Creare un'unità organizzativa in un dominio gestito di Microsoft Entra Domain Services

Le unità organizzative (UNITÀ organizzative) in un dominio gestito di Dominio di Active Directory Services (AD DS) consentono di raggruppare logicamente oggetti come account utente, account di servizio o account computer. È quindi possibile assegnare amministratori a unità organizzative specifiche e applicare criteri di gruppo per applicare le impostazioni di configurazione di destinazione.

I domini gestiti di Servizi di dominio includono le due unità organizzative predefinite seguenti:

• Computer AADDC : contiene oggetti computer per tutti i computer aggiunti al dominio gestito.
• AADDC Users : include utenti e gruppi sincronizzati dal tenant di Microsoft Entra.

Quando si creano ed eseguono carichi di lavoro che usano Servizi di dominio, potrebbe essere necessario creare account di servizio per l'autenticazione delle applicazioni. Per organizzare questi account di servizio, spesso si crea un'unità organizzativa personalizzata nel dominio gestito e quindi si creano account di servizio all'interno di tale unità organizzativa.

In un ambiente ibrido, le unità organizzative create in un ambiente di Active Directory Domain Services locale non vengono sincronizzate con il dominio gestito. I domini gestiti usano una struttura di unità organizzativa flat. Tutti gli account utente e i gruppi vengono archiviati nel contenitore AADDC Users , nonostante la sincronizzazione da domini o foreste locali diversi, anche se è stata configurata una struttura gerarchica dell'unità organizzativa.

Questo articolo descrive come creare una OU nel dominio gestito.

Operazioni preliminari

Per completare le procedure descritte in questo articolo, sono necessari i privilegi e le risorse seguenti:

• Una sottoscrizione di Azure attiva.
  • Se non si ha una sottoscrizione di Azure, creare un account.
• Un tenant di Microsoft Entra associato alla sottoscrizione, sincronizzato con una directory locale o una directory solo cloud.
  • Se necessario, creare un tenant di Microsoft Entra o associare una sottoscrizione di Azure all'account.
• Un dominio gestito di Microsoft Entra Domain Services abilitato e configurato nel tenant di Microsoft Entra.
  • Se necessario, completare l'esercitazione per creare e configurare un dominio gestito di Microsoft Entra Domain Services.
• Macchina virtuale di gestione di Windows Server aggiunta al dominio gestito di Servizi di dominio.
  • Se necessario, completare l'esercitazione per creare una macchina virtuale di gestione.
• Un account utente membro del gruppo di amministratori di Microsoft Entra DC nel tenant di Microsoft Entra.

Considerazioni e limitazioni dell'unità organizzativa personalizzate

Quando si creano unità organizzative personalizzate in un dominio gestito, si ottiene una maggiore flessibilità di gestione per la gestione degli utenti e l'applicazione di criteri di gruppo. Rispetto a un ambiente di Active Directory Domain Services locale, esistono alcune limitazioni e considerazioni durante la creazione e la gestione di una struttura organizzativa personalizzata in un dominio gestito:

• Per creare unità organizzative personalizzate, gli utenti devono essere membri del gruppo AAD DC Amministrazione istrators.
• A un utente che crea un'unità organizzativa personalizzata vengono concessi privilegi amministrativi (controllo completo) su tale unità organizzativa ed è il proprietario della risorsa.
  • Per impostazione predefinita, il gruppo di controller di dominio AAD Amministrazione istrators ha anche il controllo completo dell'unità organizzativa personalizzata.
• Viene creata un'unità organizzativa predefinita per gli utenti AADDC che contiene tutti gli account utente sincronizzati dal tenant di Microsoft Entra.
  • Non è possibile spostare utenti o gruppi dall'unità organizzativa AADDC Users a unità organizzative personalizzate create. Solo gli account utente o le risorse creati nel dominio gestito possono essere spostati in unità organizzative personalizzate.
• Gli account utente, i gruppi, gli account di servizio e gli oggetti computer creati in unità organizzative personalizzate non sono disponibili nel tenant di Microsoft Entra.
  • Questi oggetti non vengono visualizzati usando l'API Microsoft Graph o nell'interfaccia utente di Microsoft Entra; sono disponibili solo nel dominio gestito.

Creare un'unità organizzativa personalizzata

Per creare un'unità organizzativa personalizzata, usare Active Directory Amministrazione istrative Tools da una macchina virtuale aggiunta a un dominio. Active Directory Amministrazione istrative Center consente di visualizzare, modificare e creare risorse in un dominio gestito, incluse le unità organizzative.

Nota

Per creare un'unità organizzativa personalizzata in un dominio gestito, è necessario accedere a un account utente membro del gruppo AAD DC Amministrazione istrators.

1. Accedere alla macchina virtuale di gestione. Per informazioni su come connettersi tramite l'interfaccia di amministrazione di Microsoft Entra, vedere Connessione a una macchina virtuale Windows Server.

2. Nella schermata Start selezionare strumenti Amministrazione istrative. Viene visualizzato un elenco degli strumenti di gestione disponibili installati nell'esercitazione per creare una macchina virtuale di gestione.

3. Per creare e gestire unità organizzative, selezionare Active Directory Amministrazione istrative Center dall'elenco degli strumenti di amministrazione.

4. Nel riquadro sinistro scegliere il dominio gestito, ad esempio aaddscontoso.com. Viene visualizzato un elenco di unità organizzative e risorse esistenti:

   

5. Il riquadro Attività viene visualizzato sul lato destro di Active Directory Amministrazione istrative Center. Nel dominio, ad esempio aaddscontoso.com, selezionare Nuova > unità organizzativa.

   

6. Nella finestra di dialogo Crea unità organizzativa specificare un nome per la nuova unità organizzativa, ad esempio MyCustomOu. Fornire una breve descrizione per l'unità organizzativa, ad esempio unità organizzativa personalizzata per gli account del servizio. Se lo si desidera, è anche possibile impostare il campo Gestito da per l'unità organizzativa. Per creare l'unità organizzativa personalizzata, selezionare OK.

   

7. Tornare in Active Directory Amministrazione istrative Center, l'unità organizzativa personalizzata è ora elencata ed è disponibile per l'uso:

   

Passaggi successivi

Per altre informazioni sull'uso degli strumenti di amministrazione o sulla creazione e l'uso degli account di servizio, vedere gli articoli seguenti:

• Centro di amministrazione di Active Directory: Introduzione
• Guida dettagliata agli account del servizio gestiti