Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Microsoft Entra Domain Services fornece serviços de domínio gerenciado, como ingresso no domínio, política de grupo, LDAP e autenticação Kerberos/NTLM totalmente compatível com o Active Directory do Windows Server. Você administra esse domínio gerenciado usando as mesmas RSAT (Ferramentas de Administração de Servidor Remoto) que com um domínio local do Active Directory Domain Services. Como os Serviços de Domínio são um serviço gerenciado, há algumas tarefas administrativas que você não pode executar, como usar o PROTOCOLO RDP (protocolo de área de trabalho remota) para se conectar aos controladores de domínio.
Este tutorial mostra como configurar uma VM do Windows Server no Azure e instalar as ferramentas necessárias para administrar um domínio gerenciado dos Serviços de Domínio.
Neste tutorial, você aprenderá como:
- Entender as tarefas administrativas disponíveis em um domínio gerenciado
- Instalar as ferramentas administrativas do Active Directory em uma VM do Windows Server
- Usar o Centro Administrativo do Active Directory para executar tarefas comuns
Se você não tiver uma assinatura do Azure, crie uma conta antes de começar.
Pré-requisitos
Para concluir este tutorial, você precisa dos seguintes recursos e privilégios:
- Uma assinatura ativa do Azure.
- Se você não tiver uma assinatura do Azure, crie uma conta.
- Um tenant do Microsoft Entra associado à sua assinatura, sincronizado com um diretório local ou um diretório somente na nuvem.
- Se necessário, crie um tenant do Microsoft Entra ou associe uma assinatura do Azure à sua conta.
- Um domínio gerenciado dos Microsoft Entra Domain Services habilitado e configurado no seu ambiente Microsoft Entra.
- Se necessário, consulte o primeiro tutorial para criar e configurar um domínio gerenciado do Microsoft Entra Domain Services.
- Uma máquina virtual do Windows Server associada ao domínio gerenciado.
- Se necessário, consulte o tutorial anterior para criar uma VM do Windows Server e ingressá-la em um domínio gerenciado.
- Uma conta de usuário que é membro do grupo de administradores do Microsoft Entra DC em seu tenant do Microsoft Entra.
- Um host do Azure Bastion implantado em sua rede virtual dos Serviços de Domínio.
- Se necessário, crie um host do Azure Bastion.
Entrar no Centro de administração do Microsoft Entra
Neste tutorial, você criará e configurará uma VM de gerenciamento usando o Centro de administração do Microsoft Entra. Para começar, primeiro entre no Centro de administração do Microsoft Entra.
Tarefas administrativas disponíveis nos Serviços de Domínio
Os Serviços de Domínio fornecem um domínio gerenciado para os usuários, aplicativos e serviços consumirem. Essa abordagem altera algumas das tarefas de gerenciamento disponíveis que você pode fazer e quais privilégios você tem dentro do domínio gerenciado. Essas tarefas e permissões podem ser diferentes do que você experimenta com um ambiente regular do Active Directory Domain Services local. Você também não pode se conectar a controladores de domínio no domínio gerenciado usando a Área de Trabalho Remota.
Tarefas administrativas que você pode executar em um domínio gerenciado
Os membros do grupo administradores do AAD DC recebem privilégios no domínio gerenciado que lhes permitem realizar tarefas como:
- Configure o GPO (objeto de política de grupo) interno para os computadores AADDC e contêineres de usuários do AADDC no domínio gerenciado.
- Administrar o DNS no domínio gerenciado.
- Crie e administre unidades organizacionais personalizadas (UOs) no domínio gerenciado.
- Obtenha acesso administrativo aos computadores associados ao domínio sob gerenciamento.
Privilégios administrativos que você não tem em um domínio gerenciado
O domínio gerenciado está bloqueado, portanto, você não tem privilégios para realizar determinadas tarefas administrativas no domínio. Alguns dos exemplos a seguir são tarefas que você não pode fazer:
- Estenda o esquema do domínio gerenciado.
- Conecte-se a controladores de domínio para o domínio gerenciado usando a Área de Trabalho Remota.
- Adicione controladores de domínio ao domínio gerenciado.
- Você não tem privilégios de Administrador de Domínio ou Administrador Corporativo para o domínio gerenciado.
Entrar na VM do Windows Server
No tutorial anterior, uma VM do Windows Server foi criada e ingressada no domínio gerenciado. Use essa VM para instalar as ferramentas de gerenciamento. Se necessário, siga as etapas no tutorial para criar e ingressar uma VM do Windows Server em um domínio gerenciado.
Observação
Neste tutorial, você usará uma VM do Windows Server no Azure que está ingressada no domínio gerenciado. Você também pode usar um cliente Windows, como o Windows 10, que está integrado ao domínio gerenciado.
Para obter mais informações sobre como instalar as ferramentas administrativas em um cliente Windows, consulte instalar o RSAT (Remote Server Administration Tools)
Para começar, conecte-se à VM do Windows Server da seguinte maneira:
No centro de administração do Microsoft Entra, selecione Grupos de recursos no lado esquerdo. Escolha o grupo de recursos em que sua VM foi criada, como myResourceGroup, e selecione a VM, como myVM.
No painel Visão geral da VM, selecione Conectar e, em seguida, Bastion.
Insira as credenciais da VM e selecione Conectar.
Se necessário, permita que seu navegador da Web abra pop-ups para que a conexão do Bastion seja exibida. Leva alguns segundos para fazer a conexão com sua VM.
Instalar ferramentas administrativas do Active Directory
Você usa as mesmas ferramentas administrativas em um domínio gerenciado como ambientes locais do AD DS, como o ADAC (Centro Administrativo do Active Directory) ou o AD PowerShell. Essas ferramentas podem ser instaladas como parte do recurso RSAT (Ferramentas de Administração de Servidor Remoto) em computadores cliente e windows server. Os membros do grupo Administradores do AAD DC podem administrar domínios gerenciados remotamente usando essas ferramentas administrativas do AD a partir de um computador que está ingressado no domínio gerenciado.
Para instalar as ferramentas de Administração do Active Directory em uma VM ingressada no domínio, conclua as seguintes etapas:
Se o Gerenciador do Servidor não abrir por padrão quando você entrar na VM, selecione o menu Iniciar e escolha o Gerenciador do Servidor.
No painel Painel da janela Gerenciador do Servidor , selecione Adicionar Funções e Recursos.
Na página Antes de Começar do Assistente para Adicionar Funções e Recursos, selecione Avançar.
Para o Tipo de Instalação, deixe a opção de instalação baseada em função ou de recurso marcada e selecione Avançar.
Na página Seleção do Servidor , escolha a VM atual no pool de servidores, como myvm.aaddscontoso.com e selecione Avançar.
Na página Funções do Servidor , clique em Avançar.
Na página Recursos , expanda o nó Ferramentas de Administração do Servidor Remoto e expanda o nó Ferramentas de Administração de Funções .
Escolha o recurso ferramentas do AD DS e do AD LDS na lista de ferramentas de administração de função e selecione Avançar.
Instale as 'Ferramentas do AD DS e do AD LDS' na página Recursos
Na página Confirmação , selecione Instalar. Pode levar um ou dois minutos para instalar as ferramentas administrativas.
Quando a instalação do recurso for concluída, selecione Fechar para sair do assistente Adicionar Funções e Recursos .
Usar ferramentas administrativas do Active Directory
Com as ferramentas administrativas instaladas, vamos ver como usá-las para administrar o domínio gerenciado. Verifique se você está conectado à VM com uma conta de usuário que seja membro do grupo administradores do AAD DC .
No menu Iniciar , selecione Ferramentas Administrativas do Windows. As ferramentas administrativas do AD instaladas na etapa anterior são listadas.
Selecione o Centro Administrativo do Active Directory.
Para explorar o domínio gerenciado, escolha o nome de domínio no painel esquerdo, como aaddscontoso. Dois contêineres chamados Computadores AADDC e Usuários do AADDC estão na parte superior da lista.
Para ver os usuários e grupos que pertencem ao domínio gerenciado, selecione o contêiner Usuários do AADDC . As contas de usuário e os grupos do locatário do Microsoft Entra estão listados neste contêiner.
Na saída de exemplo a seguir, uma conta de usuário chamada Contoso Admin e um grupo para administradores de DC do AAD são mostrados neste contêiner.
Para ver os computadores ingressados no domínio gerenciado, selecione o contêiner computadores AADDC . Uma entrada para a máquina virtual atual, como myVM, está listada. Contas de computador para todos os dispositivos ingressados no domínio gerenciado são armazenadas neste contêiner Computadores AADDC.
Ações comuns do Centro Administrativo do Active Directory, como redefinir uma senha de conta de usuário ou gerenciar a associação de grupo, estão disponíveis. Essas ações só funcionam para usuários e grupos criados diretamente no domínio gerenciado. As informações de identidade são sincronizadas apenas do Microsoft Entra ID para os Serviços de Domínio. Não há nenhum write-back dos Serviços de Domínio para a ID do Microsoft Entra. Você não pode alterar senhas ou associação de grupo gerenciado para usuários sincronizados da ID do Microsoft Entra e fazer com que essas alterações sejam sincronizadas novamente.
Você também pode usar o Módulo do Active Directory para Windows PowerShell, instalado como parte das ferramentas administrativas, para gerenciar ações comuns em seu domínio gerenciado.
Próximas etapas
Neste tutorial, você aprendeu a:
- Entender as tarefas administrativas disponíveis em um domínio gerenciado
- Instalar as ferramentas administrativas do Active Directory em uma VM do Windows Server
- Usar o Centro Administrativo do Active Directory para executar tarefas comuns
Para interagir com segurança com seu domínio gerenciado de outros aplicativos, habilite o Protocolo LDAPS (Lightweight Directory Access Protocol) seguro.