Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Microsoft Entra Domain Services biedt beheerde domeinservices, zoals domeindeelname, groepsbeleid, LDAP en Kerberos/NTLM-verificatie die volledig compatibel is met Windows Server Active Directory. U beheert dit beheerde domein met dezelfde REMOTE Server Administration Tools (RSAT) als met een on-premises Active Directory Domain Services-domein. Aangezien Domain Services een beheerde service is, zijn er enkele beheertaken die u niet kunt uitvoeren, zoals het gebruik van remote desktop protocol (RDP) om verbinding te maken met de domeincontrollers.
In deze zelfstudie leert u hoe u een Virtuele Windows Server-machine in Azure configureert en de vereiste hulpprogramma's installeert om een door Domain Services beheerd domein te beheren.
In deze zelfstudie leert u het volgende:
- Inzicht in de beschikbare beheertaken in een beheerd domein
- De Active Directory-beheerprogramma's installeren op een Windows Server-VM
- Het Active Directory-beheercentrum gebruiken om algemene taken uit te voeren
Als u geen Azure-abonnement hebt, maakt u een account aan voordat u begint.
Voorwaarden
U hebt de volgende resources en bevoegdheden nodig om deze zelfstudie te voltooien:
- Een actief Azure-abonnement.
- Als u geen Azure-abonnement hebt, maak dan een account aan.
- Een Microsoft Entra-tenant die is gekoppeld aan uw abonnement, gesynchroniseerd met een on-premises directory of een alleen-in-de-cloud directory.
- Een door Microsoft Entra Domain Services beheerd domein ingeschakeld en geconfigureerd in uw Microsoft Entra-tenant.
- Zie indien nodig de eerste zelfstudie voor het maken en configureren van een door Microsoft Entra Domain Services beheerd domein.
- Een Windows Server-VM die is gekoppeld aan het beheerde domein.
- Zie indien nodig de vorige zelfstudie om een Virtuele Windows Server-machine te maken en deze toe te voegen aan een beheerd domein.
- Een gebruikersaccount dat lid is van de Microsoft Entra DC-beheerders groep in uw Microsoft Entra-tenant.
- Een Azure Bastion-host die is geïmplementeerd in uw virtuele Domain Services-netwerk.
- Indien nodig een Azure Bastion-host maken.
Meld u aan bij het Microsoft Entra-beheercentrum
In deze zelfstudie maakt en configureert u een beheer-VM met behulp van het Microsoft Entra-beheercentrum. Meld u eerst aan bij het Microsoft Entra-beheercentrumom aan de slag te gaan.
Beschikbare beheertaken in Domain Services
Domain Services biedt een beheerd domein voor uw gebruikers, toepassingen en services die u kunt gebruiken. Deze aanpak wijzigt enkele van de beschikbare beheertaken die u kunt uitvoeren en welke bevoegdheden u hebt binnen het beheerde domein. Deze taken en machtigingen kunnen afwijken van wat u ervaart met een reguliere on-premises Active Directory Domain Services-omgeving. U kunt ook geen verbinding maken met domeincontrollers in het beheerde domein via Extern bureaublad.
Beheertaken die u kunt uitvoeren op een beheerd domein
Leden van de AAD DC-beheerders groep krijgen bevoegdheden voor het beheerde domein waarmee ze taken kunnen uitvoeren, zoals:
- Configureer het ingebouwde groepsbeleidsobject (GPO) voor de AADDC-computers en AADDC-gebruikers containers in het beheerde domein.
- DNS beheren in het beheerde domein.
- Aangepaste organisatie-eenheden (OE's) maken en beheren in het beheerde domein.
- Krijg beheerderstoegang tot computers die zijn gekoppeld aan het beheerde domein.
Beheerdersbevoegdheden die u niet hebt voor een beheerd domein
Het beheerde domein is vergrendeld, zodat u geen bevoegdheden hebt om bepaalde beheertaken in het domein uit te voeren. Enkele van de volgende voorbeelden zijn taken die u niet kunt uitvoeren:
- Breid het schema van het beheerde domein uit.
- Maak verbinding met domeincontrollers voor het beheerde domein met behulp van Extern bureaublad.
- Voeg domeincontrollers toe aan het beheerde domein.
- U hebt geen domeinbeheerder of Ondernemingsbeheerder bevoegdheden voor het beheerde domein.
Aanmelden bij de Windows Server-VM
In de vorige zelfstudie is een Virtuele Windows Server-machine gemaakt en toegevoegd aan het beheerde domein. Gebruik die VM om de beheerhulpprogramma's te installeren. Volg indien nodig de stappen in de handleiding om een Windows Server-VM te maken en te verbinden met een beheerd domein.
Notitie
In deze zelfstudie gebruikt u een Windows Server-VM in Azure die is gekoppeld aan het beheerde domein. U kunt ook een Windows-client, zoals Windows 10, gebruiken die is gekoppeld aan het beheerde domein.
Zie Remote Server Administration Tools (RSAT) installeren voor meer informatie over het installeren van de beheerprogramma's op een Windows-client
Maak als volgt verbinding met de Virtuele Windows Server-machine om aan de slag te gaan:
Selecteer in het Microsoft Entra-beheercentrum Resourcegroepen aan de linkerkant. Kies de resourcegroep waarin uw VIRTUELE machine is gemaakt, zoals myResourceGroupen selecteer vervolgens de virtuele machine, zoals myVM-.
