Microsoft Entra Domain Services tarafından yönetilen bir etki alanında nesnelerin ve kimlik bilgilerinin nasıl eşitlendiği
Microsoft Entra Domain Services tarafından yönetilen etki alanındaki nesneler ve kimlik bilgileri, etki alanı içinde yerel olarak oluşturulabilir veya bir Microsoft Entra kiracısından senkronize edilebilir. Etki Alanı Hizmetleri'ni ilk kez dağıttığınızda, otomatik olarak başlayan tek yönlü bir eşitleme yapılandırılır ve Microsoft Entra ID'den nesnelerin çoğaltılmasına başlanır. Bu tek yönlü eşitleme, Domain Services yönetilen etki alanını Microsoft Entra Id'deki değişikliklerle up-togüncel tutmak için arka planda çalışmaya devam eder. Etki Alanı Hizmetleri'nden Microsoft Entra Id'ye geri eşitleme gerçekleşmez.
Karma bir ortamda, şirket içi AD DS etki alanındaki nesneler ve kimlik bilgileri Microsoft Entra Connect kullanılarak Microsoft Entra Id ile eşitlenebilir. Bu nesneler Microsoft Entra Id ile başarıyla eşitlendiğinde, otomatik arka plan eşitlemesi bu nesneleri ve kimlik bilgilerini yönetilen etki alanını kullanan uygulamalar için kullanılabilir hale getirir.
Aşağıdaki diyagramda Domain Services, Microsoft Entra ID ve isteğe bağlı bir şirket içi AD DS ortamı arasında eşitlemenin nasıl çalıştığı gösterilmektedir:
Microsoft Entra Domain Services tarafından yönetilen etki alanıEşitleme Genel Bakışı
Microsoft Entra Id'den Domain Services'a eşitleme
Kullanıcı hesapları, grup üyelikleri ve kimlik bilgisi karmaları, Microsoft Entra Id'den Domain Services'e tek bir yolla eşitlenir. Bu eşitleme işlemi otomatiktir. Bu eşitleme işlemini yapılandırmanız, izlemeniz veya yönetmeniz gerekmez. İlk eşitleme, Microsoft Entra dizinindeki nesne sayısına bağlı olarak birkaç saat ile birkaç gün sürebilir. İlk eşitleme tamamlandıktan sonra, Parola veya öznitelik değişiklikleri gibi Microsoft Entra Kimliği'nde yapılan değişiklikler otomatik olarak Etki Alanı Hizmetleri ile eşitlenir.
Bir kullanıcı Microsoft Entra Kimliği'nde oluşturulduğunda, Microsoft Entra Kimliği'nde parolasını değiştirene kadar Etki Alanı Hizmetleri'yle senkronize edilmez. Bu parola değiştirme işlemi Kerberos ve NTLM kimlik doğrulaması için parola karmalarının oluşturulmasına ve Microsoft Entra Kimliği'nde depolanmasına neden olur. Etki Alanı Hizmetleri'nde bir kullanıcının kimliğini başarıyla doğrulamak için parola karmaları gereklidir.
Eşitleme işlemi tasarım gereği tek yönlüdür. Etki Alanı Hizmetleri'nden Microsoft Entra Kimliği'ne geri dönerek yapılan değişikliklerin ters eşitlemesi yoktur. Yönetilen etki alanı, oluşturabileceğiniz özel OU'lar (Organizasyon Birimleri) dışında büyük ölçüde salt okunurdur. Yönetilen bir etki alanı içinde kullanıcı özniteliklerinde, kullanıcı parolalarında veya grup üyeliklerinde değişiklik yapamazsınız.
Kapsamlı eşitleme ve grup filtresi
Eşitlemeyi yalnızca buluttan kaynaklanan kullanıcı hesaplarıyla kapsamlandırabilirsiniz. Bu eşitleme kapsamında, belirli gruplar veya kullanıcılar için filtreleyebilirsiniz. Yalnızca bulut grupları, şirket içi gruplar veya her ikisi arasında seçim yapabilirsiniz. Kapsamı belirlenmiş eşitlemeyi yapılandırma hakkında daha fazla bilgi için bkz. Kapsamı belirlenmiş eşitlemeyi yapılandırma.
Öznitelik senkronizasyonu ve Domain Servislerine eşleme
Aşağıdaki tabloda bazı yaygın öznitelikler ve Bunların Etki Alanı Hizmetleri ile nasıl eşitlendikleri listelenmektedir.
| Alan Hizmetleri'nde Öznitelik | Kaynak | Notlar |
|---|---|---|
| UPN | Microsoft Entra kiracısında kullanıcının UPN özniteliği | Microsoft Entra kiracısından gelen UPN özniteliği, as-is Etki Alanı Hizmetleri ile eşitlenir. Yönetilen etki alanında oturum açmanın en güvenilir yolu UPN kullanmaktır. |
| SAMAccountName | Microsoft Entra kiracısında veya otomatik olarak oluşturulan kullanıcının mailNickname özniteliği | SAMAccountName özniteliği, Microsoft Entra kiracısında mailNickname özniteliğinden kaynaklanır. Birden çok kullanıcı hesabı aynı mailNickname özniteliğine sahipse, SAMAccountName otomatik olarak oluşturulur. Kullanıcının mailNickname veya UPN ön eki 20 karakterden uzunsa, SAMAccountName, SAMAccountName özniteliklerindeki 20 karakter sınırını karşılamak için otomatik olarak oluşturulur. |
| Parola | Microsoft Entra kiracısındaki kullanıcının parolası | NTLM veya Kerberos kimlik doğrulaması için gerekli olan eski parola karmaları Microsoft Entra kiracısından eşitlenir. Microsoft Entra kiracısı, Microsoft Entra Connect kullanılarak hibrit eşitleme için yapılandırıldıysa, bu parola karmaları şirket içi AD DS ortamından elde edilir. |
| Birincil kullanıcı/grup SID'i | Otomatik olarak oluşturulan | Kullanıcı/grup hesapları için birincil SID, Etki Alanı Hizmetleri'nde otomatik olarak oluşturulur. Bu öznitelik, şirket içi AD DS ortamında nesnenin birincil kullanıcı/grup SID'sine uymuyor. Bu uyuşmazlık, yönetilen etki alanının şirket içi AD DS etki alanından farklı bir SID ad alanına sahip olmasıdır. |
| Kullanıcılar ve gruplar için SID geçmişi | Şirket içi birincil kullanıcı ve grup SID'si | Etki Alanı Hizmetleri'ndeki kullanıcılar ve gruplar için SidHistory özniteliği, şirket içi AD DS ortamında karşılık gelen birincil kullanıcı veya grup SID'sine uyacak şekilde ayarlanır. Bu özellik, ACL kaynaklarını yeniden oluşturmanız gerekmediğinden şirket içi uygulamaların Domain Services'a lift-and-shift özelliğini daha kolay hale getirmenize yardımcı olur. |
Bahşiş
UPN biçimini kullanarak yönetilen etki alanında oturum açın AADDSCONTOSO\drileygibi SAMAccountName özniteliği, yönetilen bir etki alanındaki bazı kullanıcı hesapları için otomatik olarak oluşturulabilir. Kullanıcıların otomatik olarak oluşturulan SAMAccountName UPN ön eklerinden farklı olabilir, bu nedenle her zaman güvenilir bir oturum açma yöntemi değildir.
Örneğin, birden çok kullanıcı aynı mailNickname özniteliğine sahipse veya kullanıcılar aşırı uzun UPN ön eklerine sahipse, bu kullanıcılar için SAMAccountName otomatik olarak oluşturulabilir. Yönetilen bir etki alanında güvenilir bir şekilde oturum açmak için driley@aaddscontoso.comgibi UPN biçimini kullanın.
Kullanıcı hesapları için öznitelik eşlemesi
Aşağıdaki tabloda, Microsoft Entra Id içindeki kullanıcı nesneleri için belirli özniteliklerin Etki Alanı Hizmetleri'ndeki ilgili özniteliklerle nasıl eşitlenmiş olduğu gösterilmektedir.
| Microsoft Entra Id'de kullanıcı özniteliği | Etki Alanı Hizmetleri'nde kullanıcı özniteliği |
|---|---|
| hesap etkin | userAccountControl (ACCOUNT_DISABLED biti ayarlar veya temizler) |
| şehir | l |
| şirketAdı | şirketAdı |
| ülke | co |
| bölüm | bölüm |
| displayName | görüntü adı |
| çalışanKimliği | çalışanID |
| faksTelefonNumarası | faksTelefonNumarası |
| givenName | givenName |
| iş unvanı | başlık |
| e-posta | e-posta |
| e-posta takma adı | msDS-AzureADMailNickname |
| postaTakmaAdı | SAMAccountName (bazen otomatik olarak oluşturulabilir) |
| müdür | müdür |
| mobil | mobil |
| nesne kimliği | msDS-aadObjectId |
| YerindeGüvenlikTanımlayıcısı | SID geçmişi |
| şifre politikaları | userAccountControl (DONT_EXPIRE_PASSWORD bitini ayarlar veya sıfırlar) |
| fizikselTeslimOfisiAdı | fiziksel Teslimat Ofis Adı |
| posta kodu | posta kodu |
| tercih edilen dil | tercih edilen dil |
| Proxy Adresleri | vekil adresler |
| devlet | st |
| sokak adresi | sokakAdresi |
| soyadı | sn |
| telefon numarası | telefon numarası |
| kullanıcıAnaAdı | kullanıcıAnaAdı |
Gruplar için öznitelik eşlemesi
Aşağıdaki tabloda, Microsoft Entra Id içindeki grup nesneleri için belirli özniteliklerin Etki Alanı Hizmetleri'ndeki ilgili özniteliklerle nasıl eşitlenmiş olduğu gösterilmektedir.
| Microsoft Entra Id'de grup özniteliği | Etki Alanı Hizmetleri'nde grup özniteliği |
|---|---|
| displayName | displayName |
| displayName | SAMAccountName (bazen otomatik olarak oluşturulabilir) |
| posta | posta |
| postaTakmaAdı | msDS-AzureADMailNickname |
| objectid | msDS-AzureADObjectId |
| yerindeGüvenlikKimliği | sidGeçmişi |
| proxy adresleri | proxyAddresses |
| Güvenlik Etkinleştirildi | grupTürü |
Şirket içi AD DS'den Microsoft Entra Kimliği ve Etki Alanı Hizmetleri'ne eşitleme
Microsoft Entra Connect, şirket içi AD DS ortamındaki kullanıcı hesaplarını, grup üyeliklerini ve kimlik bilgisi karmalarını Microsoft Entra Id ile eşitlemek için kullanılır. UPN ve şirket içi güvenlik tanımlayıcısı (SID) gibi kullanıcı hesaplarının öznitelikleri eşitlenir. Etki Alanı Hizmetlerini kullanarak oturum açmak için NTLM ve Kerberos kimlik doğrulaması için gereken eski parola karmaları aynı zamanda Microsoft Entra ID ile eşitlenir.
Önemli
Microsoft Entra Connect yalnızca şirket içi AD DS ortamlarıyla eşitleme için yüklenip yapılandırılmalıdır. Nesneleri Microsoft Entra Kimliği'ne yeniden eşitlemek için yönetilen bir etki alanına Microsoft Entra Connect'in yüklenmesi desteklenmez.
Geri yazmayı yapılandırdığınızda, Microsoft Entra Id'den yapılan değişiklikler şirket içi AD DS ortamına geri eşitlenir. Örneğin, bir kullanıcı Microsoft Entra self servis parola yönetimini kullanarak parolasını değiştirirse, parola şirket içi AD DS ortamında yeniden güncelleştirilir.
Not
Bilinen tüm hatalar için düzeltmelere sahip olduğunuzdan emin olmak için her zaman Microsoft Entra Connect'in en son sürümünü kullanın.
Çok ormanlı bir yerel ortamdan senkronizasyon
Birçok kuruluş, birden çok orman içeren oldukça karmaşık bir şirket içi AD DS ortamına sahiptir. Microsoft Entra Connect, çok ormanlı ortamlardaki kullanıcıları, grupları ve kimlik bilgisi karmalarını Microsoft Entra Id ile eşitlemeyi destekler.
Microsoft Entra Id çok daha basit ve düz bir ad alanına sahiptir. Kullanıcıların Microsoft Entra ID ile güvenli hale getirilen uygulamalara güvenilir bir şekilde erişmesini sağlamak için, farklı ormanlardaki kullanıcı hesapları arasında UPN çakışmalarını çözün. Yönetilen etki alanları, Microsoft Entra ID'ye benzer düz bir OU yapısı kullanır. Şirket içinde hiyerarşik bir OU yapısı yapılandırmış olsanız bile, tüm kullanıcı hesapları ve grupları farklı şirket içi etki alanlarından veya ormanlardan eşitlenmesine rağmen AADDC Kullanıcıları kapsayıcısında depolanır. Yönetilen etki alanı, tüm hiyerarşik OU yapılarını düzleştirir.
Daha önce de açıklandığı gibi, Etki Alanı Hizmetleri'nden Microsoft Entra ID'ye eşitleme yapılmaz. Etki Alanı Hizmetleri'nde özel bir Kuruluş Birimi (OU) ve ardından bu özel OU'lar içindeki kullanıcılar, gruplar veya hizmet hesapları oluşturabilirsiniz. Özel OU'larda oluşturulan nesnelerin hiçbiri Microsoft Entra ID'ye geri eşitlenmez. Bu nesneler yalnızca yönetilen etki alanında kullanılabilir ve Microsoft Graph PowerShell cmdlet'leri, Microsoft Graph API'leri veya Microsoft Entra yönetim merkezi kullanılarak görünmez.
Etki Alanı Hizmetleri ile eşitlenmemiş olanlar
Aşağıdaki nesneler veya öznitelikler şirket içi AD DS ortamından Microsoft Entra Kimliği veya Etki Alanı Hizmetleri ile eşitlenmez:
- Dışlanan öznitelikler: Microsoft Entra Connect kullanarak belirli özniteliklerin şirket içi AD DS ortamından Microsoft Entra Kimliği ile eşitlenmesini dışlamamayı seçebilirsiniz. Bu dışlanan öznitelikler daha sonra Etki Alanı Hizmetleri'nde kullanılamaz.
- Grup İlkeleri: Şirket içi AD DS ortamında yapılandırılan Grup İlkeleri Etki Alanı Hizmetleri ile eşitlenmez.
- Sysvol klasörü: Şirket içi AD DS ortamındaki Sysvol klasörünün içeriği Etki Alanı Hizmetleri ile eşitlenmez.
- Bilgisayar nesneleri: Şirket içi AD DS ortamına katılmış bilgisayarlar için bilgisayar nesneleri Etki Alanı Hizmetleri ile eşitlenmez. Bu bilgisayarların yönetilen etki alanıyla güven ilişkisi yoktur ve yalnızca şirket içi AD DS ortamına aittir. Etki Alanı Hizmetleri'nde, yalnızca yönetilen etki alanına doğrudan katılmış bilgisayarların bilgisayar nesneleri gösterilir.
- Kullanıcılar ve gruplar için SidHistory öznitelikleri: Şirket içi AD DS ortamındaki birincil kullanıcı ve birincil grup SID'leri Etki Alanı Hizmetleri ile eşitlenir. Ancak, kullanıcılar ve gruplar için mevcut SidHistory öznitelikleri, şirket içi AD DS ortamından Domain Services'a senkronize edilmez.
- Kuruluş Birimleri (OU) yapıları: şirket içi AD DS ortamında tanımlanan Kuruluş Birimleri Etki Alanı Hizmetleri ile eşitlenmez. Etki Alanı Hizmetleri'nde biri kullanıcılar, diğeri bilgisayarlar için olmak üzere iki yerleşik organizasyon birimi vardır. Yönetilen etki alanının düz bir OU yapısı vardır. Yönetilen etki alanınızda özel bir OU oluşturmayıseçebilirsiniz.
Parola karması eşitleme ve güvenlik konuları
Etki Alanı Hizmetleri'ni etkinleştirdiğinizde NTLM ve Kerberos kimlik doğrulaması için eski parola karmaları gerekir. Microsoft Entra Id, düz metin parolalarını depolamaz, bu nedenle bu karmalar mevcut kullanıcı hesapları için otomatik olarak oluşturulamaz. NTLM ve Kerberos uyumlu parola karmaları her zaman Microsoft Entra Id'de şifrelenmiş bir şekilde depolanır.
Şifreleme anahtarları her Microsoft Entra kiracısı için benzersizdir. Bu karmalar, yalnızca Etki Alanı Hizmetleri'nin şifre çözme anahtarlarına erişimi olacak şekilde şifrelenir. Microsoft Entra ID'deki başka hiçbir hizmet veya bileşenin şifre çözme anahtarlarına erişimi yoktur.
Eski parola karmaları daha sonra Microsoft Entra ID'den yönetilen etki alanı için etki alanı denetleyicilerine eşitlenir. Etki Alanı Hizmetleri'ndeki bu yönetilen etki alanı denetleyicilerinin diskleri bekleme sırasında şifrelenir. Bu parola karmaları, parolaların şirket içi AD DS ortamında depolanmasına ve güvenliğinin sağlanmasına benzer şekilde bu etki alanı denetleyicilerinde depolanır ve güvenli hale getirilir.
Yalnızca bulut Microsoft Entra ortamlarında, kullanıcıların gerekli parola karmalarının oluşturulup Microsoft Entra ID'de depolanabilmesi için parola'i sıfırlamaları/değiştirmeleri gerekir. Microsoft Entra Domain Services etkinleştirildikten sonra Microsoft Entra Id'de oluşturulan tüm bulut kullanıcı hesapları için parola karmaları oluşturulur ve NTLM ve Kerberos ile uyumlu biçimlerde depolanır. Tüm bulut kullanıcı hesaplarının Etki Alanı Hizmetleri ile eşitlenmeden önce parolalarını değiştirmesi gerekir.
Microsoft Entra Connect kullanılarak şirket içi AD DS ortamından eşitlenen karma kullanıcı hesapları için, NTLM ve Kerberos uyumlu biçimlerindeki parola karmalarını eşitlemek içinMicrosoft Entra Connect'i yapılandırmanız gerekir.
Sonraki adımlar
Parola eşitlemenin özellikleri hakkında daha fazla bilgi için bkz. Microsoft Entra Connect ile parola karması eşitleme nasıl çalışır?.
Alan Hizmetleri'ne başlamak için yönetilen bir alanoluşturun.