Membuat Unit Organisasi (OU) di domain terkelola Microsoft Entra Domain Services

Unit organisasi (OU) di domain terkelola Active Directory Domain Services (AD DS) memungkinkan Anda untuk mengelompokkan objek secara logis seperti akun pengguna, akun layanan, atau akun komputer. Anda kemudian dapat menetapkan admin ke OU tertentu, dan menerapkan kebijakan grup untuk menerapkan pengaturan konfigurasi yang ditargetkan.

Domain terkelola Domain Services mencakup dua OU bawaan berikut:

• Komputer AADDC - berisi objek komputer untuk semua komputer yang bergabung ke domain terkelola.
• Pengguna AADDC - mencakup pengguna dan grup yang disinkronkan dari penyewa Microsoft Entra.

Saat Anda membuat dan menjalankan beban kerja yang menggunakan Layanan Domain, Anda mungkin perlu membuat akun layanan untuk aplikasi guna mengautentikasi diri mereka sendiri. Untuk mengatur akun layanan ini, Anda sering membuat OU kustom di domain terkelola lalu membuat akun layanan dalam OU tersebut.

Di lingkungan hibrid, OU yang dibuat di lingkungan AD DS lokal tidak disinkronkan ke domain terkelola. Domain terkelola menggunakan struktur OU datar. Semua akun dan grup pengguna disimpan dalam kontainer Pengguna AADDC meskipun disinkronkan dari domain atau hutan lokal yang berbeda, bahkan jika Anda telah mengonfigurasi struktur OU hierarkis di sana.

Artikel ini memperlihatkan kepada Anda cara membuat sebuah OU di domain terkelola Anda.

Sebelum Anda mulai

Untuk menyelesaikan tutorial ini, Anda memerlukan sumber daya dan hak istimewa berikut:

• Langganan Azure aktif.
  • Jika Anda tidak memiliki langganan Azure, buat akun.
• Penyewa Microsoft Entra yang terkait dengan langganan Anda, baik disinkronkan dengan direktori lokal atau direktori khusus cloud.
  • Jika diperlukan, buat penyewa Microsoft Entra atau kaitkan langganan Azure dengan akun Anda.
• Domain terkelola Microsoft Entra Domain Services diaktifkan dan dikonfigurasi di penyewa Microsoft Entra Anda.
  • Jika diperlukan, selesaikan tutorial untuk membuat dan mengonfigurasi domain terkelola Microsoft Entra Domain Services.
• VM manajemen Windows Server yang bergabung ke domain terkelola Domain Services.
  • Jika diperlukan, selesaikan tutorial membuat komputer virtual manajemen.
• Akun pengguna yang merupakan anggota grup administrator Microsoft Entra DC di penyewa Microsoft Entra Anda.

Pertimbangan dan batasan OU kustom

Saat Anda membuat OU kustom di sebuah domain terkelola, Anda mendapatkan fleksibilitas pengelolaan tambahan untuk pengelolaan pengguna dan menerapkan kebijakan grup. Dibandingkan dengan lingkungan AD DS lokal, ada beberapa batasan dan pertimbangan saat membuat dan mengelola sebuah struktur OU kustom di domain terkelola:

• Untuk membuat OU kustom, pengguna harus menjadi anggota Admin AAD DC untuk grupnya.
• Pengguna yang membuat OU kustom diberikan hak administratif (kontrol penuh) atas OU tersebut dan merupakan pemilik sumber daya tersebut.
  • Secara default, grup Admin AAD DC juga memiliki kontrol penuh atas OU kustom.
• Unit Organisasi default untuk Pengguna AADDC dibuat yang berisi semua akun pengguna yang disinkronkan dari penyewa Microsoft Entra Anda.
  • Anda tidak bisa memindahkan pengguna atau grup dari OU Pengguna AADDC ke OU kustom yang Anda buat. Hanya akun pengguna atau sumber daya yang dibuat di domain terkelola yang dapat dipindahkan ke OUs kustom.
• Akun pengguna, grup, akun layanan, dan objek komputer yang Anda buat di bawah OU kustom tidak tersedia di penyewa Microsoft Entra Anda.
  • Objek ini tidak muncul menggunakan Microsoft Graph API atau di UI Microsoft Entra; mereka hanya tersedia di domain terkelola Anda.

Membuat OU kustom

Untuk membuat OU kustom, Anda menggunakan Alat Administratif Direktori Aktif dari komputer virtual yang bergabung dengan domain. Pusat Administratif Direktori Aktif memungkinkan Anda untuk melihat, mengedit, dan membuat sumber daya di domain terkelola, termasuk OU.

Catatan

Untuk mengelola unit organisasi kustom di domain terkelola, Anda harus masuk ke akun pengguna yang merupakan anggota grup Administrator AAD DC.

1. Masuk ke komputer virtual pengelolaan Anda. Untuk langkah-langkah tentang cara menyambungkan menggunakan pusat admin Microsoft Entra, lihat Koneksi ke VM Windows Server.

2. Dari layar Mulai, pilih Alat Administratif. Daftar alat manajemen yang tersedia ditunjukkan yang dipasang dalam tutorial untuk membuat komputer virtual manajemen.

3. Untuk membuat dan mengelola unit organisasi, pilih Pusat Administratif Direktori Aktif dari daftar alat administratif.

4. Di panel kiri, pilih domain terkelola Anda, seperti aaddscontoso.com. Daftar OU dan sumber daya yang ada diperlihatkan:

   

5. Panel Tugas diperlihatkan di sisi kanan Pusat Administratif Direktori Aktif. Di bagian domain, seperti aaddscontoso.com, pilih Baru > Unit Organisasi.

   

6. Dalam dialog Buat Unit Organisasi tentukan Nama untuk OU barunya, seperti MyCustomOu. Berikan deskripsi singkat untuk OU, seperti OU kustom untuk akun layanan. Jika diinginkan, Anda juga dapat mengatur bidang Dikelola Oleh untuk OU. Untuk membuat OU kustom, pilih OK.

   

7. Kembali di Pusat Administratif Direktori Aktif, OU kustom sekarang telah terdaftar dan tersedia untuk digunakan:

   

Langkah berikutnya

Untuk informasi selengkapnya tentang menggunakan alat administratif atau membuat dan menggunakan akun layanan, lihat artikel berikut ini:

• Pusat Administratif Direktori Aktif: Memulai
• Panduan Langkah demi Langkah Akun Layanan