Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Organisationseinheiten (OUs) in einer verwalteten Active Directory Domain Services (AD DS)-Domäne ermöglichen es Ihnen, Objekte wie Benutzerkonten, Dienstkonten oder Computerkonten logisch zu gruppieren. Anschließend können Sie Administratoren bestimmten Organisationseinheiten zuweisen und Gruppenrichtlinien anwenden, um gezielte Konfigurationseinstellungen zu erzwingen.
Von Domänendiensten verwaltete Domänen umfassen die folgenden beiden integrierten OUs:
- AADDC-Computer – enthält Computerobjekte für alle Computer, die mit der verwalteten Domäne verbunden sind.
- AADDC-Benutzer – umfasst Benutzer und Gruppen, die aus dem Microsoft Entra-Mandanten in das System synchronisiert wurden.
Beim Erstellen und Ausführen von Workloads, die Domänendienste verwenden, müssen Sie möglicherweise Dienstkonten für Anwendungen erstellen, um sich selbst zu authentifizieren. Um diese Dienstkonten zu organisieren, erstellen Sie häufig eine benutzerdefinierte OU in der verwalteten Domäne und erstellen dann Dienstkonten innerhalb dieser OU.
In einer Hybridumgebung werden OUs, die in einer lokalen AD DS-Umgebung erstellt wurden, nicht mit der verwalteten Domäne synchronisiert. Verwaltete Domänen verwenden eine flache OU-Struktur. Alle Benutzerkonten und Gruppen werden im AADDC Users Container gespeichert, obwohl sie aus verschiedenen lokalen Domänen oder Gesamtstrukturen synchronisiert werden. Dies gilt auch, wenn Sie dort eine hierarchische OU-Struktur konfiguriert haben.
In diesem Artikel erfahren Sie, wie Sie eine OU in Ihrer verwalteten Domäne erstellen.
Bevor Sie anfangen
Für diesen Artikel benötigen Sie die folgenden Ressourcen und Berechtigungen:
- Ein aktives Azure-Abonnement.
- Wenn Sie nicht über ein Azure-Abonnement verfügen, erstellen Sie ein Konto.
- Ein Microsoft Entra-Mandant, der Ihrem Abonnement zugeordnet ist und entweder mit einem lokalen Verzeichnis oder einem reinen Cloud-Verzeichnis synchronisiert ist.
- Eine verwaltete Domäne von Microsoft Entra Domain Services ist in Ihrem Microsoft Entra-Mandanten aktiviert und konfiguriert.
- Führen Sie bei Bedarf das Lernprogramm aus, um eine verwaltete Domäne von Microsoft Entra Domain Services zu erstellen und zu konfigurieren.
- Eine Windows Server-Verwaltungs-VM, die der verwalteten Domäne der Domänendienste beigetreten ist.
- Führen Sie bei Bedarf das Lernprogramm zum Erstellen einer Verwaltungs-VM aus.
- Ein Benutzerkonto, das Mitglied der Microsoft Entra DC-Administratorgruppe in Ihrem Microsoft Entra-Mandanten ist.
Benutzerdefinierte OU: Überlegungen und Einschränkungen
Wenn Sie benutzerdefinierte OUs in einer verwalteten Domäne erstellen, erhalten Sie zusätzliche Verwaltungsflexibilität für die Benutzerverwaltung und das Anwenden von Gruppenrichtlinien. Im Vergleich zu einer lokalen AD DS-Umgebung gibt es einige Einschränkungen und Überlegungen beim Erstellen und Verwalten einer benutzerdefinierten OU-Struktur in einer verwalteten Domäne:
- Um benutzerdefinierte OUs zu erstellen, müssen Benutzer Mitglied der Gruppe "AAD DC-Administratoren " sein.
- Ein Benutzer, der eine benutzerdefinierte OU erstellt, erhält Administratorrechte (vollzugriff) über diese OU und ist der Ressourcenbesitzer.
- Standardmäßig verfügt die Gruppe "AAD DC-Administratoren" auch über Vollzugriff auf die benutzerdefinierte OU.
- Eine Standard-OU für AADDC-Benutzer wird erstellt, die alle synchronisierten Benutzerkonten aus Ihrem Microsoft Entra-Mandanten enthält.
- Sie können Benutzer oder Gruppen nicht aus der Organisationseinheit "AADDC-Benutzer " in benutzerdefinierte OUs verschieben, die Sie erstellen. Nur Benutzerkonten oder Ressourcen, die in der verwalteten Domäne erstellt wurden, können in benutzerdefinierte OUs verschoben werden.
- Benutzerkonten, Gruppen, Dienstkonten und Computerobjekte, die Sie unter benutzerdefinierten OUs erstellen, sind in Ihrem Microsoft Entra-Mandanten nicht verfügbar.
- Diese Objekte werden nicht mit der Microsoft Graph-API oder in der Microsoft Entra-Benutzeroberfläche angezeigt. sie sind nur in Ihrer verwalteten Domäne verfügbar.
Erstellen einer benutzerdefinierten OU
Zum Erstellen einer benutzerdefinierten OU verwenden Sie die Active Directory-Verwaltungstools von einer in eine Domäne eingebundenen VM. Mit dem Active Directory-Verwaltungscenter können Sie Ressourcen in einer verwalteten Domäne anzeigen, bearbeiten und erstellen, einschließlich OUs.
Hinweis
Um eine benutzerdefinierte OU in einer verwalteten Domäne zu erstellen, müssen Sie bei einem Benutzerkonto angemeldet sein, das Mitglied der Gruppe "AAD DC-Administratoren " ist.
Melden Sie sich bei Ihrer Verwaltungs-VM an. Schritte zum Herstellen einer Verbindung mit dem Microsoft Entra Admin Center finden Sie unter Herstellen einer Verbindung mit einer Windows Server-VM.
Wählen Sie auf dem Startbildschirm " Verwaltungstools" aus. Es wird eine Liste der verfügbaren Verwaltungstools angezeigt, die im Lernprogramm zum Erstellen einer Verwaltungs-VM installiert wurden.
Um OUs zu erstellen und zu verwalten, wählen Sie das Active Directory-Verwaltungscenter aus der Liste der Verwaltungstools aus.
Wählen Sie im linken Bereich Ihre verwaltete Domäne aus, z. B. aaddscontoso.com. Es wird eine Liste vorhandener OUs und Ressourcen angezeigt:
Der Aufgabenbereich wird auf der rechten Seite des Active Directory-Verwaltungscenters angezeigt. Wählen Sie unter der Domäne, z. B. aaddscontoso.com, "Neue Organisationseinheit" >aus.
Geben Sie im Dialogfeld " Organisationseinheit erstellen " einen Namen für die neue OE an, z. B. "MyCustomOu". Geben Sie eine kurze Beschreibung für die OU an, z. B. benutzerdefinierte OU für Dienstkonten. Bei Bedarf können Sie auch das Feld Verwaltet von für die OU festlegen. Um die benutzerdefinierte OU zu erstellen, wählen Sie "OK" aus.
Zurück im Active Directory-Verwaltungscenter wird die benutzerdefinierte OU jetzt aufgeführt und steht zur Verwendung zur Verfügung:
Nächste Schritte
Weitere Informationen zur Verwendung der Verwaltungstools oder zum Erstellen und Verwenden von Dienstkonten finden Sie in den folgenden Artikeln: