Microsoft Entra Domain Services 受控網域中的物件和認證可以在網域內由本機建立,或從 Microsoft Entra 租用戶同步處理。 當您第一次部署 Domain Services 時,會自動設定單向同步,並開始從 Microsoft Entra ID 複寫物件。 此單向同步處理會繼續在背景中執行,以讓 Domain Services 受控網域保持 up-to日期,且具有來自 Microsoft Entra ID 的任何變更。 網域服務不會與 Microsoft Entra ID 進行回傳同步。
在混合式環境中,內部部署的 AD DS 網域中的物件和認證可以使用 Microsoft Entra Connect 同步至 Microsoft Entra ID。 一旦這些物件成功同步至Microsoft Entra標識符,自動背景同步處理就會讓這些對象和認證可供使用受控網域的應用程式使用。
下圖說明 Domain Services、Microsoft Entra ID 與選擇性內部部署 AD DS 環境之間的同步處理運作方式:
從 Microsoft Entra ID 同步至網域服務
用戶帳戶、群組成員資格和憑證雜湊會單向從 "Microsoft Entra ID" 同步到 "Domain Services"。 此同步處理程序是自動執行的。 您不需要設定、監視或管理此同步處理程式。 初始同步處理可能需要數小時到幾天的時間,視Microsoft Entra 目錄中的物件數目而定。 初始同步處理完成之後,Microsoft Entra ID 中所做的變更,例如密碼或屬性變更,然後會自動同步處理至 Domain Services。
當使用者在 Microsoft Entra 識別符中建立時,在變更 Microsoft Entra 識別符中的密碼之前,它們不會同步處理到 Domain Services。 此密碼變更過程會生成 Kerberos 和 NTLM 驗證的密碼雜湊,並將其儲存在 Microsoft Entra ID 中。 需要密碼哈希,才能成功驗證 Domain Services 中的使用者。
同步處理程式是單向設計。 不會將來自 Domain Services 的變更反向同步回 Microsoft Entra ID。 受控網域大部分是唯讀的,但您可以建立自定義的 OU。 您無法變更受控網域內的使用者屬性、用戶密碼或群組成員資格。
限定範圍的同步處理和群組篩選
您可以將同步處理的範圍設定為僅限源自雲端的用戶帳戶。 在該同步處理範圍內,您可以篩選特定群組或使用者。 您可以選擇僅限雲端群組、內部部署群組或兩者。 如需如何設定範圍同步處理的詳細資訊,請參閱 設定限範圍同步處理。
屬性同步處理與網域服務對應
下表列出了一些常見的屬性,以及它們如何同步至 Domain Services。
| Domain Services 中的屬性 | 來源 | 註釋 |
|---|---|---|
| UPN | Microsoft Entra 租戶中使用者的 UPN 屬性 | Microsoft Entra 租使用者的 UPN 屬性會同步至 Domain Services as-is。 登入受控網域的最可靠方式是使用UPN。 |
| SAM 帳戶名稱 (SAMAccountName) | Microsoft Entra 租戶或自動產生的 mailNickname 屬性 | SAMAccountName 屬性是從 Microsoft Entra 租戶中的 mailNickname 屬性來源。 如果多個用戶帳戶具有相同 的 mailNickname 屬性,則會自動產生 SAMAccountName 。 如果使用者 mailNickname 或 UPN 前綴超過 20 個字元,SAMAccountName 會自動生成,以符合 SAMAccountName 屬性的 20 個字元限制。 |
| 密碼 | 來自 Microsoft Entra 租戶的用戶密碼 | NTLM 或 Kerberos 驗證所需的舊版密碼哈希會從 Microsoft Entra 租用戶同步處理。 如果使用 Microsoft Entra Connect 將 Microsoft Entra 租戶設定為進行混合式同步處理,則這些密碼哈希來自內部部署的 AD DS 環境。 |
| 主要使用者/群組 SID | 自動產生 | 網域服務中會自動產生使用者/組帳戶的主要 SID。 此屬性不符合內部部署 AD DS 環境中物件的主要使用者/群組 SID。 此不符是因為受控網域的 SID 命名空間與內部部署 AD DS 網域不同。 |
| 使用者和群組的 SID 歷程記錄 | 內部部署主要使用者和群組 SID | Domain Services 中使用者和群組的 SidHistory 屬性會設定為符合內部部署 AD DS 環境中的對應主要使用者或群組 SID。 此功能可協助您更輕鬆地將內部部署應用程式隨即轉移至 Domain Services,因為您不需要重新取得 ACL 資源。 |
