Öğretici: Azure Active Directory Domain Services yönetilen etki alanını yapılandırmak ve yönetmek için yönetim VM'sini oluşturma

Azure Active Directory Domain Services (Azure AD DS), Windows Server Active Directory ile tamamen uyumlu olan etki alanına katılma, grup ilkesi, LDAP ve Kerberos/NTLM kimlik doğrulaması gibi yönetilen etki alanı hizmetleri sağlar. Bu yönetilen etki alanını, şirket içi Active Directory Etki Alanı Hizmetleri etki alanıyla aynı Uzak Sunucu Yönetim Araçları'nı (RSAT) kullanarak yönetirsiniz. Azure AD DS yönetilen bir hizmet olduğundan, etki alanı denetleyicilerine bağlanmak için uzak masaüstü protokolü (RDP) kullanma gibi gerçekleştiremezseniz bazı yönetim görevleri vardır.

Bu öğreticide, Azure'da Windows Server VM'sini yapılandırma ve Azure AD DS tarafından yönetilen etki alanını yönetmek için gerekli araçları yükleme adımları gösterilmektedir.

Bu öğreticide şunların nasıl yapıldığını öğreneceksiniz:

• Yönetilen etki alanında kullanılabilir yönetim görevlerini anlama
• Windows Server VM'sine Active Directory yönetim araçlarını yükleme
• Ortak görevleri gerçekleştirmek için Active Directory Yönetim Merkezi'ni kullanma

Azure aboneliğiniz yoksa başlamadan önce bir hesap oluşturun .

Önkoşullar

Bu öğreticiyi tamamlamak için aşağıdaki kaynaklara ve ayrıcalıklara ihtiyacınız vardır:

• Etkin bir Azure aboneliği.
  • Azure aboneliğiniz yoksa bir hesap oluşturun.
• Aboneliğinizle ilişkilendirilmiş bir Azure Active Directory kiracısı, şirket içi dizinle veya yalnızca bulut diziniyle eşitlenir.
  • Gerekirse bir Azure Active Directory kiracısı oluşturun veya bir Azure aboneliğini hesabınızla ilişkilendirin.
• azure Active Directory Domain Services yönetilen etki alanı etkinleştirildi ve Azure AD kiracınızda yapılandırıldı.
  • Gerekirse, Azure Active Directory Domain Services yönetilen etki alanı oluşturma ve yapılandırmaya yönelik ilk öğreticiye bakın.
• Yönetilen etki alanına katılmış bir Windows Server VM.
  • Gerekirse, bir Windows Server VM oluşturmak ve bunu yönetilen bir etki alanına eklemek için önceki öğreticiye bakın.
• Azure AD kiracınızdaki Azure AD DC yöneticiler grubunun üyesi olan bir kullanıcı hesabı.
• Azure AD DS sanal ağınızda dağıtılan bir Azure Bastion konağı.
  • Gerekirse bir Azure Bastion konağı oluşturun.

Azure portalında oturum açın

Bu öğreticide, Azure portal kullanarak bir yönetim VM'sini oluşturup yapılandıracaksınız. Başlamak için önce Azure portal oturum açın.

Azure AD DS'de kullanılabilir yönetim görevleri

Azure AD DS kullanıcılarınız, uygulamalarınız ve hizmetleriniz için kullanılacak yönetilen bir etki alanı sağlar. Bu yaklaşım, yapabileceğiniz kullanılabilir yönetim görevlerinin bazılarını ve yönetilen etki alanında sahip olduğunuz ayrıcalıkları değiştirir. Bu görevler ve izinler, normal bir şirket içi Active Directory Etki Alanı Hizmetleri ortamında deneyimlediğinizden farklı olabilir. Ayrıca, Uzak Masaüstü'nü kullanarak yönetilen etki alanındaki etki alanı denetleyicilerine bağlanamazsınız.

Yönetilen etki alanında gerçekleştirebileceğiniz yönetim görevleri

AAD DC Administrators grubunun üyelerine yönetilen etki alanında aşağıdaki gibi görevleri gerçekleştirmelerine olanak tanıyan ayrıcalıklar verilir:

• Yönetilen etki alanındaki AADDC Bilgisayarları ve AADDC Kullanıcıları kapsayıcıları için yerleşik grup ilkesi nesnesini (GPO) yapılandırın.
• Yönetilen etki alanında DNS’yi yönetin.
• Yönetilen etki alanında özel kuruluş birimleri (OU) oluşturma ve yönetme.
• Yönetilen etki alanına katılan bilgisayarlara yönetici erişimi edinin.

Yönetilen etki alanında sahip olmadığınız yönetim ayrıcalıkları

Yönetilen etki alanı kilitli olduğundan, etki alanında belirli yönetim görevlerini gerçekleştirme ayrıcalığınız yoktur. Aşağıdaki örneklerden bazıları, gerçekleştiremezseniz görevlerdir:

• Yönetilen etki alanının şemasını genişletin.
• Uzak Masaüstü'nü kullanarak yönetilen etki alanının etki alanı denetleyicilerine bağlanın.
• Yönetilen etki alanına etki alanı denetleyicileri ekleyin.
• Yönetilen etki alanı için Etki Alanı Yöneticisi veya Kuruluş Yöneticisi ayrıcalıklarınız yok.

Windows Server VM'de oturum açma

Önceki öğreticide, yönetilen etki alanına bir Windows Server VM oluşturuldu ve katıldı. Yönetim araçlarını yüklemek için bu VM'yi kullanın. Gerekirse, Windows Server VM'sini oluşturmak ve yönetilen etki alanına eklemek için öğreticideki adımları izleyin.

Not

Bu öğreticide, Azure'da yönetilen etki alanına katılmış bir Windows Server VM kullanırsınız. Yönetilen etki alanına katılmış Windows 10 gibi bir Windows istemcisi de kullanabilirsiniz.

Windows istemcisine yönetim araçlarını yükleme hakkında daha fazla bilgi için bkz. Uzak Sunucu Yönetim Araçları'nı (RSAT) yükleme

Başlamak için Windows Server VM'sine aşağıdaki gibi bağlanın:

1. Azure portal sol taraftaki Kaynak grupları'nı seçin. VM'nizin oluşturulduğu kaynak grubunu ( myResourceGroup gibi) seçin ve ardından myVM gibi bir VM seçin.

2. VM'nizin Genel Bakış bölmesinde Bağlan'ı ve ardından Bastion'ı seçin.

   

3. VM'nizin kimlik bilgilerini girin ve Bağlan'ı seçin.

   

Gerekirse, Web tarayıcınızın Bastion bağlantısının görüntülenmesi için açılır pencereleri açmasına izin verin. VM'nizle bağlantının yapılması birkaç saniye sürer.

Active Directory yönetim araçlarını yükleme

Yönetilen bir etki alanında Active Directory Yönetim Merkezi (ADAC) veya AD PowerShell gibi şirket içi AD DS ortamlarıyla aynı yönetim araçlarını kullanırsınız. Bu araçlar, Windows Server ve istemci bilgisayarlarında Uzak Sunucu Yönetim Araçları (RSAT) özelliğinin bir parçası olarak yüklenebilir. AAD DC Administrators grubunun üyeleri, yönetilen etki alanına katılmış bir bilgisayardan bu AD yönetim araçlarını kullanarak yönetilen etki alanlarını uzaktan yönetebilir.

Active Directory Yönetim araçlarını etki alanına katılmış bir VM'ye yüklemek için aşağıdaki adımları tamamlayın:

1. VM'de oturum açtığınızda Sunucu Yöneticisi varsayılan olarak açılmazsa Başlat menüsünü ve ardından Sunucu Yöneticisi'ı seçin.

2. Sunucu Yöneticisi penceresinin Pano bölmesinde Rol ve Özellik Ekle'yi seçin.

3. Rol ve Özellik Ekleme Sihirbazı'nınBaşlamadan Önce sayfasında İleri'yi seçin.

4. Yükleme Türü için Rol tabanlı veya özellik tabanlı yükleme seçeneğini işaretli bırakın ve İleri'yi seçin.

5. Sunucu Seçimi sayfasında, sunucu havuzundan myvm.aaddscontoso.com gibi geçerli VM'yi seçin ve ardından İleri'yi seçin.

6. Sunucu Rolleri sayfasında İleri'ye tıklayın.

7. Özellikler sayfasında, Uzak Sunucu Yönetim Araçları düğümünü genişletin ve ardından Rol Yönetimi Araçları düğümünü genişletin.

   Rol yönetimi araçları listesinden AD DS ve AD LDS Araçları özelliğini seçin ve ardından İleri'yi seçin.

   

8. Onay sayfasında Yükle'yi seçin. Yönetim araçlarının yüklenmesi bir veya iki dakika sürebilir.

9. Özellik yüklemesi tamamlandığında, Rol ve Özellik Ekle sihirbazından çıkmak için Kapat'ı seçin.

Active Directory yönetim araçlarını kullanma

Yönetim araçları yüklüyse, yönetilen etki alanını yönetmek için bunları nasıl kullanacağınızı görelim. VM'de AAD DC Administrators grubunun üyesi olan bir kullanıcı hesabıyla oturum açtığınızdan emin olun.

1. Başlatmenüsünden Windows Yönetim Araçları'nı seçin. Önceki adımda yüklenen AD yönetim araçları listelenir.

   

2. Active Directory Yönetim Merkezi'ne tıklayın.

3. Yönetilen etki alanını keşfetmek için sol bölmede aaddscontoso gibi etki alanı adını seçin. AADDC Bilgisayarları ve AADDC Kullanıcıları adlı iki kapsayıcı listenin en üstünde yer alır.

   

4. Yönetilen etki alanına ait kullanıcıları ve grupları görmek için AADDC Kullanıcıları kapsayıcısını seçin. Azure AD kiracınızdaki kullanıcı hesapları ve grupları bu kapsayıcıda listelenir.

   Aşağıdaki örnek çıktıda, bu kapsayıcıda Contoso Yönetici adlı bir kullanıcı hesabı ve AAD DC Yöneticileri için bir grup gösterilir.

   

5. Yönetilen etki alanına katılmış bilgisayarları görmek için AADDC Bilgisayarları kapsayıcısını seçin. Geçerli sanal makine için myVM gibi bir giriş listelenir. Yönetilen etki alanına katılmış tüm cihazların bilgisayar hesapları bu AADDC Bilgisayarları kapsayıcısında depolanır.

Kullanıcı hesabı parolasını sıfırlama veya grup üyeliğini yönetme gibi yaygın Active Directory Yönetim Merkezi eylemleri kullanılabilir. Bu eylemler yalnızca doğrudan yönetilen etki alanında oluşturulan kullanıcılar ve gruplar için çalışır. Kimlik bilgileri yalnızca Azure AD'den Azure AD DS'ye eşitlenir. Azure AD DS'den Azure AD'a geri yazma işlemi yoktur. Azure AD'dan eşitlenen kullanıcılar için parolaları veya yönetilen grup üyeliğini değiştiremez ve bu değişikliklerin yeniden eşitlenmesini sağlayabilirsiniz.

Yönetilen etki alanınızdaki yaygın eylemleri yönetmek için yönetim araçlarının bir parçası olarak yüklenen Windows PowerShell için Active Directory Modülü'nü de kullanabilirsiniz.

Sonraki adımlar

Bu öğreticide, şunların nasıl yapıldığını öğrendiniz:

• Yönetilen etki alanında kullanılabilir yönetim görevlerini anlama
• Windows Server VM'sine Active Directory yönetim araçlarını yükleme
• Ortak görevleri gerçekleştirmek için Active Directory Yönetim Merkezi'ni kullanma

Yönetilen etki alanınızla diğer uygulamalardan güvenli bir şekilde etkileşime geçmek için güvenli Basit Dizin Erişim Protokolü'ne (LDAPS) olanak tanıyın.

Yönetilen etki alanınız için güvenli LDAP yapılandırma