Skapa en organisationsenhet (OU) i en hanterad Domän för Microsoft Entra Domain Services
Med organisationsenheter i en ad DS-hanterad domän (Active Directory-domän Services) kan du gruppera objekt logiskt, till exempel användarkonton, tjänstkonton eller datorkonton. Du kan sedan tilldela administratörer till specifika organisationsenheter och tillämpa grupprincip för att framtvinga riktade konfigurationsinställningar.
Domäntjänsters hanterade domäner innehåller följande två inbyggda organisationsenheter:
- AADDC-datorer – innehåller datorobjekt för alla datorer som är anslutna till den hanterade domänen.
- AADDC-användare – innehåller användare och grupper som synkroniserats från Microsoft Entra-klientorganisationen.
När du skapar och kör arbetsbelastningar som använder Domain Services kan du behöva skapa tjänstkonton för program för att autentisera sig själva. Om du vill organisera dessa tjänstkonton skapar du ofta en anpassad organisationsenhet i den hanterade domänen och skapar sedan tjänstkonton inom den organisationsenheten.
I en hybridmiljö synkroniseras inte organisationsenheter som skapats i en lokal AD DS-miljö till den hanterade domänen. Hanterade domäner använder en platt organisationsenhetsstruktur. Alla användarkonton och grupper lagras i containern AADDC-användare , trots att de synkroniseras från olika lokala domäner eller skogar, även om du har konfigurerat en hierarkisk organisationsenhetsstruktur där.
Den här artikeln visar hur du skapar en organisationsenhet i din hanterade domän.
Innan du börjar
För att slutföra den här artikeln behöver du följande resurser och behörigheter:
- En aktiv Azure-prenumeration.
- Om du inte har en Azure-prenumeration skapar du ett konto.
- En Microsoft Entra-klient som är associerad med din prenumeration, antingen synkroniserad med en lokal katalog eller en katalog som endast är molnbaserad.
- Om det behövs skapar du en Microsoft Entra-klientorganisation eller associerar en Azure-prenumeration med ditt konto.
- En hanterad domän i Microsoft Entra Domain Services har aktiverats och konfigurerats i din Microsoft Entra-klientorganisation.
- Om det behövs slutför du självstudien för att skapa och konfigurera en hanterad Domän för Microsoft Entra Domain Services.
- En virtuell Windows Server-hanteringsdator som är ansluten till den hanterade domänen Domain Services.
- Om det behövs slutför du självstudien för att skapa en virtuell hanteringsdator.
- Ett användarkonto som är medlem i gruppen Microsoft Entra DC-administratörer i din Microsoft Entra-klientorganisation.
Överväganden och begränsningar för anpassad organisationsenhet
När du skapar anpassade organisationsenheter i en hanterad domän får du ytterligare flexibilitet för hantering av användare och tillämpning av grupprincip. Jämfört med en lokal AD DS-miljö finns det vissa begränsningar och överväganden när du skapar och hanterar en anpassad organisationsenhetsstruktur i en hanterad domän:
- Om du vill skapa anpassade organisationsenheter måste användarna vara medlemmar i gruppen AAD DC-administratörer .
- En användare som skapar en anpassad organisationsenhet beviljas administratörsbehörighet (fullständig kontroll) över organisationsenheten och är resursägare.
- Som standard har gruppen AAD DC-administratörer också fullständig kontroll över den anpassade organisationsenheten.
- En standard-OU för AADDC-användare skapas som innehåller alla synkroniserade användarkonton från din Microsoft Entra-klientorganisation.
- Du kan inte flytta användare eller grupper från organisationsenheten för AADDC-användare till anpassade organisationsenheter som du skapar. Endast användarkonton eller resurser som skapats i den hanterade domänen kan flyttas till anpassade organisationsenheter.
- Användarkonton, grupper, tjänstkonton och datorobjekt som du skapar under anpassade organisationsenheter är inte tillgängliga i din Microsoft Entra-klientorganisation.
- Dessa objekt visas inte med hjälp av Microsoft Graph API eller i Microsoft Entra-användargränssnittet. de är bara tillgängliga i din hanterade domän.
Skapa en anpassad organisationsenhet
Om du vill skapa en anpassad organisationsenhet använder du Active Directory Administrationsverktyg från en domänansluten virtuell dator. Med Active Directory Administrationscenter kan du visa, redigera och skapa resurser i en hanterad domän, inklusive organisationsenheter.
Kommentar
Om du vill skapa en anpassad organisationsenhet i en hanterad domän måste du vara inloggad på ett användarkonto som är medlem i gruppen AAD DC-administratörer .
Logga in på den virtuella hanteringsdatorn. Anvisningar om hur du ansluter med administrationscentret för Microsoft Entra finns i Anslut till en virtuell Windows Server-dator.
På startskärmen väljer du Administrationsverktyg. En lista över tillgängliga hanteringsverktyg visas som installerades i självstudien för att skapa en virtuell hanteringsdator.
Om du vill skapa och hantera organisationsenheter väljer du Active Directory Administrationscenter i listan över administrativa verktyg.
I den vänstra rutan väljer du din hanterade domän, till exempel aaddscontoso.com. En lista över befintliga organisationsenheter och resurser visas:
Fönstret Uppgifter visas till höger i Active Directory Administrationscenter. Under domänen, till exempel aaddscontoso.com, väljer du Ny > organisationsenhet.
I dialogrutan Skapa organisationsenhet anger du ett Namn för den nya organisationsenheten, till exempel MyCustomOu. Ange en kort beskrivning för organisationsenheten, till exempel anpassad organisationsenhet för tjänstkonton. Om du vill kan du också ange fältet Hanterad av för organisationsenheten. Om du vill skapa den anpassade organisationsenheten väljer du OK.
Tillbaka i Active Directory Administrationscenter visas nu den anpassade organisationsenheten och är tillgänglig för användning:
Nästa steg
Mer information om hur du använder administrativa verktyg eller hur du skapar och använder tjänstkonton finns i följande artiklar: