Hanteringsbegrepp för användarkonton, lösenord och administration i Microsoft Entra Domain Services
När du skapar och kör en Microsoft Entra Domain Services-hanterad domän finns det vissa skillnader i beteende jämfört med en traditionell lokal AD DS-miljö. Du använder samma administrativa verktyg i Domain Services som en självhanterad domän, men du kan inte komma åt domänkontrollanterna direkt . Det finns också vissa skillnader i beteende för lösenordsprinciper och lösenordshashvärden beroende på källan för skapandet av användarkontot.
Den här konceptuella artikeln beskriver hur du administrerar en hanterad domän och olika beteende för användarkonton beroende på hur de skapas.
Domänhantering
En hanterad domän är ett DNS-namnområde och en matchande katalog. I en hanterad domän ingår de domänkontrollanter (DCs) som innehåller alla resurser som användare och grupper, autentiseringsuppgifter och principer i den hanterade tjänsten. För redundans skapas två domänkontrollanter som en del av en hanterad domän. Du kan inte logga in på dessa domänkontrollanter för att utföra hanteringsuppgifter. I stället skapar du en virtuell hanteringsdator som är ansluten till den hanterade domänen och installerar sedan dina vanliga AD DS-hanteringsverktyg. Du kan till exempel använda snapin-modulerna Active Directory Administrationscenter eller Microsoft Management Console (MMC), till exempel DNS- eller grupprincipobjekt.
Skapa användarkonto
Användarkonton kan skapas i en hanterad domän på flera sätt. De flesta användarkonton synkroniseras från Microsoft Entra-ID, som även kan inkludera användarkonto som synkroniserats från en lokal AD DS-miljö. Du kan också skapa konton manuellt direkt i den hanterade domänen. Vissa funktioner, till exempel inledande lösenordssynkronisering eller lösenordsprincip, fungerar olika beroende på hur och var användarkonton skapas.
- Användarkontot kan synkroniseras från Microsoft Entra-ID. Detta omfattar endast molnbaserade användarkonton som skapats direkt i Microsoft Entra-ID och hybridanvändarkonton som synkroniserats från en lokal AD DS-miljö med Hjälp av Microsoft Entra Connect.
- De flesta användarkonton i en hanterad domän skapas via synkroniseringsprocessen från Microsoft Entra-ID.
- Användarkontot kan skapas manuellt i en hanterad domän och finns inte i Microsoft Entra-ID.
- Om du behöver skapa tjänstkonton för program som bara körs i den hanterade domänen kan du skapa dem manuellt i den hanterade domänen. Eftersom synkronisering är ett sätt från Microsoft Entra-ID synkroniseras inte användarkonton som skapats i den hanterade domänen tillbaka till Microsoft Entra-ID.
Lösenordsprincip
Domain Services innehåller en standardprincip för lösenord som definierar inställningar för saker som kontoutelåsning, maximal lösenordsålder och lösenordskomplexitet. Inställningar som principen för kontoutelåsning gäller för alla användare i en hanterad domän, oavsett hur användaren skapades enligt beskrivningen i föregående avsnitt. Några inställningar, till exempel minsta längd på lösenord och lösenordskomplexitet, gäller endast för användare som skapats direkt i en hanterad domän.
Du kan skapa egna anpassade lösenordsprinciper för att åsidosätta standardprincipen i en hanterad domän. Dessa anpassade principer kan sedan tillämpas på specifika användargrupper efter behov.
Mer information om skillnaderna i hur lösenordsprinciper tillämpas beroende på källan för att skapa användare finns i Principer för utelåsning av lösenord och konton på hanterade domäner.
Lösenordshashvärden
För att autentisera användare på den hanterade domänen behöver Domain Services lösenordshashvärden i ett format som är lämpligt för NT LAN Manager (NTLM) och Kerberos-autentisering. Microsoft Entra-ID genererar eller lagrar inte lösenordshashvärden i det format som krävs för NTLM- eller Kerberos-autentisering förrän du aktiverar Domain Services för din klientorganisation. Av säkerhetsskäl lagrar Inte heller Microsoft Entra-ID några autentiseringsuppgifter för lösenord i klartext. Microsoft Entra-ID kan därför inte automatiskt generera dessa NTLM- eller Kerberos-lösenordshashvärden baserat på användarnas befintliga autentiseringsuppgifter.
För endast molnbaserade användarkonton måste användarna ändra sina lösenord innan de kan använda den hanterade domänen. Den här lösenordsändringsprocessen gör att lösenordshasherna för Kerberos- och NTLM-autentisering genereras och lagras i Microsoft Entra-ID. Kontot synkroniseras inte från Microsoft Entra-ID till Domain Services förrän lösenordet har ändrats.
För användare som synkroniseras från en lokal AD DS-miljö med Microsoft Entra Connect aktiverar du synkronisering av lösenordshashvärden.
Viktigt!
Microsoft Entra Connect synkroniserar bara äldre lösenordshashvärden när du aktiverar Domain Services för din Microsoft Entra-klientorganisation. Äldre lösenordshashvärden används inte om du bara använder Microsoft Entra Connect för att synkronisera en lokal AD DS-miljö med Microsoft Entra-ID.
Om dina äldre program inte använder NTLM-autentisering eller enkla LDAP-bindningar rekommenderar vi att du inaktiverar synkronisering av NTLM-lösenordshash för Domain Services. Mer information finns i Inaktivera svaga chiffersviter och hashsynkronisering för NTLM-autentiseringsuppgifter.
När de är korrekt konfigurerade lagras de användbara lösenordshasherna i den hanterade domänen. Om du tar bort den hanterade domänen tas även eventuella lösenordshashvärden som lagras vid den tidpunkten bort. Synkroniserad information om autentiseringsuppgifter i Microsoft Entra-ID kan inte återanvändas om du senare skapar en annan hanterad domän . Du måste konfigurera om synkroniseringen av lösenordshash för att lagra lösenordshasharna igen. Tidigare domänanslutna virtuella datorer eller användare kommer inte att kunna autentiseras omedelbart – Microsoft Entra-ID måste generera och lagra lösenordshasherna i den nya hanterade domänen. Mer information finns i Synkroniseringsprocessen för lösenordshash för Domain Services och Microsoft Entra Connect.
Viktigt!
Microsoft Entra Connect bör endast installeras och konfigureras för synkronisering med lokala AD DS-miljöer. Det går inte att installera Microsoft Entra Connect i en hanterad domän för att synkronisera objekt tillbaka till Microsoft Entra-ID.
Skogar och förtroenden
En skog är en logisk konstruktion som används av Usluge domena aktivnog direktorijuma (AD DS) för att gruppera en eller flera domäner. Domänerna lagrar sedan objekt för användare eller grupper och tillhandahåller autentiseringstjänster.
I Domain Services innehåller skogen bara en domän. Lokala AD DS-skogar innehåller ofta många domäner. I stora organisationer, särskilt efter sammanslagningar och förvärv, kan du få flera lokala skogar som var och en sedan innehåller flera domäner.
Som standard synkroniserar en hanterad domän alla objekt från Microsoft Entra-ID, inklusive användarkonton som skapats i en lokal AD DS-miljö. Användarkonton kan autentiseras direkt mot den hanterade domänen, till exempel för att logga in på en domänansluten virtuell dator. Den här metoden fungerar när lösenordshasherna kan synkroniseras och användarna inte använder exklusiva inloggningsmetoder som smartkortautentisering.
I Domain Services kan du också skapa ett skogsförtroende med en annan domän så att användarna kan komma åt resurser. Beroende på dina åtkomstkrav kan du skapa skogsförtroendet i olika riktningar.
Förtroenderiktning | Användaråtkomst |
---|---|
Dubbelriktad | Tillåter användare i både den hanterade domänen och den lokala domänen att komma åt resurser i någon av domänerna. |
Enkelriktad utgående | Tillåter användare i den lokala domänen att komma åt resurser i den hanterade domänen, men inte tvärtom. |
Enkelriktad inkommande | Tillåter användare i den hanterade domänen att komma åt resurser i den lokala domänen. |
Domain Services SKU:er
I Domain Services baseras tillgängliga prestanda och funktioner på SKU:n. Du väljer en SKU när du skapar den hanterade domänen och du kan växla SKU:er när dina affärskrav ändras när den hanterade domänen har distribuerats. I följande tabell beskrivs tillgängliga SKU:er och skillnaderna mellan dem:
SKU-namn | Maximalt antal objekt | Säkerhetskopieringsfrekvens |
---|---|---|
Standard | Obegränsat | Var 5:e dag |
Stora företag | Obegränsat | Var tredje dag |
Premium | Obegränsat | Varje dag |
Innan dessa Domain Services-SKU:er användes en faktureringsmodell baserat på antalet objekt (användar- och datorkonton) i den hanterade domänen. Det finns inte längre variabel prissättning baserat på antalet objekt i den hanterade domänen.
Mer information finns på sidan med priser för Domain Services.
Prestanda för hanterad domän
Domänprestanda varierar beroende på hur autentisering implementeras för ett program. Ytterligare beräkningsresurser kan hjälpa till att förbättra frågesvarstiden och minska tiden som ägnas åt synkroniseringsåtgärder. När SKU-nivån ökar ökar de beräkningsresurser som är tillgängliga för den hanterade domänen. Övervaka prestanda för dina program och planera för de resurser som krävs.
Om ditt företag eller program kräver ändring och du behöver ytterligare beräkningskraft för din hanterade domän kan du växla till en annan SKU.
Säkerhetskopieringsfrekvens
Säkerhetskopieringsfrekvensen avgör hur ofta en ögonblicksbild av den hanterade domänen tas. Säkerhetskopieringar är en automatiserad process som hanteras av Azure-plattformen. Om det uppstår ett problem med din hanterade domän kan Azure-supporten hjälpa dig att återställa från en säkerhetskopia. Eftersom synkronisering endast sker på ett sätt från Microsoft Entra-ID kommer eventuella problem i en hanterad domän inte att påverka Microsoft Entra-ID eller lokala AD DS-miljöer och funktioner.
När SKU-nivån ökar ökar frekvensen för dessa ögonblicksbilder av säkerhetskopior. Granska dina affärskrav och mål för återställningspunkt (RPO) för att fastställa vilken säkerhetskopieringsfrekvens som krävs för din hanterade domän. Om dina affärs- eller programkrav ändras och du behöver mer frekventa säkerhetskopieringar kan du växla till en annan SKU.
Domain Services ger följande vägledning för återställningstider för olika typer av problem:
- Mål för återställningspunkt (RPO) är det maximala tidsintervallet där det finns potentiella data eller transaktionsförluster från en incident.
- Återställningstidsobjekt (RTO) är måltidsintervallet som inträffar innan tjänstnivåerna återgår till drift efter en incident.
Problem | RPO | RTO |
---|---|---|
Problem som orsakas av dataförlust eller skada på domänkontrollanter i Domain Services, beroende tjänster, en exploatering som komprometterade domänen eller andra incidenter som kräver återställning av en domänkontrollant. | Fem dagar innan händelsen inträffar | Två timmar till fyra dagar, beroende på klientorganisationens storlek |
Problem som identifieras av vår domändiagnostik. | Noll (0 minuter) | Två timmar till fyra dagar, beroende på klientorganisationens storlek |
Nästa steg
Kom igång genom att skapa en domän som hanteras av Domain Services.