Microsoft Entra 域服务提供与 Windows Server Active Directory 完全兼容的托管域服务,例如域加入、组策略、LDAP 和 Kerberos/NTLM 身份验证。 使用与本地 Active Directory 域服务域相同的远程服务器管理工具(RSAT)管理此托管域。 由于域服务是托管服务,因此无法执行某些管理任务,例如使用远程桌面协议(RDP)连接到域控制器。
本教程介绍如何在 Azure 中配置 Windows Server VM,并安装管理域服务托管域所需的工具。
本教程中,您将学习如何:
- 了解托管域中可用的管理任务
- 在 Windows Server VM 上安装 Active Directory 管理工具
- 使用 Active Directory 管理中心执行常见任务
如果没有 Azure 订阅,请在开始之前 创建帐户 。
先决条件
若要完成本教程,需要以下资源和权限:
- 有效的 Azure 订阅。
- 如果你没有 Azure 订阅,请创建一个帐户。
- 与您的订阅关联的 Microsoft Entra 租户,可以是与本地目录同步的,也可以是仅限于云端的目录。
- 在 Microsoft Entra 租户中启用和配置的 Microsoft Entra 域服务托管域。
- 如果需要,请参阅创建 和配置 Microsoft Entra 域服务托管域的第一个教程。
- 已加入托管域的 Windows Server VM。
- 如果需要,请参阅前面的教程, 创建 Windows Server VM 并将其加入托管域。
- 属于 Microsoft Entra 租户中“Microsoft Entra DC 管理员”组的用户帐户。
- 部署在域服务虚拟网络中的 Azure Bastion 主机。
- 根据需要创建 Azure Bastion 主机。
登录到 Microsoft Entra 管理中心
在本教程中,将使用 Microsoft Entra 管理中心创建和配置管理 VM。 若要开始操作,请先登录到 Microsoft Entra 管理中心。
域服务中的可用管理任务
域服务为用户、应用程序和服务提供托管域以供使用。 这种方法改变了可以执行的某些管理任务,以及你在托管域中拥有的特权。 这些任务和权限可能与使用常规本地 Active Directory 域服务环境时遇到的任务和权限不同。 也不能使用远程桌面连接到托管域上的域控制器。
可以在托管域上执行的管理任务
AAD DC 管理员组的成员在托管域上被授予特权,使这些成员能够执行如下任务:
- 为托管域中 的 AADDC 计算机 和 AADDC 用户 容器配置内置组策略对象(GPO)。
- 管理托管域上的 DNS。
- 在托管域上创建和管理自定义组织单位(OU)。
- 获取对已加入托管域的计算机的管理访问权限。
在托管域上不拥有的管理特权
托管域已锁定,因此你无权在域上执行某些管理任务。 以下示例中有一些是无法执行的任务:
- 扩展托管域的架构。
- 使用远程桌面连接到托管域的域控制器。
- 将域控制器添加到托管域。
- 你没有托管域的 域管理员 或 企业管理员 权限。
登录到 Windows Server VM
在上一教程中,创建了 Windows Server VM,并将其加入托管域。 使用该 VM 安装管理工具。 如果需要, 请按照本教程中的步骤创建 Windows Server VM 并将其加入托管域。
注释
在本教程中,将使用已加入托管域的 Azure 中的 Windows Server VM。 还可以使用已加入托管域的 Windows 客户端(如 Windows 10)。
有关如何在 Windows 客户端上安装管理工具的详细信息,请参阅 安装远程服务器管理工具(RSAT)
若要开始,请按如下所示连接到 Windows Server VM:
在Microsoft Entra 管理中心,选择左侧的 资源组 。 选择创建 VM 的资源组,例如 myResourceGroup,然后选择 VM,例如 myVM。
在 VM 的“概览”窗格中选择“连接”,然后选择“Bastion”。
输入 VM 的凭据,然后选择 “连接”。
在需要的情况下,允许 Web 浏览器打开要显示的 Bastion 连接的弹出窗口。 连接到 VM 需要几秒钟的时间。
安装 Active Directory 管理工具
在托管域中使用与本地 AD DS 环境相同的管理工具,例如 Active Directory 管理中心(ADAC)或 AD PowerShell。 这些工具可以作为 Windows Server 和客户端计算机上的远程服务器管理工具(RSAT)功能的一部分安装。 然后,AAD DC 管理员 组的成员可以使用加入托管域的计算机中的这些 AD 管理工具远程管理托管域。
若要在已加入域的 VM 上安装 Active Directory 管理工具,请完成以下步骤:
如果在登录 VM 时服务器管理器默认情况下未打开,请选择“开始”菜单,然后选择“服务器管理器”。
在服务器管理器窗口的仪表板窗格中,选择添加角色和功能。
在添加角色和功能向导的准备工作页上,选择下一步。
对于安装类型,请选中基于角色或基于功能的安装选项,然后选择下一步。
在服务器选择页上,从服务器池中选择当前的 VM(例如 myvm.aaddscontoso.com),然后选择下一步。
在服务器角色页上,单击下一步。
在 “功能 ”页上,展开 “远程服务器管理工具” 节点,然后展开 “角色管理工具” 节点。
从角色管理工具列表中选择 AD DS 和 AD LDS 工具 功能,然后选择“ 下一步”。
在“确认”页上选择“安装”。 安装管理工具可能需要一两分钟。
功能安装完成后,选择关闭退出添加角色和功能向导。
使用 Active Directory 管理工具
安装管理工具后,让我们了解如何使用它们来管理托管域。 请确保使用属于 AAD DC 管理员 组成员的用户帐户登录到 VM。
从 “开始” 菜单中,选择 “Windows 管理工具”。 列出了在上一步中安装的 AD 管理工具。
选择 Active Directory 管理中心。
若要浏览托管域,请在左窗格中选择域名,例如 aaddscontoso。 名为 AADDC 计算机 和 AADDC 用户的 两个容器位于列表顶部。
若要查看属于托管域的用户和组,请选择 AADDC 用户 容器。 Microsoft Entra 租户中的用户帐户和组在此容器中列出。
在以下示例输出中,此容器中显示了名为 Contoso 管理员 的用户帐户和 AAD DC 管理员 的组。
若要查看已加入托管域的计算机,请选择 AADDC 计算机 容器。 列出了当前虚拟机(例如 myVM)的条目。 加入托管域的所有设备的计算机帐户都存储在此 AADDC 计算机 容器中。
可以使用常见的 Active Directory 管理中心作,例如重置用户帐户密码或管理组成员身份。 这些动作仅适用于直接在托管域中创建的用户和组。 标识信息仅从 Microsoft Entra ID 同步到域服务。 不会从域服务回写到 Microsoft Entra ID。 无法更改从 Microsoft Entra ID 同步的用户的密码或托管组成员身份,并让这些更改同步回来。
还可以使用作为管理工具一部分安装的 适用于 Windows PowerShell 的 Active Directory 模块来管理托管域中的常见操作。
后续步骤
在本教程中,你将学习到如何:
- 了解托管域中可用的管理任务
- 在 Windows Server VM 上安装 Active Directory 管理工具
- 使用 Active Directory 管理中心执行常见任务
若要从其他应用程序安全地与托管域交互,请启用安全的轻型目录访问协议(LDAPS)。