Tworzenie jednostki organizacyjnej (OU) w domenie zarządzanej usług Microsoft Entra Domain Services
Jednostki organizacyjne (OU) w domenie zarządzanej usług domena usługi Active Directory (AD DS) umożliwiają logiczne grupowanie obiektów, takich jak konta użytkowników, konta usług lub konta komputerów. Następnie można przypisać administratorów do określonych jednostek organizacyjnych i zastosować zasady grupy w celu wymuszenia docelowych ustawień konfiguracji.
Domeny zarządzane usług Domenowych obejmują następujące dwie wbudowane jednostki organizacyjne:
- Komputery AADDC — zawiera obiekty komputerów dla wszystkich komputerów, które są przyłączone do domeny zarządzanej.
- Użytkownicy usługi AADDC — obejmuje użytkowników i grupy synchronizowane z dzierżawy firmy Microsoft Entra.
Podczas tworzenia i uruchamiania obciążeń korzystających z usług Domain Services może być konieczne utworzenie kont usług dla aplikacji w celu uwierzytelnienia się. Aby zorganizować te konta usług, często należy utworzyć niestandardową jednostkę organizacyjną w domenie zarządzanej, a następnie utworzyć konta usług w ramach tej jednostki organizacyjnej.
W środowisku hybrydowym jednostki organizacyjne utworzone w lokalnym środowisku usług AD DS nie są synchronizowane z domeną zarządzaną. Domeny zarządzane używają płaskiej struktury jednostki organizacyjnej. Wszystkie konta użytkowników i grupy są przechowywane w kontenerze AADDC Users , mimo że są synchronizowane z różnych domen lokalnych lub lasów, nawet jeśli skonfigurowano hierarchiczną strukturę jednostki organizacyjnej.
W tym artykule pokazano, jak utworzyć jednostkę organizacyjną w domenie zarządzanej.
Zanim rozpoczniesz
Do ukończenia tego artykułu potrzebne są następujące zasoby i uprawnienia:
- Aktywna subskrypcja platformy Azure.
- Jeśli nie masz subskrypcji platformy Azure, utwórz konto.
- Dzierżawa firmy Microsoft Entra skojarzona z twoją subskrypcją, zsynchronizowana z katalogiem lokalnym lub katalogiem tylko w chmurze.
- W razie potrzeby utwórz dzierżawę firmy Microsoft Entra lub skojarz subskrypcję platformy Azure z twoim kontem.
- Domena zarządzana usług Microsoft Entra Domain Services jest włączona i skonfigurowana w dzierżawie firmy Microsoft Entra.
- W razie potrzeby ukończ samouczek, aby utworzyć i skonfigurować domenę zarządzaną usług Microsoft Entra Domain Services.
- Maszyna wirtualna zarządzania systemem Windows Server przyłączona do domeny zarządzanej usług domenowych.
- W razie potrzeby ukończ samouczek, aby utworzyć maszynę wirtualną zarządzania.
- Konto użytkownika, które jest członkiem grupy administratorów firmy Microsoft Entra DC w dzierżawie firmy Microsoft Entra.
Zagadnienia i ograniczenia dotyczące niestandardowej jednostki organizacyjnej
Podczas tworzenia niestandardowych jednostek organizacyjnych w domenie zarządzanej uzyskujesz dodatkową elastyczność zarządzania zarządzaniem użytkownikami i stosowanie zasad grupy. W porównaniu z lokalnym środowiskiem usług AD DS istnieją pewne ograniczenia i zagadnienia dotyczące tworzenia niestandardowej struktury jednostki organizacyjnej w domenie zarządzanej i zarządzania nią:
- Aby utworzyć niestandardowe jednostki organizacyjne, użytkownicy muszą należeć do grupy Administracja istratorów kontrolera domeny usługi AAD.
- Użytkownik tworzący niestandardową jednostkę organizacyjną ma przyznane uprawnienia administracyjne (pełna kontrola) nad tym jednostkami organizacyjnymi i jest właścicielem zasobu.
- Domyślnie grupa kontrolerów domeny usługi AAD Administracja istrators ma również pełną kontrolę nad niestandardową jednostki organizacyjnej.
- Zostanie utworzona domyślna jednostka organizacyjna dla użytkowników usługi AADDC zawierająca wszystkie zsynchronizowane konta użytkowników z dzierżawy firmy Microsoft Entra.
- Nie można przenieść użytkowników lub grup z jednostki organizacyjnej Użytkownicy usługi AADDC do niestandardowych jednostek organizacyjnych utworzonych przez Użytkownika. Do niestandardowych jednostek organizacyjnych można przenosić tylko konta użytkowników lub zasoby utworzone w domenie zarządzanej.
- Konta użytkowników, grupy, konta usług i obiekty komputerów utworzone w ramach niestandardowych jednostek organizacyjnych nie są dostępne w dzierżawie usługi Microsoft Entra.
- Te obiekty nie są wyświetlane przy użyciu interfejsu API programu Microsoft Graph ani w interfejsie użytkownika firmy Microsoft Entra; są one dostępne tylko w domenie zarządzanej.
Tworzenie niestandardowej jednostki organizacyjnej
Aby utworzyć niestandardową jednostkę organizacyjną, należy użyć Administracja istrative Tools usługi Active Directory z maszyny wirtualnej przyłączonej do domeny. Usługa Active Directory Administracja istrative Center umożliwia wyświetlanie, edytowanie i tworzenie zasobów w domenie zarządzanej, w tym jednostek organizacyjnych.
Uwaga
Aby utworzyć niestandardową jednostkę organizacyjną w domenie zarządzanej, musisz zalogować się do konta użytkownika, które jest członkiem grupy usługi AAD DC Administracja istrators.
Zaloguj się do maszyny wirtualnej zarządzania. Aby uzyskać instrukcje dotyczące nawiązywania połączenia przy użyciu centrum administracyjnego firmy Microsoft Entra, zobacz Połączenie z maszyną wirtualną z systemem Windows Server.
Na ekranie startowym wybierz pozycję narzędzia Administracja istrative Tools. Zostanie wyświetlona lista dostępnych narzędzi do zarządzania, które zostały zainstalowane w samouczku w celu utworzenia maszyny wirtualnej zarządzania.
Aby utworzyć jednostki organizacyjne i zarządzać nimi, wybierz pozycję Active Directory Administracja istrative Center z listy narzędzi administracyjnych.
W okienku po lewej stronie wybierz domenę zarządzaną, taką jak aaddscontoso.com. Zostanie wyświetlona lista istniejących jednostek organizacyjnych i zasobów:
Okienko Zadania jest wyświetlane po prawej stronie centrum usługi Active Directory Administracja istrative Center. W domenie, takiej jak aaddscontoso.com, wybierz pozycję Nowa > jednostka organizacyjna.
W oknie dialogowym Tworzenie jednostki organizacyjnej określ nazwę nowej jednostki organizacyjnej, na przykład MyCustomOu. Podaj krótki opis jednostki organizacyjnej, taki jak niestandardowa jednostka organizacyjna dla kont usług. W razie potrzeby można również ustawić pole Zarządzane przez dla jednostki organizacyjnej. Aby utworzyć niestandardową jednostkę organizacyjną, wybierz przycisk OK.
Po powrocie do usługi Active Directory Administracja istrative Center niestandardowa jednostka organizacyjna jest teraz wyświetlana i jest dostępna do użycia:
Następne kroki
Aby uzyskać więcej informacji na temat korzystania z narzędzi administracyjnych lub tworzenia kont usług i korzystania z nich, zobacz następujące artykuły: