Criar uma Unidade Organizacional (UO) em um domínio gerenciado dos Serviços de Domínio Microsoft Entra

As unidades organizacionais (UOs) em um domínio gerenciado pelos Serviços de Domínio Ative Directory (AD DS) permitem agrupar logicamente objetos como contas de usuário, contas de serviço ou contas de computador. Em seguida, você pode atribuir administradores a UOs específicas e aplicar a política de grupo para impor definições de configuração direcionadas.

Os domínios gerenciados dos Serviços de Domínio incluem as duas UOs internas a seguir:

• Computadores AADDC - contém objetos de computador para todos os computadores que ingressaram no domínio gerenciado.
• Usuários AADDC - inclui usuários e grupos sincronizados a partir do locatário do Microsoft Entra.

À medida que você cria e executa cargas de trabalho que usam os Serviços de Domínio, talvez seja necessário criar contas de serviço para que os aplicativos se autentiquem. Para organizar essas contas de serviço, muitas vezes você cria uma UO personalizada no domínio gerenciado e, em seguida, cria contas de serviço dentro dessa UO.

Em um ambiente híbrido, as UOs criadas em um ambiente AD DS local não são sincronizadas com o domínio gerenciado. Os domínios gerenciados usam uma estrutura de UO plana. Todas as contas de usuário e grupos são armazenados no contêiner Usuários AADDC, apesar de serem sincronizados de diferentes domínios ou florestas locais, mesmo que você tenha configurado uma estrutura de UO hierárquica lá.

Este artigo mostra como criar uma UO em seu domínio gerenciado.

Antes de começar

Para concluir este artigo, você precisa dos seguintes recursos e privilégios:

• Uma subscrição ativa do Azure.
  • Se você não tiver uma assinatura do Azure, crie uma conta.
• Um locatário do Microsoft Entra associado à sua assinatura, sincronizado com um diretório local ou um diretório somente na nuvem.
  • Se necessário, crie um locatário do Microsoft Entra ou associe uma assinatura do Azure à sua conta.
• Um domínio gerenciado dos Serviços de Domínio Microsoft Entra habilitado e configurado em seu locatário do Microsoft Entra.
  • Se necessário, conclua o tutorial para criar e configurar um domínio gerenciado dos Serviços de Domínio Microsoft Entra.
• Uma VM de gerenciamento do Windows Server que ingressou no domínio gerenciado dos Serviços de Domínio.
  • Se necessário, conclua o tutorial para criar uma VM de gerenciamento.
• Uma conta de usuário que seja membro do grupo de administradores do Microsoft Entra DC em seu locatário do Microsoft Entra.

Considerações e limitações da UO personalizada

Ao criar UOs personalizadas em um domínio gerenciado, você ganha flexibilidade de gerenciamento adicional para gerenciamento de usuários e aplicação de política de grupo. Em comparação com um ambiente AD DS local, há algumas limitações e considerações ao criar e gerenciar uma estrutura de UO personalizada em um domínio gerenciado:

• Para criar UOs personalizadas, os usuários devem ser membros do grupo Administradores de DC do AAD.
• Um usuário que cria uma UO personalizada recebe privilégios administrativos (controle total) sobre essa UO e é o proprietário do recurso.
  • Por padrão, o grupo Administradores de DC do AAD também tem controle total da UO personalizada.
• É criada uma UO padrão para usuários AADDC que contém todas as contas de usuário sincronizadas do locatário do Microsoft Entra.
  • Não é possível mover usuários ou grupos da UO Usuários AADDC para UOs personalizadas que você criar. Somente contas de usuário ou recursos criados no domínio gerenciado podem ser movidos para UOs personalizadas.
• Contas de usuário, grupos, contas de serviço e objetos de computador criados em UOs personalizadas não estão disponíveis em seu locatário do Microsoft Entra.
  • Esses objetos não aparecem usando a API do Microsoft Graph ou na interface do usuário do Microsoft Entra; eles só estão disponíveis no seu domínio gerenciado.

Criar uma UO personalizada

Para criar uma UO personalizada, use as Ferramentas Administrativas do Ative Directory de uma VM associada a um domínio. A Central Administrativa do Ative Directory permite exibir, editar e criar recursos em um domínio gerenciado, incluindo UOs.

Nota

Para criar uma UO personalizada em um domínio gerenciado, você deve estar conectado a uma conta de usuário que seja membro do grupo Administradores de DC do AAD.

1. Inicie sessão na sua VM de gestão. Para obter etapas sobre como se conectar usando o centro de administração do Microsoft Entra, consulte Conectar-se a uma VM do Windows Server.

2. Na tela Iniciar, selecione Ferramentas Administrativas. É mostrada uma lista de ferramentas de gerenciamento disponíveis que foram instaladas no tutorial para criar uma VM de gerenciamento.

3. Para criar e gerenciar UOs, selecione Centro Administrativo do Ative Directory na lista de ferramentas administrativas.

4. No painel esquerdo, escolha seu domínio gerenciado, como aaddscontoso.com. Uma lista de UOs e recursos existentes é mostrada:

   

5. O painel Tarefas é mostrado no lado direito do Centro Administrativo do Ative Directory. No domínio, como aaddscontoso.com, selecione Nova > Unidade Organizacional.

   

6. Na caixa de diálogo Criar Unidade Organizacional, especifique um Nome para a nova UO, como MyCustomOu. Forneça uma breve descrição para a UO, como UO personalizada para contas de serviço. Se desejar, você também pode definir o campo Gerenciado por para a UO. Para criar a UO personalizada, selecione OK.

   

7. De volta ao Centro Administrativo do Ative Directory, a UO personalizada agora está listada e disponível para uso:

   

Próximos passos

Para obter mais informações sobre como usar as ferramentas administrativas ou criar e usar contas de serviço, consulte os seguintes artigos:

• Centro Administrativo do Ative Directory: Introdução
• Guia Passo a Passo de Contas de Serviço