Microsoft Entra Domain Services yönetilen etki alanında nesnelerin ve kimlik bilgilerinin eşitlenme şekli
Microsoft Entra Domain Services ile yönetilen etki alanındaki nesneler ve kimlik bilgileri etki alanı içinde yerel olarak oluşturulabilir veya bir Microsoft Entra kiracısından eşitlenebilir. Etki Alanı Hizmetleri'ni ilk kez dağıttığınızda, otomatik bir tek yönlü eşitleme yapılandırılır ve Nesneleri Microsoft Entra Id'den çoğaltmaya başlar. Bu tek yönlü eşitleme, Domain Services yönetilen etki alanını Microsoft Entra Id'deki değişikliklerle güncel tutmak için arka planda çalışmaya devam eder. Etki Alanı Hizmetleri'nden Microsoft Entra Id'ye geri eşitleme gerçekleşmez.
Karma bir ortamda, şirket içi AD DS etki alanındaki nesneler ve kimlik bilgileri, Microsoft Entra Bağlan kullanılarak Microsoft Entra Id ile eşitlenebilir. Bu nesneler Microsoft Entra Id ile başarıyla eşitlendiğinde, otomatik arka plan eşitlemesi bu nesneleri ve kimlik bilgilerini yönetilen etki alanını kullanan uygulamalar için kullanılabilir hale getirir.
Aşağıdaki diyagramda Domain Services, Microsoft Entra ID ve isteğe bağlı bir şirket içi AD DS ortamı arasında eşitlemenin nasıl çalıştığı gösterilmektedir:
Microsoft Entra Id'den Domain Services'a eşitleme
Kullanıcı hesapları, grup üyelikleri ve kimlik bilgisi karmaları, Microsoft Entra Id'den Domain Services'e tek bir yolla eşitlenir. Bu eşitleme işlemi otomatiktir. Bu eşitleme işlemini yapılandırmanız, izlemeniz veya yönetmeniz gerekmez. İlk eşitleme, Microsoft Entra dizinindeki nesne sayısına bağlı olarak birkaç saat ile birkaç gün sürebilir. İlk eşitleme tamamlandıktan sonra, Parola veya öznitelik değişiklikleri gibi Microsoft Entra Kimliği'nde yapılan değişiklikler otomatik olarak Etki Alanı Hizmetleri ile eşitlenir.
Bir kullanıcı Microsoft Entra Kimliği'nde oluşturulduğunda, Microsoft Entra Id'de parolasını değiştirene kadar Etki Alanı Hizmetleri ile eşitlenmez. Bu parola değiştirme işlemi Kerberos ve NTLM kimlik doğrulaması için parola karmalarının oluşturulmasına ve Microsoft Entra Kimliği'nde depolanmasına neden olur. Etki Alanı Hizmetleri'nde bir kullanıcının kimliğini başarıyla doğrulamak için parola karmaları gereklidir.
Eşitleme işlemi tasarım gereği tek yönlüdür. Etki Alanı Hizmetleri'nden Microsoft Entra Kimliği'ne geri dönerek yapılan değişikliklerin ters eşitlemesi yoktur. Yönetilen etki alanı, oluşturabileceğiniz özel OU'lar dışında büyük ölçüde salt okunurdur. Yönetilen bir etki alanı içinde kullanıcı özniteliklerinde, kullanıcı parolalarında veya grup üyeliklerinde değişiklik yapamazsınız.
Kapsamlı eşitleme ve grup filtresi
Eşitlemeyi yalnızca buluttan kaynaklanan kullanıcı hesaplarıyla kapsamlandırabilirsiniz. Bu eşitleme kapsamında, belirli gruplar veya kullanıcılar için filtreleyebilirsiniz. Yalnızca bulut grupları, şirket içi gruplar veya her ikisi arasında seçim yapabilirsiniz. Kapsamlı eşitlemeyi yapılandırma hakkında daha fazla bilgi için bkz . Kapsamlı eşitlemeyi yapılandırma.
Öznitelik eşitleme ve Etki Alanı Hizmetleri ile eşleme
Aşağıdaki tabloda bazı yaygın öznitelikler ve Bunların Etki Alanı Hizmetleri ile nasıl eşitlendikleri listelenmektedir.
| Etki Alanı Hizmetleri'nde Öznitelik | Source | Notlar |
|---|---|---|
| UPN | Microsoft Entra kiracısında kullanıcının UPN özniteliği | Microsoft Entra kiracısının UPN özniteliği, Etki Alanı Hizmetleri ile olduğu gibi eşitlenir. Yönetilen etki alanında oturum açmanın en güvenilir yolu UPN kullanmaktır. |
| Samaccountname | Microsoft Entra kiracısında veya otomatik olarak oluşturulan kullanıcının mailNickname özniteliği | SAMAccountName özniteliği, Microsoft Entra kiracısında mailNickname özniteliğinden kaynaklanır. Birden çok kullanıcı hesabı aynı mailNickname özniteliğine sahipse, SAMAccountName otomatik olarak oluşturulur. Kullanıcının mailNickname veya UPN ön eki 20 karakterden uzunsa, SAMAccountName, SAMAccountName özniteliklerindeki 20 karakter sınırını karşılamak için otomatik olarak oluşturulur. |
| Parolalar | Microsoft Entra kiracısından kullanıcı parolası | NTLM veya Kerberos kimlik doğrulaması için gereken eski parola karmaları Microsoft Entra kiracısından eşitlenir. Microsoft Entra kiracısı, Microsoft Entra Bağlan kullanılarak karma eşitleme için yapılandırılmışsa, bu parola karmaları şirket içi AD DS ortamından kaynaklanır. |
| Birincil kullanıcı/grup SID'i | Otomatik | Kullanıcı/grup hesapları için birincil SID, Etki Alanı Hizmetleri'nde otomatik olarak oluşturulur. Bu öznitelik, şirket içi AD DS ortamında nesnenin birincil kullanıcı/grup SID'sine uymuyor. Bu uyuşmazlık, yönetilen etki alanının şirket içi AD DS etki alanından farklı bir SID ad alanına sahip olmasıdır. |
| Kullanıcılar ve gruplar için SID geçmişi | Şirket içi birincil kullanıcı ve grup SID'si | Etki Alanı Hizmetleri'ndeki kullanıcılar ve gruplar için SidHistory özniteliği, şirket içi AD DS ortamında karşılık gelen birincil kullanıcı veya grup SID'sine uyacak şekilde ayarlanır. Bu özellik, ACL kaynaklarını yeniden oluşturmanız gerekmediğinden şirket içi uygulamaların Domain Services'a lift-and-shift özelliğini daha kolay hale getirmenize yardımcı olur. |
Bahşiş
UPN biçiminikullanarak yönetilen etki alanında oturum açın. Gibi AADDSCONTOSO\drileySAMAccountName özniteliği, yönetilen bir etki alanındaki bazı kullanıcı hesapları için otomatik olarak oluşturulabilir. Kullanıcıların otomatik olarak oluşturulan SAMAccountName özelliği UPN ön eklerinden farklı olabilir, bu nedenle her zaman güvenilir bir oturum açma yöntemi değildir.
Örneğin, birden çok kullanıcı aynı mailNickname özniteliğine sahipse veya kullanıcılar aşırı uzun UPN ön eklerine sahipse, bu kullanıcılar için SAMAccountName otomatik olarak oluşturulabilir. Yönetilen bir etki alanında güvenilir bir şekilde oturum açmak için driley@aaddscontoso.com gibi UPN biçimini kullanın.
Kullanıcı hesapları için öznitelik eşlemesi
Aşağıdaki tabloda, Microsoft Entra Id içindeki kullanıcı nesneleri için belirli özniteliklerin Etki Alanı Hizmetleri'ndeki ilgili özniteliklerle nasıl eşitlenmiş olduğu gösterilmektedir.
| Microsoft Entra Id'de kullanıcı özniteliği | Etki Alanı Hizmetleri'nde kullanıcı özniteliği |
|---|---|
| accountEnabled | userAccountControl (ACCOUNT_DISABLED biti ayarlar veya temizler) |
| şehir | l |
| Şirketadı | Şirketadı |
| ülke | co |
| department | department |
| displayName | displayName |
| Employeeıd | Employeeıd |
| facsimileTelephoneNumber | facsimileTelephoneNumber |
| givenName | givenName |
| jobTitle | Başlık |
| posta | posta |
| Mailnickname | msDS-AzureADMailNickname |
| Mailnickname | SAMAccountName (bazen otomatik olarak oluşturulabilir) |
| manager | manager |
| http://technet.microsoft.com/en-us/dn451248 | http://technet.microsoft.com/en-us/dn451248 |
| Objectıd | msDS-aadObjectId |
| onPremiseSecurityIdentifier | Sıdhistory |
| passwordPolicies | userAccountControl (DONT_EXPIRE_PASSWORD biti ayarlar veya temizler) |
| physicalDeliveryOfficeName | physicalDeliveryOfficeName |
| postalCode | postalCode |
| preferredLanguage | preferredLanguage |
| proxyAddresses | proxyAddresses |
| semt | St |
| streetAddress | streetAddress |
| surname | sn |
| telephoneNumber | telephoneNumber |
| userPrincipalName | userPrincipalName |
Gruplar için öznitelik eşlemesi
Aşağıdaki tabloda, Microsoft Entra Id içindeki grup nesneleri için belirli özniteliklerin Etki Alanı Hizmetleri'ndeki ilgili özniteliklerle nasıl eşitlenmiş olduğu gösterilmektedir.
| Microsoft Entra Id'de grup özniteliği | Etki Alanı Hizmetleri'nde grup özniteliği |
|---|---|
| displayName | displayName |
| displayName | SAMAccountName (bazen otomatik olarak oluşturulabilir) |
| posta | posta |
| Mailnickname | msDS-AzureADMailNickname |
| Objectıd | msDS-AzureADObjectId |
| onPremiseSecurityIdentifier | Sıdhistory |
| proxyAddresses | proxyAddresses |
| securityEnabled | groupType |
Şirket içi AD DS'den Microsoft Entra Kimliği ve Etki Alanı Hizmetleri'ne eşitleme
Microsoft Entra Bağlan, şirket içi AD DS ortamındaki kullanıcı hesaplarını, grup üyeliklerini ve kimlik bilgisi karmalarını Microsoft Entra Id ile eşitlemek için kullanılır. UPN ve şirket içi güvenlik tanımlayıcısı (SID) gibi kullanıcı hesaplarının öznitelikleri eşitlenir. Etki Alanı Hizmetleri'nde oturum açmak için NTLM ve Kerberos kimlik doğrulaması için gereken eski parola karmaları da Microsoft Entra Id ile eşitlenir.
Önemli
Microsoft Entra Bağlan yalnızca şirket içi AD DS ortamlarıyla eşitleme için yüklenip yapılandırılmalıdır. Nesneleri Microsoft Entra Kimliği'ne geri eşitlemek için yönetilen bir etki alanına Microsoft Entra Bağlan yüklemek desteklenmez.
Geri yazmayı yapılandırdığınızda, Microsoft Entra Id'den yapılan değişiklikler şirket içi AD DS ortamına geri eşitlenir. Örneğin, bir kullanıcı Microsoft Entra self servis parola yönetimini kullanarak parolasını değiştirirse, parola şirket içi AD DS ortamında yeniden güncelleştirilir.
Dekont
Bilinen tüm hatalar için düzeltmelere sahip olduğunuzdan emin olmak için her zaman Microsoft Entra Bağlan'nin en son sürümünü kullanın.
Çok ormanlı şirket içi ortamdan eşitleme
Birçok kuruluş, birden çok orman içeren oldukça karmaşık bir şirket içi AD DS ortamına sahiptir. Microsoft Entra Bağlan, çok ormanlı ortamlardaki kullanıcıların, grupların ve kimlik bilgisi karmalarının Microsoft Entra Id ile eşitlenmesini destekler.
Microsoft Entra Id çok daha basit ve düz bir ad alanına sahiptir. Kullanıcıların Microsoft Entra ID ile güvenli hale getirilen uygulamalara güvenilir bir şekilde erişmesini sağlamak için, farklı ormanlardaki kullanıcı hesapları arasında UPN çakışmalarını çözün. Yönetilen etki alanları, Microsoft Entra ID'ye benzer düz bir OU yapısı kullanır. Şirket içinde hiyerarşik bir OU yapısı yapılandırmış olsanız bile, tüm kullanıcı hesapları ve grupları farklı şirket içi etki alanlarından veya ormanlardan eşitlenmelerine rağmen AADDC Kullanıcıları kapsayıcısında depolanır. Yönetilen etki alanı tüm hiyerarşik OU yapılarını düzleştirmeye yöneliktir.
Daha önce de açıklandığı gibi, Etki Alanı Hizmetleri'nden Microsoft Entra Id'ye eşitleme yapılmaz. Etki Alanı Hizmetleri'nde özel bir Kuruluş Birimi (OU) oluşturabilir ve ardından bu özel OU'larda kullanıcılar, gruplar veya hizmet hesapları oluşturabilirsiniz. Özel OU'larda oluşturulan nesnelerin hiçbiri Microsoft Entra Id ile eşitlenmez. Bu nesneler yalnızca yönetilen etki alanında kullanılabilir ve Microsoft Graph PowerShell cmdlet'leri, Microsoft Graph API'leri veya Microsoft Entra yönetim merkezi kullanılarak görünmez.
Etki Alanı Hizmetleri ile eşitlenmemiş olanlar
Aşağıdaki nesneler veya öznitelikler şirket içi AD DS ortamından Microsoft Entra Kimliği veya Etki Alanı Hizmetleri ile eşitlenmez:
- Dışlanan öznitelikler: Microsoft Entra Bağlan kullanarak belirli özniteliklerin Microsoft Entra Id ile eşitlenmesini şirket içi AD DS ortamından dışlamamayı seçebilirsiniz. Bu dışlanan öznitelikler daha sonra Etki Alanı Hizmetleri'nde kullanılamaz.
- Grup İlkeleri: Şirket içi AD DS ortamında yapılandırılan Grup İlkeleri Etki Alanı Hizmetleri ile eşitlenmez.
- Sysvol klasörü: Şirket içi AD DS ortamındaki Sysvol klasörünün içeriği Etki Alanı Hizmetleri ile eşitlenmez.
- Bilgisayar nesneleri: Şirket içi AD DS ortamına katılmış bilgisayarların bilgisayar nesneleri Etki Alanı Hizmetleri ile eşitlenmez. Bu bilgisayarların yönetilen etki alanıyla güven ilişkisi yoktur ve yalnızca şirket içi AD DS ortamına aittir. Etki Alanı Hizmetleri'nde, yalnızca yönetilen etki alanına açıkça etki alanına katılmış bilgisayarlar için bilgisayar nesneleri gösterilir.
- Kullanıcılar ve gruplar için SidHistory öznitelikleri: Şirket içi AD DS ortamındaki birincil kullanıcı ve birincil grup SID'leri Etki Alanı Hizmetleri ile eşitlenir. Ancak, kullanıcılar ve gruplar için mevcut SidHistory öznitelikleri şirket içi AD DS ortamından Etki Alanı Hizmetleri'ne eşitlenmez.
- Kuruluş Birimleri (OU) yapıları: Şirket içi AD DS ortamında tanımlanan Kuruluş Birimleri, Etki Alanı Hizmetleri ile eşitlenmez. Etki Alanı Hizmetleri'nde biri kullanıcılar, diğeri bilgisayarlar için olan iki yerleşik işletim sistemi vardır. Yönetilen etki alanının düz bir OU yapısı vardır. Yönetilen etki alanınızda özel bir OU oluşturmayı seçebilirsiniz.
Parola karması eşitleme ve güvenlik konuları
Etki Alanı Hizmetleri'ne etkinleştirdiğinizde NTLM ve Kerberos kimlik doğrulaması için eski parola karmaları gerekir. Microsoft Entra Id, düz metin parolalarını depolamaz, bu nedenle bu karmalar mevcut kullanıcı hesapları için otomatik olarak oluşturulamaz. NTLM ve Kerberos uyumlu parola karmaları her zaman Microsoft Entra Id'de şifrelenmiş bir şekilde depolanır.
Şifreleme anahtarları her Microsoft Entra kiracısı için benzersizdir. Bu karmalar, yalnızca Etki Alanı Hizmetleri'nin şifre çözme anahtarlarına erişimi olacak şekilde şifrelenir. Microsoft Entra ID'deki başka hiçbir hizmet veya bileşenin şifre çözme anahtarlarına erişimi yoktur.
Eski parola karmaları daha sonra Microsoft Entra Id'den yönetilen bir etki alanının etki alanı denetleyicilerine eşitlenir. Etki Alanı Hizmetleri'ndeki bu yönetilen etki alanı denetleyicilerinin diskleri bekleme sırasında şifrelenir. Bu parola karmaları, parolaların şirket içi AD DS ortamında depolanmasına ve güvenliğinin sağlanmasına benzer şekilde bu etki alanı denetleyicilerinde depolanır ve güvenli hale getirilir.
Yalnızca bulutta bulunan Microsoft Entra ortamlarında, kullanıcıların gerekli parola karmalarının oluşturulması ve Microsoft Entra Kimliği'nde depolanması için parolalarını sıfırlaması/değiştirmesi gerekir. Microsoft Entra Domain Services etkinleştirildikten sonra Microsoft Entra Id'de oluşturulan tüm bulut kullanıcı hesapları için parola karmaları oluşturulur ve NTLM ve Kerberos ile uyumlu biçimlerde depolanır. Tüm bulut kullanıcı hesaplarının Etki Alanı Hizmetleri ile eşitlenmeden önce parolalarını değiştirmesi gerekir.
Microsoft Entra Bağlan kullanılarak şirket içi AD DS ortamından eşitlenen karma kullanıcı hesapları için, NTLM ve Kerberos uyumlu biçimlerdeki parola karmalarını eşitlemek için Microsoft Entra Bağlan yapılandırmanız gerekir.
Sonraki adımlar
Parola eşitleme özellikleri hakkında daha fazla bilgi için bkz. Microsoft Entra Bağlan ile parola karması eşitleme nasıl çalışır?
Etki Alanı Hizmetleri'ne başlamak için yönetilen bir etki alanı oluşturun.