Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
As OUs (unidades organizacionais) em um domínio gerenciado do AD DS (Active Directory Domain Services) permitem agrupar objetos logicamente, como contas de usuário, contas de serviço ou contas de computador. Em seguida, você pode atribuir administradores a UOs específicas e aplicar a política de grupo para impor as configurações de destino.
Os domínios gerenciados dos Serviços de Domínio incluem as duas OUs integradas a seguir:
- Computadores AADDC – contém objetos de computador para todos os computadores ingressados no domínio gerenciado.
- Usuários do AADDC – inclui usuários e grupos sincronizados do locatário do Microsoft Entra.
À medida que você cria e executa cargas de trabalho que usam os Serviços de Domínio, talvez seja necessário criar contas de serviço para que os aplicativos se autentiquem. Para organizar essas contas de serviço, você geralmente cria uma UO personalizada no domínio gerenciado e, em seguida, cria contas de serviço dentro dessa UO.
Em um ambiente híbrido, as OUs criadas em um ambiente do AD DS local não são sincronizadas com o domínio gerenciado. Os domínios gerenciados usam uma estrutura de UO simples. Todas as contas de usuário e grupos são armazenadas no contêiner Usuários do AADDC, apesar de serem sincronizadas de diferentes domínios ou florestas locais, mesmo que você tenha configurado uma estrutura hierárquica de OU lá.
Este artigo mostra como criar uma UO em seu domínio gerenciado.
Antes de começar
Para concluir este artigo, você precisará dos seguintes recursos e privilégios:
- Uma assinatura ativa do Azure.
- Se você não tiver uma assinatura do Azure, crie uma conta.
- Um tenant do Microsoft Entra associado à sua assinatura, sincronizado com um diretório local ou um diretório somente na nuvem.
- Se necessário, crie um tenant do Microsoft Entra ou associe uma assinatura do Azure à sua conta.
- Um domínio gerenciado do Microsoft Entra Domain Services habilitado e configurado em seu locatário do Microsoft Entra.
- Se necessário, conclua o tutorial para criar e configurar um domínio gerenciado do Microsoft Entra Domain Services.
- Uma VM de gerenciamento do Windows Server que está ingressada no domínio gerenciado dos Serviços de Domínio do Active Directory.
- Se necessário, conclua o tutorial para criar uma VM de gerenciamento.
- Uma conta de usuário que é membro do grupo administradores do Microsoft Entra DC em seu tenant do Microsoft Entra.
Considerações e limitações personalizadas da UO
Ao criar UOs personalizadas em um domínio gerenciado, você obtém flexibilidade de gerenciamento adicional para o gerenciamento de usuários e a aplicação da política de grupo. Em comparação com um ambiente do AD DS local, há algumas limitações e considerações ao criar e gerenciar uma estrutura de UO personalizada em um domínio gerenciado:
- Para criar UOs personalizadas, os usuários devem ser membros do grupo administradores do AAD DC .
- Um usuário que cria uma UO personalizada recebe privilégios administrativos (controle total) sobre essa UO e é o proprietário do recurso.
- Por padrão, o grupo administradores do AAD DC também tem controle total da UO personalizada.
- Uma UO padrão para usuários do AADDC é criada que contém todas as contas de usuário sincronizadas do locatário do Microsoft Entra.
- Você não pode mover usuários ou grupos da UO de Usuários do AADDC para OUs personalizadas que você cria. Somente contas de usuário ou recursos criados no domínio gerenciado podem ser movidos para UOs personalizadas.
- Contas de usuário, grupos, contas de serviço e objetos de computador que você cria em OUs personalizadas não estão disponíveis no locatário do Microsoft Entra.
- Esses objetos não aparecem usando a API do Microsoft Graph ou na interface do usuário do Microsoft Entra; eles só estão disponíveis em seu domínio gerenciado.
Criar uma UO personalizada
Para criar uma UO personalizada, use as Ferramentas Administrativas do Active Directory de uma VM ingressada no domínio. O Centro Administrativo do Active Directory permite exibir, editar e criar recursos em um domínio gerenciado, incluindo UOs.
Observação
Para criar uma UO personalizada em um domínio gerenciado, você deve estar conectado a uma conta de usuário que seja membro do grupo administradores do AAD DC .
Entre na VM de gerenciamento. Para obter etapas sobre como se conectar usando o Centro de administração do Microsoft Entra, consulte Conectar-se a uma VM do Windows Server.
Na tela Inicial, selecione Ferramentas Administrativas. Uma lista de ferramentas de gerenciamento disponíveis é mostrada que foram instaladas no tutorial para criar uma VM de gerenciamento.
Para criar e gerenciar UOs, selecione o Centro Administrativo do Active Directory na lista de ferramentas administrativas.
No painel esquerdo, escolha seu domínio gerenciado, como aaddscontoso.com. Uma lista de UOs e recursos existentes é mostrada:
O painel Tarefas é mostrado no lado direito do Centro Administrativo do Active Directory. No domínio, como aaddscontoso.com, selecione Nova > Unidade Organizacional.
Na caixa de diálogo Criar Unidade Organizacional , especifique um nome para a nova UO, como MyCustomOu. Forneça uma breve descrição para a OU, como OU personalizado para contas de serviço. Se desejado, você também pode definir o campo Gerenciado por para a UO. Para criar a UO personalizada, selecione OK.
Ao voltar ao Centro Administrativo do Active Directory, a OU personalizada agora está listada e disponível para uso.
Próximas etapas
Para obter mais informações sobre como usar as ferramentas administrativas ou criar e usar contas de serviço, consulte os seguintes artigos: