Vytvoření organizační jednotky (OU) ve spravované doméně služby Microsoft Entra Domain Services
Organizační jednotky (OU) ve spravované doméně služby Active Directory Domain Services (AD DS) umožňují logicky seskupovat objekty, jako jsou uživatelské účty, účty služeb nebo účty počítačů. Pak můžete přiřadit správce ke konkrétním organizačním jednotce a použít zásady skupiny k vynucení cílených nastavení konfigurace.
Spravované domény služby Domain Services zahrnují následující dvě předdefinované organizační jednotky:
- AADDC počítače – obsahuje počítačové objekty pro všechny počítače, které jsou připojené ke spravované doméně.
- Uživatelé AADDC – obsahuje uživatele a skupiny synchronizované z tenanta Microsoft Entra.
Při vytváření a spouštění úloh, které používají Službu Domain Services, budete možná muset vytvořit účty služeb pro aplikace, které se budou ověřovat. Pokud chcete tyto účty služeb uspořádat, často vytvoříte ve spravované doméně vlastní organizační jednotku a pak v této jednotce vytvoříte účty služeb.
V hybridním prostředí se organizační jednotky vytvořené v místním prostředí SLUŽBY AD DS nesynchronují se spravovanou doménou. Spravované domény používají plochou strukturu organizační jednotky. Všechny uživatelské účty a skupiny se ukládají v kontejneru AADDC Users, i když byly synchronizovány z různých místních domén nebo lesů, dokonce i pokud jste tam nakonfigurovali hierarchickou strukturu organizační jednotky.
V tomto článku se dozvíte, jak vytvořit organizační jednotky ve spravované doméně.
Než začnete
K dokončení tohoto článku potřebujete následující prostředky a oprávnění:
- Aktivní předplatné Azure.
- Pokud nemáte předplatné Azure, vytvořte účet.
- Tenant Microsoft Entra přidružený k vašemu předplatnému, buď synchronizovaný s místním adresářem, nebo s cloudovým adresářem.
- V případě potřeby vytvořte tenant Microsoft Entra nebo přidrušte předplatné Azure s vaším účtem.
- Spravovaná doména služby Microsoft Entra Domain Services je aktivována a nakonfigurována ve vašem tenantovi Microsoft Entra.
- V případě potřeby dokončete kurz vytvoření a konfigurace spravované domény služby Microsoft Entra Domain Services.
- Virtuální počítač pro správu Windows Serveru, který je připojený ke spravované doméně Domain Services.
- V případě potřeby dokončete kurz vytvoření virtuálního počítače pro správu.
- Uživatelský účet, který je členem skupiny Microsoft Entra DC administrators ve vašem tenantovi Microsoft Entra.
Aspekty a omezení vlastní organizační jednotky
Při vytváření vlastních organizačních jednotek ve spravované doméně získáte další flexibilitu správy pro správu uživatelů a použití zásad skupiny. V porovnání s místním prostředím služby AD DS existují určitá omezení a aspekty při vytváření a správě vlastní struktury organizační jednotky ve spravované doméně:
- Pokud chcete vytvořit vlastní organizační jednotky, musí být uživatelé členem skupiny AAD DC Administrátoři.
- Uživateli, který vytvoří vlastní organizační jednotku, jsou udělena oprávnění správce (úplná kontrola) nad touto organizační jednotkou a stává se jejím vlastníkem.
- Ve výchozím nastavení má skupina AAD DC Administrators také úplnou kontrolu nad vlastní organizační jednotkou.
- Vytvoří se výchozí organizační jednotka pro AADDC Users, která obsahuje všechny synchronizované uživatelské účty z tenanta Microsoft Entra.
- Uživatele ani skupiny nemůžete přesunout z organizační jednotky AADDC Users do vlastních organizačních jednotek, které vytvoříte. Do vlastních organizačních jednotek je možné přesunout pouze uživatelské účty nebo prostředky vytvořené ve spravované doméně.
- Uživatelské účty, skupiny, účty služeb a objekty počítače, které vytvoříte v rámci vlastních organizačních jednotek, nejsou ve vašem tenantovi Microsoft Entra k dispozici.
- Tyto objekty se nezobrazují pomocí rozhraní Microsoft Graph API ani v uživatelském rozhraní Microsoft Entra; jsou dostupné jenom ve vaší spravované doméně.
Vytvořte vlastní organizační jednotku
K vytvoření vlastní organizační jednotky použijete nástroje pro správu služby Active Directory z virtuálního počítače připojeného k doméně. Centrum správy služby Active Directory umožňuje zobrazovat, upravovat a vytvářet prostředky ve spravované doméně, včetně organizačních jednotek.
Poznámka
Pokud chcete vytvořit vlastní organizační jednotku ve spravované doméně, musíte být přihlášeni k uživatelskému účtu, který je členem skupiny AAD DC Administrators.
Přihlaste se k virtuálnímu počítači pro správu. Postup připojení pomocí Centra pro správu Microsoft Entra najdete v tématu Připojení k virtuálnímu počítači s Windows Serverem.
Na obrazovce Start vyberte Nástroje pro správu. Zobrazí se seznam dostupných nástrojů pro správu, které byly nainstalovány v návodu pro vytvoření management VM.
Pokud chcete vytvářet a spravovat organizační jednotky, v seznamu nástrojů pro správu vyberte Centrum správy služby Active Directory.
V levém podokně zvolte spravovanou doménu, například aaddscontoso.com. Zobrazí se seznam existujících organizačních jednotek a prostředků:
Podokno Úkoly se zobrazuje na pravé straně Centra správy služby Active Directory. V doméně, například aaddscontoso.com, vyberte Nová > organizační jednotka.
V dialogovém okně Vytvořit organizační jednotku zadejte název pro novou organizační jednotku, například MyCustomOu. Zadejte krátký popis organizační jednotky, například vlastní organizační jednotka pro servisní účty. V případě potřeby můžete také nastavit pole Spravováno pro organizační jednotku. Chcete-li vytvořit vlastní organizační jednotku, vyberte OK.
V Centru správy služby Active Directory je nyní uvedena vlastní organizační jednotka a je dostupná pro použití.
Další kroky
Další informace o používání nástrojů pro správu nebo vytváření a používání účtů služeb najdete v následujících článcích:
- Centrum správy služby Active Directory: Začínáme
- Podrobný průvodce servisními účty