Självstudie: Skapa en virtuell hanteringsdator för att konfigurera och administrera en hanterad Domän för Microsoft Entra Domain Services

Microsoft Entra Domain Services tillhandahåller hanterade domäntjänster som domänanslutning, grupprincip, LDAP- och Kerberos/NTLM-autentisering som är helt kompatibel med Windows Server Active Directory. Du administrerar den här hanterade domänen med samma RSAT (Remote Server Administration Tools) som med en domän för lokal Active Directory Domain Services. Eftersom Domain Services är en hanterad tjänst finns det vissa administrativa uppgifter som du inte kan utföra, till exempel att använda RDP (Remote Desktop Protocol) för att ansluta till domänkontrollanterna.

Den här självstudien visar hur du konfigurerar en virtuell Windows Server-dator i Azure och installerar de verktyg som krävs för att administrera en domän som hanteras av Domain Services.

I den här självstudien lär du dig att:

• Förstå tillgängliga administrativa uppgifter i en hanterad domän
• Installera active directory-administrationsverktygen på en virtuell Windows Server-dator
• Använd Active Directory Administrationscenter för att utföra vanliga uppgifter

Om du inte har någon Azure-prenumeration skapar du ett konto innan du börjar.

Förutsättningar

För att slutföra den här självstudien behöver du följande resurser och behörigheter:

• En aktiv Azure-prenumeration.
  • Om du inte har en Azure-prenumeration skapar du ett konto.
• En Microsoft Entra-klient som är associerad med din prenumeration, antingen synkroniserad med en lokal katalog eller en katalog som endast är molnbaserad.
  • Om det behövs skapar du en Microsoft Entra-klientorganisation eller associerar en Azure-prenumeration med ditt konto.
• En hanterad domän i Microsoft Entra Domain Services har aktiverats och konfigurerats i din Microsoft Entra-klientorganisation.
  • Om det behövs kan du läsa den första självstudien om hur du skapar och konfigurerar en hanterad Domän för Microsoft Entra Domain Services.
• En virtuell Windows Server-dator som är ansluten till den hanterade domänen.
  • Om det behövs kan du läsa föregående självstudie för att skapa en virtuell Windows Server-dator och ansluta den till en hanterad domän.
• Ett användarkonto som är medlem i gruppen Microsoft Entra DC-administratörer i din Microsoft Entra-klientorganisation.
• En Azure Bastion-värd som distribuerats i ditt virtuella Domain Services-nätverk.
  • Om det behövs skapar du en Azure Bastion-värd.

Logga in på Microsoft Entra administrationscenter

I den här självstudien skapar och konfigurerar du en virtuell hanteringsdator med hjälp av administrationscentret för Microsoft Entra. Kom igång genom att först logga in på administrationscentret för Microsoft Entra.

Tillgängliga administrativa uppgifter i Domain Services

Domain Services tillhandahåller en hanterad domän som dina användare, program och tjänster kan använda. Den här metoden ändrar några av de tillgängliga hanteringsuppgifter som du kan utföra och vilka behörigheter du har inom den hanterade domänen. Dessa uppgifter och behörigheter kan skilja sig från vad du upplever med en vanlig lokal Active Directory Domain Services-miljö. Du kan inte heller ansluta till domänkontrollanter på den hanterade domänen med fjärrskrivbord.

Administrativa uppgifter som du kan utföra på en hanterad domän

Medlemmar i gruppen AAD DC-administratörer beviljas behörigheter på den hanterade domänen som gör det möjligt för dem att utföra uppgifter som:

• Konfigurera det inbyggda grupprincipobjektet (GPO) för containrarna AADDC-datorer och AADDC-användare i den hanterade domänen.
• Administrera DNS i den hanterade domänen.
• Skapa och administrera anpassade organisationsenheter (OUs) på den hanterade domänen.
• Få administrativ åtkomst till datorer som är anslutna till den hanterade domänen.

Administrativa behörigheter som du inte har på en hanterad domän

Den hanterade domänen är låst, så du har inte behörighet att utföra vissa administrativa uppgifter på domänen. Några av följande exempel är uppgifter som du inte kan utföra:

• Utöka schemat för den hanterade domänen.
• Anslut till domänkontrollanter för den hanterade domänen med fjärrskrivbord.
• Lägg till domänkontrollanter i den hanterade domänen.
• Du har inte behörighet som domänadministratör eller företagsadministratör för den hanterade domänen.

Logga in på den virtuella Windows Server-datorn

I föregående självstudie skapades en virtuell Windows Server-dator och anslöts till den hanterade domänen. Använd den virtuella datorn för att installera hanteringsverktygen. Om det behövs följer du stegen i självstudien för att skapa och ansluta en virtuell Windows Server-dator till en hanterad domän.

Kommentar

I den här självstudien använder du en virtuell Windows Server-dator i Azure som är ansluten till den hanterade domänen. Du kan också använda en Windows-klient, till exempel Windows 10, som är ansluten till den hanterade domänen.

Mer information om hur du installerar de administrativa verktygen på en Windows-klient finns i installera RSAT (Remote Server Administration Tools)

Kom igång genom att ansluta till den virtuella Windows Server-datorn på följande sätt:

1. I administrationscentret för Microsoft Entra väljer du Resursgrupper till vänster. Välj den resursgrupp där den virtuella datorn skapades, till exempel myResourceGroup, och välj sedan den virtuella datorn, till exempel myVM.

2. I fönstret Översikt för den virtuella datorn väljer du Anslut och sedan Bastion.

   

3. Ange autentiseringsuppgifterna för den virtuella datorn och välj sedan Anslut.

   

Om det behövs kan du tillåta att webbläsaren öppnar popup-fönster för att Bastion-anslutningen ska visas. Det tar några sekunder att ansluta till den virtuella datorn.

Installera administrationsverktyg för Active Directory

Du använder samma administrativa verktyg i en hanterad domän som lokala AD DS-miljöer, till exempel Active Directory Administrationscenter (ADAC) eller AD PowerShell. Dessa verktyg kan installeras som en del av RSAT-funktionen (Remote Server Administration Tools) på Windows Server och klientdatorer. Medlemmar i gruppen AAD DC-administratörer kan sedan fjärradministreras med hjälp av dessa administrativa VERKTYG för AD från en dator som är ansluten till den hanterade domänen.

Utför följande steg för att installera Active Directory-administrationsverktygen på en domänansluten virtuell dator:

1. Om Serverhanteraren inte öppnas som standard när du loggar in på den virtuella datorn väljer du Start-menyn och väljer sedan Serverhanteraren.

2. I fönstret Instrumentpanel i fönstret Serverhanteraren väljer du Lägg till roller och funktioner.

3. På sidan Innan du börjar i guiden Lägg till roller och funktioner väljer du Nästa.

4. För installationstypen låter du alternativet Rollbaserad eller funktionsbaserad installation vara markerat och välja Nästa.

5. På sidan Serverval väljer du den aktuella virtuella datorn från serverpoolen, till exempel myvm.aaddscontoso.com och väljer sedan Nästa.

6. På sidan Serverroller klickar du på Nästa.

7. På sidan Funktioner expanderar du noden Verktyg för fjärrserveradministration och expanderar sedan noden Verktyg för rolladministration .

   Välj funktionen AD DS och AD LDS Tools i listan över verktyg för rolladministration och välj sedan Nästa.

   

8. På sidan Bekräftelse väljer du Installera. Det kan ta en minut eller två att installera de administrativa verktygen.

9. När funktionsinstallationen är klar väljer du Stäng för att avsluta guiden Lägg till roller och funktioner .

Använda active directory-administrationsverktyg

Med de administrativa verktygen installerade ska vi se hur du använder dem för att administrera den hanterade domänen. Kontrollera att du är inloggad på den virtuella datorn med ett användarkonto som är medlem i gruppen AAD DC-administratörer .

1. På Start-menyn väljer du Administrationsverktyg för Windows. De administrativa AD-verktyg som installerades i föregående steg visas.

   

2. Välj Active Directory Administrationscenter.

3. Om du vill utforska den hanterade domänen väljer du domännamnet i den vänstra rutan, till exempel aaddscontoso. Två containrar med namnet AADDC-datorer och AADDC-användare finns överst i listan.

   

4. Om du vill se de användare och grupper som tillhör den hanterade domänen väljer du containern AADDC-användare . Användarkonton och grupper från din Microsoft Entra-klient finns i den här containern.

   I följande exempelutdata visas ett användarkonto med namnet Contoso Admin och en grupp för AAD DC-administratörer i den här containern.

   

5. Om du vill se de datorer som är anslutna till den hanterade domänen väljer du containern AADDC Computers . En post för den aktuella virtuella datorn, till exempel myVM, visas. Datorkonton för alla enheter som är anslutna till den hanterade domänen lagras i den här containern för AADDC-datorer .

Vanliga Åtgärder i Active Directory Administrationscenter, till exempel återställning av lösenord för användarkonton eller hantering av gruppmedlemskap, är tillgängliga. Dessa åtgärder fungerar endast för användare och grupper som skapats direkt i den hanterade domänen. Identitetsinformation synkroniseras endast från Microsoft Entra-ID till Domain Services. Det finns ingen tillbakaskrivning från Domain Services till Microsoft Entra-ID. Du kan inte ändra lösenord eller hanterat gruppmedlemskap för användare som synkroniserats från Microsoft Entra-ID och få ändringarna synkroniserade igen.

Du kan också använda Active Directory-modulen för Windows PowerShell, installerad som en del av de administrativa verktygen, för att hantera vanliga åtgärder i din hanterade domän.

Nästa steg

I den här självstudiekursen lärde du dig att:

• Förstå tillgängliga administrativa uppgifter i en hanterad domän
• Installera active directory-administrationsverktygen på en virtuell Windows Server-dator
• Använd Active Directory Administrationscenter för att utföra vanliga uppgifter

Om du vill interagera på ett säkert sätt med din hanterade domän från andra program aktiverar du LDAPS (Secure Lightweight Directory Access Protocol).

Konfigurera säker LDAP för din hanterade domän