小提示
使用UPN格式登入受控網域SAMAccountName 屬性,例如 AADDSCONTOSO\driley,可能會針對受控網域中的某些使用者帳戶自動產生。 用戶自動產生的 SAMAccountName 可能與其 UPN 前置詞不同,因此不一定是登入的可靠方式。
例如,如果多個使用者具有相同mailNickname屬性,或使用者有過長的 UPN 前置詞,則這些使用者的SAMAccountName可能會自動產生。 使用 UPN 格式 (例如 driley@aaddscontoso.com) 來可靠地登入受控網域。
用戶帳戶的屬性對應
下表說明如何在 Microsoft Entra ID 中將用戶物件的特定屬性同步處理至 Domain Services 中的對應屬性。
| Microsoft Entra ID 中的用戶屬性 | Domain Services 中的用戶屬性 |
|---|---|
| 帳戶啟用 | userAccountControl (設定或清除ACCOUNT_DISABLED位元) |
| 城市 | l |
| 公司名稱 | 公司名稱 |
| 國家 | co |
| 部門 | 部門 |
| 顯示名稱 | 顯示名稱 |
| 員工ID | 員工ID |
| 傳真電話號碼 | 傳真電話號碼 |
| givenName | givenName |
| 職位名稱 | 標題 |
| 郵件 | 郵件 |
| 郵件暱稱 | msDS-AzureADMailNickname |
| 郵件暱稱 | SAMAccountName (有時可能會自動產生) |
| 管理員 | 管理員 |
| 行動 | 行動 |
| 物件識別碼 | msDS-aadObjectId |
| 本地安全識別符 | sidHistory |
| 密碼規範 | userAccountControl(設定或清除 DONT_EXPIRE_PASSWORD 位元) |
| 實體交付辦公室名稱 | 實體交付辦公室名稱 |
| 郵遞區號 | 郵遞區號 |
| 首選語言 | 首選語言 |
| 代理地址 | 代理地址 |
| 狀態 | 聖 |
| 街道地址 | 街道地址 |
| 姓 | 錫 |
| 電話號碼 | 電話號碼 |
| 用戶主名稱 | 用戶主名稱 |
群組的屬性對應
下表說明如何在 Microsoft Entra ID 中將群組物件的特定屬性同步處理至 Domain Services 中的對應屬性。
| Microsoft Entra 識別碼中的群組屬性 | Domain Services 中的群組屬性 |
|---|---|
| 顯示名稱 | 顯示名稱 |
| 顯示名稱 | SAMAccountName (有時可能會自動產生) |
| 郵件 | 郵件 |
| 郵件暱稱 | msDS-AzureADMailNickname |
| 物件識別碼 | msDS-AzureADObjectId |
| 本地安全識別符 | sidHistory |
| 代理地址 | 代理地址 |
| 安全性已啟用 | 群組類型 |
從內部部署 AD DS 同步至 Microsoft Entra ID 和網域服務
Microsoft Entra Connect 可用來將使用者帳戶、群組成員資格和認證哈希從內部部署 AD DS 環境同步處理到Microsoft Entra ID。 同步使用者帳戶的屬性,例如 UPN 和內部部署安全性識別碼(SID)之類。 若要使用 Domain Services 登入,NTLM 和 Kerberos 驗證所需的舊版密碼哈希也會同步處理至Microsoft Entra ID。
這很重要
只有在需要與內部部署 AD DS 環境進行同步時,才應安裝和設定 Microsoft Entra Connect。 不支援在受控網域中安裝 Microsoft Entra Connect,將物件同步回 Microsoft Entra ID。
如果您設定回寫,來自 Microsoft Entra ID 的變更將同步處理回本地 AD DS 環境。 例如,如果使用者使用 Microsoft Entra 自助式密碼管理變更其密碼,則會在內部部署 AD DS 環境中更新密碼。
備註
請一律使用最新版本的 Microsoft Entra Connect,以確保您已修正所有已知 Bug。
從多樹系本機環境進行同步
許多組織都有相當複雜的內部部署 AD DS 環境,其中包含多個樹系。 Microsoft Entra Connect 支援將多樹系環境中的使用者、群組和憑證雜湊同步至 Microsoft Entra ID。
