Synchronizace objektů a přihlašovacích údajů ve spravované doméně služby Microsoft Entra Domain Services
Objekty a přihlašovací údaje ve spravované doméně služby Microsoft Entra Domain Services je možné vytvořit místně v rámci domény nebo synchronizovat z tenanta Microsoft Entra. Při prvním nasazení služby Domain Services se nakonfiguruje automatická jednosměrná synchronizace a spustí se replikace objektů z ID Microsoft Entra. Tato jednosměrná synchronizace se bude dál spouštět na pozadí, aby se spravovaná doména služby Domain Services up-to-date se všemi změnami z ID Microsoft Entra. Synchronizace ze služby Domain Services zpět na Microsoft Entra ID neprobíhá.
V hybridním prostředí se objekty a přihlašovací údaje z místní domény AD DS dají synchronizovat s Microsoft Entra ID pomocí microsoft Entra Connect. Jakmile se tyto objekty úspěšně synchronizují s MICROSOFT Entra ID, automatická synchronizace na pozadí pak tyto objekty a přihlašovací údaje zpřístupní aplikacím používajícím spravovanou doménu.
Následující diagram znázorňuje fungování synchronizace mezi Domain Services, ID Microsoft Entra a volitelným místním prostředím AD DS.
Přehled synchronizace 
Synchronizace z Microsoft Entra ID do Domain Services
Uživatelské účty, členství ve skupinách a hashe přihlašovacích údajů se synchronizují jednosměrně z Microsoft Entra ID do Domain Services. Tento proces synchronizace je automatický. Tento proces synchronizace nemusíte konfigurovat, monitorovat ani spravovat. Počáteční synchronizace může trvat několik hodin až několik dní v závislosti na počtu objektů v adresáři Microsoft Entra. Po dokončení počáteční synchronizace se změny provedené v MICROSOFT Entra ID, jako jsou například změny hesla nebo atributu, automaticky synchronizují do Domain Services.
Když se uživatel vytvoří v Microsoft Entra ID, nebude synchronizovaný se službou Domain Services, dokud nezmění heslo v Microsoft Entra ID. Tento proces změny hesla způsobí, že se vygenerují a ukládají hodnoty hash hesel pro ověřování Kerberos a NTLM v Microsoft Entra ID. Hodnoty hash hesel jsou potřeba k úspěšnému ověření uživatele ve službě Domain Services.
Proces synchronizace je jednosměrný návrhem. Zpětná synchronizace změn ze služby Domain Services zpět na ID Microsoft Entra neexistuje. Spravovaná doména je z velké části jen pro čtení s výjimkou vlastních organizačních jednotek, které můžete vytvořit. Ve spravované doméně nemůžete provádět změny atributů uživatelů, hesel uživatelů ani členství ve skupinách.
Synchronizace s vymezeným oborem a filtr skupin
Synchronizaci můžete nastavit jenom na uživatelské účty, které pocházejí z cloudu. V rámci tohoto oboru synchronizace můžete filtrovat konkrétní skupiny nebo uživatele. Můžete si vybrat mezi skupinami pouze cloudu, místními skupinami nebo oběma skupinami. Další informace o konfiguraci synchronizace s vymezeným oborem naleznete v tématu Konfigurace vymezené synchronizace.
Synchronizace atributů a mapování na Domain Services
V následující tabulce jsou uvedeny některé běžné atributy a způsob jejich synchronizace se službou Domain Services.
