Szervezeti egység létrehozása egy felügyelt Microsoft Entra Domain Services tartományban
Az Active Directory Domain Services (AD DS) által felügyelt tartományban található szervezeti egységek (OU-k) segítségével logikailag csoportosíthatja az objektumokat, például felhasználói fiókokat, szolgáltatásfiókokat vagy számítógépfiókokat. Ezután hozzárendelhet rendszergazdákat adott szervezeti egységekhez, és csoportházirendet alkalmazhat a célzott konfigurációs beállítások kényszerítéséhez.
A Domain Services által felügyelt tartományok a következő két beépített szervezeti egységre terjednek ki:
- AADDC-számítógépek – a felügyelt tartományhoz csatlakoztatott összes számítógép számítógép-objektumait tartalmazza.
- AADDC-felhasználók – a Microsoft Entra-bérlőről szinkronizált felhasználókat és csoportokat tartalmazza.
Amikor Tartományi szolgáltatásokat használó számítási feladatokat hoz létre és futtat, előfordulhat, hogy szolgáltatásfiókokat kell létrehoznia az alkalmazások számára a hitelesítéshez. A szolgáltatásfiókok rendszerezéséhez gyakran létre kell hoznia egy egyéni szervezeti egységet a felügyelt tartományban, majd szolgáltatásfiókokat kell létrehoznia a szervezeti egységen belül.
Hibrid környezetben a helyszíni AD DS-környezetben létrehozott szervezeti egységek nincsenek szinkronizálva a felügyelt tartománnyal. A felügyelt tartományok egyszerű szervezeti egység struktúrát használnak. Minden felhasználói fiók és csoport a AADDC-felhasználók tárolóban van tárolva, annak ellenére, hogy különböző helyszíni tartományokból vagy erdőkből szinkronizálódik, még akkor is, ha hierarchikus szervezeti egység struktúrát konfigurált ott.
Ez a cikk bemutatja, hogyan hozhat létre szervezeti egységet a felügyelt tartományban.
Mielőtt hozzákezdene
A cikk elvégzéséhez a következő erőforrásokra és jogosultságokra van szüksége:
- Aktív Azure-előfizetés.
- Ha nem rendelkezik Azure-előfizetéssel, hozzon létre egy fiókot.
- Az előfizetéséhez társított Microsoft Entra bérlő, amely egy helyszíni vagy felhőalapú címtárral van szinkronizálva.
- Ha szükséges, hozzon létre egy Microsoft Entra-bérlői, vagy társítsa az Azure-előfizetést a fiókjához.
- A Microsoft Entra Domain Services által felügyelt tartomány engedélyezve és konfigurálva van a Microsoft Entra-bérlőben.
- A Domain Services által felügyelt tartományhoz csatlakoztatott Windows Server felügyeleti virtuális gép.
- Szükség esetén végezze el az oktatóanyagot a kezelési virtuális géplétrehozásához.
- Olyan felhasználói fiók, amely a Microsoft Entra DC-rendszergazdák csoport tagja a Microsoft Entra-bérlőben.
Egyéni szervezeti egység szempontjai és korlátozásai
Ha egyéni szervezeti egységeket hoz létre egy felügyelt tartományban, további felügyeleti rugalmasságot kap a felhasználókezeléshez és a csoportházirend alkalmazásához. A helyszíni AD DS-környezethez képest bizonyos korlátozások és szempontok vonatkoznak az egyéni szervezeti egységek struktúrájának felügyelt tartományban való létrehozásakor és kezelésekor:
- Egyéni szervezeti egységek létrehozásához a felhasználóknak a AAD DC rendszergazdák csoport tagjának kell lenniük.
- Az egyéni szervezeti egységet létrehozó felhasználó rendszergazdai jogosultságokat (teljes körű vezérlést) kap az adott szervezeti egység felett, és az erőforrás tulajdonosa.
- Alapértelmezés szerint az AAD Rendszergazdák Tartományvezérlői csoportnak teljes körű ellenőrzési joga is van az egyéni OU felett.
- Létrejön egy alapértelmezett szervezeti egység az AADDC-felhasználók számára, amely tartalmazza a Microsoft Entra-bérlő összes szinkronizált felhasználói fiókját.
- Nem helyezhet át felhasználókat vagy csoportokat a AADDC-felhasználók szervezeti egységből a létrehozott egyéni szervezeti egységekbe. Csak a felügyelt tartományban létrehozott felhasználói fiókok vagy erőforrások helyezhetők át egyéni szervezeti egységekbe.
- Az egyéni szervezeti egységekben létrehozott felhasználói fiókok, csoportok, szolgáltatásfiókok és számítógép-objektumok nem érhetők el a Microsoft Entra-bérlődben.
- Ezek az objektumok nem jelennek meg a Microsoft Graph API vagy a Microsoft Entra felhasználói felületén; csak a felügyelt tartományban érhetők el.
Egyedi szervezeti egység létrehozása
Egyéni szervezeti egység létrehozásához használja az Active Directory felügyeleti eszközeit egy tartományhoz csatlakoztatott virtuális gépről. Az Active Directory felügyeleti központ lehetővé teszi az erőforrások megtekintését, szerkesztését és létrehozását egy felügyelt tartományban, beleértve a szervezeti egységeket is.
Jegyzet
Ha egyéni szervezeti egységet szeretne létrehozni egy felügyelt tartományban, olyan felhasználói fiókkal kell bejelentkeznie, amely tagja az AAD DC rendszergazdák csoportnak.
Jelentkezzen be a felügyeleti virtuális gépre. A Microsoft Entra felügyeleti központtal való csatlakozással kapcsolatos lépésekért lásd: Csatlakozás Windows Server rendszerű virtuális géphez.
A kezdőképernyőn válassza Felügyeleti eszközöklehetőséget. Megjelenik a felügyeleti virtuális gépek létrehozásához az oktatóanyagban telepített elérhető felügyeleti eszközök listája.
Szervezeti egységek létrehozásához és kezeléséhez válassza Active Directory felügyeleti központ a felügyeleti eszközök listájából.
A bal oldali panelen válassza ki a felügyelt tartományt, például aaddscontoso.com. Megjelenik a meglévő szervezeti egységek és erőforrások listája:
A Feladatok panel az Active Directory felügyeleti központ jobb oldalán látható. A tartomány (például aaddscontoso.com) alatt válassza az Új > szervezeti egységet.
A Szervezeti egység létrehozása párbeszédpanelen adjon meg egy név az új szervezeti egységhez, például MyCustomOu. Adja meg a szervezeti egység rövid leírását, például szolgáltatásfiókok számára készült egyedi szervezeti egység. Igény szerint beállíthatja a szervezeti egységhez tartozó Felügyelt mezőt is. Az egyéni szervezeti egység létrehozásához válassza OKlehetőséget.
Az Active Directory felügyeleti központban az egyéni szervezeti egység már megjelenik, és használható:
Következő lépések
A felügyeleti eszközök használatáról, illetve a szolgáltatásfiókok létrehozásáról és használatáról az alábbi cikkekben talál további információt: