Microsoft Entra Domain Services 中使用者帳戶、密碼和管理的管理概念
當您建立和執行 Microsoft Entra Domain Services 受控網域時,與傳統的內部部署 AD DS 環境相比,行為有一些差異。 您在 Domain Services 中使用與自我管理網域相同的系統管理工具,但無法直接存取網域控制站 (DC)。 根據使用者帳戶建立的來源,密碼原則和密碼雜湊的行為也有一些差異。
此概念性文章詳細說明如何管理受控網域,以及根據使用者帳戶建立方式的不同行為。
網域管理
受控網域是 DNS 命名空間和比對目錄。 在受控網域中,包含使用者和群組、認證和原則等所有資源的網域控制站(DC)是受控服務的一部分。 為了備援,會建立兩個 DC 作為受控網域的一部分。 您無法登入這些 DC 來執行管理工作。 相反地,您會建立已加入受控網域的管理 VM,然後安裝您的一般 AD DS 管理工具。 例如,您可以使用 Active Directory 管理員istrative Center 或 Microsoft Management Console (MMC) 嵌入式管理單元,例如 DNS 或群組原則物件。
使用者帳戶建立
您可以透過多種方式在受控網域中建立使用者帳戶。 大部分的使用者帳戶都會從 Microsoft Entra ID 同步處理,也可以包含從內部部署 AD DS 環境同步處理的使用者帳戶。 您也可以直接在受控網域中手動建立帳戶。 某些功能,例如初始密碼同步處理或密碼原則,會根據使用者帳戶的建立方式和位置而有所不同。
- 使用者帳戶可以從 Microsoft Entra ID 同步處理。 這包括直接在 Microsoft Entra 識別碼中建立的僅限雲端使用者帳戶,以及使用 Microsoft Entra 連線從內部部署 AD DS 環境同步處理的混合式使用者帳戶。
- 受控網域中的大部分使用者帳戶都是透過 Microsoft Entra ID 的同步處理常式所建立。
- 使用者帳戶可以在受控網域中手動建立,而且不存在於 Microsoft Entra ID 中。
- 如果您需要為只在受控網域中執行的應用程式建立服務帳戶,您可以在受控網域中手動建立它們。 由於同步處理是 Microsoft Entra ID 的一種方式,在受控網域中建立的使用者帳戶不會同步處理回 Microsoft Entra ID。
密碼原則
Domain Services 包含預設密碼原則,可定義帳戶鎖定、密碼存留期上限和密碼複雜度等設定。 設定帳戶鎖定原則之類的設定適用于受控網域中的所有使用者,而不論使用者如何建立如上一節所述。 一些設定,例如密碼長度下限和密碼複雜度,僅適用于直接在受控網域中建立的使用者。
您可以建立自己的自訂密碼原則,以覆寫受控網域中的預設原則。 然後,您可以視需要將這些自訂原則套用至特定使用者群組。
如需根據使用者建立來源套用密碼原則差異的詳細資訊,請參閱 受控網域 的密碼和帳戶鎖定原則。
密碼雜湊
若要驗證受控網域上的使用者,Domain Services 需要密碼雜湊,其格式適用于 NT LAN Manager (NTLM) 和 Kerberos 驗證。 在您為租使用者啟用 Domain Services 之前,Microsoft Entra ID 不會以 NTLM 或 Kerberos 驗證所需的格式產生或儲存密碼雜湊。 基於安全性考量,Microsoft Entra ID 也不會以清晰文字格式儲存任何密碼認證。 因此,Microsoft Entra ID 無法根據使用者現有的認證自動產生這些 NTLM 或 Kerberos 密碼雜湊。
針對僅限雲端的使用者帳戶,使用者必須先變更其密碼,才能使用受控網域。 此密碼變更程式會使 Kerberos 和 NTLM 驗證的密碼雜湊產生並儲存在 Microsoft Entra ID 中。 在密碼變更之前,帳戶不會從 Microsoft Entra ID 同步處理到網域服務。
針對使用 Microsoft Entra 連線 從內部部署 AD DS 環境同步處理的使用者, 請啟用密碼雜湊 的同步處理。
重要
當您為 Microsoft Entra 租使用者啟用 Domain Services 時,Microsoft Entra 連線只會同步處理舊版密碼雜湊。 如果您只使用 Microsoft Entra 連線同步處理內部部署 AD DS 環境與 Microsoft Entra 識別碼,則不會使用舊版密碼雜湊。
