Pojęcia związane z zarządzaniem kontami użytkowników, hasłami i administracją w usługach Microsoft Entra Domain Services
Podczas tworzenia i uruchamiania domeny zarządzanej usług Microsoft Entra Domain Services istnieją pewne różnice w zachowaniu w porównaniu z tradycyjnym lokalnym środowiskiem usług AD DS. Używasz tych samych narzędzi administracyjnych w usługach Domain Services jako domeny zarządzanej samodzielnie, ale nie można bezpośrednio uzyskać dostępu do kontrolerów domeny (DC). Istnieją również pewne różnice w zachowaniu zasad haseł i skrótów haseł w zależności od źródła tworzenia konta użytkownika.
W tym artykule koncepcyjnym opisano sposób administrowania domeną zarządzaną i różnymi zachowaniami kont użytkowników w zależności od sposobu ich tworzenia.
Zarządzanie domenami
Domena zarządzana to przestrzeń nazw DNS i pasujący katalog. W domenie zarządzanej kontrolery domeny zawierające wszystkie zasoby, takie jak użytkownicy i grupy, poświadczenia i zasady, są częścią usługi zarządzanej. W przypadku nadmiarowości dwa kontrolery domeny są tworzone w ramach domeny zarządzanej. Nie można zalogować się do tych kontrolerów domeny w celu wykonywania zadań zarządzania. Zamiast tego należy utworzyć maszynę wirtualną zarządzania, która jest przyłączona do domeny zarządzanej, a następnie zainstalować zwykłe narzędzia do zarządzania usługami AD DS. Można użyć przystawki Active Directory Administracja istrative Center lub Microsoft Management Console (MMC), takich jak dns lub obiekty zasad grupy, na przykład.
Tworzenie konta użytkownika
Konta użytkowników można tworzyć w domenie zarządzanej na wiele sposobów. Większość kont użytkowników jest synchronizowana z identyfikatorem Entra firmy Microsoft, który może również obejmować konto użytkownika synchronizowane z lokalnego środowiska usług AD DS. Możesz również ręcznie tworzyć konta bezpośrednio w domenie zarządzanej. Niektóre funkcje, takie jak początkowa synchronizacja haseł lub zasady haseł, zachowują się inaczej w zależności od tego, jak i gdzie są tworzone konta użytkowników.
- Konto użytkownika można zsynchronizować z identyfikatorem Entra firmy Microsoft. Obejmuje to konta użytkowników tylko w chmurze utworzone bezpośrednio w usłudze Microsoft Entra ID oraz konta użytkowników hybrydowych synchronizowane ze środowiska lokalnego usług AD DS przy użyciu usługi Microsoft Entra Połączenie.
- Większość kont użytkowników w domenie zarządzanej jest tworzona za pośrednictwem procesu synchronizacji z identyfikatora Entra firmy Microsoft.
- Konto użytkownika można utworzyć ręcznie w domenie zarządzanej i nie istnieje w identyfikatorze Entra firmy Microsoft.
- Jeśli musisz utworzyć konta usług dla aplikacji uruchamianych tylko w domenie zarządzanej, możesz ręcznie utworzyć je w domenie zarządzanej. Ponieważ synchronizacja jest jednym ze sposobów z identyfikatora entra firmy Microsoft, konta użytkowników utworzone w domenie zarządzanej nie są synchronizowane z powrotem do identyfikatora Entra firmy Microsoft.
Zasady haseł
Usługi domenowe zawierają domyślne zasady haseł, które definiują ustawienia dotyczące takich elementów jak blokada konta, maksymalny wiek hasła i złożoność hasła. Ustawienia takie jak zasady blokady konta mają zastosowanie do wszystkich użytkowników w domenie zarządzanej, niezależnie od tego, jak użytkownik został utworzony zgodnie z opisem w poprzedniej sekcji. Kilka ustawień, takich jak minimalna długość hasła i złożoność hasła, dotyczą tylko użytkowników utworzonych bezpośrednio w domenie zarządzanej.
Możesz utworzyć własne niestandardowe zasady haseł, aby zastąpić domyślne zasady w domenie zarządzanej. Te zasady niestandardowe można następnie stosować do określonych grup użytkowników zgodnie z potrzebami.
Aby uzyskać więcej informacji na temat różnic w sposobie stosowania zasad haseł w zależności od źródła tworzenia użytkownika, zobacz Zasady blokady haseł i kont w domenach zarządzanych.
Skróty haseł
Aby uwierzytelnić użytkowników w domenie zarządzanej, usługi Domain Services wymagają skrótów haseł w formacie odpowiednim dla uwierzytelniania NT LAN Manager (NTLM) i Kerberos. Identyfikator entra firmy Microsoft nie generuje ani nie przechowuje skrótów haseł w formacie wymaganym do uwierzytelniania NTLM lub Kerberos do momentu włączenia usług Domain Services dla dzierżawy. Ze względów bezpieczeństwa identyfikator Entra firmy Microsoft również nie przechowuje żadnych poświadczeń hasła w postaci zwykłego tekstu. W związku z tym identyfikator Entra firmy Microsoft nie może automatycznie wygenerować tych skrótów haseł NTLM ani Kerberos na podstawie istniejących poświadczeń użytkowników.
W przypadku kont użytkowników tylko w chmurze użytkownicy muszą zmienić swoje hasła, zanim będą mogli korzystać z domeny zarządzanej. Ten proces zmiany hasła powoduje wygenerowanie i zapisanie skrótów haseł dla uwierzytelniania Kerberos i NTLM w usłudze Microsoft Entra ID. Konto nie jest synchronizowane z usługi Microsoft Entra ID do usług Domain Services, dopóki hasło nie zostanie zmienione.
W przypadku użytkowników synchronizowanych z lokalnego środowiska usług AD DS przy użyciu Połączenie firmy Microsoft włącz synchronizację skrótów haseł.
Ważne
Firma Microsoft Entra Połączenie synchronizuje skróty haseł tylko po włączeniu usług Domenowych dla dzierżawy firmy Microsoft Entra. Starsze skróty haseł nie są używane, jeśli używasz tylko usługi Microsoft Entra Połączenie do synchronizowania lokalnego środowiska usług AD DS z identyfikatorem Entra firmy Microsoft.
Jeśli starsze aplikacje nie używają uwierzytelniania NTLM ani prostych powiązań LDAP, zalecamy wyłączenie synchronizacji skrótów haseł NTLM dla usług Domain Services. Aby uzyskać więcej informacji, zobacz Wyłączanie słabych zestawów szyfrowania i synchronizacji skrótów poświadczeń NTLM.
Po odpowiednim skonfigurowaniu skróty haseł do użycia są przechowywane w domenie zarządzanej. Jeśli usuniesz domenę zarządzaną, wszystkie skróty haseł przechowywane w tym momencie również zostaną usunięte. Zsynchronizowane informacje o poświadczeniach w identyfikatorze Entra firmy Microsoft nie mogą być ponownie używane, jeśli później utworzysz inną domenę zarządzaną — należy ponownie skonfigurować synchronizację skrótów haseł w celu ponownego przechowywania skrótów haseł. Wcześniej przyłączone do domeny maszyny wirtualne lub użytkownicy nie będą mogli natychmiast uwierzytelniać się — identyfikator Entra firmy Microsoft musi wygenerować i zapisać skróty haseł w nowej domenie zarządzanej. Aby uzyskać więcej informacji, zobacz Proces synchronizacji skrótów haseł dla usług domenowych i microsoft Entra Połączenie.
Ważne
Firma Microsoft Entra Połączenie powinna być zainstalowana i skonfigurowana tylko do synchronizacji z lokalnymi środowiskami usług AD DS. Nie jest obsługiwane instalowanie Połączenie firmy Microsoft w domenie zarządzanej w celu synchronizowania obiektów z powrotem do identyfikatora Entra firmy Microsoft.
Lasy i relacje zaufania
Las jest konstrukcją logiczną używaną przez usługi domena usługi Active Directory Services (AD DS) do grupowania co najmniej jednej domeny. Następnie domeny przechowują obiekty dla użytkowników lub grup i zapewniają usługi uwierzytelniania.
W usługach Domain Services las zawiera tylko jedną domenę. Lokalne lasy usług AD DS często zawierają wiele domen. W dużych organizacjach, szczególnie po fuzjach i przejęciach, może się skończyć z wieloma lasami lokalnymi, które następnie zawierają wiele domen.
