在 Microsoft Entra 域服务环境中管理 Windows Server 2019
Microsoft Entra 域服务为用户、应用程序和服务提供一个托管域供其使用。 这种方法改变了可以执行的某些管理任务,以及你在托管域中拥有的特权。 这些任务和权限可能不同于常规本地 AD DS 环境中的任务和权限。
注意
无法使用 Microsoft 远程桌面连接到 Microsoft Entra 域服务托管域上的域控制器。
概述
“AAD DC 管理员”组的成员拥有 Microsoft Entra 域服务托管域上的特权。 因此,这些管理员可以在域上执行以下任务:
- 配置托管域中 AADDC 计算机和 AADDC 用户容器的内置 GPO。
- 管理托管域上的 DNS。
- 创建和管理托管域上的自定义 OU。
- 获取对已加入托管域的计算机的管理访问权限。
但是,Microsoft Entra 域服务托管域处于锁定状态,因此你不具有在该域上完成某些管理任务的特权。 下面是一些无法执行的任务的示例:
- 扩展托管域的架构。
- 使用远程桌面连接到托管域的域控制器。
- 将域控制器添加到托管域。
- 使用托管域的“域管理员”或“企业管理员”特权。
创建 Microsoft Entra 域服务实例后,必须将计算机加入 Microsoft Entra 域服务托管域。 此计算机连接到 Azure VNet,该 VNet 提供与 Microsoft Entra 域服务托管域的连接。 加入 Microsoft Entra 域服务托管域的过程与加入常规本地 AD DS 域的过程相同。 将计算机加入后,你必须安装用于管理 Microsoft Entra 域服务实例的工具。
提示
若要安全地连接计算机,可以考虑使用 Azure Bastion 主机。 系统通过 Azure Bastion 将托管主机部署到 VNet 中,该主机会提供基于 Web 的远程桌面协议 (RDP) 或与 VM 的安全外壳 (SSH) 连接。 不需要为 VM 使用公共 IP 地址,也不需要为外部远程流量打开网络安全组规则。 使用 Azure 门户连接到 VM。
使用在本地 AD DS 环境中所用的相同管理工具(例如 Active Directory 管理中心 [ADAC] 或 Active Directory PowerShell)管理 Microsoft Entra 域服务域。 可以在 Windows Server 和客户端计算机上将这些工具作为远程服务器管理工具 (RSAT) 功能的一部分进行安装。 然后,“AAD DC 管理员”组的成员可以在加入托管域的计算机上使用这些 Active Directory 管理工具来远程管理 Microsoft Entra 域服务托管域。
可以执行常见的 ADAC 操作,例如重置用户帐户密码或管理组成员身份。 但是,这些操作仅适用于直接在 Microsoft Entra 域服务托管域中创建的用户和组。 标识信息仅从 Microsoft Entra ID 同步到 Microsoft Entra 域服务,不会从 Microsoft Entra 域服务写回到 Microsoft Entra ID。 因此,无法更改从 Microsoft Entra ID 同步的用户的密码或托管组成员身份,并且无法将这些更改同步回来。
还可以使用作为管理工具一部分安装的适用于 Windows PowerShell 的 Active Directory 模块来管理 Microsoft Entra ID 域服务托管域中的常见操作。
为 Microsoft Entra 域服务启用用户帐户
为对托管域上的用户进行身份验证,Microsoft Entra 域服务要求密码哈希的格式适用于 NTLM 和 Kerberos 身份验证。 除非为租户启用了 Microsoft Entra 域服务,否则 Microsoft Entra ID 不会以 NTLM 或 Kerberos 身份验证所需的格式生成或存储密码哈希。 出于安全考虑,Microsoft Entra ID 也不以明文形式存储任何密码凭据。 因此,Microsoft Entra ID 无法基于用户的现有凭据自动生成这些 NTLM 或 Kerberos 密码哈希。
经过适当的配置后,可用的密码哈希将存储在 Microsoft Entra 域服务托管域中。
注意
删除此域也会删除其中存储的所有密码哈希。
如果以后创建 Microsoft Entra 域服务托管域,则无法重新使用 Microsoft Entra ID 中的已同步凭据信息。 这时需要重新配置密码哈希同步以再次存储密码哈希。 即便如此,以前加入域的 VM 或用户也无法立即进行身份验证,因为 Microsoft Entra ID 需要在新的 Microsoft Entra 域服务托管域中生成并存储密码哈希。
对于在 Microsoft Entra ID 中创建的仅限云的用户帐户而言,生成和存储这些密码哈希的步骤不同于使用 Microsoft Entra Connect 从本地目录同步的用户帐户。 纯云用户帐户是使用 Azure 门户或 Microsoft Graph PowerShell cmdlet 在 Microsoft Entra 目录中创建的帐户。 这些用户帐户不是从本地目录同步的。
对于纯云用户帐户,用户必须更改其密码才能使用 Microsoft Entra 域服务。 此密码更改过程会导致在 Microsoft Entra ID 中生成并存储同时用于 Kerberos 和 NTLM 身份验证的密码哈希。 在更改密码之前,该帐户不会从 Microsoft Entra ID 同步到 Microsoft Entra 域服务。 因此,对于租户中所有需要使用 Microsoft Entra 域服务的云用户,需要使其密码过期以强制他们在下次登录时更改密码,或指示他们手动更改密码。 但是,可能需要为云用户启用自助式密码重置以重置其密码。