如果您的繼承應用程式未使用 NTLM 驗證或 LDAP 簡單系結,建議您停用 Domain Services 的 NTLM 密碼雜湊同步處理。 如需詳細資訊,請參閱 停用弱式加密套件和 NTLM 認證雜湊同步處理 。
適當設定之後,可使用的密碼雜湊會儲存在受控網域中。 如果您刪除受控網域,也會刪除儲存在該時間點的任何密碼雜湊。 如果您稍後建立另一個受控網域,就無法重複使用 Microsoft Entra ID 中的同步認證資訊 - 您必須重新設定密碼雜湊同步處理,才能再次儲存密碼雜湊。 先前加入網域的 VM 或使用者將無法立即驗證 - Microsoft Entra ID 必須產生密碼雜湊,並將密碼雜湊儲存在新受控網域中。 如需詳細資訊,請參閱 網域服務和 Microsoft Entra 連線 的密碼雜湊同步處理常式。
重要
Microsoft Entra 連線應該只安裝並設定為與內部部署 AD DS 環境同步處理。 不支援在受控網域中安裝 Microsoft Entra 連線,以將物件同步處理回 Microsoft Entra ID。
樹系和信任
樹 系 是一種邏輯建構,Active Directory 網域服務 (AD DS) 用來群組一或多個 網域 。 網域接著會儲存使用者或群組的物件,並提供驗證服務。
在 [網域服務] 中,樹系只包含一個網域。 內部部署 AD DS 樹系通常包含許多網域。 在大型組織中,特別是在合併和收購之後,您最終可能會有多個內部部署樹系,而每個樹系接著都包含多個網域。
根據預設,受控網域會同步處理來自 Microsoft Entra ID 的所有物件,包括內部部署 AD DS 環境中建立的任何使用者帳戶。 使用者帳戶可以直接向受控網域進行驗證,例如登入已加入網域的 VM。 當密碼雜湊可以同步處理,且使用者未使用智慧卡驗證等獨佔登入方法時,此方法會運作。
在網域服務中,您也可以建立單向樹 系信任 ,讓使用者從其內部部署 AD DS 登入。 使用此方法時,使用者物件和密碼雜湊不會同步處理至 Domain Services。 使用者物件和認證只存在於內部部署 AD DS 中。 此方法可讓企業在 Azure 中裝載依賴傳統驗證的資源和應用程式平臺,例如 LDAPS、Kerberos 或 NTLM,但會移除任何驗證問題或疑慮。
Domain Services SKU
在 Domain Services 中,可用的效能和功能是以 SKU 為基礎。 當您建立受控網域時,您可以選取 SKU,而且您可以在部署受控網域之後,將 SKU 切換為業務需求變更。 下表概述可用的 SKU 及其之間的差異:
| SKU 名稱 | 物件計數上限 | 備份頻率 |
|---|---|---|
| 標準 | 不限定 | 每 5 天 |
| 企業 | 不限定 | 每 3 天 |
| Premium | 不限定 | 每日 |
在這些網域服務 SKU 之前,會使用以受控網域中的物件數(使用者和電腦帳戶)為基礎的計費模型。 不再根據受控網域中的物件數目來變動定價。
如需詳細資訊,請參閱 Domain Services 定價頁面 。
受控網域效能
網域效能會根據應用程式的驗證實作方式而有所不同。 其他計算資源可協助改善查詢回應時間,並減少同步作業所花費的時間。 當 SKU 層級增加時,受控網域可用的計算資源就會增加。 監視應用程式的效能,並規劃所需的資源。
如果您的商務或應用程式需要變更,而且您需要受控網域的額外計算能力,您可以切換至不同的 SKU。
備份頻率
備份頻率會決定擷取受控網域的快照集的頻率。 備份是由 Azure 平臺管理的自動化程式。 如果受控網域發生問題,Azure 支援可協助您從備份還原。 由於同步處理只會從 Microsoft Entra ID 發生一種方式 ,受控網域中的任何問題都不會影響 Microsoft Entra ID 或內部部署 AD DS 環境和功能。
隨著 SKU 層級的增加,這些備份快照集的頻率也會增加。 檢閱您的商務需求和復原點目標 (RPO),以判斷受控網域所需的備份頻率。 如果您的商務或應用程式需求有所變更,而且需要更頻繁的備份,您可以切換至不同的 SKU。
下一步
若要開始使用, 請建立 Domain Services 受控網域 。