Samouczek: tworzenie maszyny wirtualnej zarządzania w celu skonfigurowania i administrowania domeną zarządzaną usług Microsoft Entra Domain Services

Usługi microsoft Entra Domain Services udostępniają zarządzane usługi domenowe, takie jak przyłączenie do domeny, zasady grupy, protokół LDAP i uwierzytelnianie Kerberos/NTLM, które jest w pełni zgodne z usługą Active Directory systemu Windows Server. Zarządzasz tą domeną zarządzaną przy użyciu tych samych narzędzi administracji zdalnej serwera (RSAT) co w lokalnej domenie usług Active Directory Domain Services. Ponieważ usługi Domain Services to usługa zarządzana, istnieją pewne zadania administracyjne, których nie można wykonać, takie jak używanie protokołu RDP (Remote Desktop Protocol) w celu nawiązania połączenia z kontrolerami domeny.

W tym samouczku pokazano, jak skonfigurować maszynę wirtualną z systemem Windows Server na platformie Azure i zainstalować wymagane narzędzia do administrowania domeną zarządzaną usług Domain Services.

Z tego samouczka dowiesz się, jak wykonywać następujące działania:

• Omówienie dostępnych zadań administracyjnych w domenie zarządzanej
• Instalowanie narzędzi administracyjnych usługi Active Directory na maszynie wirtualnej z systemem Windows Server
• Wykonywanie typowych zadań za pomocą Centrum administracyjnego usługi Active Directory

Jeśli nie masz subskrypcji platformy Azure, utwórz konto przed rozpoczęciem.

Warunki wstępne

Do ukończenia tego samouczka potrzebne są następujące zasoby i uprawnienia:

• Aktywna subskrypcja platformy Azure.
  • Jeśli nie masz subskrypcji platformy Azure, utwórz konto.
• Dzierżawa firmy Microsoft Entra skojarzona z twoją subskrypcją, zsynchronizowana z katalogiem lokalnym lub katalogiem tylko w chmurze.
  • W razie potrzeby utwórz dzierżawcę usługi Microsoft Entra lub połącz subskrypcję platformy Azure z kontem.
• Domena zarządzana przez Microsoft Entra Domain Services jest włączona i skonfigurowana w dzierżawie Microsoft Entra.
  • W razie potrzeby zapoznaj się z pierwszym samouczkiem, aby utworzyć i skonfigurować zarządzaną domenę w usłudze Microsoft Entra Domain Services.
• Maszyna wirtualna z systemem Windows Server przyłączona do domeny zarządzanej.
  • Jeśli to konieczne, zapoznaj się z poprzednim samouczkiem, aby utworzyć maszynę wirtualną z systemem Windows Server i dołączyć ją do domeny zarządzanej.
• Konto użytkownika, które jest członkiem grupy administratorów Microsoft Entra DC w dzierżawie Microsoft Entra.
• Host Azure Bastion wdrożony w wirtualnej sieci usług Domain Services.
  • W razie potrzeby utwórz hosta usługi Azure Bastion.

Zaloguj się do centrum administracyjnego firmy Microsoft Entra

W tym samouczku utworzysz i skonfigurujesz maszynę wirtualną do zarządzania przy użyciu centrum administracyjnego Microsoft Entra. Aby rozpocząć, najpierw zaloguj się do centrum administracyjnego Microsoft Entra.

Dostępne zadania administracyjne w usługach domenowych

Usługi Domain Services udostępniają domenę zarządzaną dla użytkowników, aplikacji i usług do korzystania. To podejście zmienia niektóre z dostępnych zadań zarządzania, które można wykonać i jakie uprawnienia masz w domenie zarządzanej. Te zadania i uprawnienia mogą być inne niż w przypadku zwykłego lokalnego środowiska usług Active Directory Domain Services. Nie można również nawiązać połączenia z kontrolerami domeny w domenie zarządzanej przy użyciu pulpitu zdalnego.

Zadania administracyjne, które można wykonać w domenie zarządzanej

Członkowie grupy Administratorzy AAD DC mają przyznane uprawnienia w zarządzanej domenie, które umożliwiają im wykonywanie zadań, takich jak:

• Skonfiguruj wbudowany obiekt zasad grupy (GPO) dla kontenerów Komputery AADDC oraz Użytkownicy AADDC w zarządzanej domenie.
• Administrowanie systemem DNS w domenie zarządzanej.
• Tworzenie i administrowanie niestandardowymi jednostkami organizacyjnymi w domenie zarządzanej.
• Uzyskaj dostęp administracyjny do komputerów przyłączonych do domeny zarządzanej.

Uprawnienia administracyjne, których nie masz w domenie zarządzanej

Domena zarządzana jest zablokowana, więc nie masz uprawnień do wykonywania pewnych zadań administracyjnych w domenie. Niektóre z poniższych przykładów to zadania, których nie można wykonać:

• Rozszerzanie schematu domeny zarządzanej.
• Połącz się z kontrolerami domeny dla domeny zarządzanej przy użyciu pulpitu zdalnego.
• Dodaj kontrolery domeny do domeny zarządzanej.
• Nie masz uprawnień Administratora domeny ani Administratora przedsiębiorstwa dla domeny zarządzanej.

Logowanie się do maszyny wirtualnej z systemem Windows Server

W poprzednim samouczku utworzono maszynę wirtualną z systemem Windows Server i dołączono ją do domeny zarządzanej. Użyj tej maszyny wirtualnej, aby zainstalować narzędzia do zarządzania. W razie potrzeby wykonaj kroki opisane w samouczku, aby utworzyć i dołączyć maszynę wirtualną z systemem Windows Server do domeny zarządzanej.

Notatka

W tym samouczku użyjesz maszyny wirtualnej z systemem Windows Server na platformie Azure przyłączonej do domeny zarządzanej. Można również użyć klienta systemu Windows, takiego jak Windows 10, który jest przyłączony do domeny zarządzanej.

Aby uzyskać więcej informacji na temat sposobu instalowania narzędzi administracyjnych na kliencie systemu Windows, zobacz install Remote Server Administration Tools (RSAT)

Aby rozpocząć pracę, połącz się z maszyną wirtualną z systemem Windows Server w następujący sposób:

1. W centrum administracyjnym firmy Microsoft Entra wybierz pozycję Grupy zasobów po lewej stronie. Wybierz grupę zasobów, w której utworzono maszynę wirtualną, na przykład myResourceGroup, a następnie wybierz maszynę wirtualną, na przykład myVM.

2. W okienku Przegląd maszyny wirtualnej wybierz pozycję Connect, a następnie Bastion.

   

3. Wprowadź poświadczenia maszyny wirtualnej, a następnie wybierz opcję Connect.

   

W razie potrzeby zezwól przeglądarce internetowej na otwieranie wyskakujących okienek dla połączenia Bastion. Nawiązanie połączenia z maszyną wirtualną zajmuje kilka sekund.

Instalowanie narzędzi administracyjnych usługi Active Directory

Te same narzędzia administracyjne są używane w domenie zarządzanej co lokalne środowiska usług AD DS, takie jak Centrum administracyjne usługi Active Directory (ADAC) lub program AD PowerShell. Te narzędzia można zainstalować w ramach funkcji Narzędzia administracji zdalnej serwera (RSAT) na komputerach z systemem Windows Server i klientach. Członkowie grupy Administratorzy kontrolerów domeny AAD mogą następnie zdalnie administrować domenami zarządzanymi przy użyciu tych narzędzi administracyjnych AD z komputera przyłączonego do domeny zarządzanej.

Aby zainstalować narzędzia administracyjne usługi Active Directory na maszynie wirtualnej przyłączonej do domeny, wykonaj następujące kroki:

1. Jeśli menedżer serwera nie jest domyślnie otwarty po zalogowaniu się do maszyny wirtualnej, wybierz menu Start, a następnie wybierz pozycję Menedżer serwera .

