Tutorial: Creación de una máquina virtual de administración para configurar y administrar un dominio administrado de Microsoft Entra Domain Services

Microsoft Entra Domain Services proporciona servicios de dominio administrados, como la unión a un dominio, la directiva de grupo, LDAP y la autenticación Kerberos/NTLM que es totalmente compatible con Windows Server Active Directory. Este dominio administrado se administra con las mismas herramientas de administración remota del servidor (RSAT) que con un dominio local de Active Directory Domain Services. Como Domain Services es un servicio administrado, hay algunas tareas administrativas que no se pueden realizar, como el uso del protocolo de escritorio remoto (RDP) para conectarse a los controladores de dominio.

En este tutorial se muestra cómo configurar una máquina virtual Windows Server en Azure e instalar las herramientas necesarias para administrar un dominio administrado de Domain Services.

En este tutorial, aprenderá a:

Si no tiene una suscripción de Azure, cree una cuenta antes de comenzar.

Prerrequisitos

Para completar este tutorial, necesitará los siguientes recursos y privilegios:

• Una suscripción de Azure activa.
  • Si no tiene una suscripción a Azure, cree una cuenta.
• Un tenant de Microsoft Entra asociado a su suscripción, ya sea sincronizado con un directorio local o un directorio en la nube exclusivamente.
  • Si es necesario, cree un inquilino de Microsoft Entra o asocie una suscripción de Azure a su cuenta.
• Un dominio administrado de Microsoft Entra Domain Services habilitado y configurado en el inquilino de Microsoft Entra.
  • Si es necesario, consulte el primer tutorial para crear y configurar un dominio administrado de Microsoft Entra Domain Services.
• Una máquina virtual de Windows Server que está unida al dominio administrado.
  • Si es necesario, consulte el tutorial anterior para crear una máquina virtual Windows Server y unirla a un dominio administrado.
• Una cuenta de usuario miembro del grupo administradores de DC de Microsoft Entra en la entidad de Microsoft Entra.
• Un host de Azure Bastion implementado en la red virtual de Domain Services.
  • Si es necesario, cree un host de Azure Bastion.

Iniciar sesión en el Centro de administración de Microsoft Entra

En este tutorial, creará y configurará una máquina virtual de administración mediante el Centro de administración de Microsoft Entra. Para empezar, inicie sesión primero en el Centro de administración de Microsoft Entra.

Tareas administrativas disponibles en Domain Services

Servicios de Dominio proporciona un dominio administrado para que los usuarios, las aplicaciones y los servicios lo utilicen. Este enfoque cambia algunas de las tareas de administración disponibles que puede hacer y qué privilegios tiene en el dominio administrado. Estas tareas y permisos pueden ser diferentes de lo que experimenta con un entorno de Active Directory Domain Services local normal. Tampoco puede conectarse a controladores de dominio en el dominio administrado mediante Escritorio remoto.

Tareas administrativas que puede realizar en un dominio administrado

A los miembros del grupo AAD DC Administrators se les conceden privilegios en el dominio administrado que les permiten realizar tareas como:

• Configure el objeto de directiva de grupo integrado (GPO) para los contenedores equipos de AADDC y usuarios de AADDC en el dominio administrado.
• Administrar DNS en el dominio administrado.
• Cree y administre unidades organizativas (UO) personalizadas en el dominio administrado.
• Obtenga acceso administrativo a los equipos unidos al dominio administrado.

Privilegios administrativos que no tiene en un dominio administrado

El dominio administrado está bloqueado, por lo que no tiene privilegios para realizar determinadas tareas administrativas en el dominio. Algunos de los ejemplos siguientes son tareas que no se pueden realizar:

• Amplíe el esquema del dominio administrado.
• Conéctese a controladores de dominio para el dominio administrado mediante Escritorio remoto.
• Agregue controladores de dominio al dominio administrado.
• No tiene privilegios de administrador de dominio ni de administrador de empresa para el dominio administrado.

Inicio de sesión en la máquina virtual con Windows Server

En el tutorial anterior, se creó una máquina virtual con Windows Server y se unió al dominio administrado. Use esa máquina virtual para instalar las herramientas de administración. Si es necesario, siga los pasos del tutorial para crear y unir una máquina virtual de Windows Server a un dominio administrado.

Para empezar, conéctese a la máquina virtual con Windows Server de la siguiente manera:

1. En el Centro de administración de Microsoft Entra, seleccione Grupos de recursos en el lado izquierdo. Elija el grupo de recursos en el que se creó la máquina virtual, como myResourceGroup y, a continuación, seleccione la máquina virtual, como myVM.

