Azure PowerShell kullanarak şirket içi etki alanına Microsoft Entra Domain Services orman güveni oluşturma

Kuruluşlar genellikle karma bir ortamda kimlikleri yönetebilecekken veya bir birleşme veya alım planlarken kullanıcı işbirliğini geliştirmek için bir güven oluşturur. Microsoft Entra Domain Services her zaman tek yönlü, yönetilen bir etki alanından başka bir etki alanına giden güvenleri destekler. Şu anda önizleme aşamasında, tek yönlü gelen güven ilişkileri veya iki yönlü güven ilişkileri de oluşturabilirsiniz.

Örneğin, parola karmalarını eşitleyemediğiniz veya kullanıcıların parolalarını bilmemeleri için yalnızca akıllı kart kullanarak oturum açtıkları ortamlarda, Microsoft Entra Domain Services'ten bir veya daha fazla yerel AD DS ortamına tek yönlü giden bir güven ilişkisi oluşturabilirsiniz. Bu güven ilişkisi, kullanıcıların, uygulamaların ve bilgisayarların, Etki Alanı Hizmetleri tarafından yönetilen etki alanından şirket içi etki alanına karşı kimlik doğrulaması yapmasını sağlar. Bu durumda, şirket içi parola karmaları hiçbir zaman eşitlenmez.

Bu makalede şunların nasıl yapılacağını öğreneceksiniz:

• Azure PowerShell kullanarak Etki Alanı Hizmetleri ormanı oluşturun
• Azure PowerShell kullanarak yönetilen bir etki alanında tek yönlü bir orman güven ilişkisi oluşturma
• Yönetilen etki alanı bağlantısını desteklemek için şirket içi AD DS ortamında DNS'yi yapılandırma
• Şirket içi AD DS ortamında tek yönlü içe dönük orman güveni oluşturma
• Kimlik doğrulaması ve kaynak erişimi için güven ilişkisini test edin ve doğrulayın

Azure aboneliğiniz yoksa başlamadan önce bir hesap oluşturun.

Önemli

Yönetilen etki alanı ormanları şu anda Azure HDInsight veya Azure Dosyalar'ı desteklememektedir. Varsayılan yönetilen etki alanı ormanları bu ek hizmetlerin ikisini de destekler.

Önkoşullar

Bu makaleyi tamamlamak için aşağıdaki kaynaklara ve ayrıcalıklara ihtiyacınız vardır:

• Etkin bir Azure aboneliği.

  • Azure aboneliğiniz yoksa bir hesap oluşturun.

• Aboneliğinizle ilişkili bir Microsoft Entra kiracısı, ya şirket içi bir dizinle ya da yalnızca bulut tabanlı bir dizinle eşitlenir.

  • Gerekirse, bir Microsoft Entra kiracısı oluşturun veya bir Azure aboneliğini hesabınızlailişkilendirin.

• Azure PowerShell'i yükleyin ve yapılandırın.

  • Gerekirse, Yönergeleri izleyerek Azure PowerShell modülünü yükleyin veAzure aboneliğinize bağlanın.
  • Connect-AzAccount cmdlet'ini kullanarak Azure aboneliğinizde oturum açtığınızdan emin olun.

• MS Graph PowerShell'i yükleyin ve yapılandırın.

  • MS Graph PowerShell modülünü gerekirse yüklemek için yönergeleri izleyerekMicrosoft Entra ID'ye bağlanın.
  • Connect-MgGraph cmdlet'ini kullanarak Microsoft Entra kiracınızda oturum açtığınızdan emin olun.

• Etki Alanı Hizmetleri'ni etkinleştirmek için kiracınızda Microsoft Entra rollerinden Uygulama Yöneticisi ve Gruplar Yöneticisi gerekir.

• Gerekli Domain Services kaynaklarını oluşturmak için Etki Alanı Hizmetleri Katkıda Bulunma Azure'daki rolüne ihtiyacınız vardır.

Microsoft Entra yönetim merkezinde oturum açın

Bu makalede, yönetilen bir etki alanından giden orman güveni oluşturma ve yapılandırma işlemlerini Microsoft Entra yönetim merkezi kullanarak gerçekleştireceksiniz. Başlamak için önce Microsoft Entra yönetim merkezindeoturum açın.

Dağıtım işlemi

Yönetilen bir etki alanı ormanı yaratmak ve şirket içi AD DS ile güven ilişkisi kurmak, çok aşamalı bir süreçtir. Aşağıdaki üst düzey adımlar güvenilir, karma ortamınızı oluşturur:

1. Yönetilen bir etki alanı hizmet sorumlusu oluşturun.
2. Yönetilen bir etki alanı ormanı oluşturun.
3. Siteden siteye VPN veya Express Route kullanarak karma ağ bağlantısı oluşturun.
4. Güven ilişkisinin yönetilen etki alanı tarafını oluşturun.
5. Güven ilişkisinin şirket içi AD DS tarafını oluşturun.

Başlamadan önce ağ konuları, orman adlandırma ve DNS gereksinimlerianladığınızdan emin olun. Dağıtıldıktan sonra yönetilen alan ormanı adını değiştiremezsiniz.

Microsoft Entra hizmet sorumlusunu oluşturma

Alan Hizmetleri, Microsoft Entra ID'den verileri eşitlemek için bir hizmet ilkesi gerektirir. Yönetilen etki alanı ormanını oluşturmadan önce bu ilkenin Microsoft Entra kiracınızda oluşturulması gerekir.

Etki Alanı Hizmetleri'nin iletişim kurması ve kimliğini doğrulaması için bir Microsoft Entra hizmet sorumlusu oluşturun. 6ba9a5d4-8456-4118-b521-9c5ca10cdf84ile Etki Alanı Denetleyicisi Hizmetleri adında belirli bir uygulama kimliği kullanılmıştır. Bu uygulama kimliğini değiştirmeyin.

New-MgServicePrincipal cmdlet'ini kullanarak bir Microsoft Entra hizmet sorumlusu oluşturun:

New-MgServicePrincipal

Yönetilen etki alanı oluştur

Yönetilen etki alanı oluşturmak için New-AaddsResourceForest komut dosyasını kullanırsınız. Bu komut dosyası, yönetilen etki alanlarını destekleyen daha geniş bir komut kümesinin parçasıdır. PowerShell Galerisiüzerinde kullanılabilirler. Microsoft Entra mühendislik ekibi tarafından dijital olarak imzalanmışlardır.

1. İlk olarak, New-AzResourceGroup cmdlet'ini kullanarak bir kaynak grubu oluşturun. Aşağıdaki örnekte, kaynak grubu myResourceGroup olarak adlandırılır ve westus bölgesinde oluşturulur. Kendi adınızı ve istediğiniz bölgeyi kullanın:

   New-AzResourceGroup `
     -Name "myResourceGroup" `
     -Location "WestUS"
   

2. New-AaddsResourceForest betiğini, PowerShell Galerisi'den Install-Script cmdlet'ini kullanarak yükleyin.

   Install-Script -Name New-AaddsResourceForest
   

3. New-AaddsResourceForest komut dosyası için gereken aşağıdaki parametreleri gözden geçirin. Önkoşul Azure PowerShell ve Microsoft Graph PowerShell modüllerine de sahip olduğunuzdan emin olun. Uygulama ve şirket içi bağlantı sağlamak için sanal ağ gereksinimlerini planladığınızdan emin olun.

   İsim	Betik parametresi	Açıklama
   Abonelik	-azureSubscriptionId	Etki Alanı Hizmetleri faturalaması için kullanılan abonelik kimliği. Get-AzureRMSubscription cmdlet'ini kullanarak aboneliklerin listesini alabilirsiniz.
   Kaynak Grubu	-aaddsResourceGroupName	Yönetilen etki alanı ve ilişkili kaynaklar için kaynak grubunun adı.
   Yer	-aaddsLocation	Yönetilen etki alanınızı barındıracak Azure bölgesi. Kullanılabilir bölgeler hakkında bilgi için Etki Alanı Hizmetleri'ne desteklenen bölgeleri inceleyin: .
   Alan Hizmetleri yöneticisi	-aaddsAdminUser	İlk yönetilen etki alanı yöneticisinin kullanıcı asıl adı. Bu hesap, Microsoft Entra Id'nizde mevcut bir bulut kullanıcı hesabı olmalıdır. Kullanıcı ve betiği çalıştıran kullanıcı, AAD DC Administrators grubuna eklenir.
   Alan Adı Hizmetleri alan adı	-aaddsDomainName	Daha önce verilen orman adı seçimi yönergelerine göre, yönetilen etki alanının FQDN'si belirlenir.

   New-AaddsResourceForest betiği, bu kaynaklar zaten mevcut değilse Azure sanal ağını ve Etki Alanı Hizmetleri alt ağını oluşturabilir. Betik, belirtildiği takdirde isteğe bağlı olarak iş yükü alt ağlarını oluşturabilir.