2. W okienku pulpitu nawigacyjnego okna Menedżera serwera wybierz pozycję Dodaj role i funkcje.

3. Na stronie Przed rozpoczęciem Kreatora dodawania ról i funkcjiwybierz pozycję Dalej.

4. W przypadku Typ instalacji, pozostaw zaznaczoną opcję instalacji opartej na rolach lub funkcjach i wybierz Dalej.

5. Na stronie wyboru serwera wybierz bieżącą maszynę wirtualną z puli serwerów, taką jak myvm.aaddscontoso.com, a następnie wybierz pozycję Dalej.

6. Na stronie Role serwera kliknij Dalej.

7. Na stronie Funkcje rozwiń węzeł Narzędzia administracji zdalnej serwera, a następnie rozwiń węzeł Narzędzia administracji ról.

   Wybierz AD DS i AD LDS Tools z listy narzędzi administracji rolami, a następnie wybierz Dalej.

   

8. Na stronie potwierdzenia wybierz pozycję Zainstaluj. Zainstalowanie narzędzi administracyjnych może potrwać minutę lub dwie.

9. Po zakończeniu instalacji funkcji wybierz pozycję Zamknij, aby wyjść z kreatora Dodaj role i funkcje.

Korzystanie z narzędzi administracyjnych usługi Active Directory

Po zainstalowaniu narzędzi administracyjnych zobaczmy, jak używać ich do administrowania domeną zarządzaną. Upewnij się, że zalogowano się do maszyny wirtualnej przy użyciu konta użytkownika, które jest członkiem grupy administratorzy kontrolera domeny usługi AAD.

1. Z menu Start Start wybierz pozycję Narzędzia administracyjne systemu Windows. Wymienione są narzędzia administracyjne usługi AD zainstalowane w poprzednim kroku.

   

2. Wybierz Centrum administracyjne Active Directory.

3. Aby zapoznać się z domeną zarządzaną, wybierz nazwę domeny w okienku po lewej stronie, na przykład aaddscontoso. W górnej części listy znajdują się dwa kontenery o nazwie AADDC Computers i AADDC Users.

   

4. Aby wyświetlić użytkowników i grupy należące do domeny zarządzanej, wybierz kontener użytkownicy usługi AADDC. Konta użytkowników i grupy z Twojej dzierżawy Microsoft Entra są pokazane w tym kontenerze.

   W poniższym przykładowym wyniku w tym kontenerze pokazano konto użytkownika o nazwie Contoso Admin oraz grupę Administratorzy AAD DC.

   

5. Aby wyświetlić komputery przyłączone do domeny zarządzanej, wybierz kontener AADDC Computers. Zostanie wyświetlony wpis bieżącej maszyny wirtualnej, taki jak myVM. Konta komputerów dla wszystkich urządzeń dołączonych do domeny zarządzanej są przechowywane w tym kontenerze AADDC Computers.

Dostępne są typowe akcje Centrum administracyjnego usługi Active Directory, takie jak resetowanie hasła konta użytkownika lub zarządzanie członkostwem w grupie. Te akcje działają tylko dla użytkowników i grup utworzonych bezpośrednio w domenie zarządzanej. Informacje o tożsamości synchronizują tylko z Microsoft Entra ID do usług Domain Services. Nie ma zapisu zwrotnego z usług Domain Services do identyfikatora Entra firmy Microsoft. Nie można zmienić haseł ani członkostwa w grupie zarządzanej dla użytkowników zsynchronizowanych z identyfikatorem Entra firmy Microsoft i mieć te zmiany zsynchronizowane z powrotem.

Do zarządzania typowymi akcjami w domenie zarządzanej można również użyć modułu Active Directory dla programu Windows PowerShellzainstalowanego w ramach narzędzi administracyjnych.

Następne kroki

W tym samouczku nauczyłeś się, jak:

• Omówienie dostępnych zadań administracyjnych w domenie zarządzanej
• Instalowanie narzędzi administracyjnych usługi Active Directory na maszynie wirtualnej z systemem Windows Server
• Wykonywanie typowych zadań za pomocą Centrum administracyjnego usługi Active Directory

Aby bezpiecznie korzystać z domeny zarządzanej z innych aplikacji, włącz protokół LDAPS (Secure Lightweight Directory Access Protocol).

Konfigurowanie protokołu Secure LDAP dla domeny zarządzanej