Criar uma UO (Unidade Organizacional) em um domínio gerenciado dos Serviços de Domínio do Microsoft Entra

As UOs (unidades organizacionais) em um domínio gerenciado Active Directory Domain Services (AD DS) permitem agrupar logicamente objetos, como contas de usuário, contas de serviço ou contas de computador. Você pode atribuir administradores a UOs específicas e aplicar a política de grupo para impor as definições de configuração de destino.

Os domínios gerenciados dos Serviços de Domínio incluem as duas UOs internas a seguir:

• Computadores AADDC - contém objetos de computador para todos os computadores que ingressaram no domínio gerenciado.
• Usuários do AADDC - inclui usuários e grupos sincronizados no do locatário do Microsoft Entra.

Conforme você cria e executa as cargas de trabalho que usam os Serviços de Domínio, talvez você precise criar contas de serviço para que os aplicativos se autentiquem. Para organizar essas contas de serviço, você geralmente cria uma UO personalizada no domínio gerenciado e, em seguida, cria contas de serviço dentro dessa UO.

Em um ambiente híbrido, as UOs criadas em um ambiente de AD DS local não são sincronizadas com o domínio gerenciado. Os domínios gerenciados usam uma estrutura de UO simples. Todas as contas de usuário e grupos são armazenadas no contêiner Usuários AADDC, apesar de serem sincronizadas de diferentes domínios ou florestas locais, mesmo que você tenha configurado uma estrutura de UO hierárquica local.

Este artigo mostra como criar uma UO em seu domínio gerenciado.

Antes de começar

Para concluir este artigo, você precisará dos seguintes recursos e privilégios:

• Uma assinatura ativa do Azure.
  • Caso não tenha uma assinatura do Azure, crie uma conta.
• Um locatário do Microsoft Entra associado com a assinatura, sincronizado com um diretório local ou somente em nuvem.
  • Se necessário, crie um locatário do Microsoft Entra ou associe uma assinatura do Azure à sua conta.
• Um domínio gerenciado do Microsoft Entra Domain Services habilitado e configurado em seu locatário do Microsoft Entra.
  • Se necessário, conclua o tutorial Criar e configurar um domínio gerenciado do Microsoft Entra Domain Services.
• Uma VM de gerenciamento do Windows Server que está ingressada no domínio gerenciado do Domain Services.
  • Se necessário, conclua o tutorial para criar uma VM de gerenciamento.
• Uma conta de usuário que é membro do grupo de administradores de DC do Microsoft Entra em seu locatário do Microsoft Entra.

Considerações e limitações de UO personalizadas

Ao criar UOs personalizadas em um domínio gerenciado, você obterá flexibilidade de gerenciamento adicional para o gerenciamento de usuários e a aplicação da diretiva de grupo. Em comparação com um ambiente de AD DS local, há algumas limitações e considerações ao criar e gerenciar uma estrutura de UO personalizada em um domínio gerenciado:

• Para criar UOs personalizadas, os usuários devem ser membros do grupo de Administradores do AAD DC.
• Um usuário que cria uma UO personalizada recebe privilégios administrativos (controle total) nessa UO e é o proprietário do recurso.
  • Por padrão, o grupo de Administradores de DC do AAD também tem controle total da UO personalizada.
• Uma UO padrão para Usuários AADDC é criada contendo todas as contas de usuário sincronizadas do seu locatário do Microsoft Entra.
  • Você não pode mover usuários ou grupos da UO Usuários de AADDC para as UOs personalizadas. Somente contas de usuário ou recursos criados no domínio gerenciado podem ser movidos para UOs personalizadas.
• As contas de usuário, de grupos, as contas de serviço e de objetos de computador que você criar em OUs personalizadas não ficam disponíveis no seu locatário do Microsoft Entra.
  • Esses objetos não aparecem usando a API Microsoft Graph ou na interface do usuário do Microsoft Entra; eles estão disponíveis somente em seu domínio gerenciado.

Criar uma UO personalizada.

Para criar uma UO personalizada, use as ferramentas administrativas Active Directory de uma VM ingressada no domínio. O Centro Administrativo do Active Directory permite exibir, editar e criar recursos em um domínio gerenciado, incluindo UOs.

Observação

Para criar uma política de senha personalizada em um domínio gerenciado, você deve estar conectado a uma conta de usuário que seja membro do grupo de Administradores do AAD DC.

1. Entre na VM de gerenciamento. Para obter as etapas sobre como se conectar usando o centro de administração do Microsoft Entra, consulte Conectar-se a uma VM do Windows Server.

2. Na tela Iniciar, selecione Ferramentas Administrativas. É apresentada uma lista de ferramentas de gerenciamento disponíveis que foram instaladas no tutorial para criar uma VM de gerenciamento.

3. Para criar e gerenciar UOs, selecione Centro Administrativo do Active Directory na lista de ferramentas administrativas.

4. No painel esquerdo, escolha o domínio gerenciado, como aaddscontoso.com. Uma lista de UOs e recursos existentes é mostrada:

   

5. O painel Tarefas é mostrado no lado direito da centro administrativo do Active Directory. No domínio, como aaddscontoso.com, selecione Novo > Unidade organizacional

   

6. Na caixa de diálogo Criar Unidade Organizacional, especifique um Nome para a nova UO, como MyCustomOu. Forneça uma breve descrição para a UO, como UO personalizada para contas de serviço. Se desejar, você também pode definir o campo Gerenciado por para a UO. Para criar a UO personalizada, clique em OK.

   

7. De volta ao Centro Administrativo do Active Directory, a UO personalizada agora está listada e está disponível para uso:

   

Próximas etapas

Para obter mais informações sobre como usar as ferramentas administrativas ou criar e usar contas de serviço, consulte os seguintes artigos:

• Centro Administrativo do Active Directory: introdução
• Guia passo a passo de contas de serviço