A Felhasználói fiókok, jelszavak és felügyelet felügyeleti fogalmai a Microsoft Entra Domain Servicesben
Felügyelt Microsoft Entra Domain Services-tartomány létrehozásakor és futtatásakor a hagyományos helyszíni AD DS-környezethez képest van néhány különbség a viselkedésben. A Tartományi szolgáltatásokban ugyanazokat a felügyeleti eszközöket használja, mint egy ön által felügyelt tartományt, de közvetlenül nem férhet hozzá a tartományvezérlőkhöz (DC). A felhasználói fiók létrehozásának forrásától függően a jelszószabályzatok és a jelszókivonatok viselkedése is eltér.
Ez a fogalmi cikk bemutatja, hogyan felügyelhet felügyelt tartományokat, és a felhasználói fiókok különböző viselkedését a létrehozásuk módjától függően.
Tartománykezelés
A felügyelt tartomány egy DNS-névtér és egyező könyvtár. A felügyelt tartományokban a felügyelt szolgáltatás részét képezik azok a tartományvezérlők (tartományvezérlők), amelyek tartalmazzák az összes erőforrást, például a felhasználókat és csoportokat, a hitelesítő adatokat és a házirendeket. Redundancia esetén a rendszer két tartományvezérlőt hoz létre egy felügyelt tartomány részeként. A felügyeleti feladatok elvégzéséhez nem lehet bejelentkezni ezekbe a tartományvezérlőkbe. Ehelyett létrehoz egy felügyelt tartományhoz csatlakoztatott felügyeleti virtuális gépet, majd telepíti a szokásos AD DS felügyeleti eszközöket. Használhatja például az Active Directory felügyeleti központot vagy a Microsoft Felügyeleti konzol (MMC) beépülő modulokat, például DNS- vagy csoportházirend-objektumokat.
Felhasználói fiók létrehozása
A felhasználói fiókok több módon is létrehozhatók felügyelt tartományban. A felhasználói fiókok többsége a Microsoft Entra-azonosítóból van szinkronizálva, amely magában foglalhatja a helyszíni AD DS-környezetből szinkronizált felhasználói fiókot is. Manuálisan is létrehozhat fiókokat közvetlenül a felügyelt tartományban. Egyes funkciók, például a kezdeti jelszó-szinkronizálás vagy a jelszóházirend eltérően működnek a felhasználói fiókok létrehozásának módjától és helyszínétől függően.
- A felhasználói fiók szinkronizálható a Microsoft Entra-azonosítóból. Ide tartoznak a közvetlenül a Microsoft Entra ID-ban létrehozott felhőalapú felhasználói fiókok, valamint a helyszíni AD DS-környezetből a Microsoft Entra Connect használatával szinkronizált hibrid felhasználói fiókok.
- A felügyelt tartományban lévő felhasználói fiókok többsége a Microsoft Entra ID szinkronizálási folyamatán keresztül jön létre.
- A felhasználói fiók manuálisan hozható létre egy felügyelt tartományban, és nem létezik a Microsoft Entra-azonosítóban.
- Ha olyan szolgáltatásfiókokat kell létrehoznia, amelyek csak a felügyelt tartományban futnak, manuálisan is létrehozhatja őket a felügyelt tartományban. Mivel a szinkronizálás a Microsoft Entra-azonosító egyik módja, a felügyelt tartományban létrehozott felhasználói fiókok nem lesznek szinkronizálva a Microsoft Entra-azonosítóval.
Jelszóházirend
A Domain Services tartalmaz egy alapértelmezett jelszóházirendet, amely olyan beállításokat határoz meg, mint a fiókzárolás, a jelszó maximális életkora és a jelszó összetettsége. Az olyan beállítások, mint a fiókzárolási szabályzat, a felügyelt tartomány összes felhasználójára érvényesek, függetlenül attól, hogy a felhasználó hogyan lett létrehozva az előző szakaszban leírtak szerint. Néhány beállítás, például a jelszó minimális hossza és a jelszó összetettsége csak a közvetlenül felügyelt tartományban létrehozott felhasználókra vonatkozik.
Létrehozhat saját egyéni jelszóházirendeket a felügyelt tartományok alapértelmezett házirendjének felülbírálásához. Ezek az egyéni szabályzatok ezután szükség szerint alkalmazhatók bizonyos felhasználói csoportokra.
A jelszószabályzatok alkalmazásának a felhasználólétrehozás forrásától függően történő alkalmazásával kapcsolatos további információkért tekintse meg a felügyelt tartományok jelszó- és fiókzárolási szabályzatait.
Jelszókivonatok
A felügyelt tartomány felhasználóinak hitelesítéséhez a Domain Servicesnek olyan formátumú jelszókivonatokra van szüksége, amelyek alkalmasak az NT LAN Manager (NTLM) és a Kerberos-hitelesítés használatára. A Microsoft Entra-azonosító nem hozza létre vagy tárolja a jelszókivonatokat az NTLM- vagy Kerberos-hitelesítéshez szükséges formátumban, amíg nem engedélyezi a tartományi szolgáltatásokat a bérlő számára. Biztonsági okokból a Microsoft Entra ID nem tárolja a jelszó hitelesítő adatait tiszta szöveges formában. Ezért a Microsoft Entra-azonosító nem tudja automatikusan létrehozni ezeket az NTLM- vagy Kerberos-jelszókivonatokat a felhasználók meglévő hitelesítő adatai alapján.
A csak felhőalapú felhasználói fiókok esetében a felhasználóknak módosítaniuk kell a jelszavukat, mielőtt használhatják a felügyelt tartományt. Ez a jelszómódosítási folyamat a Kerberos- és NTLM-hitelesítés jelszókivonatait hozza létre és tárolja a Microsoft Entra-azonosítóban. A fiók nem szinkronizálódik a Microsoft Entra-azonosítóról a Domain Servicesre, amíg a jelszó nem változik.
A helyszíni AD DS-környezetből a Microsoft Entra Connect használatával szinkronizált felhasználók esetében engedélyezze a jelszókivonatok szinkronizálását.
Fontos
A Microsoft Entra Connect csak akkor szinkronizálja az örökölt jelszókivonatokat, ha engedélyezi a Tartományi szolgáltatásokat a Microsoft Entra-bérlő számára. Az örökölt jelszókivonatok nem használhatók, ha csak a Microsoft Entra Connect használatával szinkronizál egy helyszíni AD DS-környezetet a Microsoft Entra-azonosítóval.
Ha az örökölt alkalmazások nem használnak NTLM-hitelesítést vagy egyszerű LDAP-kötéseket, javasoljuk, hogy tiltsa le az NTLM jelszókivonat-szinkronizálását a Domain Services esetében. További információ: A gyenge titkosítási csomagok és az NTLM hitelesítőadat-kivonat szinkronizálásának letiltása.
A megfelelő konfigurálás után a használható jelszókivonatok a felügyelt tartományban lesznek tárolva. Ha törli a felügyelt tartományt, az abban a pillanatban tárolt jelszókivonatok is törlődnek. A Szinkronizált hitelesítő adatok Microsoft Entra-azonosítóban nem használhatók fel újra, ha később egy másik felügyelt tartományt hoz létre – újra kell konfigurálnia a jelszókivonat-szinkronizálást a jelszókivonatok újbóli tárolásához. A korábban tartományhoz csatlakoztatott virtuális gépek vagy felhasználók nem tudnak azonnal hitelesíteni – a Microsoft Entra-azonosítónak létre kell hoznia és tárolnia kell a jelszókivonatokat az új felügyelt tartományban. További információ: A Domain Services és a Microsoft Entra Connect jelszókivonat-szinkronizálási folyamata.
Fontos
A Microsoft Entra Connect csak a helyszíni AD DS-környezetekkel való szinkronizáláshoz telepíthető és konfigurálható. Nem támogatott a Microsoft Entra Connect telepítése felügyelt tartományban az objektumok Microsoft Entra-azonosítóba való visszaszinkronizálásához.
Erdők és megbízhatóságok
Az erdő a Active Directory tartományi szolgáltatások (AD DS) által egy vagy több tartomány csoportosítására használt logikai szerkezet. A tartományok ezután felhasználói vagy csoportok objektumait tárolják, és hitelesítési szolgáltatásokat nyújtanak.
A Domain Servicesben az erdő csak egy tartományt tartalmaz. A helyszíni AD DS-erdők gyakran sok tartományt tartalmaznak. A nagy szervezetekben, különösen az egyesülések és felvásárlások után, előfordulhat, hogy több helyszíni erdőt fog tartalmazni, amelyek mindegyike több tartományt tartalmaz.
A felügyelt tartomány alapértelmezés szerint szinkronizálja a Microsoft Entra-azonosító összes objektumát, beleértve a helyszíni AD DS-környezetben létrehozott felhasználói fiókokat is. A felhasználói fiókok közvetlenül hitelesíthetők a felügyelt tartományon, például bejelentkezhetnek egy tartományhoz csatlakoztatott virtuális gépre. Ez a módszer akkor működik, ha a jelszókivonatok szinkronizálhatók, és a felhasználók nem használnak kizárólagos bejelentkezési módszereket, például intelligenskártya-hitelesítést.
A Domain Servicesben egy erdőszintű megbízhatósági kapcsolatot is létrehozhat egy másik tartománnyal, hogy a felhasználók hozzáférhessenek az erőforrásokhoz. A hozzáférési követelményektől függően különböző irányokban hozhatja létre az erdő megbízhatóságát.
| Megbízhatósági irány | Felhasználói hozzáférés |
|---|---|
| Kétirányú | Lehetővé teszi, hogy a felügyelt és a helyszíni tartomány felhasználói is hozzáférjenek mindkét tartományban lévő erőforrásokhoz. |
| Egyirányú kimenő | Lehetővé teszi a helyszíni tartomány felhasználói számára, hogy hozzáférjenek a felügyelt tartomány erőforrásaihoz, de nem fordítva. |
| Egyirányú bejövő | Lehetővé teszi, hogy a felügyelt tartomány felhasználói hozzáférjenek a helyszíni tartomány erőforrásaihoz. |
Tartományi szolgáltatások termékváltozatai
A Domain Servicesben az elérhető teljesítmény és funkciók a termékváltozaton alapulnak. A felügyelt tartomány létrehozásakor kiválaszt egy termékváltozatot, és a felügyelt tartomány üzembe helyezése után az üzleti követelmények változásával válthat termékváltozatok között. Az alábbi táblázat a rendelkezésre álló termékváltozatokat és a köztük lévő különbségeket ismerteti:
| Termékváltozat neve | Objektumok maximális száma | Biztonsági mentés gyakorisága |
|---|---|---|
| Standard | Korlátlan | 5 naponta |
| Vállalat | Korlátlan | 3 naponta |
| Prémium | Korlátlan | Napi |
A Domain Services termékváltozatai előtt a felügyelt tartományban lévő objektumok (felhasználói és számítógépfiókok) számán alapuló számlázási modellt használtunk. A felügyelt tartományban lévő objektumok száma alapján már nincs változó díjszabás.
További információkért tekintse meg a Domain Services díjszabási oldalát.
Felügyelt tartomány teljesítménye
A tartomány teljesítménye attól függően változik, hogyan implementálják a hitelesítést egy alkalmazáshoz. További számítási erőforrások segíthetnek a lekérdezési válaszidő javításában és a szinkronizálási műveletekben töltött idő csökkentésében. A termékváltozat szintjének növekedésével a felügyelt tartomány számára elérhető számítási erőforrások növekednek. Figyelje az alkalmazások teljesítményét, és tervezze meg a szükséges erőforrásokat.
Ha vállalata vagy alkalmazása változásra van szüksége, és további számítási teljesítményre van szüksége a felügyelt tartományhoz, átválthat egy másik termékváltozatra.
Biztonsági mentés gyakorisága
A biztonsági mentés gyakorisága határozza meg, hogy milyen gyakran készül pillanatkép a felügyelt tartományról. A biztonsági mentések az Azure platform által felügyelt automatizált folyamatok. Ha probléma van a felügyelt tartománnyal, a Azure-támogatás segítséget nyújt a biztonsági másolatból való visszaállításhoz. Mivel a szinkronizálás csak egy módon történik a Microsoft Entra-azonosítótól , a felügyelt tartományokban felmerülő problémák nem érintik a Microsoft Entra-azonosítót vagy a helyszíni AD DS-környezeteket és -funkciókat.
Az SKU-szint növekedésével a biztonsági mentési pillanatképek gyakorisága nő. Tekintse át az üzleti követelményeket és a helyreállítási pont célkitűzését (RPO) a felügyelt tartományhoz szükséges biztonsági mentési gyakoriság meghatározásához. Ha az üzleti vagy alkalmazáskövetelmények megváltoznak, és gyakoribb biztonsági másolatokra van szüksége, válthat másik termékváltozatra.
A Domain Services a következő útmutatást nyújt a különböző típusú problémák helyreállítási időtartományához:
- A helyreállítási pont célkitűzése (RPO) az a maximális időkorlát, amelyben lehetséges adat- vagy tranzakcióveszteség áll fenn egy incidensből.
- A helyreállítási időobjektum (RTO) az a célzott időkorlát, amely azelőtt következik be, hogy a szolgáltatási szintek egy incidens után visszatérnek a működéshez.
| Problémák | RPO | RTO |
|---|---|---|
| A tartományi szolgáltatások tartományvezérlőinek, függő szolgáltatásainak, a tartományt veszélyeztető biztonsági résnek vagy egy tartományvezérlő visszaállítását igénylő egyéb incidensnek az adatvesztés vagy sérülés okozta problémák. | Öt nappal az esemény előfordulása előtt | Két órától négy napig, a bérlő méretétől függően |
| A tartománydiagnosztikánk által azonosított problémák. | Nulla (0 perc) | Két órától négy napig, a bérlő méretétől függően |
Következő lépések
Első lépésként hozzon létre egy domain Services által felügyelt tartományt.