány teljesítménye
A tartomány teljesítménye attól függően változik, hogyan implementálják a hitelesítést egy alkalmazáshoz. További számítási erőforrások segíthetnek a lekérdezési válaszidő javításában és a szinkronizálási műveletekben töltött idő csökkentésében. A termékváltozat szintjének növekedésével a felügyelt tartomány számára elérhető számítási erőforrások növekednek. Figyelje az alkalmazások teljesítményét, és tervezze meg a szükséges erőforrásokat.
Ha vállalata vagy alkalmazása változásra van szüksége, és további számítási teljesítményre van szüksége a felügyelt tartományhoz, átválthat egy másik termékváltozatra.
Biztonsági mentés gyakorisága
A biztonsági mentés gyakorisága határozza meg, hogy milyen gyakran készül pillanatkép a felügyelt tartományról. A biztonsági mentések az Azure platform által felügyelt automatizált folyamatok. Ha probléma van a felügyelt tartománnyal, a Azure-támogatás segítséget nyújt a biztonsági másolatból való visszaállításhoz. Mivel a szinkronizálás csak egy módon történik a Microsoft Entra-azonosítótól , a felügyelt tartományokban felmerülő problémák nem érintik a Microsoft Entra-azonosítót vagy a helyszíni AD DS-környezeteket és -funkciókat.
Az SKU-szint növekedésével a biztonsági mentési pillanatképek gyakorisága nő. Tekintse át az üzleti követelményeket és a helyreállítási pont célkitűzését (RPO) a felügyelt tartományhoz szükséges biztonsági mentési gyakoriság meghatározásához. Ha az üzleti vagy alkalmazáskövetelmények megváltoznak, és gyakoribb biztonsági másolatokra van szüksége, válthat másik termékváltozatra.
További lépések
Első lépésként hozzon létre egy domain Services által felügyelt tartományt.