Udostępnij za pośrednictwem

Tworzenie jednostki organizacyjnej (OU) w domenie zarządzanej usług Microsoft Entra Domain Services

  • Artykuł

Jednostki organizacyjne (OU) w domenie zarządzanej usług Active Directory Domain Services (AD DS) umożliwiają logiczne grupowanie obiektów, takich jak konta użytkowników, konta usług lub konta komputerów. Następnie można przypisać administratorów do określonych jednostek organizacyjnych i zastosować zasady grupy w celu wymuszenia docelowych ustawień konfiguracji.

Domeny zarządzane przez usługi domenowe obejmują następujące dwie wbudowane jednostki organizacyjne (OU):

  • AADDC Computers — zawiera obiekty komputerów dla wszystkich komputerów, które są przyłączone do domeny zarządzanej.
  • Użytkownicy AADDC — obejmuje użytkowników i grupy synchronizowane z dzierżawy Microsoft Entra.

Podczas tworzenia i uruchamiania obciążeń korzystających z usług Domain Services może być konieczne utworzenie kont usług dla aplikacji w celu uwierzytelnienia się. Aby zorganizować te konta usług, często należy utworzyć niestandardową jednostkę organizacyjną w domenie zarządzanej, a następnie utworzyć konta usług w ramach tej jednostki organizacyjnej.

W środowisku hybrydowym jednostki organizacyjne utworzone w lokalnym środowisku usług AD DS nie są synchronizowane z domeną zarządzaną. Domeny zarządzane używają płaskiej struktury jednostki organizacyjnej. Wszystkie konta użytkowników i grupy są przechowywane w kontenerze AADDC Users, mimo że są synchronizowane z różnych lokalnych domen lub lasów, nawet jeśli skonfigurowano tam hierarchiczną strukturę jednostek organizacyjnych.

W tym artykule pokazano, jak utworzyć jednostkę organizacyjną w domenie zarządzanej.

Przed rozpoczęciem

Do ukończenia tego artykułu potrzebne są następujące zasoby i uprawnienia:

Zagadnienia i ograniczenia dotyczące niestandardowej jednostki organizacyjnej

Podczas tworzenia niestandardowych jednostek organizacyjnych w domenie zarządzanej uzyskujesz dodatkową elastyczność zarządzania zarządzaniem użytkownikami i stosowanie zasad grupy. W porównaniu z lokalnym środowiskiem usług AD DS istnieją pewne ograniczenia i zagadnienia dotyczące tworzenia niestandardowej struktury jednostki organizacyjnej w domenie zarządzanej i zarządzania nią:

  • Aby utworzyć niestandardowe OU, użytkownik musi być członkiem grupy AAD DC Administrators.
  • Użytkownik tworzący niestandardową jednostkę organizacyjną ma przyznane uprawnienia administracyjne (pełna kontrola) nad tym jednostkami organizacyjnymi i jest właścicielem zasobu.
    • Domyślnie grupa administratorów AAD DC również ma pełną kontrolę nad niestandardową jednostką organizacyjną.
  • Zostanie utworzona domyślna jednostka organizacyjna dla użytkowników usługi AADDC zawierająca wszystkie zsynchronizowane konta użytkowników z dzierżawy firmy Microsoft Entra.
    • Nie można przenieść użytkowników lub grup z AADDC Users OU do własnych jednostek organizacyjnych (OU), które tworzysz. Do niestandardowych jednostek organizacyjnych można przenosić tylko konta użytkowników lub zasoby utworzone w domenie zarządzanej.
  • Konta użytkowników, grupy, konta usług i obiekty komputerów, które utworzysz w ramach niestandardowych jednostek organizacyjnych, nie są dostępne w dzierżawie usługi Microsoft Entra.
    • Te obiekty nie są wyświetlane przy użyciu interfejsu API programu Microsoft Graph ani w interfejsie użytkownika firmy Microsoft Entra; są one dostępne tylko w domenie zarządzanej.

Utwórz niestandardową jednostkę organizacyjną

Aby utworzyć niestandardową jednostkę organizacyjną, należy użyć narzędzi administracyjnych usługi Active Directory z maszyny wirtualnej przyłączonej do domeny. Centrum administracyjne usługi Active Directory umożliwia wyświetlanie, edytowanie i tworzenie zasobów w domenie zarządzanej, w tym jednostek organizacyjnych.

Notatka

Aby utworzyć niestandardową jednostkę organizacyjną w domenie zarządzanej, musisz zalogować się na konto użytkownika, które koniecznie musi należeć do grupy Administratorzy AAD DC.

  1. Zaloguj się do maszyny wirtualnej zarządzania. Aby uzyskać instrukcje dotyczące nawiązywania połączenia przy użyciu centrum administracyjnego firmy Microsoft Entra, zobacz Connect to a Windows Server VM.

  2. Na ekranie startowym wybierz pozycję Narzędzia administracyjne. Zostanie wyświetlona lista dostępnych narzędzi do zarządzania, które zostały zainstalowane w samouczku, aby utworzyć maszynę wirtualną zarządzania.

  3. Aby utworzyć jednostki organizacyjne i zarządzać nimi, wybierz Centrum administracyjne Active Directory z listy narzędzi administracyjnych.

  4. W okienku po lewej stronie wybierz domenę zarządzaną, taką jak aaddscontoso.com. Zostanie wyświetlona lista istniejących jednostek organizacyjnych i zasobów:

    Wybierz domenę zarządzaną w Centrum administracyjnym usługi Active Directory

  5. Okienko Tasks jest wyświetlane po prawej stronie Centrum administracyjnego Active Directory. W domenie, takiej jak aaddscontoso.com, wybierz pozycję Nowa jednostka organizacyjna >.

    Wybierz opcję utworzenia nowej jednostki organizacyjnej w Centrum administracyjnym usługi Active Directory

  6. W oknie dialogowym Tworzenie jednostki organizacyjnej, określ nazwę dla nowej jednostki organizacyjnej, na przykład MyCustomOu. Podaj krótki opis jednostki organizacyjnej, na przykład: niestandardowa jednostka organizacyjna dla kont usługowych. Jeśli chcesz, możesz również ustawić pole zarządzane przez dla jednostki organizacyjnej. Aby utworzyć niestandardową jednostkę organizacyjną, kliknij OK.

    Utwórz niestandardową jednostkę organizacyjną w Centrum administracyjnym Active Directory

  7. Po powrocie do Centrum administracyjnego usługi Active Directory niestandardowa jednostka organizacyjna jest teraz wyświetlana i jest dostępna do użycia:

    niestandardowa jednostka organizacyjna dostępna do użycia w Centrum administracyjnym usługi Active Directory

Następne kroki

Aby uzyskać więcej informacji na temat korzystania z narzędzi administracyjnych lub tworzenia kont usług i korzystania z nich, zobacz następujące artykuły: