Tworzenie zaufania lasu usługi Microsoft Entra Domain Services do domeny lokalnej przy użyciu programu Azure PowerShell (wersja zapoznawcza)

Organizacje często tworzą zaufanie w celu poprawy współpracy użytkowników, gdy mogą zarządzać tożsamościami w środowisku hybrydowym lub planują fuzję lub przejęcie. Usługi Microsoft Entra Domain Services zawsze obsługiwały jednokierunkowe relacje zaufania wychodzące z domeny zarządzanej do innej domeny. Obecnie w wersji zapoznawczej można również tworzyć jednokierunkowe relacje zaufania przychodzące lub dwukierunkowe relacje zaufania.

Na przykład w środowiskach, w których nie można zsynchronizować skrótów haseł lub masz użytkowników, którzy logują się wyłącznie przy użyciu kart inteligentnych, aby nie znali hasła, możesz utworzyć jednokierunkowe zaufanie wychodzące z usług Microsoft Entra Domain Services do co najmniej jednego lokalnego środowiska usług AD DS. Ta relacja zaufania umożliwia użytkownikom, aplikacjom i komputerom uwierzytelnianie w domenie lokalnej z domeny zarządzanej usług Domain Services. W takim przypadku lokalne skróty haseł nigdy nie są synchronizowane.

Z tego artykułu dowiesz się, jak wykonywać następujące działania:

• Tworzenie lasu usług Domain Services przy użyciu programu Azure PowerShell
• Utwórz jednokierunkowe wyjściowe zaufanie lasu w domenie zarządzanej przy użyciu Azure PowerShell
• Konfigurowanie systemu DNS w lokalnym środowisku usług AD DS w celu obsługi łączności z domeną zarządzaną
• Utwórz jednokierunkowe przychodzące zaufanie lasu w lokalnym środowisku AD DS.
• Testowanie i weryfikowanie relacji zaufania na potrzeby uwierzytelniania i dostępu do zasobów

Jeśli nie masz subskrypcji platformy Azure, utwórz konto przed rozpoczęciem.

Ważny

Lasy domen zarządzanych nie obsługują obecnie usługi Azure HDInsight ani Azure Files. Domyślne lasy domeny zarządzanej obsługują obie te dodatkowe usługi.

Warunki wstępne

Do ukończenia tego artykułu potrzebne są następujące zasoby i uprawnienia:

• Aktywna subskrypcja platformy Azure.

  • Jeśli nie masz subskrypcji platformy Azure, utwórz konto.

• Instancja Microsoft Entra powiązana z Państwa subskrypcją, zsynchronizowana z katalogiem lokalnym lub będąca katalogiem tylko w chmurze.

  • W razie potrzeby utwórz dzierżawę usługi Microsoft Entra lub skojarz subskrypcję platformy Azure z kontem.

• Instalowanie i konfigurowanie programu Azure PowerShell.

  • W razie potrzeby postępuj zgodnie z instrukcjami, aby zainstalować moduł Azure PowerShell i połączyć się z subskrypcją Azure.
  • Upewnij się, że logujesz się do subskrypcji Azure przy użyciu polecenia cmdlet Connect-AzAccount.

• Zainstaluj i skonfiguruj program MS Graph PowerShell.

  • W razie potrzeby postępuj zgodnie z instrukcjami, aby zainstalować moduł MS Graph PowerShell i połączyć się zMicrosoft Entra ID.
  • Upewnij się, że zalogujesz się do dzierżawy Microsoft Entra za pomocą polecenia cmdlet Connect-MgGraph.

• Aby włączyć Domain Services, musisz mieć w swojej dzierżawie role Microsoft Entra: administratora aplikacji oraz administratora grup.

• Aby utworzyć wymagane zasoby usług Domain Services, potrzebujesz roli Contributor dla Azure.

Zaloguj się do centrum administracyjnego firmy Microsoft Entra

W tym artykule utworzysz i skonfigurujesz zaufanie wychodzące do lasu z zarządzanej domeny przy użyciu centrum administracyjnego Microsoft Entra. Aby rozpocząć, najpierw zaloguj się do centrum administracyjnego Microsoft Entra.

Proces wdrażania

Jest to wieloczęściowy proces tworzenia lasu domen zarządzanych oraz relacji zaufania z lokalnie wdrożonymi usługami AD DS. Następujące ogólne kroki umożliwiają utworzenie zaufanego, hybrydowego środowiska:

1. Utwórz jednostkę usługi domeny zarządzanej.
2. Utwórz las domeny zarządzanej.
3. Utwórz łączność sieciową hybrydową przy użyciu sieci VPN typu lokacja-lokacja lub usługi Express Route.
4. Utwórz zarządzaną domenę powiązaną z relacją zaufania.
5. Utwórz lokalną stronę relacji zaufania usług AD DS.

Przed rozpoczęciem upewnij się, że rozumiesz zagadnienia dotyczące sieci , nazwy lasu i wymagania dns. Nie można zmienić nazwy lasu domeny zarządzanej po jej wdrożeniu.

Tworzenie jednostki usługi Microsoft Entra

Usługi Domain Services wymagają, aby główna jednostka usługi synchronizowała dane z identyfikatorem Microsoft Entra. Jednostkę główną musisz utworzyć w dzierżawie usługi Microsoft Entra przed utworzeniem lasu domeny zarządzanej.

Utwórz jednostkę usługi Microsoft Entra, aby Domain Services mogła się komunikować i uwierzytelniać. Została użyta aplikacja o nazwie Usługi Kontrolera Domeny z identyfikatorem 6ba9a5d4-8456-4118-b521-9c5ca10cdf84. Nie zmieniaj tego identyfikatora aplikacji.

Utwórz główne konto usługowe Microsoft Entra przy użyciu polecenia cmdlet New-MgServicePrincipal:

New-MgServicePrincipal

Tworzenie domeny zarządzanej

Aby utworzyć domenę zarządzaną, należy użyć skryptu New-AaddsResourceForest. Ten skrypt jest częścią szerszego zestawu poleceń obsługujących domeny zarządzane. Są one dostępne w galerii programu PowerShell. Są one podpisane cyfrowo przez zespół inżynierów firmy Microsoft Entra.

1. Najpierw utwórz grupę zasobów przy użyciu polecenia cmdlet New-AzResourceGroup. W poniższym przykładzie grupa zasobów nosi nazwę myResourceGroup i jest tworzona w regionie westus. Użyj własnej nazwy i żądanego regionu:

   New-AzResourceGroup `
     -Name "myResourceGroup" `
     -Location "WestUS"
   

2. Zainstaluj skrypt New-AaddsResourceForest z Galerii PowerShell przy użyciu polecenia cmdlet Install-Script :

   Install-Script -Name New-AaddsResourceForest
   

3. Zapoznaj się z następującymi parametrami wymaganymi dla skryptu New-AaddsResourceForest. Upewnij się, że posiadasz wymagane moduły programu Azure PowerShell i moduły programu Microsoft Graph PowerShell. Upewnij się, że zaplanowano wymagania dotyczące sieci wirtualnej w celu zapewnienia łączności aplikacji i środowiska lokalnego.

   Nazwa	Parametr skryptu	Opis
   Subskrypcja	—azureSubscriptionId	Identyfikator subskrypcji używany do rozliczeń usług Domain Services. Listę subskrypcji można uzyskać przy użyciu polecenia cmdlet Get-AzureRMSubscription.
   Grupa zasobów	-aaddsResourceGroupName	Nazwa grupy zasobów dla domeny zarządzanej i skojarzonych zasobów.
   Lokalizacja	-aaddsLocation	Region świadczenia usługi Azure do hostowania domeny zarządzanej. Aby uzyskać informacje o dostępnych regionach, zobacz obsługiwane regiony dla usług domenowych.
   Administrator usług domenowych	-aaddsAdminUser	Główna nazwa użytkownika pierwszego zarządzanego administratora domeny. To konto musi być istniejącym kontem użytkownika chmury w identyfikatorze Entra firmy Microsoft. Użytkownik oraz użytkownik uruchamiający skrypt są dodawani do grupy AAD DC Administratorzy.
   Nazwa domeny usług domenowych	-dodajeNazwęDomeny	Nazwa FQDN zarządzanej domeny, oparta na wcześniejszych wskazówkach dotyczących wyboru nazwy lasu.

   Skrypt New-AaddsResourceForest może utworzyć sieć wirtualną platformy Azure i podsieć usług Domain Services, jeśli te zasoby jeszcze nie istnieją. Skrypt może opcjonalnie utworzyć podsieci obciążenia, jeśli określono:

   Nazwa	Parametr skryptu	Opis
   Nazwa sieci wirtualnej	-aaddsVnetName	Nazwa sieci wirtualnej dla domeny zarządzanej.
   Przestrzeń adresowa	-aaddsVnetCIDRAddressSpace	Zakres adresów sieci wirtualnej w notacji CIDR (w przypadku tworzenia sieci wirtualnej).
   Nazwa podsieci usług Domenowych	-aaddsSubnetName	Nazwa podsieci aaddsVnetName sieci wirtualnej hostująca domenę zarządzaną. Nie wdrażaj własnych maszyn wirtualnych i obciążeń w tej podsieci.
   Zakres adresów usług Domenowych	-aaddsSubnetCIDRAddressRange	Zakres adresów podsieci w notacji CIDR dla wystąpienia usług domenowych, takich jak 192.168.1.0/24. Zakres adresów musi być zawarty w zakresie adresów sieci wirtualnej i różni się od innych podsieci.
   Nazwa podsieci obciążenia (opcjonalnie)	-workloadSubnetName	Opcjonalna nazwa podsieci wirtualnej w sieci aaddsVnetName, którą można utworzyć dla własnych obciążeń aplikacji. Zamiast tego maszyny wirtualne i aplikacje muszą być połączone z równorzędną siecią wirtualną platformy Azure.
   Zakres adresów zadań roboczych (opcjonalnie)	-workloadSubnetCIDRAddressRange	Opcjonalny zakres adresów podsieci w notacji CIDR dla obciążenia aplikacji, na przykład 192.168.2.0/24. Zakres adresów musi być zawarty w zakresie adresów sieci wirtualnej i różni się od innych podsieci.

4. Teraz utwórz las domeny zarządzanej przy użyciu skryptu New-AaddsResourceForest. Poniższy przykład tworzy las o nazwie addscontoso.com i tworzy podsieć obciążeń. Podaj własne nazwy parametrów i zakresy adresów IP lub istniejące sieci wirtualne.

   New-AaddsResourceForest `
       -azureSubscriptionId <subscriptionId> `
       -aaddsResourceGroupName "myResourceGroup" `
       -aaddsLocation "WestUS" `
       -aaddsAdminUser "contosoadmin@contoso.com" `
       -aaddsDomainName "aaddscontoso.com" `
       -aaddsVnetName "myVnet" `
       -aaddsVnetCIDRAddressSpace "192.168.0.0/16" `
       -aaddsSubnetName "AzureADDS" `
       -aaddsSubnetCIDRAddressRange "192.168.1.0/24" `
       -workloadSubnetName "myWorkloads" `
       -workloadSubnetCIDRAddressRange "192.168.2.0/24"
   

   Utworzenie lasu domeny zarządzanej i zasobów pomocniczych zajmuje sporo czasu. Pozwól na ukończenie skryptu. Przejdź do następnej sekcji, aby skonfigurować lokalną łączność sieciową, podczas gdy las Microsoft Entra aprowizuje się w tle.

Konfigurowanie i weryfikowanie ustawień sieci

W miarę kontynuowania wdrażania domeny zarządzanej skonfiguruj i zweryfikuj łączność sieci hybrydowej z lokalnym centrum danych. Do korzystania z domeny zarządzanej potrzebna jest również maszyna wirtualna zarządzania w celu regularnej konserwacji. Niektóre połączenia hybrydowe mogą już istnieć w twoim środowisku lub może być konieczne współdziałanie z innymi osobami w zespole w celu skonfigurowania połączeń.

Przed rozpoczęciem upewnij się, że rozumiesz zagadnienia i zalecenia dotyczące sieci .

1. Utwórz łączność hybrydową z siecią lokalną na platformie Azure przy użyciu sieci VPN platformy Azure lub połączenia usługi Azure ExpressRoute. Konfiguracja sieci hybrydowej wykracza poza zakres tej dokumentacji i może już istnieć w twoim środowisku. Aby uzyskać szczegółowe informacje na temat konkretnych scenariuszy, zobacz następujące artykuły:

   • VPN typu lokacja-lokacja platformy Azure.
   • Omówienie usługi Azure ExpressRoute.

   Ważny

   Jeśli tworzysz połączenie bezpośrednio z siecią wirtualną swojej zarządzanej domeny, użyj osobnej podsieci bramowej. Nie twórz bramy w podsieci domeny zarządzanej.

2. Aby administrować domeną zarządzaną, należy utworzyć maszynę wirtualną zarządzania, dołączyć ją do domeny zarządzanej i zainstalować wymagane narzędzia do zarządzania usługAMI AD DS.

   Podczas wdrażania domeny zarządzanej utworzyć maszynę wirtualną z systemem Windows Server następnie zainstalować podstawowe narzędzia do zarządzania usługAMI AD DS do zainstalowania wymaganych narzędzi do zarządzania. Poczekaj z dołączeniem maszyny wirtualnej zarządzania do domeny zarządzanej do czasu wykonania jednego z poniższych kroków po pomyślnym wdrożeniu domeny.

3. Zweryfikuj łączność sieciową między siecią lokalną a siecią wirtualną platformy Azure.

   • Upewnij się, że lokalny kontroler domeny może nawiązać połączenie z zarządzaną maszyną wirtualną przy użyciu ping lub pulpitu zdalnego, na przykład.
   • Sprawdź, czy maszyna wirtualna zarządzania może nawiązać połączenie z lokalnymi kontrolerami domeny, ponownie przy użyciu narzędzia takiego jak ping.

4. W centrum administracyjnym firmy Microsoft Entra wyszukaj i wybierz pozycję Microsoft Entra Domain Services. Wybierz domenę zarządzaną, taką jak aaddscontoso.com , i poczekaj, aż stan będzie oznaczony jako Uruchomiona.

   Podczas uruchamiania zaktualizować ustawienia DNS dla sieci wirtualnej platformy Azure, a następnie włączyć konta użytkowników dla usług Domain Services, aby sfinalizować konfiguracje domeny zarządzanej.

5. Zanotuj adresy DNS wyświetlane na stronie przeglądu. Te adresy są potrzebne podczas konfigurowania lokalnej strony usługi Active Directory w ramach relacji zaufania w poniższej sekcji.

6. Uruchom ponownie maszynę wirtualną zarządzania, aby otrzymać nowe ustawienia DNS, a następnie dołączyć maszynę wirtualną do domeny zarządzanej.

7. Po dołączeniu maszyny wirtualnej zarządzania do domeny zarządzanej połącz się ponownie przy użyciu pulpitu zdalnego.

   W wierszu polecenia użyj nslookup i nazwy domeny zarządzanej, aby zweryfikować rozpoznawanie nazw lasu.

   nslookup aaddscontoso.com
   

   Polecenie powinno zwrócić dwa adresy IP przypisane do lasu.

Utworzenie funduszu leśnego

Zaufanie lasów ma dwie części — jednokierunkowe wychodzące zaufanie do lasu w domenie zarządzanej oraz jednokierunkowe przychodzące zaufanie do lasu w lokalnym lesie AD DS. Ręcznie utworzysz obie strony tej relacji zaufania. Po utworzeniu obu stron użytkownicy i zasoby mogą pomyślnie uwierzytelniać się przy użyciu zaufania lasu. Domena zarządzana może obsługiwać do pięciu jednokierunkowych relacji zaufania lasów wychodzących do lokalnych lasów.

Utwórz część zarządzanej domeny w ramach relacji zaufania

Użyj skryptu Add-AaddsResourceForestTrust, aby utworzyć stronę domeny zarządzanej relacji zaufania. Najpierw zainstaluj skrypt Add-AaddsResourceForestTrust z galerii PowerShell , używając polecenia cmdlet Install-Script .

Install-Script -Name Add-AaddsResourceForestTrust

Teraz podaj skryptowi te następujące informacje.

Nazwa	Parametr skryptu	Opis
Nazwa domeny Usług Domenowych	-ManagedDomainFqdn	Nazwa FQDN domeny zarządzanej, taka jak aaddscontoso.com
Nazwa domeny lokalnej usługi Active Directory DS	-TrustFqdn	Pełna nazwa domeny (FQDN) zaufanego lasu, na przykład onprem.contoso.com
Przyjazna nazwa dla zaufania	-TrustFriendlyName	Przyjazna nazwa relacji zaufania.
Lokalne adresy IP DNS usług AD DS	-TrustDnsIPs	Rozdzielana przecinkami lista adresów IPv4 serwera DNS dla zaufanej domeny na liście.
Hasło zaufania	-TrustPassword	Złożone hasło dla relacji zaufania. Hasło to jest również wprowadzane przy tworzeniu jednokierunkowego zaufania przychodzącego w środowisku lokalnym usługi AD DS.
Poświadczenia	- Uprawnienia	Poświadczenia używane do uwierzytelniania na platformie Azure. Użytkownik musi być członkiem grupy Administratorów AAD DC. Jeśli nie zostanie podany, skrypt wyświetli monit o uwierzytelnienie.

Poniższy przykład tworzy relację zaufania o nazwie myAzureADDSTrust do onprem.contoso.com. Użyj własnych nazw parametrów i haseł:

Add-AaddsResourceForestTrust `
    -ManagedDomainFqdn "aaddscontoso.com" `
    -TrustFqdn "onprem.contoso.com" `
    -TrustFriendlyName "myAzureADDSTrust" `
    -TrustDnsIPs "10.0.1.10,10.0.1.11" `
    -TrustPassword <complexPassword>

Ważny

Zapamiętaj hasło zaufania. To samo hasło należy użyć podczas tworzenia lokalnej strony zaufania.

Konfigurowanie systemu DNS w domenie lokalnej

Aby poprawnie rozwiązać zarządzaną domenę ze środowiska lokalnego, może być konieczne dodanie przekierowujących do istniejących serwerów DNS. Jeśli środowisko lokalne nie zostało skonfigurowane do komunikowania się z domeną zarządzaną, wykonaj następujące kroki z poziomu stacji roboczej zarządzania dla lokalnej domeny usług AD DS:

1. Wybierz pozycję Start | Narzędzia administracyjne | DNS
2. Kliknij prawym przyciskiem myszy na serwer DNS, taki jak myAD01, a następnie wybierz Właściwości
3. Wybierz Przekierowania, a następnie Edytuj, aby dodać dodatkowych przekierowań.
4. Dodaj adresy IP domeny zarządzanej, takie jak 10.0.1.4 i 10.0.1.5.
5. W lokalnym wierszu polecenia zweryfikuj rozpoznawanie nazw przy użyciu nslookup nazwy domeny zarządzanej. Na przykład Nslookup aaddscontoso.com powinny zwrócić dwa adresy IP dla domeny zarządzanej.

Utwórz przychodzące zaufanie lasu w lokalnej domenie

Domena lokalna AD DS wymaga przychodzącego zaufania lasu dla zarządzanej domeny. To zaufanie musi zostać utworzone ręcznie w lokalnej domenie usług AD DS. Nie można jej utworzyć w centrum administracyjnym firmy Microsoft Entra.

Aby skonfigurować zaufanie przychodzące w lokalnej domenie usług AD DS, wykonaj następujące kroki z poziomu stacji roboczej zarządzania dla lokalnej domeny usług AD DS:

1. Wybierz Start | Narzędzia administracyjne | Domeny i zaufania Active Directory
2. Kliknij prawym przyciskiem myszy domenę, taką jak onprem.contoso.com, a następnie wybierz pozycję Właściwości
3. Wybierz kartę Trusts, a następnie New Trust
4. Wprowadź nazwę domeny zarządzanej, na przykład aaddscontoso.com, a następnie wybierz pozycję Dalej
5. Wybierz opcję utworzenia zaufania typu las , a następnie utwórz zaufanie jednokierunkowe: przychodzące .
6. Wybierz opcję utworzenia zaufania wyłącznie dla tej domeny . W następnym kroku utworzysz zaufanie w centrum administracyjnym firmy Microsoft Entra dla domeny zarządzanej.
7. Wybierz opcję użycia uwierzytelniania na poziomie lasu, a następnie wprowadź i potwierdź zaufane hasło. To samo hasło jest również wprowadzane w centrum administracyjnym firmy Microsoft Entra w następnej sekcji.
8. Przejdź przez kolejne okna z domyślnymi ustawieniami, a następnie wybierz opcję Nie, nie potwierdzaj wychodzącego zaufania. Nie można zweryfikować relacji zaufania, ponieważ delegowane konto administratora do domeny zarządzanej nie ma wymaganych uprawnień. To zachowanie jest zgodnie z projektem.
9. Wybierz Zakończ

Weryfikowanie uwierzytelniania zasobów

Następujące typowe scenariusze umożliwiają sprawdzenie, czy zaufanie lasu prawidłowo uwierzytelnia użytkowników i dostęp do zasobów:

• Uwierzytelnianie użytkownika lokalnego w lesie usług domenowych
• Dostęp do zasobów w lesie usług katalogowych jako użytkownik lokalny
  • Włączanie udostępniania plików i drukarek
  • Tworzenie grupy zabezpieczeń i dodawanie członków
  • Utwórz udostępnianie plików dla dostępu między lasami
  • Zweryfikuj uwierzytelnianie międzylasowe na zasób

Uwierzytelnianie użytkowników lokalnych z lasu usług domenowych

Maszyna wirtualna z systemem Windows Server powinna być przyłączona do domeny zasobów domeny zarządzanej. Użyj tej maszyny wirtualnej, aby przetestować, czy użytkownik lokalny może się uwierzytelnić na maszynie wirtualnej.

1. Połącz się z maszyną wirtualną z systemem Windows Server przyłączonym do domeny zarządzanej przy użyciu pulpitu zdalnego i poświadczeń administratora domeny zarządzanej. Jeśli wystąpi błąd uwierzytelniania na poziomie sieci (NLA), sprawdź, czy użyte konto użytkownika nie jest kontem użytkownika domeny.

   Napiwek

   Aby bezpiecznie nawiązać połączenie z maszynami wirtualnymi dołączonymi do usług Microsoft Entra Domain Services, możesz użyć usługi hosta Azure Bastion w obsługiwanych regionach platformy Azure.

2. Otwórz wiersz polecenia i użyj polecenia whoami, aby wyświetlić nazwę wyróżniającą aktualnie uwierzytelnionego użytkownika:

   whoami /fqdn
   

3. Użyj polecenia runas, aby uwierzytelnić się jako użytkownik z domeny lokalnej. W poniższym poleceniu zastąp userUpn@trusteddomain.com nazwą UPN użytkownika z zaufanej domeny lokalnej. Polecenie monituje użytkownika o podanie hasła:

   Runas /u:userUpn@trusteddomain.com cmd.exe
   

4. Jeśli uwierzytelnianie zakończy się pomyślnie, zostanie otwarty nowy wiersz polecenia. Tytuł nowego wiersza polecenia zawiera running as userUpn@trusteddomain.com.

5. Użyj whoami /fqdn w nowym wierszu polecenia, aby wyświetlić nazwę wyróżniającą uwierzytelnionego użytkownika z lokalnej usługi Active Directory.

Uzyskiwanie dostępu do zasobów w usługach Domain Services jako użytkownik lokalny

Korzystając z maszyny wirtualnej z systemem Windows Server przyłączonej do domeny zarządzanej, można przetestować scenariusz, w którym użytkownicy mogą uzyskiwać dostęp do zasobów hostowanych w lesie podczas uwierzytelniania z komputerów w domenie lokalnej z użytkownikami z domeny lokalnej. W poniższych przykładach pokazano, jak utworzyć i przetestować różne typowe scenariusze.

Włączanie udostępniania plików i drukarek

1. Połącz się z maszyną wirtualną z systemem Windows Server przyłączonym do domeny zarządzanej przy użyciu pulpitu zdalnego i poświadczeń administratora domeny zarządzanej. Jeśli wystąpi błąd uwierzytelniania na poziomie sieci (NLA), sprawdź, czy użyte konto użytkownika nie jest kontem użytkownika domeny.

   Napiwek

   Aby bezpiecznie nawiązać połączenie z maszynami wirtualnymi dołączonymi do usług Microsoft Entra Domain Services, możesz użyć usługi hosta Azure Bastion w obsługiwanych regionach platformy Azure.

2. Otwórz ustawienia systemu Windows, a następnie wyszukaj i wybierz Centrum sieci i udostępniania.

3. Wybierz opcję Zmień zaawansowane ustawienia udostępniania.

4. W obszarze profilu domenywybierz pozycję Włącz udostępnianie plików i drukarek, a następnie Zapisz zmiany.

5. Zamknij Centrum sieci i udostępniania.

Tworzenie grupy zabezpieczeń i dodawanie członków

1. Otwórz Użytkownicy i Komputery Active Directory.

2. Wybierz prawym przyciskiem nazwę domeny, wybierz pozycję Nowy, a następnie wybierz pozycję Jednostka organizacyjna.

3. W polu nazwy wpisz LocalObjects, a następnie wybierz pozycję OK.

4. Wybierz i kliknij prawym przyciskiem myszy LocalObjects w okienku nawigacji. Wybierz pozycję Nowy, a następnie Grupę.

5. Wpisz FileServerAccess w polu Nazwa grupy. Dla zakresu grupywybierz pozycję Domena lokalna, a następnie wybierz pozycję OK.

6. W okienku zawartości kliknij dwukrotnie FileServerAccess. Wybierz Członkowie, następnie wybierz Dodaj, a potem Lokalizacje.

7. Wybierz lokalnie zainstalowaną usługę Active Directory z widoku Lokalizacja, a następnie wybierz OK.

8. Wpisz Użytkownicy domeny w polu Wprowadź nazwy obiektów, aby wybrać. Wybierz pozycję Sprawdź nazwy, podaj poświadczenia dla lokalnej usługi Active Directory, a następnie wybierz pozycję OK.

   Notatka

   Musisz podać poświadczenia, ponieważ relacja zaufania jest tylko jednym ze sposobów. Oznacza to, że użytkownicy z domeny zarządzanej nie mogą uzyskiwać dostępu do zasobów ani wyszukiwać użytkowników lub grup w domenie zaufanej (lokalnej).

9. Grupa "Domain Users " z lokalnego Active Directory powinna być członkiem grupy FileServerAccess. Wybierz pozycję OK, aby zapisać grupę i zamknąć okno.

Tworzenie zasobu plikowego na potrzeby dostępu pomiędzy lasami

1. Na maszynie wirtualnej z systemem Windows Server przyłączonej do domeny zarządzanej utwórz folder i podaj nazwę, taką jak CrossForestShare.
2. Kliknij prawym przyciskiem myszy folder i wybierz właściwości .
3. Wybierz kartę zabezpieczeń, a następnie wybierz pozycję Edytuj.
4. W oknie dialogowym uprawnienia CrossForestShare wybierz pozycję Dodaj.
5. Wpisz FileServerAccess w Wprowadź nazwy obiektów, aby wybrać, a następnie wybierz pozycję OK.
6. Wybierz pozycję FileServerAccess z listy Grupy lub nazwy użytkowników. Na liście Uprawnienia funkcji FileServerAccess wybierz Zezwalaj na Modyfikowanie i uprawnienia zapisu, a następnie wybierz pozycję OK.
7. Wybierz kartę Udostępnianie, a następnie wybierz pozycję Zaawansowane udostępnianie...
8. Wybierz pozycję Udostępnij ten folder, a następnie wprowadź łatwą do zapamiętania nazwę udziału plików w Nazwę udziału plików, np. CrossForestShare.
9. Wybierz pozycję Uprawnienia. Na liście Uprawnienia dla wszystkich wybierz pozycję Zezwalaj na dla uprawnienia Zmień.
10. Wybierz przycisk OK dwa razy, a następnie Zamknij.

Zweryfikuj uwierzytelnianie między domenami lasów do zasobu

1. Zaloguj się na komputerze z systemem Windows przyłączonym do lokalnej usługi Active Directory przy użyciu konta użytkownika z lokalnej usługi Active Directory.

2. Za pomocą Eksploratora Windows połącz się z udziałem, który utworzyłeś, przy użyciu w pełni kwalifikowanej nazwy hosta i udziału, takiego jak \\fs1.aaddscontoso.com\CrossforestShare.

3. Aby zweryfikować uprawnienie do zapisu, wybierz prawym przyciskiem myszy w folderze, wybierz pozycję Nowy, a następnie wybierz pozycję Dokument tekstowy. Użyj nazwy domyślnej nowy dokument tekstowy.

   Jeśli uprawnienia do zapisu są ustawione poprawnie, zostanie utworzony nowy dokument tekstowy. Poniższe kroki będą następnie otwierać, edytować i usuwać plik odpowiednio.

4. Aby zweryfikować uprawnienie do odczytu, otwórz Nowy Dokument Tekstowy.

5. Aby zweryfikować uprawnienie modyfikacji, dodaj tekst do pliku i zamknij Notatnik. Po wyświetleniu monitu o zapisanie zmian wybierz pozycję Zapisz.

6. Aby zweryfikować uprawnienie do usuwania, wybierz prawym przyciskiem nowy dokument tekstowy i wybierz Usuń. Wybierz pozycję Tak, aby potwierdzić usunięcie pliku.

Aktualizowanie lub usuwanie zewnętrznego zaufania międzylasowego

Jeśli musisz zaktualizować istniejący jednokierunkowy las wychodzący z domeny zarządzanej, możesz użyć skryptów Get-AaddsResourceForestTrusts i Set-AaddsResourceForestTrust. Te skrypty pomagają w scenariuszach, w których chcesz zaktualizować przyjazną nazwę zaufania dla lasu lub hasło zaufania. Aby usunąć jednokierunkowe wychodzące zaufanie z domeny zarządzanej, możesz użyć skryptu Remove-AaddsResourceForestTrust. Należy ręcznie usunąć przychodzące jednokierunkowe zaufanie lasu w skojarzonym lokalnym lesie usług AD DS.

Aktualizacja trustu leśnego

W normalnej operacji domena zarządzana i las lokalny negocjują zwykły proces aktualizacji haseł między sobą. Jest to część normalnego procesu zabezpieczeń relacji zaufania usług AD DS. Nie musisz ręcznie obracać hasła zaufania, chyba że relacja zaufania napotkała problem i chcesz ręcznie zresetować znane hasło. Aby uzyskać więcej informacji, zobacz zmiany hasła obiektu zaufanej domeny.

W poniższych przykładowych krokach pokazano, jak zaktualizować istniejącą relację zaufania, jeśli musisz ręcznie zresetować hasło zaufania ruchu wychodzącego:

1. Zainstaluj skrypty Get-AaddsResourceForestTrusts i Set-AaddsResourceForestTrust z galerii programu PowerShell przy użyciu polecenia cmdlet Install-Script:

   Install-Script -Name Get-AaddsResourceForestTrusts,Set-AaddsResourceForestTrust
   

2. Zanim będzie można zaktualizować istniejącą relację zaufania, najpierw uzyskaj zasób zaufania przy użyciu skryptu Get-AaddsResourceForestTrusts. W poniższym przykładzie istniejąca relacja zaufania jest przypisywana do obiektu o nazwie existingTrust. Określ własną nazwę lasu domeny zarządzanej i nazwę lasu lokalnego, aby zaktualizować:

   $existingTrust = Get-AaddsResourceForestTrust `
       -ManagedDomainFqdn "aaddscontoso.com" `
       -TrustFqdn "onprem.contoso.com" `
       -TrustFriendlyName "myAzureADDSTrust"
   

3. Aby zaktualizować istniejące hasło zaufania, użyj skryptu Set-AaddsResourceForestTrust. Określ istniejący obiekt zaufania z poprzedniego kroku, a następnie nowe hasło relacji zaufania. W programie PowerShell nie jest wymuszana złożoność hasła, dlatego upewnij się, że w środowisku jest generowane i używane bezpieczne hasło.

   Set-AaddsResourceForestTrust `
       -Trust $existingTrust `
       -TrustPassword <newComplexPassword>
   

Usuń powiernictwo leśne

Jeśli nie potrzebujesz już jednokierunkowego wychodzącego zaufania między lasami z zarządzanej domeny do lokalnego lasu AD DS, możesz je usunąć. Przed usunięciem zaufania upewnij się, że żadne aplikacje lub usługi nie muszą uwierzytelniać się w lokalnym lesie usług AD DS. Należy ręcznie usunąć jednokierunkową relację zaufania przychodzącego w lokalnym lesie usług AD DS.

1. Zainstaluj skrypt Remove-AaddsResourceForestTrust z Galerii PowerShell przy użyciu polecenia cmdlet Install-Script :

   Install-Script -Name Remove-AaddsResourceForestTrust
   

2. Usuń teraz zaufanie dla lasu przy użyciu skryptu Remove-AaddsResourceForestTrust. W poniższym przykładzie zaufanie o nazwie myAzureADDSTrust między zarządzanym lasem domenowym o nazwie aaddscontoso.com a lokalnym lasem onprem.contoso.com zostanie usunięte. Określ własną nazwę lasu domeny zarządzanej i nazwę lasu lokalnego, aby usunąć:

   Remove-AaddsResourceForestTrust `
       -ManagedDomainFqdn "aaddscontoso.com" `
       -TrustFqdn "onprem.contoso.com" `
       -TrustFriendlyName "myAzureADDSTrust"
   

Aby usunąć jednokierunkowe zaufanie przychodzące z lokalnego lasu AD DS, połącz się z komputerem zarządzającym, który ma dostęp do lokalnego lasu AD DS, i wykonaj następujące kroki:

1. Wybierz pozycję Start | Narzędzia administracyjne | Domeny i relacje zaufania usługi Active Directory.
2. Kliknij prawym przyciskiem myszy na domenę, np. onprem.contoso.com, i wybierz pozycję Właściwości.
3. Wybierz kartę Zaufania, a następnie wybierz istniejące zaufanie przychodzące z zarządzanego lasu domen.
4. Wybierz pozycję Usuń, a następnie potwierdź, że chcesz usunąć zaufanie przychodzące.

Następne kroki

W tym artykule pokazano, jak wykonać następujące działania:

• Tworzenie domeny zarządzanej przy użyciu programu Azure PowerShell
• Utwórz jednokierunkowe zaufanie lasu wychodzące w domenie zarządzanej, korzystając z Azure PowerShell
• Konfigurowanie systemu DNS w lokalnym środowisku usług AD DS w celu obsługi łączności z domeną zarządzaną
• Utwórz jednokierunkowe przychodzące zaufanie lasu w lokalnym środowisku AD DS.
• Testowanie i weryfikowanie relacji zaufania na potrzeby uwierzytelniania i dostępu do zasobów

Aby uzyskać więcej informacji koncepcyjnych na temat typów lasów w usługach Domain Services, zobacz Jak działają zaufania lasów w usługach Domain Services?

Connect-MgGraph: /powershell/microsoftgraph/authentication-commands

New-MgServicePrincipal: /powershell/module/microsoft.graph.applications/new-mgserviceprincipal