Selecteer in het deelvenster Overzicht van uw virtuele machine Verbindenen vervolgens Bastion.
Voer de aanmeldgegevens voor uw virtuele machine in en selecteer vervolgens Verbinding maken.
Laat uw webbrowser indien nodig pop-ups openen om de Bastion-verbinding weer te geven. Het duurt enkele seconden om verbinding te maken met uw VIRTUELE machine.
Active Directory-beheerprogramma's installeren
U gebruikt dezelfde beheerhulpprogramma's in een beheerd domein als on-premises AD DS-omgevingen, zoals het Active Directory-beheercentrum (ADAC) of AD PowerShell. Deze hulpprogramma's kunnen worden geïnstalleerd als onderdeel van de RSAT-functie (Remote Server Administration Tools) op Windows Server en clientcomputers. Leden van de AAD DC-beheerders groep kunnen vervolgens beheerde domeinen extern beheren met behulp van deze AD-beheerprogramma's vanaf een computer die is gekoppeld aan het beheerde domein.
Voer de volgende stappen uit om de Active Directory-beheerprogramma's te installeren op een vm die lid is van een domein:
Als Serverbeheer niet standaard wordt geopend wanneer u zich aanmeldt bij de virtuele machine, selecteert u het menu Start en kiest u vervolgens Serverbeheer.
Selecteer in het Dashboard deelvenster van het Serverbeheer venster de optie Rollen en functies toevoegen.
Selecteer op de pagina Voordat u begint van de wizard Rollen en Functies toevoegen de optie Volgende.
Laat voor het installatietypede optie rolgebaseerde of functiegebaseerde installatie ingeschakeld en selecteer Volgende.
Kies op de pagina Serverselectie de huidige VM uit de server pool, zoals bijvoorbeeld myvm.aaddscontoso.com, en selecteer daarna Volgende.
Klik op de pagina Serverfuncties op Volgende.
Vouw op de pagina Onderdelen het knooppunt Remote Server Administration Tools uit en vouw vervolgens het knooppunt Hulpprogramma's voor functiebeheer uit.
Kies AD DS- en AD LDS-tools functie uit de lijst met rolbeheerhulpmiddelen en selecteer vervolgens Volgende.
Selecteer op de pagina Bevestiging de optie installeren. Het kan een paar minuten duren voordat de beheerprogramma's zijn geïnstalleerd.
Wanneer de installatie van de functie is voltooid, selecteert u sluiten om de wizard Functies en onderdelen toevoegen af te sluiten.
Active Directory-beheerprogramma's gebruiken
Nu de beheerprogramma's zijn geïnstalleerd, gaan we kijken hoe u deze kunt gebruiken om het beheerde domein te beheren. Zorg ervoor dat u bent aangemeld bij de VIRTUELE machine met een gebruikersaccount dat lid is van de AAD DC-beheerders groep.
Selecteer in het Start-menu Windows Beheerhulpmiddelen. De AD-beheerhulpprogramma's die in de vorige stap zijn geïnstalleerd, worden vermeld.
Selecteer Active Directory-beheercentrum.
Als u het beheerde domein wilt verkennen, kiest u de domeinnaam in het linkerdeelvenster, zoals aaddscontoso. Twee containers met de naam AADDC-computers en AADDC-gebruikers boven aan de lijst staan.
Als u de gebruikers en groepen wilt zien die deel uitmaken van het beheerde domein, selecteert u de AADDC-gebruikers container. De gebruikersaccounts en -groepen van uw Microsoft Entra-tenant worden vermeld in deze container.
In de volgende voorbeelduitvoer worden een gebruikersaccount met de naam Contoso Admin en een groep voor AAD DC-beheerders weergegeven in deze container.
Als u de computers wilt zien die zijn gekoppeld aan het beheerde domein, selecteert u de AADDC-computers container. Er wordt een vermelding weergegeven voor de huidige virtuele machine, zoals myVM. Computeraccounts voor alle apparaten die zijn gekoppeld aan het beheerde domein, worden opgeslagen in deze AADDC-computers container.
Veelvoorkomende Active Directory-beheercentrumacties, zoals het opnieuw instellen van een wachtwoord voor een gebruikersaccount of het beheren van groepslidmaatschap, zijn beschikbaar. Deze acties werken alleen voor gebruikers en groepen die rechtstreeks in het beheerde domein zijn gemaakt. Identiteitsgegevens synchroniseren alleen van Microsoft Entra-id naar Domain Services. Er is geen write-back van Domain Services naar Microsoft Entra-id. U kunt geen wachtwoorden of het beheerde groepslidmaatschap wijzigen voor gebruikers die zijn gesynchroniseerd vanuit Microsoft Entra-id en deze wijzigingen terug laten synchroniseren.
U kunt ook de Active Directory-module voor Windows PowerShell, geïnstalleerd als onderdeel van de beheerhulpprogramma's, gebruiken om algemene acties in uw beheerde domein te beheren.
Volgende stappen
In deze zelfstudie hebt u het volgende geleerd:
- Inzicht in de beschikbare beheertaken in een beheerd domein
- De Active Directory-beheerprogramma's installeren op een Windows Server-VM
- Het Active Directory-beheercentrum gebruiken om algemene taken uit te voeren
Schakel Secure Lightweight Directory Access Protocol (LDAPS) in om veilig te communiceren met uw beheerde domein vanuit andere toepassingen.