Microsoft Entra Domain Services'da kullanıcı hesapları, parolalar ve yönetim için yönetim kavramları
Microsoft Entra Domain Services tarafından yönetilen bir etki alanı oluşturduğunuzda ve çalıştırdığınızda, geleneksel şirket içi AD DS ortamıyla karşılaştırıldığında davranışta bazı farklılıklar vardır. Etki Alanı Hizmetleri'nde kendi kendine yönetilen bir etki alanıyla aynı yönetim araçlarını kullanırsınız, ancak etki alanı denetleyicilerine (DC) doğrudan erişemezsiniz. Kullanıcı hesabı oluşturmanın kaynağına bağlı olarak parola ilkeleri ve parola karmaları için davranışta bazı farklılıklar da vardır.
Bu kavramsal makalede, yönetilen etki alanının nasıl yönetildikleri ve kullanıcı hesaplarının oluşturulma yöntemlerine bağlı olarak farklı davranışları açıklanmıştır.
Etki alanı yönetimi
Yönetilen etki alanı bir DNS ad alanı ve eşleşen dizindir. Yönetilen bir etki alanında, kullanıcılar ve gruplar, kimlik bilgileri ve ilkeler gibi tüm kaynakları içeren etki alanı denetleyicileri (DC) yönetilen hizmetin bir parçasıdır. Yedeklilik için, yönetilen bir etki alanının parçası olarak iki DC oluşturulur. Yönetim görevlerini gerçekleştirmek için bu DC'lerde oturum alamazsınız. Bunun yerine, yönetilen etki alanına katılmış bir yönetim VM'sini oluşturur ve ardından normal AD DS yönetim araçlarınızı yüklersiniz. Örneğin, DNS veya Grup İlkesi nesneleri gibi Active Directory Yönetici istrative Center veya Microsoft Yönetim Konsolu (MMC) ek bileşenlerini kullanabilirsiniz.
Kullanıcı hesabı oluşturma
Kullanıcı hesapları yönetilen bir etki alanında birden çok yolla oluşturulabilir. Çoğu kullanıcı hesabı, şirket içi AD DS ortamından eşitlenen kullanıcı hesabını da içerebilen Microsoft Entra Id'den eşitlenir. Hesapları doğrudan yönetilen etki alanında el ile de oluşturabilirsiniz. İlk parola eşitleme veya parola ilkesi gibi bazı özellikler, kullanıcı hesaplarının nasıl ve nerede oluşturulduğuna bağlı olarak farklı davranır.
- Kullanıcı hesabı, Microsoft Entra Id'den 'de eşitlenebilir. Buna doğrudan Microsoft Entra ID'de oluşturulan yalnızca bulut kullanıcı hesapları ve Microsoft Entra Bağlan kullanılarak şirket içi AD DS ortamından eşitlenen karma kullanıcı hesapları dahildir.
- Yönetilen bir etki alanındaki kullanıcı hesaplarının çoğu, Microsoft Entra Id'den eşitleme işlemi aracılığıyla oluşturulur.
- Kullanıcı hesabı yönetilen bir etki alanında el ile oluşturulabilir ve Microsoft Entra Kimliği'nde mevcut değildir.
- Yalnızca yönetilen etki alanında çalışan uygulamalar için hizmet hesapları oluşturmanız gerekiyorsa, bunları yönetilen etki alanında el ile oluşturabilirsiniz. Eşitleme, Microsoft Entra Id'den bir yol olduğundan, yönetilen etki alanında oluşturulan kullanıcı hesapları Microsoft Entra Id ile yeniden eşitlenmez.
Parola ilkesi
Etki Alanı Hizmetleri, hesap kilitleme, parola yaşı üst sınırı ve parola karmaşıklığı gibi öğelerin ayarlarını tanımlayan varsayılan bir parola ilkesi içerir. Hesap kilitleme ilkesi gibi Ayarlar, kullanıcının önceki bölümde açıklandığı gibi nasıl oluşturulduğundan bağımsız olarak yönetilen bir etki alanındaki tüm kullanıcılar için geçerlidir. Minimum parola uzunluğu ve parola karmaşıklığı gibi birkaç ayar yalnızca doğrudan yönetilen bir etki alanında oluşturulan kullanıcılar için geçerlidir.
Yönetilen bir etki alanındaki varsayılan ilkeyi geçersiz kılmak için kendi özel parola ilkelerinizi oluşturabilirsiniz. Bu özel ilkeler daha sonra gerektiğinde belirli kullanıcı gruplarına uygulanabilir.
Kullanıcı oluşturma kaynağına bağlı olarak parola ilkelerinin nasıl uygulandığındaki farklar hakkında daha fazla bilgi için bkz . Yönetilen etki alanlarında parola ve hesap kilitleme ilkeleri.
Parola karmaları
Yönetilen etki alanındaki kullanıcıların kimliğini doğrulamak için, Etki Alanı Hizmetleri'nin NT LAN Manager (NTLM) ve Kerberos kimlik doğrulaması için uygun bir biçimde parola karmalarına ihtiyacı vardır. Microsoft Entra Id, kiracınız için Etki Alanı Hizmetleri'ni etkinleştirene kadar parola karmalarını NTLM veya Kerberos kimlik doğrulaması için gereken biçimde oluşturmaz veya depolamaz. Güvenlik nedeniyle Microsoft Entra Id, parola kimlik bilgilerini de düz metin biçiminde depolamaz. Bu nedenle Microsoft Entra Id, kullanıcıların mevcut kimlik bilgilerine göre bu NTLM veya Kerberos parola karmalarını otomatik olarak oluşturamaz.
Yalnızca bulut kullanıcı hesapları için, kullanıcıların yönetilen etki alanını kullanabilmeleri için önce parolalarını değiştirmeleri gerekir. Bu parola değiştirme işlemi Kerberos ve NTLM kimlik doğrulaması için parola karmalarının oluşturulmasına ve Microsoft Entra Kimliği'nde depolanmasına neden olur. Hesap, parola değiştirilene kadar Microsoft Entra Id'den Domain Services'e eşitlenmez.
Microsoft Entra Bağlan kullanarak şirket içi AD DS ortamından eşitlenen kullanıcılar için parola karmalarının eşitlenmesini etkinleştirin.
Önemli
Microsoft Entra Bağlan yalnızca Microsoft Entra kiracınız için Domain Services'i etkinleştirdiğinizde eski parola karmalarını eşitler. Eski parola karmaları yalnızca şirket içi AD DS ortamını Microsoft Entra Kimliği ile eşitlemek için Microsoft Entra Bağlan kullanıyorsanız kullanılmaz.
Eski uygulamalarınız NTLM kimlik doğrulaması veya LDAP basit bağlamaları kullanmıyorsa, Etki Alanı Hizmetleri için NTLM parola karması eşitlemesini devre dışı bırakmanızı öneririz. Daha fazla bilgi için bkz . Zayıf şifreleme paketlerini ve NTLM kimlik bilgisi karması eşitlemesini devre dışı bırakma.
Uygun şekilde yapılandırıldıktan sonra, kullanılabilir parola karmaları yönetilen etki alanında depolanır. Yönetilen etki alanını silerseniz, bu noktada depolanan tüm parola karmaları da silinir. Daha sonra başka bir yönetilen etki alanı oluşturursanız, Microsoft Entra Id'deki eşitlenmiş kimlik bilgileri yeniden kullanılamaz. Parola karma eşitlemesini parola karmalarını yeniden depolamak için yeniden yapılandırmanız gerekir. Daha önce etki alanına katılmış VM'ler veya kullanıcılar hemen kimlik doğrulaması yapamayacak - Microsoft Entra Id'nin parola karmalarını oluşturması ve yeni yönetilen etki alanında depolaması gerekir. Daha fazla bilgi için bkz. Etki Alanı Hizmetleri ve Microsoft Entra Bağlan için parola karması eşitleme işlemi.
Önemli
Microsoft Entra Bağlan yalnızca şirket içi AD DS ortamlarıyla eşitleme için yüklenip yapılandırılmalıdır. Nesneleri Microsoft Entra Kimliği'ne geri eşitlemek için yönetilen bir etki alanına Microsoft Entra Bağlan yüklemek desteklenmez.
Ormanlar ve güvenler
Orman, Active Directory Etki Alanı Hizmetleri (AD DS) tarafından bir veya daha fazla etki alanını gruplandırmak için kullanılan mantıksal bir yapıdır. Etki alanları daha sonra kullanıcı veya gruplar için nesneleri depolar ve kimlik doğrulama hizmetleri sağlar.
Etki Alanı Hizmetleri'nde orman yalnızca bir etki alanı içerir. Şirket içi AD DS ormanları genellikle birçok etki alanı içerir. Büyük kuruluşlarda, özellikle birleştirme ve satın almalardan sonra, her birinde birden çok etki alanı bulunan birden çok şirket içi ormanınız olabilir.
