Criar uma Unidade Organizacional (UO) em um domínio gerenciado dos Serviços de Domínio Microsoft Entra

As unidades organizacionais (UOs) em um domínio gerenciado pelos Serviços de Domínio Ative Directory (AD DS) permitem agrupar logicamente objetos como contas de usuário, contas de serviço ou contas de computador. Em seguida, você pode atribuir administradores a UOs específicas e aplicar a política de grupo para impor definições de configuração direcionadas.

Os domínios gerenciados dos Serviços de Domínio incluem as duas UOs internas a seguir:

• AADDC Computers - contém objetos de computador para todos os computadores que aderiram ao domínio gerido.
• AADDC Users - inclui utilizadores e grupos sincronizados a partir do inquilino do Microsoft Entra.

À medida que você cria e executa cargas de trabalho que usam os Serviços de Domínio, talvez seja necessário criar contas de serviço para que os aplicativos se autentiquem. Para organizar essas contas de serviço, muitas vezes você cria uma UO personalizada no domínio gerenciado e, em seguida, cria contas de serviço dentro dessa UO.

Em um ambiente híbrido, as UOs criadas em um ambiente AD DS local não são sincronizadas com o domínio gerenciado. Os domínios gerenciados usam uma estrutura de UO plana. Todas as contas de usuário e grupos são armazenados no contêiner Usuários do AADDC, apesar de serem sincronizados de diferentes domínios ou florestas locais, mesmo que você tenha configurado uma estrutura de UO hierárquica lá.

Este artigo mostra como criar uma UO em seu domínio gerenciado.

Antes de começar

Para concluir este artigo, você precisa dos seguintes recursos e privilégios:

• Uma assinatura ativa do Azure.
  • Se você não tiver uma assinatura do Azure, crie uma conta.
• Um tenant do Microsoft Entra associado à sua assinatura, sincronizado com um diretório local ou um diretório apenas na nuvem.
  • Se necessário, crie um inquilino do Microsoft Entra ou associe uma assinatura do Azure à sua conta.
• Um domínio gerenciado dos Serviços de Domínio Microsoft Entra habilitado e configurado em seu locatário do Microsoft Entra.
  • Se necessário, conclua o tutorial para criar e configurar um domínio gerido pelo Microsoft Entra Domain Services.
• Uma VM de gestão do Windows Server ligada ao domínio gerido dos Serviços de Domínio.
  • Se necessário, conclua o tutorial para criar uma VM de gerenciamento.
• Uma conta de utilizador que seja membro do grupo de administradores Microsoft Entra DC no seu locatário do Microsoft Entra.

Considerações e limitações sobre UOs personalizadas

Ao criar UOs personalizadas em um domínio gerenciado, você ganha flexibilidade de gerenciamento adicional para gerenciamento de usuários e aplicação de política de grupo. Em comparação com um ambiente AD DS local, há algumas limitações e considerações ao criar e gerenciar uma estrutura de UO personalizada em um domínio gerenciado:

• Para criar UOs personalizadas, os utilizadores devem ser membros do grupo Administradores de DC do AAD.
• Um usuário que cria uma UO personalizada recebe privilégios administrativos (controle total) sobre essa UO e é o proprietário do recurso.
  • Por padrão, o grupo Administradores de DC do AAD também tem controle total da UO personalizada.
• É criada uma UO padrão para Usuários AADDC que contém todas as contas de usuário sincronizadas do locatário Microsoft Entra.
  • Não é possível mover usuários ou grupos da UO Usuários AADDC UO para UOs personalizadas que você criar. Somente contas de usuário ou recursos criados no domínio gerenciado podem ser movidos para UOs personalizadas.
• Contas de usuário, grupos, contas de serviço e objetos de computador criados em UOs personalizadas não estão disponíveis em seu locatário do Microsoft Entra.
  • Esses objetos não aparecem usando a API do Microsoft Graph ou na interface do usuário do Microsoft Entra; eles só estão disponíveis no seu domínio gerenciado.

Criar uma UO personalizada

Para criar uma UO personalizada, use as Ferramentas Administrativas do Active Directory a partir de uma VM associada a um domínio. A Central Administrativa do Ative Directory permite exibir, editar e criar recursos em um domínio gerenciado, incluindo UOs.

1. Inicie sessão na sua VM de gestão. Para obter etapas sobre como se conectar usando o centro de administração do Microsoft Entra, consulte Conectar-se a uma VM do Windows Server.

2. Na tela inicial, selecione Ferramentas administrativas. É mostrada uma lista de ferramentas de gerenciamento disponíveis que foram instaladas no tutorial para criar uma VM de gerenciamento.

3. Para criar e gerenciar UOs, selecione do Centro Administrativo do Ative Directory na lista de ferramentas administrativas.

4. No painel esquerdo, escolha seu domínio gerenciado, como aaddscontoso.com. Uma lista de UOs e recursos existentes é mostrada:

   do Centro Administrativo do Ative Directory

5. O painel Tarefas é mostrado no lado direito do Centro Administrativo do Active Directory. No domínio, como aaddscontoso.com, selecione Nova Unidade Organizacional >.

   

6. Na caixa de diálogo Criar Unidade Organizacional, especifique um Nome para a nova UO, como MyCustomOu. Forneça uma breve descrição para a UO, como UO customizada para contas de serviço. Se desejar, você também pode definir o campo Gerenciado por para a UO. Para criar a UO personalizada, selecione OK.

   

7. De volta ao Centro Administrativo do Ative Directory, a UO personalizada agora está listada e disponível para uso:

   do Centro Administrativo do Active Directory

Próximos passos

Para obter mais informações sobre como usar as ferramentas administrativas ou criar e usar contas de serviço, consulte os seguintes artigos:

• Centro Administrativo do Active Directory: Introdução ao Uso
• Guia passo a passo de Contas de Serviço