   İsim	Betik parametresi	Açıklama
   Sanal ağ adı	-aaddsVnetName	Yönetilen etki alanı için sanal ağın adı.
   Adres alanı	-aaddsVnetCIDRAddressSpace	CIDR gösteriminde sanal ağın adres aralığı (eğer sanal ağ oluşturuluyorsa).
   Alan Hizmetleri alt ağ adı	-aaddsSubnetName	Yönetilen etki alanını barındıran aaddsVnetName sanal ağın alt ağının adı. Kendi VM'lerinizi ve iş yüklerinizi bu alt ağa dağıtmayın.
   Alan Adı Servisleri adres aralığı	-aaddsSubnetCIDRAddressRange	Etki Alanı Hizmetleri örneği için CIDR gösteriminde alt ağ adres aralığı; örneğin, 192.168.1.0/24. Adres aralığı, sanal ağın adres aralığı içinde olmalı ve diğer alt ağlardan farklı olmalıdır.
   İş yükü alt ağı adı (isteğe bağlı)	-iş yükü alt ağ adı	Kendi uygulama iş yükleriniz için oluşturulacak aaddsVnetName sanal ağdaki bir alt ağın isteğe bağlı adı. VM'ler ve uygulamalar aynı zamanda bunun yerine eşlenmiş bir Azure sanal ağına da bağlanabilir.
   İş yükü adres aralığı (isteğe bağlı)	-workloadSubnetCIDRAddressRange	Uygulama iş yükü için CIDR gösteriminde 192.168.2.0/24gibi isteğe bağlı alt ağ adres aralığı. Adres aralığı, sanal ağın adres aralığı içinde olmalı ve diğer alt ağlardan farklı olmalıdır.

4. Şimdi New-AaddsResourceForest betiğini kullanarak yönetilen bir etki alanı ormanı oluşturun. Aşağıdaki örnek, addscontoso.com adlı bir orman oluşturur ve bir iş yükü alt ağı oluşturur. Kendi parametre adlarınızı ve IP adresi aralıklarınızı veya mevcut sanal ağlarınızı sağlayın.

   New-AaddsResourceForest `
       -azureSubscriptionId <subscriptionId> `
       -aaddsResourceGroupName "myResourceGroup" `
       -aaddsLocation "WestUS" `
       -aaddsAdminUser "contosoadmin@contoso.com" `
       -aaddsDomainName "aaddscontoso.com" `
       -aaddsVnetName "myVnet" `
       -aaddsVnetCIDRAddressSpace "192.168.0.0/16" `
       -aaddsSubnetName "AzureADDS" `
       -aaddsSubnetCIDRAddressRange "192.168.1.0/24" `
       -workloadSubnetName "myWorkloads" `
       -workloadSubnetCIDRAddressRange "192.168.2.0/24"
   

   Yönetilen etki alanı ormanının ve destekleyici kaynakların oluşturulması oldukça zaman alır. Komut dosyasının tamamlanmasını bekleyin. Microsoft Entra ormanı arka planda sağlanırken şirket içi ağ bağlantınızı yapılandırmak için sonraki bölüme geçin.

Ağ ayarlarını yapılandırma ve doğrulama

Yönetilen etki alanının dağıtımı devam ederken, şirket içi veri merkezine karma ağ bağlantısını yapılandırın ve doğrulayın. Ayrıca, düzenli bakım için yönetilen etki alanıyla kullanmak üzere bir yönetim VM'sine de ihtiyacınız vardır. Karma bağlantının bir bölümü ortamınızda zaten var olabilir veya bağlantıları yapılandırmak için ekibinizdeki diğer kişilerle çalışmanız gerekebilir.

Başlamadan önce ağ ile ilgili önemli noktaları ve önerilerianladığınızdan emin olun.

1. Azure VPN veya Azure ExpressRoute bağlantısı kullanarak şirket içi ağınızla Azure arasında karma bağlantı oluşturun. Karma ağ yapılandırması bu belgelerin kapsamı dışındadır ve ortamınızda zaten mevcut olabilir. Belirli senaryolarla ilgili ayrıntılar için aşağıdaki makalelere bakın:

   • Azure Siteden Siteye VPN.
   • Azure ExpressRoute'a Genel Bakış .

   Önemli

   Yönetilen etki alanınızın sanal ağına doğrudan bağlantı oluşturursanız, ayrı bir ağ geçidi alt ağı kullanın. Yönetilen etki alanının alt ağında ağ geçidi oluşturmayın.

2. Yönetilen etki alanını yönetmek için bir yönetim VM'sini oluşturur, yönetilen etki alanına ekler ve gerekli AD DS yönetim araçlarını yüklersiniz.