Varsayılan olarak, yönetilen bir etki alanı, şirket içi AD DS ortamında oluşturulan tüm kullanıcı hesapları dahil olmak üzere Microsoft Entra Id'deki tüm nesneleri eşitler. Kullanıcı hesapları, etki alanına katılmış bir VM'de oturum açmak gibi yönetilen etki alanında doğrudan kimlik doğrulaması yapabilir. Parola karmaları eşitlenebildiğinde ve kullanıcılar akıllı kart kimlik doğrulaması gibi özel oturum açma yöntemlerini kullanmadığında bu yaklaşım çalışır.
Etki Alanı Hizmetleri'nde, kullanıcıların kaynaklara erişmesine izin vermek için başka bir etki alanıyla orman güveni de oluşturabilirsiniz. Erişim gereksinimlerinize bağlı olarak, orman güvenini farklı yönlerde oluşturabilirsiniz.
| Güven yönü | Kullanıcı erişimi |
|---|---|
| Iki yönlü | Hem yönetilen etki alanındaki hem de şirket içi etki alanındaki kullanıcıların her iki etki alanındaki kaynaklara erişmesine izin verir. |
| Tek yönlü giden | Şirket içi etki alanındaki kullanıcıların yönetilen etki alanındaki kaynaklara erişmesine izin verir, ancak tam tersi olmaz. |
| Tek yönlü gelen | Yönetilen etki alanındaki kullanıcıların şirket içi etki alanındaki kaynaklara erişmesine izin verir. |
Domain Services SKU'ları
Etki Alanı Hizmetleri'nde kullanılabilir performans ve özellikler SKU'yu temel alır. Yönetilen etki alanını oluştururken bir SKU seçersiniz ve yönetilen etki alanı dağıtıldıktan sonra iş gereksinimleriniz değiştikçe SKU'lar arasında geçiş yapabilirsiniz. Aşağıdaki tabloda kullanılabilir SKU'lar ve aralarındaki farklar özetlenmiştir:
| SKU adı | En fazla nesne sayısı | Yedekleme sıklığı |
|---|---|---|
| Standart | Sınırsız | 5 günde bir |
| Kurumsal | Sınırsız | 3 günde bir |
| Premium | Sınırsız | Günlük |
Bu Etki Alanı Hizmetleri SKU'larından önce, yönetilen etki alanındaki nesnelerin (kullanıcı ve bilgisayar hesapları) sayısına dayalı bir faturalama modeli kullanıldı. Yönetilen etki alanındaki nesne sayısına bağlı olarak artık değişken fiyatlandırma yoktur.
Daha fazla bilgi için Etki Alanı Hizmetleri fiyatlandırma sayfasına bakın.
Yönetilen etki alanı performansı
Etki alanı performansı, bir uygulama için kimlik doğrulamasının nasıl uygulandığına bağlı olarak değişir. Ek işlem kaynakları, sorgu yanıt süresini iyileştirmeye ve eşitleme işlemlerinde harcanan süreyi azaltmaya yardımcı olabilir. SKU düzeyi arttıkça, yönetilen etki alanı için kullanılabilir işlem kaynakları artar. Uygulamalarınızın performansını izleyin ve gerekli kaynakları planlayın.
İşletmeniz veya uygulamanız değişiklik gerektiriyorsa ve yönetilen etki alanınız için ek işlem gücüne ihtiyacınız varsa farklı bir SKU'ya geçebilirsiniz.
Yedekleme sıklığı
Yedekleme sıklığı, yönetilen etki alanının anlık görüntüsünün ne sıklıkta alındığını belirler. Yedeklemeler, Azure platformu tarafından yönetilen otomatik bir işlemdir. Yönetilen etki alanınız ile ilgili bir sorun olması durumunda Azure desteği, yedekten geri yükleme konusunda size yardımcı olabilir. Eşitleme yalnızca Microsoft Entra Id'den tek bir yolla gerçekleştiğinden , yönetilen bir etki alanındaki sorunlar Microsoft Entra Id'yi veya şirket içi AD DS ortamlarını ve işlevselliğini etkilemez.
SKU düzeyi arttıkça, bu yedekleme anlık görüntülerinin sıklığı artar. Yönetilen etki alanınız için gerekli yedekleme sıklığını belirlemek için iş gereksinimlerinizi ve kurtarma noktası hedefinizi (RPO) gözden geçirin. İş veya uygulama gereksinimleriniz değişirse ve daha sık yedeklemeye ihtiyacınız varsa farklı bir SKU'ya geçebilirsiniz.
Sonraki adımlar
Başlamak için, Etki Alanı Hizmetleri tarafından yönetilen bir etki alanı oluşturun.