Microsoft Entra Domain Services 的使用者帳戶、密碼和管理的管理概念

文章
08/29/2024

在建立並執行 Microsoft Entra Domain Services 受控網域時，與傳統內部部署 AD DS 環境相比，行為上會有些不同。 Domain Services 中所使用的管理工具與自我管理網域相同，但您無法直接存取網域控制站 (DC)。根據使用者帳戶建立的來源，密碼原則和密碼雜湊的行為也有一些差異。

此概念文章詳細說明如何管理受控網域，及因建立方式而異的使用者帳戶行為。

網域管理

受控網域是 DNS 命名空間和相符目錄。在受控網域中，包含使用者與群組、認證和原則等所有資源的網域控制站 (DC) 是受控服務的一部分。為了達成備援的目的，會建立兩個 DC 作為受控網域的一部分。您無法登入這些 DC 執行管理工作。您要做的是建立加入受控網域的管理 VM，然後安裝您的一般 AD DS 管理工具。例如，您可以使用 Active Directory 管理中心，或 DNS 或群組原則物件等 Microsoft Management Console (MMC) 嵌入式管理單元。

使用者帳戶建立

您可以透過多種方式，在受控網域中建立使用者帳戶。大部分的使用者帳戶是從 Microsoft Entra ID 同步，從內部部署 AD DS 環境同步的使用者帳戶也可以包含在內。您也可以直接在受控網域中手動建立帳戶。有些功能 (例如初始密碼同步或密碼原則) 的行為會因使用者帳戶的建立方式和位置而異，

使用者帳戶可以從 Microsoft Entra ID 中進行同步。這包含直接在 Microsoft Entra ID 中建立的僅限雲端使用者帳戶，及使用 Microsoft Entra Connect，從內部部署 AD DS 環境同步處理的混合式使用者帳戶。
- 受控網域中的使用者帳戶大多是透過 Microsoft Entra ID 的同步程序建立。
使用者帳戶可以在受控網域中手動建立，且在 Microsoft Entra ID 中不存在。
- 如果您要為只在受控網域中執行應用程式建立服務帳戶，您可以在受控網域中手動建立這些帳戶。由於同步處理是來自於 Microsoft Entra ID 的單向流程，受控網域中建立的使用者帳戶並不會同步回 Microsoft Entra ID。

密碼原則

Domain Services 包含預設的密碼原則，定義了帳戶鎖定、密碼最長使用期限和密碼複雜度等設定。帳戶鎖定原則等設定適用於受控網域中所有的使用者，無論使用者的建立方式為何 (如上一節所述)。有些設定 (例如最短密碼長度和密碼複雜度) 僅適用於直接在受控網域中建立的使用者。

您可以建立自己的自訂密碼原則來覆寫受控網域的預設原則。然後，您可以視需要將這些自訂原則套用至特定的使用者群組。

關於密碼原則的套用如何因使用者建立來源而異，如需詳細資訊，請參閱受控網域的密碼和帳戶鎖定原則。

密碼雜湊

若要在受控網域上驗證使用者，Domain Services 需要其格式適用 NT LAN Manager (NTLM) 和 Kerberos 驗證的密碼雜湊。除非您針對租用戶啟用 Domain Services，否則 Microsoft Entra ID 不會產生或儲存 NTLM 或 Kerberos 驗證所需格式的密碼雜湊。基於安全性考量，Microsoft Entra ID 也不會以清晰文字格式儲存任何密碼認證。因此，Microsoft Entra ID 無法根據使用者現有的認證自動產生這些 NTLM 或 Kerberos 密碼雜湊。

如果是僅限雲端的使用者帳戶，使用者必須變更密碼，才能使用受控網域。此密碼變更流程會導致產生 Kerberos 和 NTLM 驗證的密碼雜湊，並將這些資訊儲存 Microsoft Entra ID 中。在密碼變更前，帳戶不會從 Microsoft Entra ID 同步處理到 Domain Services。

如果是使用 Microsoft Entra Connect 從內部部署 AD DS 環境同步的使用者，請啟用密碼雜湊同步。

重要

當您為 Microsoft Entra 租用戶啟用 Domain Services 時，Microsoft Entra Connect 只會同步處理舊版密碼雜湊。如果您只使用 Microsoft Entra Connect 同步內部部署 AD DS 環境與 Microsoft Entra ID，則不會使用舊版密碼雜湊。

如果您的繼承應用程式未使用 NTLM 驗證或 LDAP 簡單繫結，建議您針對 Domain Services 停用 NTLM 密碼雜湊同步處理。如需更多資訊，請參閱停用弱式加密套件和 NTLM 認證雜湊同步處理。