   Yönetilen etki alanı dağıtılırken, bir Windows Server VM oluşturun, sonra gerekli yönetim araçlarını yüklemek için çekirdek AD DS yönetim araçlarını yükleyin. Etki alanı başarıyla dağıtıldıktan sonra aşağıdaki adımlardan biri olana kadar yönetim VM'sini yönetilen etki alanına katmayı bekleyin.

3. Şirket içi ağınızla Azure sanal ağı arasındaki ağ bağlantısını doğrulayın.

   • Örneğin, şirket içi etki alanı denetleyicinizin ping veya uzak masaüstü kullanarak yönetilen VM'ye bağlanabildiğini onaylayın.
   • Yönetim VM'nizin pinggibi bir yardımcı program kullanarak şirket içi etki alanı denetleyicilerinize bağlanabildiğini doğrulayın.

4. Microsoft Entra yönetim merkezinde, Microsoft Entra Domain Servicesöğesini arayın ve seçin. aaddscontoso.com gibi yönetilen etki alanınızı seçin ve durumun Çalışıyorolarak raporlanmasını bekleyin.

   Çalışırken, Azure sanal ağ için DNS ayarlarını güncelleştirin ve ardından yönetilen etki alanınızın yapılandırmalarını sonlandırmak için Domain Services kullanıcı hesaplarını etkinleştirin.

5. Genel bakış sayfasında gösterilen DNS adreslerini not edin. Aşağıdaki bölümde güven ilişkisinin şirket içi Active Directory tarafını yapılandırırken bu adreslere ihtiyacınız vardır.

6. Yeni DNS ayarlarını almak için yönetim VM'sini yeniden başlatın, ardından VM'yi yönetilen etki alanınaekleyin.

7. Yönetim SANAL makinesi yönetilen etki alanına katıldıktan sonra uzak masaüstü kullanarak yeniden bağlanın.

   Bir komut isteminde nslookup ve yönetilen etki alanı adını kullanarak ormanın ad çözümlemesini doğrulayın.

   nslookup aaddscontoso.com
   

   Komutun orman için iki IP adresi döndürmesi gerekir.

Orman güveni oluşturma

Orman güveni iki bölümden oluşur: yönetilen etki alanındaki tek yönlü giden orman güveni ve yerel AD DS ormanındaki tek yönlü gelen orman güveni. Bu güven ilişkisinin her iki tarafını da el ile oluşturursunuz. Her iki taraf da oluşturulduğunda, kullanıcılar ve kaynaklar ormanlar arası güven ilişkisini kullanarak başarıyla kimlik doğrulaması yapabilir. Yönetilen etki alanı, yerel ormanlara en fazla beş tek yönlü giden orman güven ilişkisini destekler.

Güven ilişkisinin yönetilen etki alanı tarafını oluşturma

Güven ilişkisinin yönetilen etki alanı tarafını oluşturmak için Add-AaddsResourceForestTrust betiğini kullanın. İlk olarak, Add-AaddsResourceForestTrust betiğini PowerShell Galerisi'den Install-Script cmdlet'ini kullanarak yükleyin.

Install-Script -Name Add-AaddsResourceForestTrust

Şimdi aşağıdaki bilgileri senaryoya sağlayın:

İsim	Betik parametresi	Açıklama
Alan Adı Hizmetleri alan adı	-ManagedDomainFqdn	Yönetilen etki alanının FQDN'si, örneğin aaddscontoso.com gibi
Şirket içi AD DS etki alanı adı	-TrustFqdn	Güvenilir ormanın FQDN'si, onprem.contoso.com gibi
Güvenilir dost adı	-GüvenilirDostAdı	Güven ilişkisinin tanınabilir adı.
Şirket içi AD DS DNS IP adresleri	-TrustDnsIPs	Listelenen güvenilen etki alanı için DNS sunucusu IPv4 adreslerinin virgülle ayrılmış listesi.
Parolaya güven	-TrustPassword	Güven ilişkisi için karmaşık bir parola. Bu parola, şirket içi AD DS'de tek yönlü gelen güven oluşturulurken de girilir.
Kimlik bilgi -leri	-Kimlik Bilgileri	Azure'da kimlik doğrulaması yapmak için kullanılan kimlik bilgileri. Kullanıcının AAD DC Administrators grubundaolması gerekir. Sağlanmadığı takdirde betik kimlik doğrulama talep eder.

Aşağıdaki örnek, myAzureADDSTrust adlı bir güven ilişkisini onprem.contoso.comiçin oluşturur. Kendi parametre adlarınızı ve parolalarınızı kullanın:

Add-AaddsResourceForestTrust `
    -ManagedDomainFqdn "aaddscontoso.com" `
    -TrustFqdn "onprem.contoso.com" `
    -TrustFriendlyName "myAzureADDSTrust" `
    -TrustDnsIPs "10.0.1.10,10.0.1.11" `
    -TrustPassword <complexPassword>

Önemli

Güven parolanızı unutmayın. Güvenin şirket içi tarafını oluştururken aynı parolayı kullanmanız gerekir.

Şirket içi etki alanında DNS'yi yapılandırın

Yönetilen etki alanını şirket içi ortamdan doğru bir şekilde çözümlemek için var olan DNS sunucularına ileticiler eklemeniz gerekebilir. Şirket içi ortamı yönetilen etki alanıyla iletişim kuracak şekilde yapılandırmadıysanız, şirket içi AD DS etki alanı için bir yönetim iş istasyonundan aşağıdaki adımları tamamlayın:

1. Başlat Seç | Yönetim Araçları | DNS
2. myAD01 gibiDNS sunucusuna sağ tıklayın, Özellikler seçeneğini seçin
3. İleticiler'i seçin, ardından Düzenle seçeneğini seçerek ek ileticiler ekleyin.
4. 10.0.1.4 ve 10.0.1.5 gibi yönetilen etki alanının IP adresleriniekleyin.
5. Yerel komut isteminden, yönetilen etki alanı adının nslookup kullanarak ad çözümlemesini doğrulayın. Örneğin, Nslookup aaddscontoso.com yönetilen etki alanı için iki IP adresini döndürmelidir.

Şirket içi etki alanında gelen orman güveni oluşturma

Şirket içi AD DS etki alanı, yönetilen etki alanı için bir gelen orman güveni ilişkisi gerektirir. Bu güven şirket içi AD DS etki alanında el ile oluşturulmalıdır; Microsoft Entra yönetim merkezinden oluşturulamaz.

Şirket içi AD DS etki alanında gelen güveni yapılandırmak için, şirket içi AD DS etki alanı için bir yönetim iş istasyonundan aşağıdaki adımları tamamlayın:

1. Başlat Seçin | Yönetim Araçları | Active Directory Etki Alanları ve Güvenleri
2. onprem.contoso.comgibi bir etki alanını sağ tıklayın, Özellikler'i seçin
3. Güven sekmesini seçin, ardından Yeni Güven
4. Yönetilen etki alanının adını (örneğin, aaddscontoso.com) girin ve ardından İleri seçin
5. Orman güvenioluşturma seçeneğini belirleyin ve ardından Tek yönlü: gelen güveni oluşturun.
6. Bu etki alanı yalnızcaiçin güven oluşturmayı seçin. Sonraki adımda, yönetilen etki alanı için Microsoft Entra yönetim merkezinde güven oluşturursunuz.
7. Orman genelinde kimlik doğrulamasıkullanmayı seçin, ardından bir güven parolası girin ve onaylayın. Bu parola, sonraki bölümde Microsoft Entra yönetim merkezine de girilir.
8. Varsayılan seçeneklerin bulunduğu sonraki birkaç pencereye geçin, ardından Hayır, giden güven ilişkisini onaylamaseçeneğini belirleyin. Yönetilen etki alanına atanan yönetici hesabınızın gerekli izinlere sahip olmaması nedeniyle güven ilişkisini doğrulayamazsınız. Bu davranış tasarım gereğidir.
9. bitir seçin

Kaynak kimlik doğrulamasını doğrulama

Aşağıdaki yaygın senaryolar, orman güveninin kullanıcıların kimlik doğrulamasını ve kaynaklara erişimi doğru şekilde doğrulamanızı sağlar:

• Etki Alanı Hizmetleri ormanındaki yerinde kullanıcı kimlik doğrulaması
• Etki Alanı Hizmetleri ormanındaki kaynaklara, şirket içi bir kullanıcı olarak erişin
  • Dosya ve yazıcı paylaşımını etkinleştirme
  • Güvenlik grubu oluşturma ve üye ekleme
  • Ormanlar arası erişim için dosya paylaşımı oluşturma
  • Bir kaynağa ormanlar arası kimlik doğrulamasını doğrula

Etki Alanı Hizmetleri ormanından yerinde kullanıcı kimlik doğrulaması

Yönetilen kaynak etki alanına Windows Server sanal makinesinin katılması gereklidir. Şirket içi kullanıcınızın bir sanal makinede kimlik doğrulaması yapabileceklerini test etmek için bu sanal makineyi kullanın.

1. Uzak Masaüstü'nü ve yönetilen etki alanı yöneticisi kimlik bilgilerinizi kullanarak yönetilen etki alanına katılmış Windows Server VM'sine bağlanın. Ağ Düzeyi Kimlik Doğrulaması (NLA) hatası alırsanız, kullandığınız kullanıcı hesabının etki alanı kullanıcı hesabı olmadığını denetleyin.

   Bahşiş

   Microsoft Entra Domain Services'e katılı olan VM'lerinize güvenli bir şekilde bağlanmak için, desteklenen Azure bölgelerinde Azure Bastion Host Service kullanabilirsiniz.

2. Bir komut istemi açın ve şu anda kimliği doğrulanmış kullanıcının ayırt edici adını göstermek için whoami komutunu kullanın:

   whoami /fqdn
   

3. Şirket içi etki alanından kullanıcı olarak kimlik doğrulaması yapmak için runas komutunu kullanın. Aşağıdaki komutta, userUpn@trusteddomain.com değerini güvenilen şirket içi etki alanındaki bir kullanıcının UPN'siyle değiştirin. Komut sizden kullanıcının parolasını ister:

   Runas /u:userUpn@trusteddomain.com cmd.exe
   

4. Kimlik doğrulaması başarılı olursa yeni bir komut istemi açılır. Yeni komut isteminin başlığı running as userUpn@trusteddomain.comiçerir.

5. Kimliği doğrulanmış kullanıcının ayırt edici adını şirket içi Active Directory'den görüntülemek için yeni komut isteminde whoami /fqdn kullanın.

Etki Alanı Hizmetleri'ndeki kaynaklara şirket içi kullanıcı olarak erişme

Yönetilen etki alanına katılmış Windows Server VM'sini kullanarak, kullanıcıların şirket içi etki alanındaki kullanıcılarla şirket içi etki alanındaki bilgisayarlardan kimlik doğrulaması yaptıklarında ormanda barındırılan kaynaklara erişebildikleri senaryoyu test edebilirsiniz. Aşağıdaki örneklerde, çeşitli yaygın senaryoları oluşturma ve test etme adımları gösterilmektedir.

Dosya ve yazıcı paylaşımını etkinleştirme

1. Uzak Masaüstü'nü ve yönetilen etki alanı yöneticisi kimlik bilgilerinizi kullanarak yönetilen etki alanına katılmış Windows Server VM'sine bağlanın. Ağ Düzeyi Kimlik Doğrulaması (NLA) hatası alırsanız, kullandığınız kullanıcı hesabının etki alanı kullanıcı hesabı olmadığını denetleyin.

   Bahşiş

   Microsoft Entra Domain Services'e katılı olan VM'lerinize güvenli bir şekilde bağlanmak için, desteklenen Azure bölgelerinde Azure Bastion Host Service kullanabilirsiniz.

2. Windows Ayarlarıaçın, ardından Ağ ve Paylaşım Merkeziarayın ve seçin.

3. Gelişmiş paylaşım ayarlarını değiştir seçeneğini belirleyin.

4. Etki Alanı Profilialtında, Dosya ve yazıcı paylaşımını aç seçeneğini seçin ve ardından Değişiklikleri kaydet.

5. Ağ ve Paylaşım Merkezi'ni kapatın.

Güvenlik grubu oluşturma ve üye ekleme

1. Active Directory Kullanıcıları ve Bilgisayarlarıaçın.

2. Etki alanı adına sağ tıklayın, Yeniseçin ve ardından Kuruluş Birimiseçin.

3. Ad kutusuna LocalObjectsyazın, ardından Tamam'ı seçin.

4. Gezinti bölmesinde LocalObjects seçin ve sağ tıklayın. Yeni'i seçin ve ardından Gruplandır'ı.

5. Grubu adı kutusuna FileServerAccess yazın. Grup Kapsamıiçin Alan Yerelseçin ve ardından Tamamseçin.

6. İçerik bölmesinde, FileServerAccessöğesine çift tıklayın. Üyeleriseçin, ardından Ekle'yi seçin ve Konumlar'ı seçin.

7. Konum görünümünden şirket içi Active Directory'nizi seçin ve ardından tamam seçin.

8. Etki Alanı Kullanıcıları yazın Seçecek nesne adlarını girin kutusuna. Adları Doğrulaseçin, şirket içi Active Directory için kimlik bilgilerini girin ve ardından Tamam'ı seçin.

   Not

   Güven ilişkisi yalnızca bir yol olduğundan kimlik bilgilerini sağlamanız gerekir. Bu, yönetilen etki alanındaki kullanıcıların kaynaklara erişemeyecekleri veya güvenilen (şirket içi) etki alanındaki kullanıcıları veya grupları arayamadıkları anlamına gelir.

9. Şirket içi Active Directory'nizdeki Etki Alanı Kullanıcıları grubu, FileServerAccess grubunun üyesi olmalıdır. Grubu kaydetmek ve pencereyi kapatmak için Tamam seçin.

Ormanlar arası erişim için dosya paylaşımı oluşturma

1. Yönetilen etki alanına katılmış Windows Server VM'sinde bir klasör oluşturun ve CrossForestSharegibi bir ad sağlayın.
2. Klasörü sağ seçin ve özellikler seçin.
3. Güvenlik sekmesini seçin, ardından Düzenle'yi seçin.
4. CrossForestShare için İzinleri iletişim kutusunda Ekleöğesini seçin.
5. FileServerAccess yazınseçmek için nesne adlarını girin ve ardından tamam seçin.
6. Grupları veya kullanıcı adları listesinden FileServerAccess seçin. FileServerAccess için İzinler listesinde, Değiştirme ve Yazma izinleri için İzin Ver seçeneğini seçin, ardından Tamam’ı seçin.
7. Paylaşım sekmesini seçin, ardından Gelişmiş Paylaşım...
8. Bu klasörüpaylaş'ı seçin, ardından Paylaşım adı dosya paylaşımı için CrossForestSharegibi unutulmaz bir ad girin.
9. İzinler'i seçin. Herkes için İzinleri listesinde, Değişiklik izni için İzin Ver'i seçin.
10. Tamam iki kez seçin ve ardından Kapat'ı.

Bir kaynağa ormanlar arası kimlik doğrulamayı onaylayın

1. Şirket içi Active Directory'nizden bir kullanıcı hesabı kullanarak şirket içi Active Directory'nize katılmış bir Windows bilgisayarında oturum açın.

2. Windows Gezginiüzerinden, tam konak adını ve \\fs1.aaddscontoso.com\CrossforestSharegibi bir paylaşım birimini kullanarak oluşturduğunuz paylaşıma bağlanın.

3. Yazma iznini doğrulamak için klasörde sağ seçin, Yeni seçin ve ardından metin belgesi seçin. Yeni Metin Belgesi varsayılan adını kullanın.

   Yazma izinleri doğru ayarlanırsa yeni bir metin belgesi oluşturulur. Ardından aşağıdaki adımlar dosyayı uygun şekilde açar, düzenler ve siler.

4. Okuma iznini doğrulamak için yeni metin belgesi açın.

5. Değiştirme iznini doğrulamak için dosyaya metin ekleyin ve Not Defterikapatın. Değişiklikleri kaydetmek isteyip istemediğiniz sorulduğunda kaydet'iseçin.

6. Silme iznini doğrulamak için Yeni Metin Belgesi üzerine sağ tıklayın ve Silseçeneğini seçin. Dosya silme işlemini onaylamak için Evet seçin.

Giden orman güven ilişkisini güncelle veya kaldır

Yönetilen etki alanından mevcut bir tek yönlü dışa dönük ormanı güncellemeniz gerekiyorsa, Get-AaddsResourceForestTrusts ve Set-AaddsResourceForestTrust betiklerini kullanabilirsiniz. Bu betikler, orman güven ilişkisi anlaşılır adını veya güven parolasını güncellemek istediğiniz senaryolarda yardımcı olur. Yönetilen etki alanından tek yönlü giden güveni kaldırmak için Remove-AaddsResourceForestTrust betiğini kullanabilirsiniz. İlgili şirket içi AD DS ormanındaki tek yönlü gelen orman ilişkisini manuel olarak kaldırmanız gerekir.

Orman güven ilişkisini güncelleştirme

Normal işlemde, yönetilen etki alanı ve şirket içi orman kendi aralarında düzenli bir parola güncelleştirme işlemi anlaşması gerçekleştirir. Bu, normal AD DS güven ilişkisi güvenlik sürecinin bir parçasıdır. Güven ilişkisinde bir sorun yaşanmadığı ve bilinen bir parolaya el ile sıfırlamak istemediğiniz sürece güven parolasını el ile döndürmeniz gerekmez. Daha fazla bilgi için bkz. güvenilen etki alanı nesne parolası değişiklikleri.

