Condividi tramite

Creare un'unità organizzativa in un dominio gestito di Microsoft Entra Domain Services

  • Articolo

Le unità organizzative in un dominio gestito di Active Directory Domain Services (AD DS) consentono di raggruppare logicamente oggetti come account utente, account di servizio o account computer. È quindi possibile assegnare amministratori a unità organizzative specifiche e applicare criteri di gruppo per applicare le impostazioni di configurazione di destinazione.

I domini gestiti di Servizi di dominio includono le due unità organizzative predefinite seguenti:

  • AADDC Computers - contiene oggetti computer per tutti i computer uniti al dominio gestito.
  • Utenti AADDC - include utenti e gruppi sincronizzati dal tenant di Microsoft Entra.

Quando si creano ed eseguono carichi di lavoro che usano Servizi di dominio, potrebbe essere necessario creare account di servizio per l'autenticazione delle applicazioni. Per organizzare questi account di servizio, spesso si crea un'unità organizzativa personalizzata nel dominio gestito e quindi si creano account di servizio all'interno di tale unità organizzativa.

In un ambiente ibrido, le unità organizzative create in un ambiente di Active Directory Domain Services locale non vengono sincronizzate con il dominio gestito. I domini gestiti usano una struttura di unità organizzativa piatta. Tutti gli account utente e i gruppi vengono archiviati nel contenitore AADDC Users, nonostante vengano sincronizzati da diversi domini o foreste in loco, anche se è stata configurata una struttura OU gerarchica.

Questo articolo illustra come creare un'unità organizzativa nel dominio gestito.

Prima di iniziare

Per completare questo articolo, sono necessari i privilegi e le risorse seguenti:

Considerazioni e limitazioni personalizzate dell'unità organizzativa

Quando si creano unità organizzative personalizzate in un dominio gestito, si ottiene una maggiore flessibilità di gestione per la gestione degli utenti e l'applicazione di criteri di gruppo. Rispetto a un ambiente di Active Directory Domain Services locale, esistono alcune limitazioni e considerazioni durante la creazione e la gestione di una struttura organizzativa personalizzata in un dominio gestito:

  • Per creare unità organizzative personalizzate, gli utenti devono essere membri del gruppo amministratori di AAD DC.
  • A un utente che crea un'unità organizzativa personalizzata vengono concessi privilegi amministrativi (controllo completo) su tale unità organizzativa ed è il proprietario della risorsa.
    • Per impostazione predefinita, il gruppo amministratori di AAD DC ha anche il controllo completo dell'unità organizzativa personalizzata.
  • Viene creata un'unità organizzativa predefinita per AADDC Users che contiene tutti gli account utente sincronizzati dal tenant di Microsoft Entra.
    • Non è possibile spostare utenti o gruppi dall'OU AADDC Users alle unità organizzative personalizzate che crei. Solo gli account utente o le risorse creati nel dominio gestito possono essere spostati in unità organizzative personalizzate.
  • Gli account utente, i gruppi, gli account di servizio e gli oggetti computer che crei in unità organizzative personalizzate non sono disponibili nel tenant di Microsoft Entra.
    • Questi oggetti non vengono visualizzati usando l'API Microsoft Graph o nell'interfaccia utente di Microsoft Entra; sono disponibili solo nel dominio gestito.

Creare un'unità organizzativa personalizzata

Per creare un'unità organizzativa personalizzata, usare gli strumenti di amministrazione di Active Directory da una macchina virtuale connessa a un dominio. Il Centro di amministrazione di Active Directory consente di visualizzare, modificare e creare risorse in un dominio gestito, incluse le unità organizzative.

Nota

Per creare un'unità organizzativa personalizzata in un dominio gestito, è necessario accedere a un account utente che sia membro del gruppo Amministratori di AAD DC.

  1. Accedere alla macchina virtuale di gestione. Per informazioni su come connettersi tramite l'interfaccia di amministrazione di Microsoft Entra, vedere Connettersi a una macchina virtuale Windows Server.

  2. Nella schermata Start selezionare Strumenti di amministrazione. Viene visualizzato un elenco degli strumenti di gestione disponibili installati nel tutorial per creare una VM di gestione.

  3. Per creare e gestire unità organizzative, selezionare Centro di amministrazione di Active Directory dall'elenco degli strumenti di amministrazione.

  4. Nel riquadro sinistro scegliere il dominio gestito, ad esempio aaddscontoso.com. Viene visualizzato un elenco di unità organizzative e risorse esistenti:

    Selezionare il dominio gestito nel Centro di amministrazione di Active Directory

  5. Il riquadro Attività viene visualizzato sul lato destro del Centro di amministrazione di Active Directory. Nel dominio, ad esempio aaddscontoso.com, selezionare Nuova unità organizzativa >.

    Selezionare l'opzione per creare una nuova unità organizzativa nel Centro di amministrazione di Active Directory

  6. Nella finestra di dialogo Crea Unità Organizzativa, specificare un nome per la nuova unità organizzativa, ad esempio MyCustomOu. Fornire una breve descrizione per l'unità organizzativa, ad esempio unità organizzativa personalizzata per gli account di servizio. Se lo si desidera, è anche possibile impostare il campo gestito da per l'unità organizzativa. Per creare l'unità organizzativa personalizzata, selezionare OK.

    Creare un'unità organizzativa personalizzata dal Centro di amministrazione di Active Directory

  7. Tornati nel Centro di amministrazione di Active Directory, l'unità organizzativa personalizzata è ora elencata e può essere utilizzata.

    L'OU personalizzata disponibile per l'uso nel Centro di amministrazione di Active Directory

Passaggi successivi

Per altre informazioni sull'uso degli strumenti di amministrazione o sulla creazione e l'uso degli account di servizio, vedere gli articoli seguenti: