Создание подразделения (OU) в управляемом домене доменных служб Microsoft Entra

Подразделения (OU) в управляемом домене доменных служб Active Directory (AD DS) позволяют логически группировать такие объекты, как учетные записи пользователей, служб или компьютеров. Затем можно назначить администраторов определенным подразделениям и применить групповую политику, чтобы использовать необходимые параметры конфигурации.

Управляемые домены доменных служб включают следующие два встроенных подразделения:

• Подразделение Компьютеры AADDC включает в себя объекты-компьютеры, присоединенные к управляемому домену.
• Пользователи AADDC — включают пользователей и группы, синхронизированные из клиента Microsoft Entra.

При создании и запуске рабочих нагрузок, использующих доменные службы, может потребоваться создать учетные записи служб для самих приложений для проверки подлинности. Для организации этих учетных записей служб часто создается пользовательское подразделение в управляемом домене, а затем создаются учетные записи служб в этом подразделении.

В гибридной среде подразделения, созданные в локальной среде AD DS, не синхронизируются с управляемым доменом. Управляемые домены используют плоскую структуру подразделений. Все учетные записи пользователей и группы хранятся в контейнере Пользователей AADDC, хотя их синхронизация выполняется из разных локальных доменов или лесов, даже когда иерархическая структура подразделений настроена локально.

В этой статье демонстрируется создание подразделения в управляемом домене.

Подготовка к работе

Для работы с этой статьей требуются следующие ресурсы и разрешения:

• Активная подписка Azure.
  • Если у вас еще нет подписки Azure, создайте учетную запись.
• Клиент Microsoft Entra, связанный с подпиской, либо синхронизирован с локальным каталогом или облачным каталогом.
  • При необходимости создайте клиент Microsoft Entra или свяжите подписку Azure с вашей учетной записью.
• Управляемый домен доменных служб Microsoft Entra включен и настроен в клиенте Microsoft Entra.
  • При необходимости выполните инструкции по созданию и настройке управляемого домена доменных служб Microsoft Entra.
• Виртуальная машина управления Windows Server, присоединенная к управляемому домену доменных служб.
  • Если потребуется, выполните инструкции из руководства по созданию виртуальной машины управления.
• Учетная запись пользователя, которая входит в группу администраторов контроллера домена Microsoft Entra в клиенте Microsoft Entra.

Рекомендации и ограничения для пользовательских подразделений

Создание пользовательских подразделений в управляемом домене обеспечивает дополнительную гибкость управления пользователями и применением групповых политик. По сравнению с локальной средой AD DS, существуют некоторые ограничения и рекомендации при создании и управлении пользовательской структурой подразделений в управляемом домене.

• Для создания пользовательских подразделений пользователи должны быть членами группы Администраторов AAD DC.
• Пользователь, создающий подразделение, получает права администратора (полный доступ) над этим подразделением и становится владельцем ресурса.
  • По умолчанию группа Администраторов AAD DC также имеет полный контроль над пользовательским подразделением.
• Создается подразделение по умолчанию для пользователей AADDC, содержащее все синхронизированные учетные записи пользователей из клиента Microsoft Entra.
  • Пользователей или группы из подразделения Пользователей AADDC нельзя перемещать в пользовательские подразделения. В пользовательские подразделения можно перемещать только учетные записи пользователей или ресурсы, созданные в управляемом домене.
• Учетные записи пользователей, группы, учетные записи служб и объекты компьютеров, создаваемые в пользовательских подразделениях, недоступны в клиенте Microsoft Entra.
  • Эти объекты не отображаются с помощью API Microsoft Graph или в пользовательском интерфейсе Microsoft Entra; они доступны только в управляемом домене.

Создайте пользовательское подразделение

Для создания пользовательского подразделения используйте средства администрирования Active Directory на виртуальной машине, подключенной к домену. Центр администрирования Active Directory позволяет просматривать, изменять и создавать ресурсы в управляемом домене, включая подразделения.

Примечание.

Чтобы создать пользовательское подразделение в управляемом домене, необходимо войти в учетную запись пользователя, принадлежащую к группе Администраторы контроллера домена AAD.

1. Войдите на виртуальную машину управления. Инструкции по подключению с помощью Центра администрирования Microsoft Entra см. в Подключение виртуальной машине Windows Server.

2. На начальном экране выберите Администрирование. Отобразится список доступных средств управления, установка которых описана в руководстве по созданию виртуальной машины управления.

3. Чтобы создать и настроить подразделение, выберите Центр администрирования Active Directory в списке средств администрирования.

4. Выберите нужный управляемый домен, например aaddscontoso.com. Отобразится список существующих подразделений и ресурсов.

   

5. Область Задачи отображается в правой части Центра администрирования Active Directory. В разделе домена, например aaddscontoso.com, выберите Создать > Подразделение.

   

6. В диалоговом окне Создание подразделения укажите Имя нового подразделения, например, MyCustomOu. Укажите краткое описание подразделения, например Пользовательское подразделение для учетных записей служб. При необходимости можно также заполнить поле Управляется для подразделения. Нажмите кнопку ОК, чтобы создать пользовательское подразделение.

   

7. Теперь в Центре администрирования Active Directory пользовательское подразделение отображается и доступно для использования:

   

Следующие шаги

Дополнительные сведения об использовании средств администрирования или создании и использовании учетных записей служб см. в следующих статьях:

• Центр администрирования Active Directory: приступая к работе
• Пошаговое руководство по учетным записям служб