| Atribut ve službě Domain Services | Zdroj | Poznámky |
|---|---|---|
| UPN | Atribut hlavního názvu uživatele (UPN) v tenantovi Microsoft Entra | Atribut UPN (User Principal Name) z tenanta Microsoft Entra je synchronizován as-is do Doménových služeb. Nejspolehlivější způsob, jak se přihlásit ke spravované doméně, je použití hlavního názvu uživatele (UPN). |
| SAMAccountName | Atribut mailNickname uživatele v tenantovi Microsoft Entra je buď uživatelsky definovaný, nebo automaticky vygenerovaný. | Atribut SAMAccountName pochází z atributu mailNickname v tenantovi Microsoft Entra. Pokud má více uživatelských účtů stejný atribut mailNickname, automaticky se vygeneruje SAMAccountName. Pokud je mailNickname nebo předpona UPN delší než 20 znaků, SAMAccountName se automaticky vygeneruje tak, aby splňoval limit 20 znaků u atributů SAMAccountName. |
| Hesla | Heslo uživatele z tenanta Microsoft Entra | Starší verze hodnot hash hesel vyžadovaných pro ověřování protokolem NTLM nebo Kerberos se synchronizují z tenanta Microsoft Entra. Pokud je tenant Microsoft Entra nakonfigurovaný pro hybridní synchronizaci pomocí služby Microsoft Entra Connect, tyto hodnoty hash hesel pocházejí z místního prostředí SLUŽBY AD DS. |
| IDENTIFIKÁTOR SID primárního uživatele nebo skupiny | Automaticky vygenerováno | Primární identifikátor SID pro účty uživatelů a skupin se automaticky vygeneruje ve službě Domain Services. Tento atribut neodpovídá identifikátoru SID primárního uživatele nebo skupiny objektu v místním prostředí služby AD DS. Tato neshoda je způsobená tím, že spravovaná doména má jiný obor názvů SID než lokální doména AD DS. |
| Historie identifikátorů SID pro uživatele a skupiny | Identifikátor SID lokálního primárního uživatele a skupiny | Atribut SidHistory pro uživatele a skupiny ve službě Domain Services je nastavený tak, aby odpovídal odpovídajícímu identifikátoru SID primárního uživatele nebo skupiny v místním prostředí SLUŽBY AD DS. Tato funkce pomáhá usnadnit migraci místních aplikací do služby Domain Services, protože není třeba znovu nastavovat prostředky seznamu ACL. |
Spropitné
Přihlaste se ke spravované doméně pomocí formátu UPN Atribut SAMAccountName, například AADDSCONTOSO\driley, může být automaticky generován pro některé uživatelské účty ve spravované doméně. Automaticky generované názvy účtů uživatelů SAMAccountName se mohou lišit od jejich předpony hlavního názvu uživatele (UPN), takže nemusí být vždy spolehlivým způsobem přihlášení.
Pokud má například více uživatelů stejný atribut mailNickname nebo mají příliš dlouhé předpony hlavního názvu uživatele (UPN), může se automaticky vygenerovat SAMAccountName pro tyto uživatele. K spolehlivému přihlášení ke spravované doméně použijte formát hlavního názvu uživatele (UPN), například driley@aaddscontoso.com.
Mapování atributů pro uživatelské účty
Následující tabulka ukazuje, jak se určité atributy pro uživatelské objekty v MICROSOFT Entra ID synchronizují s odpovídajícími atributy ve službě Domain Services.
| Atribut uživatele v MICROSOFT Entra ID | Atribut uživatele ve službě Domain Services |
|---|---|
| účetPovoleno | userAccountControl (nastaví nebo vymaže bit ACCOUNT_DISABLED) |
| město | l |
| názevSpolečnosti | companyName |
| země | co |
| oddělení | oddělení |
| zobrazovaný název | zobrazované jméno |
| identifikátor zaměstnance | identifikátor zaměstnance |
| telefonní číslo faxu | faxové telefonní číslo |
| givenName | givenName |
| název pracovní pozice | titul |
| pošta | pošta |
| mailPřezdívka | msDS-AzureADMailNickname |
| Mailová přezdívka | SAMAccountName (může se někdy automaticky vygenerovat) |
| manažer | manažer |
| mobil | mobil |
| Objektový identifikátor | msDS-aadObjectId |
| identifikátor zabezpečení v místní síti | sidHistory |
| zásady hesel | userAccountControl (nastaví nebo vymaže DONT_EXPIRE_PASSWORD bit) |
| Název fyzické doručovací kanceláře | název kanceláře pro fyzické doručení |
| PSČ | PSČ |
| preferovanýJazyk | preferovaný jazyk |
| proxyAddresses | proxyAddresses |
| stát | sv |
| adresa ulice | adresa ulice |
| příjmení | Sn |
| telefonní číslo | telefonní číslo |
| userPrincipalName (uživatelské hlavní jméno) | uživatelské hlavní jméno |
Mapování atributů pro skupiny
Následující tabulka ukazuje, jak se určité atributy pro objekty skupiny v MICROSOFT Entra ID synchronizují s odpovídajícími atributy ve službě Domain Services.
