Samouczek: tworzenie maszyny wirtualnej zarządzania w celu skonfigurowania i administrowania domeną zarządzaną usług Microsoft Entra Domain Services

Usługi microsoft Entra Domain Services udostępniają zarządzane usługi domenowe, takie jak przyłączenie do domeny, zasady grupy, protokół LDAP i uwierzytelnianie Kerberos/NTLM, które jest w pełni zgodne z usługą Active Directory systemu Windows Server. Zarządzasz tą domeną zarządzaną przy użyciu tego samego serwera zdalnego Administracja istration Tools (RSAT), co w przypadku domeny usług lokalna usługa Active Directory Domain Services. Ponieważ usługi Domain Services to usługa zarządzana, istnieją pewne zadania administracyjne, których nie można wykonać, takie jak używanie protokołu RDP (Remote Desktop Protocol) w celu nawiązania połączenia z kontrolerami domeny.

W tym samouczku pokazano, jak skonfigurować maszynę wirtualną z systemem Windows Server na platformie Azure i zainstalować wymagane narzędzia do administrowania domeną zarządzaną usług Domain Services.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

• Omówienie dostępnych zadań administracyjnych w domenie zarządzanej
• Instalowanie narzędzi administracyjnych usługi Active Directory na maszynie wirtualnej z systemem Windows Server
• Wykonywanie typowych zadań przy użyciu centrum Administracja istrative w usłudze Active Directory

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz konto.

Wymagania wstępne

Do ukończenia tego samouczka potrzebne są następujące zasoby i uprawnienia:

• Aktywna subskrypcja platformy Azure.
  • Jeśli nie masz subskrypcji platformy Azure, utwórz konto.
• Dzierżawa firmy Microsoft Entra skojarzona z twoją subskrypcją, zsynchronizowana z katalogiem lokalnym lub katalogiem tylko w chmurze.
  • W razie potrzeby utwórz dzierżawę firmy Microsoft Entra lub skojarz subskrypcję platformy Azure z twoim kontem.
• Domena zarządzana usług Microsoft Entra Domain Services jest włączona i skonfigurowana w dzierżawie firmy Microsoft Entra.
  • W razie potrzeby zapoznaj się z pierwszym samouczkiem dotyczącym tworzenia i konfigurowania domeny zarządzanej usług Microsoft Entra Domain Services.
• Maszyna wirtualna z systemem Windows Server przyłączona do domeny zarządzanej.
  • Jeśli to konieczne, zapoznaj się z poprzednim samouczkiem, aby utworzyć maszynę wirtualną z systemem Windows Server i dołączyć ją do domeny zarządzanej.
• Konto użytkownika, które jest członkiem grupy administratorów firmy Microsoft Entra DC w dzierżawie firmy Microsoft Entra.
• Host usługi Azure Bastion wdrożony w sieci wirtualnej usług Domain Services.
  • W razie potrzeby utwórz hosta usługi Azure Bastion.

Zaloguj się do centrum administracyjnego usługi Microsoft Entra

W tym samouczku utworzysz i skonfigurujesz maszynę wirtualną zarządzania przy użyciu centrum administracyjnego firmy Microsoft Entra. Aby rozpocząć, najpierw zaloguj się do centrum administracyjnego firmy Microsoft Entra.

Dostępne zadania administracyjne w usługach domenowych

Usługi Domain Services udostępniają domenę zarządzaną dla użytkowników, aplikacji i usług do korzystania. To podejście zmienia niektóre z dostępnych zadań zarządzania, które można wykonać i jakie uprawnienia masz w domenie zarządzanej. Te zadania i uprawnienia mogą być inne niż w przypadku zwykłego środowiska usług lokalna usługa Active Directory Domain Services. Nie można również nawiązać połączenia z kontrolerami domeny w domenie zarządzanej przy użyciu pulpitu zdalnego.

