Membuat Unit Organisasi (OU) di domain terkelola Microsoft Entra Domain Services

Unit organisasi (OU) di domain terkelola Active Directory Domain Services (AD DS) memungkinkan Anda mengelompokkan objek secara logis seperti akun pengguna, akun layanan, atau akun komputer. Anda kemudian dapat menetapkan administrator ke OU tertentu, dan menerapkan kebijakan grup untuk menerapkan pengaturan konfigurasi yang ditargetkan.

Domain terkelola Domain Services mencakup dua OU bawaan berikut:

• komputer AADDC - berisi objek komputer untuk semua komputer yang bergabung ke domain terkelola.
• Pengguna AADDC - mencakup pengguna dan grup yang disinkronkan dari penyewa Microsoft Entra.

Saat Anda membuat dan menjalankan beban kerja yang menggunakan Layanan Domain, Anda mungkin perlu membuat akun layanan untuk aplikasi guna mengautentikasi diri mereka sendiri. Untuk mengatur akun layanan ini, Anda sering membuat unit organisasi kustom di domain terkelola lalu membuat akun layanan dalam unit organisasi tersebut.

Di lingkungan hibrid, OU yang dibuat di lingkungan AD DS lokal tidak disinkronkan ke domain terkelola. Domain terkelola menggunakan struktur unit organisasi datar. Semua akun dan grup pengguna disimpan di kontainer Pengguna AADDC, meskipun disinkronkan dari domain atau forest lokal yang berbeda, bahkan jika Anda telah mengonfigurasi struktur unit organisasi hierarkis di sana.

Artikel ini memperlihatkan kepada Anda cara membuat unit organisasi di domain terkelola Anda.

Sebelum Anda mulai

Untuk menyelesaikan artikel ini, Anda memerlukan sumber daya dan hak istimewa berikut:

• Langganan Azure aktif.
  • Jika Anda tidak memiliki langganan Azure, membuat akun.
• Penyewa Microsoft Entra yang terkait dengan langganan Anda, baik disinkronkan dengan direktori lokal atau direktori berbasis cloud saja.
  • Jika diperlukan, membuat penyewa Microsoft Entra atau mengaitkan langganan Azure dengan akun Anda.
• Domain terkelola oleh Microsoft Entra Domain Services yang telah diaktifkan dan dikonfigurasi di dalam tenant Microsoft Entra Anda.
  • Jika diperlukan, selesaikan tutorial untuk membuat dan mengonfigurasi domain terkelola Microsoft Entra Domain Services.
• VM manajemen Windows Server yang bergabung ke domain terkelola Domain Services.
  • Jika diperlukan, selesaikan tutorial untuk membangun VM manajemen.
• Akun pengguna yang merupakan anggota grup administrator Microsoft Entra DC di tenant Microsoft Entra Anda.

Pertimbangan dan batasan OU (Unit Organisasi) kustom

Saat membuat OU kustom di domain terkelola, Anda mendapatkan fleksibilitas manajemen tambahan untuk manajemen pengguna dan menerapkan kebijakan grup. Dibandingkan dengan lingkungan AD DS lokal, ada beberapa batasan dan pertimbangan saat membuat dan mengelola struktur OU kustom di domain terkelola:

• Untuk membuat OU kustom, pengguna harus menjadi anggota grup Administrator AAD DC.
• Pengguna yang membuat unit organisasi kustom diberikan hak istimewa administratif (kontrol penuh) atas unit organisasi tersebut dan merupakan pemilik sumber daya.
  • Secara bawaan, grup Administrator AAD DC juga memiliki kontrol penuh atas OU kustom.
• Unit Organisasi default untuk Pengguna AADDC dibuat yang berisi semua akun pengguna yang disinkronkan dari penyewa Microsoft Entra Anda.
  • Anda tidak dapat memindahkan pengguna atau grup dari Pengguna AADDC OU ke OU kustom yang Anda buat. Hanya akun pengguna atau sumber daya yang dibuat di domain terkelola yang dapat dipindahkan ke OU kustom.
• Akun pengguna, grup, akun layanan, dan objek komputer yang Anda buat di bawah OU kustom tidak tersedia di penyewa Microsoft Entra Anda.
  • Objek ini tidak muncul menggunakan Microsoft Graph API atau di UI Microsoft Entra; mereka hanya tersedia di domain terkelola Anda.

Membuat OU kustom

Untuk membuat unit organisasi kustom, Anda menggunakan Alat Administratif Active Directory dari VM yang terhubung ke domain. Pusat Administratif Direktori Aktif memungkinkan Anda melihat, mengedit, dan membuat sumber daya di domain terkelola, termasuk OU.

1. Masuk ke VM manajemen Anda. Untuk langkah-langkah tentang cara menyambungkan menggunakan pusat admin Microsoft Entra, lihat Menyambungkan ke VM Windows Server.

2. Dari layar Mulai, pilih Alat Administratif. Daftar alat manajemen yang tersedia, yang telah diinstal melalui tutorial, ditampilkan untuk membuat VM manajemen.

3. Untuk membuat dan mengelola OU, pilih Pusat Administrasi Active Directory dari daftar alat administratif.

4. Di panel kiri, pilih domain terkelola Anda, seperti aaddscontoso.com. Daftar OU dan sumber daya yang ada ditampilkan:

   Pusat Administratif Direktori Aktif

5. Panel Tugas ditampilkan di sisi kanan Pusat Administratif Active Directory. Di bawah domain, misalnya aaddscontoso.com, pilih Unit Organisasi Baru >.

   Pusat Administrasi Direktori Aktif

6. Dalam dialog Buat Unit Organisasi, tentukan Nama untuk Unit Organisasi baru, seperti MyCustomOu. Berikan deskripsi singkat untuk OU, seperti Custom OU untuk akun layanan. Jika diinginkan, Anda juga dapat mengatur bidang Dikelola Oleh untuk unit organisasi. Untuk membuat unit organisasi kustom, pilih OK.

   

7. Kembali ke Pusat Administratif Direktori Aktif, unit organisasi kustom sekarang tercantum dan tersedia untuk digunakan:

   Pusat Administratif Direktori Aktif

Langkah berikutnya

Untuk informasi selengkapnya tentang menggunakan alat administratif atau membuat dan menggunakan akun layanan, lihat artikel berikut ini:

• Pusat Administratif Active Directory: Petunjuk Awal
• Panduan Langkah demi Langkah Akun Layanan