| Atribut skupiny v Microsoft Entra ID | Atribut skupiny ve službě Domain Services |
|---|---|
| zobrazované jméno | zobrazovaný název |
| zobrazované jméno | SAMAccountName (může se někdy automaticky vygenerovat) |
| pošta | pošta |
| mailNickname | msDS-AzureADMailNickname |
| objectid | msDS-AzureADObjectId |
| Identifikátor zabezpečení na místě | sidHistory |
| proxyAddresses | proxyAddresses |
| zabezpečení povoleno | typ skupiny |
Synchronizace z místní služby AD DS do Microsoft Entra ID a Domain Services
Microsoft Entra Connect se používá k synchronizaci uživatelských účtů, členství ve skupinách a hodnot hash přihlašovacích údajů z místního prostředí služby AD DS do Microsoft Entra ID. Atributy uživatelských účtů, jako je hlavní název uživatele (UPN) a místní identifikátor zabezpečení (SID), se synchronizují. Pokud se chcete přihlásit pomocí služby Domain Services, starší hodnoty hash hesel vyžadované pro ověřování protokolem NTLM a Kerberos se také synchronizují s ID Microsoft Entra.
Důležitý
Microsoft Entra Connect by se měl nainstalovat a nakonfigurovat jenom pro synchronizaci s místními prostředími AD DS. Není podporována instalace služby Microsoft Entra Connect ve spravované doméně, aby se synchronizovaly objekty zpět s ID Microsoft Entra.
Pokud nakonfigurujete zpětný zápis, změny z ID Microsoft Entra se synchronizují zpět do místního prostředí SLUŽBY AD DS. Pokud například uživatel změní heslo pomocí samoobslužné správy hesel Microsoft Entra, heslo se aktualizuje zpět v místním prostředí SLUŽBY AD DS.
Poznámka
Vždy používejte nejnovější verzi microsoft Entra Connect, abyste měli jistotu, že máte opravy všech známých chyb.
Synchronizace z místního prostředí s více doménovými lesy
Mnoho organizací má poměrně složité místní prostředí služby AD DS, které zahrnuje více lesů. Microsoft Entra Connect podporuje synchronizaci uživatelů, skupin a hodnot hash přihlašovacích údajů z prostředí s více doménovými strukturami do Microsoft Entra ID.
Microsoft Entra ID má mnohem jednodušší a plochý obor názvů. Pokud chcete uživatelům umožnit spolehlivý přístup k aplikacím zabezpečeným Microsoft Entra ID, vyřešte konflikty hlavního názvu uživatele (UPN) mezi uživatelskými účty v různých lesích. Spravované domény používají plochou strukturu organizačních jednotek, podobně jako Microsoft Entra ID. Všechny uživatelské účty a skupiny se ukládají v kontejneru AADDC Users, přestože jsou synchronizovány z různých místních domén nebo lesů, i když jste na místě nakonfigurovali hierarchickou strukturu organizačních jednotek. Spravovaná doména zplošťuje všechny hierarchické struktury organizačních jednotek.
Jak bylo uvedeno výše, z Domain Services se zpět do Microsoft Entra ID nesynchroniuje. Můžete vytvořit vlastní organizační jednotku (OU) ve službě Domain Services a pak uživatele, skupiny nebo účty služeb v rámci těchto vlastních organizačních jednotek. Žádný z objektů vytvořených ve vlastních organizačních jednotkách se nesynchronuje zpět do Microsoft Entra ID. Tyto objekty jsou dostupné jenom ve spravované doméně a nejsou viditelné pomocí rutin Prostředí Microsoft Graph PowerShell, rozhraní Microsoft Graph API nebo centra pro správu Microsoft Entra.
Co není synchronizované se službou Domain Services
Následující objekty nebo atributy se nesynchronizují z místního prostředí AD DS do Microsoft Entra ID nebo Domain Services.
- vyloučené atributy: Můžete se rozhodnout vyloučit určité atributy ze synchronizace do Microsoft Entra ID z lokálního prostředí AD DS pomocí nástroje Microsoft Entra Connect. Tyto vyloučené atributy pak nejsou k dispozici ve službě Domain Services.
- Zásady skupiny. Zásady skupiny nakonfigurované v místním prostředí služby AD DS se nesynchronizují se službou Domain Services.
- složku Sysvol: Obsah složky Sysvol v místním prostředí AD DS se nesynchronizuje do služby Domain Services.
- Objekty počítače: Objekty počítače pro počítače připojené k místnímu prostředí služby AD DS se nesynchronují se službou Domain Services. Tyto počítače nemají vztah důvěryhodnosti se spravovanou doménou a patří pouze do místního prostředí SLUŽBY AD DS. Ve službě Domain Services se zobrazí pouze objekty počítače pro počítače, které jsou explicitně připojené k spravované doméně.
- atributy SidHistory pro uživatele a skupiny: Identifikátory SID primárního uživatele a primární skupiny z místního prostředí AD DS jsou synchronizovány se službami domény. Existující atributy SidHistory pro uživatele a skupiny se ale nesynchronizují z místního prostředí AD DS do doménových služeb.
- organizační jednotky (OU): organizační jednotky definované v místním prostředí AD DS se nesynchronizují se službou Doménové služby. Ve službě Domain Services existují dva integrované organizační jednotky – jeden pro uživatele a jeden pro počítače. Spravovaná doména má plochou strukturu OU. Ve spravované doméně můžete vytvořit vlastní organizační jednotku.
Aspekty synchronizace hodnot hash hesel a zabezpečení
Pokud povolíte službu Domain Services, vyžadují se starší hodnoty hash hesel pro ověřování protokolem NTLM a Kerberos. Microsoft Entra ID neukládá hesla v čitelné podobě, takže tyto hashované hodnoty nelze automaticky vygenerovat pro stávající uživatelské účty. Hodnoty hash hesel kompatibilní s protokolem NTLM a Kerberos jsou vždy uloženy šifrovaným způsobem v Microsoft Entra ID.
Šifrovací klíče jsou jedinečné pro každého tenanta Microsoft Entra. Tyto hodnoty hash jsou šifrované tak, aby k dešifrovacím klíčům získala přístup pouze Domain Services. K dešifrovacím klíčům nemá přístup žádná jiná služba nebo komponenta v MICROSOFT Entra ID.
Hashované hodnoty starších hesel jsou pak synchronizovány z Microsoft Entra ID do řadičů domény pro spravovanou doménu. Disky pro tyto spravované řadiče domény ve službě Domain Services jsou zašifrované v klidovém stavu. Tyto hodnoty hash hesel se ukládají a zabezpečují na těchto řadičích domény podobně jako hesla uložená a zabezpečená v místním prostředí služby AD DS.
V cloudových prostředích Microsoft Entra musí uživatelé resetovat nebo změnit heslo, aby se požadované hodnoty hash hesel vygenerovaly a uložily v Microsoft Entra ID. Pro každý cloudový uživatelský účet vytvořený v Microsoft Entra ID po povolení služby Microsoft Entra Domain Services se vygenerují a ukládají hodnoty hash hesel ve formátech kompatibilních s protokolem NTLM a Kerberos. Všechny cloudové uživatelské účty musí před synchronizací se službou Domain Services změnit heslo.
U hybridních uživatelských účtů synchronizovaných z místního prostředí SLUŽBY AD DS pomocí nástroje Microsoft Entra Connect je nutné nakonfigurovat microsoft Entra Connect pro synchronizaci hodnot hash hesel ve formátech kompatibilních s protokolem NTLM a Kerberos.
Další kroky
Další informace o specifikách synchronizace hesel najdete v tématu Jak funguje synchronizace hodnot hash hesel s microsoft Entra Connect.
Pokud chcete začít se službou Domain Services, vytvořte spravovanou doménu.