Administracja zadania administracyjne, które można wykonać w domenie zarządzanej

Członkowie grupy Administracja istratorów kontrolera domeny usługi AAD mają przyznane uprawnienia do domeny zarządzanej, która umożliwia im wykonywanie zadań, takich jak:

• Skonfiguruj wbudowany obiekt zasad grupy (GPO) dla komputerów AADDC i kontenerów użytkowników AADDC w domenie zarządzanej.
• Administrowanie systemem DNS w domenie zarządzanej.
• Tworzenie i administrowanie niestandardowymi jednostkami organizacyjnymi w domenie zarządzanej.
• Uzyskiwanie dostępu administracyjnego do komputerów przyłączonych do domeny zarządzanej.

Administracja uprawnienia administracyjne, których nie masz w domenie zarządzanej

Domena zarządzana jest zablokowana, więc nie masz uprawnień do wykonywania pewnych zadań administracyjnych w domenie. Niektóre z poniższych przykładów to zadania, których nie można wykonać:

• Rozszerzanie schematu domeny zarządzanej.
• Połączenie do kontrolerów domeny zarządzanej przy użyciu pulpitu zdalnego.
• Dodaj kontrolery domeny do domeny zarządzanej.
• Nie masz uprawnień Administracja istratora domeny ani Administracja istratora przedsiębiorstwa dla domeny zarządzanej.

Logowanie się do maszyny wirtualnej z systemem Windows Server

W poprzednim samouczku utworzono maszynę wirtualną z systemem Windows Server i dołączono ją do domeny zarządzanej. Użyj tej maszyny wirtualnej, aby zainstalować narzędzia do zarządzania. W razie potrzeby wykonaj kroki opisane w samouczku, aby utworzyć i dołączyć maszynę wirtualną z systemem Windows Server do domeny zarządzanej.

Uwaga

W tym samouczku użyjesz maszyny wirtualnej z systemem Windows Server na platformie Azure przyłączonej do domeny zarządzanej. Można również użyć klienta systemu Windows, takiego jak Windows 10, który jest przyłączony do domeny zarządzanej.

Aby uzyskać więcej informacji na temat sposobu instalowania narzędzi administracyjnych na kliencie systemu Windows, zobacz Install Remote Server Administracja istration Tools (RSAT)

Aby rozpocząć pracę, połącz się z maszyną wirtualną z systemem Windows Server w następujący sposób:

1. W centrum administracyjnym firmy Microsoft Entra wybierz pozycję Grupy zasobów po lewej stronie. Wybierz grupę zasobów, w której utworzono maszynę wirtualną, taką jak myResourceGroup, a następnie wybierz maszynę wirtualną, taką jak myVM.

2. W okienku Przegląd maszyny wirtualnej wybierz pozycję Połączenie, a następnie pozycję Bastion.

   

3. Wprowadź poświadczenia maszyny wirtualnej, a następnie wybierz pozycję Połączenie.

   

W razie potrzeby zezwól przeglądarce internetowej na otwieranie wyskakujących okienek dla połączenia usługi Bastion. Nawiązanie połączenia z maszyną wirtualną zajmuje kilka sekund.

Instalowanie narzędzi administracyjnych usługi Active Directory

Te same narzędzia administracyjne są używane w domenie zarządzanej co lokalne środowiska usług AD DS, takie jak usługa Active Directory Administracja istrative Center (ADAC) lub program AD PowerShell. Te narzędzia można zainstalować w ramach funkcji Narzędzia serwera zdalnego Administracja istration Tools (RSAT) w systemie Windows Server i komputerach klienckich. Członkowie grupy Administracja istratorów kontrolera domeny usługi AAD mogą następnie zdalnie administrować domenami zarządzanymi przy użyciu tych narzędzi administracyjnych usługi AD z komputera przyłączonego do domeny zarządzanej.

Aby zainstalować narzędzia Administracja istration usługi Active Directory na maszynie wirtualnej przyłączonej do domeny, wykonaj następujące kroki:

1. Jeśli Menedżer serwera nie jest domyślnie otwierana podczas logowania się do maszyny wirtualnej, wybierz menu Start, a następnie wybierz pozycję Menedżer serwera.

2. W okienku Pulpit nawigacyjny okna Menedżer serwera wybierz pozycję Dodaj role i funkcje.

3. Na stronie Przed rozpoczęciem Kreatora dodawania ról i funkcji wybierz pozycję Dalej.

4. W polu Typ instalacji pozostaw zaznaczoną opcję Instalacja oparta na rolach lub oparta na funkcjach, a następnie wybierz przycisk Dalej.

5. Na stronie Wybór serwera wybierz bieżącą maszynę wirtualną z puli serwerów, na przykład myvm.aaddscontoso.com, a następnie wybierz przycisk Dalej.

6. Na stronie Role serwera kliknij przycisk Dalej.

7. Na stronie Funkcje rozwiń węzeł Narzędzia Administracja istration serwera zdalnego, a następnie rozwiń węzeł Narzędzia Administracja istration roli.

   Wybierz z listy narzędzi administracyjnych ról funkcje AD DS i AD LDS Tools , a następnie wybierz przycisk Dalej.

   

8. Na stronie Potwierdzenie wybierz pozycję Zainstaluj. Zainstalowanie narzędzi administracyjnych może potrwać minutę lub dwie.

9. Po zakończeniu instalacji funkcji wybierz pozycję Zamknij, aby zamknąć kreatora Dodawanie ról i funkcji.

Korzystanie z narzędzi administracyjnych usługi Active Directory

Po zainstalowaniu narzędzi administracyjnych zobaczmy, jak używać ich do administrowania domeną zarządzaną. Upewnij się, że zalogowano się do maszyny wirtualnej przy użyciu konta użytkownika, które jest członkiem grupy Administracja istratorów kontrolera domeny usługi AAD.

1. Z menu Start wybierz pozycję Windows Administracja istrative Tools. Wymienione są narzędzia administracyjne usługi AD zainstalowane w poprzednim kroku.

   

2. Wybierz pozycję Active Directory Administracja istrative Center.

3. Aby zapoznać się z domeną zarządzaną, wybierz nazwę domeny w okienku po lewej stronie, taką jak aaddscontoso. W górnej części listy znajdują się dwa kontenery o nazwach AADDC Computers i AADDC Users .

   

4. Aby wyświetlić użytkowników i grupy należące do domeny zarządzanej, wybierz kontener Użytkownicy usługi AADDC. Konta użytkowników i grupy z dzierżawy firmy Microsoft Entra są wymienione w tym kontenerze.

   W poniższych przykładowych danych wyjściowych konto użytkownika o nazwie Contoso Administracja i grupa dla Administracja istratorów dc usługi AAD są wyświetlane w tym kontenerze.

   

5. Aby wyświetlić komputery przyłączone do domeny zarządzanej, wybierz kontener Komputery AADDC . Zostanie wyświetlony wpis dla bieżącej maszyny wirtualnej, na przykład myVM. Konta komputerów dla wszystkich urządzeń dołączonych do domeny zarządzanej są przechowywane w tym kontenerze komputerów AADDC.

Dostępne są typowe akcje usługi Active Directory Administracja istrative Center, takie jak resetowanie hasła konta użytkownika lub zarządzanie członkostwem w grupie. Te akcje działają tylko dla użytkowników i grup utworzonych bezpośrednio w domenie zarządzanej. Informacje o tożsamości są synchronizowane tylko z identyfikatora Entra firmy Microsoft z usługami Domain Services. Nie ma zapisu zwrotnego z usług Domain Services do identyfikatora Entra firmy Microsoft. Nie można zmienić haseł ani członkostwa w grupie zarządzanej dla użytkowników zsynchronizowanych z identyfikatorem Entra firmy Microsoft i mieć te zmiany zsynchronizowane z powrotem.

Można również użyć modułu usługi Active Directory dla programu Windows PowerShell zainstalowanego jako część narzędzi administracyjnych, aby zarządzać typowymi akcjami w domenie zarządzanej.

Następne kroki

W tym samouczku zawarto informacje na temat wykonywania następujących czynności:

• Omówienie dostępnych zadań administracyjnych w domenie zarządzanej
• Instalowanie narzędzi administracyjnych usługi Active Directory na maszynie wirtualnej z systemem Windows Server
• Wykonywanie typowych zadań przy użyciu centrum Administracja istrative w usłudze Active Directory

Aby bezpiecznie korzystać z domeny zarządzanej z innych aplikacji, włącz protokół LDAPS (Secure Lightweight Directory Access Protocol).

Konfigurowanie protokołu Secure LDAP dla domeny zarządzanej