2. En el panel Información general de la máquina virtual, seleccione Conectar y, a continuación, Bastion.

   

3. Escriba las credenciales de la máquina virtual y seleccione Conectar.

   

Si es necesario, permita que el explorador web abra elementos emergentes para que se muestre la conexión de Bastion. La conexión a la máquina virtual tarda unos segundos.

Instalación de herramientas administrativas de Active Directory

Usas las mismas herramientas administrativas en un dominio administrado que en entornos de AD DS locales, como el Centro de administración de Active Directory (ADAC) o PowerShell de AD. Estas herramientas se pueden instalar como parte de la característica Herramientas de administración remota del servidor (RSAT) en equipos cliente y Windows Server. Los miembros del grupo Administradores de controlador de dominio de AAD pueden administrar dominios administrados de forma remota mediante estas herramientas administrativas de AD desde un equipo unido al dominio administrado.

Para instalar las herramientas de administración de Active Directory en una máquina virtual unida a un dominio, complete los pasos siguientes:

1. Si el Administrador del servidor no se abre de forma predeterminada al iniciar sesión en la máquina virtual, seleccione el menú Inicio y elija Administrador del servidor.

2. En el panel Panel de la ventana Administrador del servidor , seleccione Agregar roles y características.

3. En la página Antes de comenzar del Asistente para agregar roles y características, seleccione Siguiente.

4. En Tipo de instalación, deje activada la opción Instalación basada en roles o basada en características y seleccione Siguiente.

5. En la página Selección de servidor, elija la máquina virtual actual del grupo de servidores, como myvm.aaddscontoso.com y, a continuación, seleccione Siguiente.

6. En la página Roles de servidor , haga clic en Siguiente.

7. En la página Características , expanda el nodo Herramientas de administración remota del servidor y, a continuación, expanda el nodo Herramientas de administración de roles.

   Elija la característica Herramientas de AD DS y AD LDS en la lista de herramientas de administración de roles y, a continuación, seleccione Siguiente.

   

8. En la página Confirmación , seleccione Instalar. Las herramientas administrativas pueden tardar un minuto o dos en instalarse.

9. Una vez completada la instalación de características, seleccione Cerrar para salir del Asistente para agregar roles y características .

Uso de herramientas administrativas de Active Directory

Con las herramientas administrativas instaladas, veamos cómo usarlos para administrar el dominio administrado. Asegúrese de que ha iniciado sesión con una cuenta de usuario que sea miembro del grupo AAD DC Administrators en la VM.

1. En el menú Inicio , seleccione Herramientas administrativas de Windows. Se muestran las herramientas administrativas de AD instaladas en el paso anterior.

   

2. Seleccione Centro de administración de Active Directory.

3. Para explorar el dominio administrado, elija el nombre de dominio en el panel izquierdo, como aaddscontoso. Dos contenedores denominados equipos de AADDC y usuarios de AADDC se encuentran en la parte superior de la lista.

   

4. Para ver los usuarios y grupos que pertenecen al dominio administrado, seleccione el contenedor Usuarios de AADDC . Las cuentas de usuario y los grupos del inquilino de Microsoft Entra se muestran en este contenedor.

   En la salida del ejemplo siguiente, se muestra una cuenta de usuario denominada Contoso Admin y un grupo para administradores de controlador de dominio de AAD en este contenedor.

   

5. Para ver los equipos que están unidos al dominio administrado, seleccione el contenedor Equipos de AADDC . Se muestra una entrada para la máquina virtual actual, como myVM. Las cuentas de equipo de todos los dispositivos unidos al dominio administrado se almacenan en este contenedor de equipos de AADDC .

Hay disponibles acciones comunes del Centro de administración de Active Directory, como restablecer una contraseña de cuenta de usuario o administrar la pertenencia a grupos. Estas acciones solo funcionan para usuarios y grupos creados directamente en el dominio administrado. La información de identidad se sincroniza únicamente desde Microsoft Entra ID a Domain Services. No hay ninguna escritura diferida de Domain Services a Microsoft Entra ID. No puede cambiar las contraseñas ni la pertenencia a grupos administrados para los usuarios sincronizados desde el identificador de Microsoft Entra y hacer que esos cambios se sincronicen de nuevo.

También puede usar el módulo de Active Directory para Windows PowerShell, instalado como parte de las herramientas administrativas, para administrar acciones comunes en el dominio administrado.

Pasos siguientes

En este tutorial, ha aprendido a:

Para interactuar de forma segura con el dominio administrado desde otras aplicaciones, habilite protocolo ligero de acceso a directorios (LDAPS) seguro.