Microsoft Entra ID 具有更簡單且扁平的命名空間。 若要讓使用者可靠地存取受Microsoft Entra ID 保護的應用程式,請解決不同樹系中用戶帳戶之間的 UPN 衝突。 受控網域會使用平面 OU 結構,類似於 Microsoft Entra ID。 儘管已從不同的內部部署網域或樹系同步處理,但所有用戶帳戶和群組都會儲存在 AADDC Users 容器中,即使您已設定內部部署的階層式 OU 結構也一樣。 受控網域會將任何階層式 OU 結構扁平化。
如先前所述,網域服務不會與 Microsoft Entra ID 進行同步。 您可以在 Domain Services 中 建立自定義組織單位(OU), 然後在這些自定義 OU 內建立使用者、群組或服務帳戶。 在自定義 OU 中建立的物件都不會同步回 Microsoft Entra ID。 這些物件只能在受控網域內使用,而且無法使用 Microsoft Graph PowerShell Cmdlet、Microsoft Graph API 或使用 Microsoft Entra 系統管理中心來顯示。
哪些內容未同步至 Domain Services
下列物件或屬性不會從內部部署 AD DS 環境同步至Microsoft Entra ID 或 Domain Services:
- 排除的屬性: 您可以選擇將某些屬性排除在從內部部署 AD DS 環境同步至 Microsoft Entra ID 的過程中,使用 Microsoft Entra Connect。 這些排除的屬性就無法在 Domain Services 中使用。
- 組策略: 在內部部署 AD DS 環境中設定的組策略不會同步處理至 Domain Services。
- Sysvol 資料夾: 內部部署 AD DS 環境中的 Sysvol 資料夾內容不會同步處理至 Domain Services。
- 計算機物件: 已加入內部部署 AD DS 環境之電腦的計算機物件不會同步處理至 Domain Services。 這些計算機與受控網域沒有信任關係,而且只屬於內部部署AD DS環境。 在 Domain Services 中,只會顯示已明確加入受管理的網域之電腦的電腦物件。
- 使用者和群組的 SidHistory 屬性: 來自內部部署 AD DS 環境的主要使用者和主要群組 SID 會同步處理至 Domain Services。 不過,使用者和群組的現有 SidHistory 屬性不會從內部部署 AD DS 環境同步到網域服務。
- 組織單位(OU)結構: 在內部部署的 AD DS 環境中定義的組織單位不會同步到網域服務。 Domain Services 中有兩個內建 OU - 一個用於使用者,另一個用於計算機。 受控網域具有扁平 OU 結構。 您可以選擇 在受控網域中建立自訂 OU。
密碼哈希同步處理和安全性考慮
當您啟用 Domain Services 時,NTLM 和 Kerberos 驗證所需的舊版密碼哈希也會被要求。 Microsoft Entra ID 不會儲存純文本密碼,因此無法自動為現有的使用者帳戶產生這些哈希。 NTLM 和 Kerberos 相容的密碼雜湊一律以加密方式儲存在 Microsoft Entra ID 中。
每個 Microsoft Entra 租用戶都有自己唯一的加密密鑰。 這些哈希會加密,因此只有 Domain Services 才能存取解密密鑰。 Microsoft Entra ID 中沒有其他服務或元件可以存取解密密鑰。
然後,舊版密碼雜湊會從 Microsoft Entra ID 同步至受控網域的網域控制器。 在 Domain Services 中,這些管理域控制器的磁碟在靜止時會被加密。 這些密碼哈希會儲存並保護在這些域控制器上,類似於在內部部署 AD DS 環境中儲存和保護密碼的方式。
針對僅限雲端Microsoft Entra 環境, 用戶必須重設/變更其密碼 ,才能產生並儲存在Microsoft Entra ID 中所需的密碼哈希。 針對在啟用 Microsoft Entra Domain Services 之後於 Microsoft Entra ID 中建立的任何雲端使用者帳戶,密碼哈希會以 NTLM 和 Kerberos 相容格式產生並儲存。 所有雲端用戶帳戶都必須變更其密碼,才能同步處理至 Domain Services。
針對使用 Microsoft Entra Connect 從內部部署 AD DS 環境同步的混合式使用者帳戶,您必須 設定 Microsoft Entra Connect 以同步處理 NTLM 和 Kerberos 相容格式的密碼哈希。
後續步驟
如需密碼同步處理的詳細資訊,請參閱 密碼哈希同步處理如何與 Microsoft Entra Connect 搭配運作。
若要開始使用 Domain Services, 請建立受控網域。