教學課程：建立管理 VM 以設定和管理 Microsoft Entra Domain Services 受控網域

發行項
10/19/2023

Microsoft Entra Domain Services 提供受控網域服務，例如網域加入、群組原則、LDAP 和 Kerberos/NTLM 驗證，與 Windows Server Active Directory 完全相容。您可以使用與內部部署的 Active Directory Domain Services 網域相同的遠端伺服器管理員istration Tools （RSAT）來管理此受控網域。由於 Domain Services 是受控服務，因此您無法執行某些系統管理工作，例如使用遠端桌面通訊協定（RDP）連線到網域控制站。

本教學課程說明如何在 Azure 中設定 Windows Server VM，並安裝管理 Domain Services 受控網域的必要工具。

在本教學課程中，您會了解如何：

瞭解受控網域中可用的系統管理工作
在 Windows Server VM 上安裝 Active Directory 系統管理工具
使用 Active Directory 管理員istrative Center 來執行一般工作

如尚未擁有 Azure 訂用帳戶，請在開始之前先建立帳戶。

必要條件

若要完成本教學課程，您需要下列資源和許可權：

啟用中的 Azure 訂用帳戶。
- 如果您沒有 Azure 訂用帳戶，請建立帳戶。
與您的訂用帳戶相關聯的 Microsoft Entra 租使用者，會與內部部署目錄或僅限雲端目錄同步。
- 如有需要，請建立 Microsoft Entra 租使用者，或建立 Azure 訂用帳戶與您的帳戶的關聯。
在您的 Microsoft Entra 租使用者中啟用和設定 Microsoft Entra Domain Services 受控網域。
- 如有需要，請參閱建立及設定 Microsoft Entra Domain Services 受控網域的第一個教學課程。
已加入受控網域的 Windows Server VM。
- 如有需要，請參閱上一個教學課程來建立 Windows Server VM，並將它加入受控網域。
使用者帳戶，是 Microsoft Entra 租使用者中 Microsoft Entra DC 系統管理員 群組的成員 。
部署在 Domain Services 虛擬網路中的 Azure Bastion 主機。
- 如有需要，請建立 Azure Bastion 主機。

在本教學課程中，您會使用 Microsoft Entra 系統管理中心來建立及設定管理 VM。若要開始使用，請先登入 Microsoft Entra 系統管理中心。

Domain Services 中可用的系統管理工作

Domain Services 為您的使用者、應用程式和服務提供受控網域以供取用。此方法會變更您可以執行的一些可用管理工作，以及您在受控網域內擁有哪些權限。這些工作和許可權可能與您在一般內部部署的 Active Directory Domain Services 環境中遇到的不同。您也可以使用遠端桌面連線到受控網域上的網域控制站。

您可以在受控網域上執行的管理員工作

AAD DC 管理員istrators 群組的成員獲授與受控網域的許可權，讓他們能夠執行下列工作：

設定受控網域中 AADDC 電腦和 AADDC Users 容器的內建群組原則物件（GPO ）。
管理受控網域上的 DNS。
在受控網域上建立和管理自訂群組織單位（OU）。
取得已加入受控網域之電腦的系統管理存取權。

管理員受控網域上沒有的許可權

受控網域已鎖定，因此您沒有許可權在網域上執行特定系統管理工作。下列其中一些範例是您無法執行的工作：

擴充受控網域的結構描述。
連線至使用遠端桌面之受控網域的網域控制站。
將網域控制站新增至受控網域。
您沒有 受控網域的網域管理員istrator 或 Enterprise 管理員istrator 許可權。

在上一個教學課程中，已建立並加入受控網域的 Windows Server VM。使用該 VM 來安裝管理工具。如有需要，請遵循教學課程中的步驟，建立 Windows Server VM 並加入受控網域。

注意

在本教學課程中，您會在 Azure 中使用已加入受控網域的 Windows Server VM。您也可以使用已加入受控網域的 Windows 用戶端，例如 Windows 10。

如需如何在 Windows 用戶端上安裝系統管理工具的詳細資訊，請參閱安裝遠端伺服器管理員istration Tools （RSAT）

若要開始使用，請連線到 Windows Server VM，如下所示：

在 Microsoft Entra 系統管理中心，選取 左側的資源群組 。選擇 VM 建立所在的資源群組，例如 myResourceGroup ，然後選取 VM，例如 myVM 。
在 VM 的 [概觀 ] 窗格中，選取 [連線 ]，然後選取 [Bastion ]。
輸入 VM 的認證，然後選取 [連線 ]。

如有需要，請允許網頁瀏覽器開啟快顯，以顯示 Bastion 連線。建立 VM 的連線需要幾秒鐘的時間。

安裝 Active Directory 系統管理工具

您可以在受控網域中使用與內部部署 AD DS 環境相同的系統管理工具，例如 Active Directory 管理員istrative Center （ADAC）或 AD PowerShell。這些工具可以安裝為 Windows Server 和用戶端電腦上遠端伺服器管理員制工具（RSAT）功能的一部分。 接著，AAD DC 管理員istrators 群組的成員可以從已加入受控網域的電腦，從遠端系統管理受控網域。

若要在已加入網域的 VM 上安裝 Active Directory 管理員istration 工具，請完成下列步驟：

如果您 登入 VM 時預設不會開啟伺服器管理員 ，請選取 [開始 ] 功能表，然後選擇 [伺服器管理員 ]。
在 [伺服器管理員 ] 視窗的 [ 儀表板 ] 窗格中，選取 [ 新增角色和功能 ]。
在 [新增角色及功能精靈 ] 的 [ 開始之前] 頁面上，選取 [ 下一步 ]。
針對 [ 安裝類型 ]，保留核取 [ 角色型或功能型安裝 ] 選項，然後選取 [ 下一步 ]。
在 [ 伺服器選取 ] 頁面上，從伺服器集區選擇目前的 VM，例如 myvm.aaddscontoso.com ，然後選取 [ 下一步 ]。
在 [ 伺服器角色] 頁面上，按 [下一步 ]。
在 [功能] 頁面上，展開 [ 遠端伺服器管理員工具 ] 節點，然後展開 [角色管理員istration Tools ] 節點。

從角色管理工具清單中選擇 [AD DS] 和 [AD LDS 工具 ] 功能，然後選取 [ 下一步 ]。
在 [ 確認 ] 頁面上，選取 [ 安裝 ]。安裝系統管理工具可能需要一兩分鐘的時間。
當功能安裝完成時，請選取 [ 關閉 ] 以結束 [ 新增角色和功能 精靈]。

使用 Active Directory 系統管理工具

安裝系統管理工具後，讓我們看看如何使用它們來管理受控網域。請確定您已使用屬於 AAD DC 管理員istrators 群組成員的 使用者帳戶登入 VM。

從 [ 開始] 功能表中，選取 [Windows 管理員工具 ]。上一個步驟中安裝的 AD 系統管理工具會列出。
選取 [Active Directory 管理員Istrative Center ]。
若要探索受控網域，請選擇左窗格中的功能變數名稱，例如 aaddscontoso 。兩個名為 AADDC 電腦 和 AADDC 使用者的 容器位於清單頂端。
若要查看屬於受控網域的使用者和群組，請選取 AADDC Users 容器。您 Microsoft Entra 租使用者的使用者帳戶和群組會列在此容器中。

在下列範例輸出中，此容器中會顯示名為 Contoso 管理員 的使用者帳戶，以及 AAD DC 管理員istrators 的群組 。
若要查看已加入受控網域的電腦，請選取 AADDC 電腦 容器。列出目前虛擬機器的專案，例如 myVM 。所有已加入受控網域之裝置的電腦帳戶都會儲存在此 AADDC 電腦 容器中 。

常見的 Active Directory 管理員istrative Center 動作，例如重設使用者帳戶密碼或管理群組成員資格。這些動作僅適用于直接在受控網域中建立的使用者和群組。身分識別資訊只會從 Microsoft Entra ID 同步 處理至 Domain Services。不會從 Domain Services 回寫至 Microsoft Entra ID。您無法變更從 Microsoft Entra ID 同步處理之使用者的密碼或受控群組成員資格，並讓這些變更同步處理回來。

您也可以使用 安裝為系統管理工具一部分的 Windows PowerShell Active Directory 模組來管理受控網域中的常見動作。

下一步

在本教學課程中，您已了解如何：

瞭解受控網域中可用的系統管理工作
在 Windows Server VM 上安裝 Active Directory 系統管理工具
使用 Active Directory 管理員istrative Center 來執行一般工作

若要從其他應用程式安全地與您的受控網域互動，請啟用安全的輕量型目錄存取通訊協定（LDAPS）。

設定受控網域的安全 LDAP