Синхронизация объектов и учетных данных в управляемом домене доменных служб Microsoft Entra
Объекты и учетные данные в управляемом домене доменных служб Microsoft Entra могут создаваться локально в домене или быть синхронизированы из арендатора Microsoft Entra. При первом развертывании доменных служб настраивается автоматическая односторонняя синхронизация и начинается реплика те объекты из идентификатора Microsoft Entra. Эта односторонняя синхронизация продолжает выполняться в фоновом режиме, чтобы обеспечить актуальность управляемого домена доменных служб с любыми изменениями из идентификатора Microsoft Entra. Синхронизация не выполняется из доменных служб обратно с идентификатором Microsoft Entra.
В гибридной среде объекты и учетные данные из локального домена AD DS можно синхронизировать с идентификатором Microsoft Entra с помощью Microsoft Entra Подключение. После успешной синхронизации этих объектов с идентификатором Microsoft Entra автоматическая фоновая синхронизация делает эти объекты и учетные данные доступными для приложений с помощью управляемого домена.
На следующей схеме показано, как работает синхронизация между доменными службами, идентификатором Microsoft Entra ID и необязательной локальной средой AD DS:
Синхронизация с идентификатором Microsoft Entra с доменными службами
Учетные записи пользователей, членство в группах и хэши учетных данных синхронизируются одним из способов с идентификатора Microsoft Entra в доменные службы. Этот процесс синхронизации выполняется автоматически. Для него не требуется настройка, отслеживание или управление. Начальная синхронизация может занять несколько часов до нескольких дней в зависимости от количества объектов в каталоге Microsoft Entra. После завершения начальной синхронизации изменения, внесенные в идентификатор Microsoft Entra, такие как изменения пароля или атрибута, автоматически синхронизируются с доменными службами.
Когда пользователь создается в идентификаторе Microsoft Entra, он не синхронизируется с доменными службами, пока не измените пароль в идентификаторе Microsoft Entra. Этот процесс изменения пароля приводит к созданию и хранению хэшей паролей для проверки подлинности Kerberos и NTLM в идентификаторе Microsoft Entra. Хэши паролей необходимы для успешной проверки подлинности пользователя в доменных службах.
Процесс синхронизации является односторонним путем разработки. Нет обратной синхронизации изменений из доменных служб обратно с идентификатором Microsoft Entra. Как правило, управляемый домен доступен только для чтения. Исключениями являются любые пользовательские подразделения, которые вы создаете. Внесение изменений в атрибуты и пароли пользователя, а также в сведения о членстве в группах недоступно в пределах управляемого домена.
Синхронизация с областью действия и фильтр групп
Вы можете область синхронизацию только с учетными записями пользователей, которые были созданы в облаке. В рамках этой область синхронизации можно фильтровать для определенных групп или пользователей. Вы можете выбрать только облачные группы, локальные группы или оба. Дополнительные сведения о настройке синхронизации область см. в разделе "Настройка область синхронизации".
Синхронизация атрибутов и сопоставление с доменными службами
В следующей таблице перечислены некоторые распространенные атрибуты и их синхронизация с доменными службами.
| Атрибут в доменных службах | Оригинал | Примечания. |
|---|---|---|
| UPN | Атрибут участника-пользователя в клиенте Microsoft Entra | Атрибут имени участника-пользователя из клиента Microsoft Entra синхронизируется как есть с доменными службами. Самый надежный способ входа в управляемый домен — с использованием UPN. |
| SAMAccountName | Атрибут mailNickname пользователя в клиенте Microsoft Entra или автоматически сформированный | Атрибут SAMAccountName создается из атрибута mailNickname в клиенте Microsoft Entra. Если несколько учетных записей пользователей имеют одинаковый атрибут mailNickname, то SAMAccountName создается автоматически. Если длина атрибута mailNickname пользователя или префикс имени участника-пользователя превышает 20 знаков, то SAMAccountName создается автоматически, чтобы не превышать ограничение в 20 знаков, установленное для атрибутов SAMAccountName. |
| Passwords | Пароль пользователя из клиента Microsoft Entra | Устаревшие хэши паролей, необходимые для проверки подлинности NTLM или Kerberos, синхронизируются из клиента Microsoft Entra. Если клиент Microsoft Entra настроен для гибридной синхронизации с помощью Microsoft Entra Подключение, эти хэши паролей создаются из локальной среды AD DS. |
| Основной идентификатор безопасности (SID) пользователя или группы | Созданный автоматически | Основной идентификатор безопасности учетных записей пользователей или групп автоматически создается в доменных службах. Этот атрибут не совпадает с основным идентификатором безопасности пользователя или группы объекта в локальной среде AD DS. Это несоответствие объясняется тем, что управляемый домен имеет пространство имен SID, отличное от локального домена AD DS. |
| Журнал идентификаторов безопасности для пользователей и групп | Локальный основной идентификатор безопасности пользователя и группы | Атрибут SidHistory для пользователей и групп в доменных службах соответствует соответствующему основному пользователю или идентификатору безопасности группы в локальной среде AD DS. Эта функция помогает упростить перемещение локальных приложений в доменные службы, так как вам не нужно повторно использовать ресурсы ACL. |
Совет
При входе в управляемый домен используйте формат имени участника-пользователя (UPN). Для некоторых учетных записей пользователей в управляемом домене атрибут SAMAccountName, например AADDSCONTOSO\driley, может создаваться автоматически. Автоматически созданный атрибут SamAccountName пользователя может отличаться от префикса имени участника-пользователя, поэтому этот способ входа в систему не всегда надежен.
Например, если несколько пользователей имеют одинаковый атрибут mailNickname или у пользователей слишком длинные префиксы имени участника-пользователя, то атрибут SAMAccountName для этих пользователей может создаваться автоматически. Используйте формат UPN, такой как driley@aaddscontoso.com, в качестве надежного способа вход на управляемый домен.
Сопоставление атрибутов для учетных записей пользователей
В следующей таблице показано, как определенные атрибуты для пользовательских объектов в идентификаторе Microsoft Entra синхронизируются с соответствующими атрибутами в доменных службах.
| Атрибут пользователя в идентификаторе Microsoft Entra | Атрибут пользователя в доменных службах |
|---|---|
| AccountEnabled | userAccountControl (задает или удаляет значение ACCOUNT_DISABLED) |
| city | l |
| companyName | companyName |
| country | co |
| department | department |
| displayName | displayName |
| employeeId | employeeId |
| facsimileTelephoneNumber | facsimileTelephoneNumber |
| givenName | givenName |
| jobTitle | title |
| mailNickname | msDS-AzureADMailNickname |
| mailNickname | SAMAccountName (в отдельных случаях создается автоматически) |
| manager | manager |
| мобильный | мобильный |
| objectid | msDS-aadObjectId |
| onPremiseSecurityIdentifier | sidHistory |
| passwordPolicies | userAccountControl (задает или удаляет значение DONT_EXPIRE_PASSWORD) |
| physicalDeliveryOfficeName | physicalDeliveryOfficeName |
| postalCode | postalCode |
| preferredLanguage | preferredLanguage |
| proxyAddresses | proxyAddresses |
| state | st |
| streetAddress | streetAddress |
| surname; | sn |
| telephoneNumber | telephoneNumber |
| userPrincipalName | userPrincipalName |
Сопоставление атрибутов для групп
В следующей таблице показано, как определенные атрибуты для объектов группы в идентификаторе Microsoft Entra синхронизируются с соответствующими атрибутами в доменных службах.
| Атрибут группы в идентификаторе Microsoft Entra | Атрибут группы в доменных службах |
|---|---|
| displayName | displayName |
| displayName | SAMAccountName (в отдельных случаях создается автоматически) |
| mailNickname | msDS-AzureADMailNickname |
| objectid | msDS-AzureADObjectId |
| onPremiseSecurityIdentifier | sidHistory |
| proxyAddresses | proxyAddresses |
| securityEnabled | groupType |
Синхронизация из локальной службы AD DS с идентификатором и доменными службами Майкрософт
Microsoft Entra Подключение используется для синхронизации учетных записей пользователей, членства в группах и хэшей учетных данных из локальной среды AD DS с идентификатором Microsoft Entra. Синхронизируются атрибуты учетных записей пользователей, такие как имя участника-пользователя и локальный идентификатор безопасности (SID). Для входа с помощью доменных служб устаревшие хэши паролей, необходимые для проверки подлинности NTLM и Kerberos, также синхронизируются с идентификатором Microsoft Entra.
Важно!
Microsoft Entra Подключение следует установить и настроить только для синхронизации с локальными средами AD DS. Не поддерживается установка Microsoft Entra Подключение в управляемом домене для синхронизации объектов с идентификатором Microsoft Entra.
При настройке обратной записи изменения из идентификатора Microsoft Entra синхронизируются с локальной средой AD DS. Например, если пользователь изменяет пароль с помощью самостоятельного управления паролями Microsoft Entra, пароль обновляется в локальной среде AD DS.
Примечание.
Всегда используйте последнюю версию Microsoft Entra Подключение, чтобы гарантировать наличие исправлений для всех известных ошибок.
Синхронизация из локальной среды с несколькими лесами
Многие организации используют довольно сложную локальную среду AD DS, которая включает несколько лесов. Microsoft Entra Подключение поддерживает синхронизацию пользователей, групп и хэшей учетных данных из сред с несколькими лесами с идентификатором Microsoft Entra ID.