正確設定後，可用的密碼雜湊就會儲存在受控網域中。如果您刪除受控網域，當時已儲存的任何密碼雜湊也會一併刪除。如果您稍後建立另一個受控網域，Microsoft Entra ID 中已同步的認證資訊將無法重複使用 - 您必須重新設定密碼雜湊同步，以再次儲存密碼雜湊。先前加入網域的 VM 或使用者將無法立即進行驗證 - Microsoft Entra ID 需要在新的受控網域中產生密碼雜湊並儲存。如需詳細資訊，請參閱 Domain Services 和 Microsoft Entra Connect 的密碼雜湊同步程序。

重要

只應該針對與內部部署 AD DS 環境同步處理才安裝和設定 Microsoft Entra Connect。不支援在受控網域中安裝 Microsoft Entra Connect，將物件同步回 Microsoft Entra ID。

樹系和信任

「樹系」是 Active Directory Domain Services (AD DS) 用以分組一或多個「網域」的邏輯建構。然後，這些網域就會儲存使用者或群組的物件，並提供驗證服務。

在 Domain Services 中，樹系僅包含一個網域。但內部部署 AD DS 樹系通常會包含許多網域。在大型組織中，特別是併購後，會有多個內部部署樹系，每個樹系又包含多個網域。

根據預設，受控網域會同步 Microsoft Entra ID 中的所有物件，包括在內部部署 AD DS 環境中建立的任何使用者帳戶。使用者帳戶可直接驗證受控網域，例如登入已加入網域的 VM。當可同步處理密碼雜湊，但使用者不使用獨佔式登入方法 (例如智慧卡驗證) 時，這個方法即可發揮功能。

在 Domain Services 中，您也可以建立與另一個網域的樹系信任，以允許使用者存取資源。視您的存取需求而定，您可以不同的方向建立樹系信任。

信任方向	使用者存取
雙向	可讓受控網域和內部部署網域中的使用者存取任一網域中的資源。
單向連出	可讓內部部署網域中的使用者存取受控網域中的資源，但反之則無法。
單向連入	允許受控網域中的使用者存取內部部署網域中的資源。

Domain Services SKU

在 Domain Services 中，可用的效能和功能取決於 SKU。建立受控網域時，您必須選取 SKU，在部署受控網域後，您可以依業務需求的變更切換 SKU。下表概述可用的 SKU 及其之間的差異：

SKU 名稱	物件計數上限	備份頻率
標準	不限定	每 5 天
Enterprise	不限定	每 3 天
高級	不限定	每日

在提供這些 Domain Services SKU 前，使用的計費模型是根據受控網域中的物件數目 (使用者和電腦帳戶)。現在則不再提供根據受控網域中物件數目而變動的定價。

如需詳細資訊，請參閱 Domain Services 定價頁面。

受控網域效能

網域效能會因應用程式實作驗證的方式而異。其他計算資源有助改善查詢回應時間，並減少同步作業花費的時間。增加 SKU 層級會增加受控網域可用的計算資源。監視應用程式的效能，並規劃所需的資源。

如果企業或應用程式需要變更，而且受控網域需要額外的計算能力，您可以切換至不同的 SKU。

備份頻率

備份頻率決定了受控網域的快照頻率。備份是由 Azure 平台管理的自動化程序。如果您的受控網域發生問題，Azure 支援可協助您從備份還原。由於同步處理是「來自」於 Microsoft Entra ID 的單向流程，受控網域中的任何問題都不會影響 Microsoft Entra ID 或內部部署 AD DS 的環境和功能。

增加 SKU 層級會增加這些備份快照集的頻率。檢閱您的商務需求和復原點目標 (RPO)，來決定受控網域所需的備份頻率。如果商務或應用程式的需求變更，而您需要更頻繁的備份，您可以切換至不同的 SKU。

Domain Services 針對不同類型的問題提供下列復原時間範圍指引：

恢復點目標（RPO）是發生事件潛在數據或交易遺失的最大時間範圍。
復原時間物件（RTO）是目標時間範圍，會在服務等級在事件後返回運作之前發生。

問題	復原點目標 (RPO)	復原時間目標 (RTO)
數據遺失或損毀給 Domain Services 域控制器、相依服務、入侵網域的惡意探索，或需要還原域控制器的其他事件所造成的問題。	事件發生前五天	視租使用者大小而定，2 小時到 4 天
網域診斷所識別的問題。	零（0 分鐘）	視租使用者大小而定，2 小時到 4 天

下一步

若要開始使用，請建立 Domain Services 受控網域。

分享方式：