Domyślnie domena zarządzana synchronizuje wszystkie obiekty z identyfikatora Entra firmy Microsoft, w tym wszystkie konta użytkowników utworzone w lokalnym środowisku usług AD DS. Konta użytkowników mogą bezpośrednio uwierzytelniać się w domenie zarządzanej, na przykład w celu zalogowania się do maszyny wirtualnej przyłączonej do domeny. Takie podejście działa, gdy skróty haseł mogą być synchronizowane, a użytkownicy nie korzystają z ekskluzywnych metod logowania, takich jak uwierzytelnianie za pomocą karty inteligentnej.
W usługach Domain Services można również utworzyć jednokierunkową relację zaufania lasu, aby umożliwić użytkownikom logowanie się z lokalnych usług AD DS. W przypadku tego podejścia obiekty użytkownika i skróty haseł nie są synchronizowane z usługami Domain Services. Obiekty i poświadczenia użytkownika istnieją tylko w lokalnych usługach AD DS. Takie podejście umożliwia przedsiębiorstwom hostowanie zasobów i platform aplikacji na platformie Azure, które zależą od uwierzytelniania klasycznego, takiego jak LDAPS, Kerberos lub NTLM, ale wszelkie problemy z uwierzytelnianiem lub problemy są usuwane.
Jednostki SKU usług domenowych
W usługach Domain Services dostępna wydajność i funkcje są oparte na jednostce SKU. Podczas tworzenia domeny zarządzanej wybierasz jednostkę SKU i możesz przełączyć jednostki SKU w miarę zmiany wymagań biznesowych po wdrożeniu domeny zarządzanej. W poniższej tabeli przedstawiono dostępne jednostki SKU oraz różnice między nimi:
| Nazwa jednostki SKU | Maksymalna liczba obiektów | Częstotliwość wykonywania kopii zapasowych |
|---|---|---|
| Standardowa | Nieograniczony | Co 5 dni |
| Przedsiębiorstwa | Nieograniczony | Co 3 dni |
| Premium | Nieograniczony | Dziennie |
Przed tymi jednostkami SKU usług Domain Services użyto modelu rozliczeniowego na podstawie liczby obiektów (kont użytkowników i komputerów) w domenie zarządzanej. Nie ma już zmiennych cen na podstawie liczby obiektów w domenie zarządzanej.
Aby uzyskać więcej informacji, zobacz stronę cennika usług Domain Services.
Wydajność domeny zarządzanej
Wydajność domeny różni się w zależności od sposobu implementacji uwierzytelniania dla aplikacji. Dodatkowe zasoby obliczeniowe mogą pomóc skrócić czas odpowiedzi na zapytania i skrócić czas spędzony na operacjach synchronizacji. Wraz ze wzrostem poziomu jednostki SKU zwiększa się ilość zasobów obliczeniowych dostępnych dla domeny zarządzanej. Monitoruj wydajność aplikacji i zaplanuj wymagane zasoby.
Jeśli twoja firma lub aplikacja wymaga zmiany i potrzebujesz dodatkowej mocy obliczeniowej dla domeny zarządzanej, możesz przełączyć się na inną jednostkę SKU.
Częstotliwość wykonywania kopii zapasowych
Częstotliwość tworzenia kopii zapasowych określa, jak często jest wykonywana migawka domeny zarządzanej. Kopie zapasowe to zautomatyzowany proces zarządzany przez platformę Azure. W przypadku problemu z domeną zarządzaną pomoc techniczna platformy Azure może pomóc Ci w przywróceniu z kopii zapasowej. Ponieważ synchronizacja odbywa się tylko w jeden sposób z identyfikatora entra firmy Microsoft, wszelkie problemy w domenie zarządzanej nie będą mieć wpływu na identyfikator Entra firmy Microsoft ani lokalne środowiska i funkcje usług AD DS.
W miarę zwiększania się poziomu jednostki SKU częstotliwość tych migawek kopii zapasowych wzrasta. Przejrzyj wymagania biznesowe i cel punktu odzyskiwania (RPO), aby określić wymaganą częstotliwość tworzenia kopii zapasowych dla domeny zarządzanej. Jeśli wymagania biznesowe lub aplikacji ulegają zmianie i potrzebujesz częstszych kopii zapasowych, możesz przełączyć się na inną jednostkę SKU.
Następne kroki
Aby rozpocząć, utwórz domenę zarządzaną usług Domain Services.