Идентификатор Microsoft Entra имеет гораздо более простое и плоское пространство имен. Чтобы пользователи могли надежно получать доступ к приложениям, защищенным идентификатором Microsoft Entra, разрешать конфликты имени участника-пользователя между учетными записями пользователей в разных лесах. Управляемые домены используют плоскую структуру подразделения, аналогичную идентификатору Microsoft Entra. Все учетные записи пользователей и группы хранятся в контейнере AADDC Users, хотя их синхронизация выполняется из разных локальных доменов или лесов, даже когда иерархическая структура подразделений настроена локально. Управляемый домен выполняет сведение всех иерархических структур подразделений.
Как описано ранее, синхронизация из доменных служб обратно с идентификатором Microsoft Entra не выполняется. Вы можете создать настраиваемое подразделение организации в доменных службах, а затем пользователи, группы или учетные записи служб в этих пользовательских подразделениях. Ни один из объектов, созданных в пользовательских подразделениях, не синхронизируется с идентификатором Microsoft Entra. Эти объекты доступны только в управляемом домене и не отображаются с помощью командлетов Microsoft Graph PowerShell, API Microsoft Graph или центра администрирования Microsoft Entra.
Что не синхронизировано с доменными службами
Следующие объекты или атрибуты не синхронизируются из локальной среды AD DS с идентификатором Microsoft Entra или доменными службами:
- Исключенные атрибуты. Вы можете исключить определенные атрибуты из синхронизации с идентификатором Microsoft Entra из локальной среды AD DS с помощью Microsoft Entra Подключение. Эти исключенные атрибуты затем недоступны в доменных службах.
- Групповые политики: групповые политики, настроенные в локальной среде AD DS, не синхронизируются с доменными службами.
- Папка Sysvol. Содержимое папки Sysvol в локальной среде AD DS не синхронизируется с доменными службами.
- Компьютерные объекты: компьютерные объекты для компьютеров, присоединенных к локальной среде AD DS, не синхронизируются с доменными службами. Для этих компьютеров не установлено отношение доверия с управляемым доменом, и они принадлежат только к локальной среде AD DS. В доменных службах отображаются только компьютерные объекты для компьютеров, которые явно присоединены к управляемому домену.
- Атрибуты SidHistory для пользователей и групп: основной пользователь и первичные идентификаторы безопасности группы из локальной среды AD DS синхронизируются с доменными службами. Однако существующие атрибуты SidHistory для пользователей и групп не синхронизируются из локальной среды AD DS с доменными службами.
- Структуры подразделений организации: подразделения, определенные в локальной среде AD DS, не синхронизируются с доменными службами. В доменных службах есть два встроенных подразделения — один для пользователей и один для компьютеров. По умолчанию в управляемом домене используются подразделения с плоской структурой. Можно при необходимости создавать в управляемом домене пользовательские подразделения.
Вопросы по синхронизации и безопасности хэша паролей
При включении доменных служб требуются устаревшие хэши паролей для проверки подлинности NTLM и Kerberos. Идентификатор Microsoft Entra не хранит пароли с четким текстом, поэтому эти хэши не могут быть автоматически созданы для существующих учетных записей пользователей. Хэши паролей, совместимые с NTLM и Kerberos, всегда хранятся в зашифрованном виде в идентификаторе Microsoft Entra.
Ключи шифрования уникальны для каждого клиента Microsoft Entra. Эти хэши шифруются таким образом, что только доменные службы имеют доступ к ключам расшифровки. Никакие другие службы или компоненты в идентификаторе Microsoft Entra не имеют доступа к ключам расшифровки.
После этого устаревшие хэши паролей синхронизируются с идентификатором Microsoft Entra в контроллеры домена для управляемого домена. Диски для этих управляемых контроллеров домена в доменных службах шифруются неактивных данных. Хранение и защита этих хэшей паролей выполняется в контроллерах домена (аналогично хранению и защите паролей в локальной среде AD DS).
Для облачных сред Microsoft Entra пользователи должны сбросить или изменить пароль , чтобы необходимые хэши паролей были созданы и сохранены в идентификаторе Microsoft Entra. Для любой облачной учетной записи пользователя, созданной в идентификаторе Microsoft Entra, после включения доменных служб Microsoft Entra хэши паролей создаются и хранятся в форматах, совместимых с NTLM и Kerberos. Все учетные записи пользователей облака должны изменить пароль перед синхронизацией с доменными службами.
Для гибридных учетных записей пользователей, синхронизированных из локальной среды AD DS с помощью Microsoft Entra Подключение, необходимо настроить Microsoft Entra Подключение для синхронизации хэшей паролей в совместимых форматах NTLM и Kerberos.
Следующие шаги
Дополнительные сведения о специфике синхронизации паролей см. в статье о том, как синхронизация хэша паролей работает с Microsoft Entra Подключение.
Чтобы приступить к работе с доменными службами, создайте управляемый домен.