Microsoft Entra Domain Services 관리형 도메인에서 OU(조직 구성 단위) 만들기
AD DS(Active Directory Domain Services) 관리되는 도메인에서 OU(조직 구성 단위)를 사용하면 사용자 계정, 서비스 계정 또는 컴퓨터 계정과 같은 개체를 논리적으로 그룹화할 수 있습니다. 그런 다음 특정 OU에 관리자를 할당하고 그룹 정책을 적용하여 대상 구성 설정을 적용할 수 있습니다.
Domain Services 관리형 도메인은 다음과 같은 두 가지 기본 제공 OU를 포함합니다.
- AADDC 컴퓨터 - 관리되는 도메인에 가입된 모든 컴퓨터에 대한 컴퓨터 개체를 포함합니다.
- AADDC 사용자 - Domain Services 테넌트에서 동기화된 사용자 및 그룹을 포함합니다.
Domain Services를 사용하는 워크로드를 만들고 실행할 때 애플리케이션이 자체적으로 인증할 수 있도록 서비스 계정을 만들어야 할 수 있습니다. 이러한 서비스 계정을 구성하려면 일반적으로 관리되는 도메인에 사용자 지정 OU를 만든 다음 해당 OU 내에 서비스 계정을 만듭니다.
하이브리드 환경에서는 온-프레미스 AD DS 환경에서 만든 OU는 관리되는 도메인에 동기화되지 않습니다. 관리되는 도메인은 플랫 OU 구조를 사용합니다. 온-프레미스에 계층적 OU 구조를 구성한 경우에도, 모든 사용자 계정과 그룹은 다른 온-프레미스 도메인이나 포리스트에서 동기화되더라도 AADDC 사용자 컨테이너에 저장됩니다.
이 문서에서는 관리되는 도메인에 OU를 만드는 방법을 보여 줍니다.
시작하기 전에
이 문서를 완료하는 데 필요한 리소스와 권한은 다음과 같습니다.
- 활성화된 Azure 구독.
- Azure 구독이 없는 경우 계정을 만듭니다.
- 온-프레미스 디렉터리 또는 클라우드 전용 디렉터리와 동기화되어 구독과 연결된 Microsoft Entra 테넌트.
- Microsoft Entra 테넌트에서 사용하도록 설정되고 구성된 Microsoft Entra Domain Services 관리되는 도메인입니다.
- 필요한 경우 자습서를 완료하여 Microsoft Entra Domain Services 관리되는 도메인을 만들고 구성합니다.
- Domain Services 관리형 도메인에 연결된 Windows Server 관리 VM입니다.
- 필요한 경우 자습서를 완료하여 관리 VM을 만듭니다.
- Microsoft Entra 테넌트의 Microsoft Entra DC 관리자 그룹의 멤버인 사용자 계정.
사용자 지정 OU 고려 사항 및 제한 사항
관리되는 도메인에서 사용자 지정 OU를 만드는 경우 사용자 관리 및 그룹 정책 적용을 위한 추가 관리 유연성을 얻을 수 있습니다. 온-프레미스 AD DS 환경에 비해 관리되는 도메인에서 사용자 지정 OU 구조를 만들고 관리하는 경우 몇 가지 제한 사항 및 고려 사항이 있습니다.
- 사용자 지정 OU를 만들려면 사용자가 AAD DC 관리자 그룹의 멤버여야 합니다.
- 사용자 지정 OU를 만드는 사용자는 해당 OU에 대한 관리 권한(모든 권한)이 부여되며 리소스 소유자입니다.
- 기본적으로 AAD DC 관리자 그룹에는 사용자 지정 OU에 대한 모든 권한이 있습니다.
- Microsoft Entra 테넌트에서 동기화된 모든 사용자 계정을 포함하는 AADDC 사용자에 대한 기본 OU가 만들어집니다.
- AADDC 사용자 OU에서 사용자가 만든 사용자 지정 OU로 사용자 또는 그룹을 이동할 수 없습니다. 관리되는 도메인에서 만든 사용자 계정 또는 리소스만 사용자 지정 OU로 이동할 수 있습니다.
- 사용자 지정 OU에서 만든 사용자 계정, 그룹, 서비스 계정 및 컴퓨터 개체는 Microsoft Entra 테넌트에서 사용할 수 없습니다.
- 이러한 개체는 Microsoft Graph API 또는 Microsoft Entra UI에 표시되지 않습니다. 관리되는 도메인에서만 확인할 수 있습니다.
사용자 지정 OU 만들기
사용자 지정 OU를 만들려면 도메인에 가입된 VM에서 Active Directory 관리 도구를 사용합니다. Active Directory 관리 센터를 사용하면 OU를 포함하여 관리되는 도메인에서 리소스를 보고, 편집하고, 만들 수 있습니다.
참고 항목
관리되는 도메인에서 사용자 지정 OU를 만들려면 AAD DC Administrators 그룹의 멤버인 사용자 계정에 로그인해야 합니다.
관리 VM에 로그인합니다. Microsoft Entra 관리 센터를 사용하는 연결 방법의 단계는 Windows Server VM에 연결을 참조하세요.
시작 화면에서 관리 도구를 선택합니다. 관리 VM을 만들기 위해 자습서에 설치된 사용 가능한 관리 도구 목록이 표시됩니다.
OU를 만들고 관리하려면 관리 도구 목록에서 Active Directory 관리 센터를 선택합니다.
왼쪽 창에서 관리되는 도메인(예: aaddscontoso.com)을 선택합니다. 다음과 같이 기존 OU 및 리소스 목록이 표시됩니다.
작업 창은 Active Directory 관리 센터 오른쪽에 표시됩니다. aaddscontoso.com과 같은 도메인에서 새로 만들기 > 조직 구성 단위를 선택합니다.
조직 구성 단위 만들기 대화 상자에서 새 OU의 이름(예를 들어, MyCustomOu)을 지정합니다. 서비스 계정에 대한 사용자 지정 OU와 같이 OU에 대한 간단한 설명을 제공합니다. 원하는 경우 OU에 대해 관리자 필드를 설정할 수도 있습니다. 사용자 지정 OU를 만들려면 확인을 선택합니다.
다시 Active Directory 관리 센터에서 이제 사용자 지정 OU가 나열되고 사용 가능합니다.
다음 단계
관리 도구 사용 또는 서비스 계정 만들기 및 사용에 대한 자세한 내용은 다음 문서를 참조하세요.