Aşağıdaki örnek adımlar, giden güvenlik parolasını el ile sıfırlamanız gerekiyorsa mevcut bir güvenlik ilişkisini nasıl güncelleyeceğinizi gösterir:

1. Get-AaddsResourceForestTrusts'den Set-AaddsResourceForestTrust cmdlet'ini kullanarak ve betiklerini yükleyin.

   Install-Script -Name Get-AaddsResourceForestTrusts,Set-AaddsResourceForestTrust
   

2. Var olan bir güveni güncelleştirebilmeniz için önce Get-AaddsResourceForestTrusts betiğini kullanarak güven kaynağını alın. Aşağıdaki örnekte, var olan güven existingTrustadlı bir nesneye atanır. Güncellemek üzere, kendi yönetilen etki alanı orman adınızı ve şirket içi etki alanı orman adınızı belirtin.

   $existingTrust = Get-AaddsResourceForestTrust `
       -ManagedDomainFqdn "aaddscontoso.com" `
       -TrustFqdn "onprem.contoso.com" `
       -TrustFriendlyName "myAzureADDSTrust"
   

3. Mevcut güven parolasını güncelleştirmek için Set-AaddsResourceForestTrust betiğini kullanın. Önceki adımdaki mevcut güven nesnesini ve ardından yeni bir güven ilişkisi parolası belirtin. PowerShell tarafından parola karmaşıklığı uygulanmaz, bu nedenle ortamınız için güvenli bir parola oluşturduğunuzdan ve kullandığınızdan emin olun.

   Set-AaddsResourceForestTrust `
       -Trust $existingTrust `
       -TrustPassword <newComplexPassword>
   

Orman güven ilişkisini sil

Yönetilen etki alanından şirket içi AD DS ormanına tek yönlü giden orman güven ilişkisine artık ihtiyacınız yoksa, bunu kaldırabilirsiniz. Güveni kaldırmadan önce hiçbir uygulamanın veya hizmetin şirket içi AD DS ormanında kimlik doğrulaması yapmasına gerek olmadığından emin olun. Şirket içi AD DS ormanındaki tek yönlü gelen güveni de el ile kaldırmanız gerekir.

1. Remove-AaddsResourceForestTrust betiğini, PowerShell Galerisi'den Install-Script cmdlet'ini kullanarak yükleyin.

   Install-Script -Name Remove-AaddsResourceForestTrust
   

2. Şimdi Remove-AaddsResourceForestTrust betiğini kullanarak orman güvenini kaldırın. Aşağıdaki örnekte, aaddscontoso.com adlı yönetilen etki alanı ormanı ile şirket içi orman onprem.contoso.com arasındaki myAzureADDSTrust adlı güven kaldırılır. Kendi idare edilen etki alanı orman adını ve şirket içi orman adını silmek için belirtin.

   Remove-AaddsResourceForestTrust `
       -ManagedDomainFqdn "aaddscontoso.com" `
       -TrustFqdn "onprem.contoso.com" `
       -TrustFriendlyName "myAzureADDSTrust"
   

Şirket içi AD DS ormanından tek yönlü gelen güveni kaldırmak için, şirket içi AD DS ormanına erişimi olan bir yönetim bilgisayarına bağlanın ve aşağıdaki adımları tamamlayın:

1. Başlangıç seçin | Yönetim Araçları | Active Directory Etki Alanları ve Güven İlişkileri.
2. onprem.contoso.comgibi bir alan adı üzerine sağ tıklayın, ardından Özellikler'i seçin.
3. Güven İlişkileri sekmesini seçin ve ardından yönetilen etki alanı ormanınızdan mevcut gelen güveni seçin.
4. kaldır'ı seçin ve gelen güveni kaldırmak istediğinizi onaylayın.

Sonraki adımlar

Bu makalede şunların nasıl yapılacağını öğrendiniz:

• Azure PowerShell kullanarak yönetilen etki alanı oluşturma
• Azure PowerShell kullanarak yönetilen bir etki alanında tek yönlü bir orman güven ilişkisi oluşturma
• Yönetilen etki alanı bağlantısını desteklemek için şirket içi AD DS ortamında DNS'yi yapılandırma
• Şirket içi AD DS ortamında tek yönlü içe dönük orman güveni oluşturma
• Kimlik doğrulaması ve kaynak erişimi için güven ilişkisini test edin ve doğrulayın

Etki Alanı Hizmetleri'ndeki orman türleri hakkında daha fazla kavramsal bilgi için bkz. Etki Alanı Hizmetleri'nde orman trustları nasıl çalışır?

Connect-MgGraph: /powershell/microsoftgraph/authentication-commands

New-MgServicePrincipal: /powershell/module/microsoft.graph.applications/new-mgserviceprincipal