教程:创建管理 VM 以配置和管理 Microsoft Entra 域服务托管域

  • 项目

Microsoft Entra 域服务提供与 Windows Server Active Directory 完全兼容的托管域服务,例如域加入、组策略、LDAP 和 Kerberos/NTLM 身份验证。 可以使用对本地 Active Directory 域服务域所用的相同远程服务器管理工具 (RSAT) 来管理此托管域。 由于域服务是一种托管服务,因此无法执行一些管理任务,例如,使用远程桌面协议 (RDP) 连接到域控制器。

本教程介绍如何在 Azure 中配置 Windows Server VM,并安装所需的工具来管理域服务托管域。

本教程介绍如何执行下列操作:

  • 了解可在托管域中执行的管理任务
  • 在 Windows Server VM 上安装 Active Directory 管理工具
  • 使用 Active Directory 管理中心执行常见任务

如果还没有 Azure 订阅,可以在开始前创建一个帐户

先决条件

需有以下资源和特权才能完成本教程:

登录 Microsoft Entra 管理中心

在本教程中,你将使用 Microsoft Entra 管理中心创建和配置一个管理 VM。 要开始操作,请先登录到 Microsoft Entra 管理中心

域服务中的可用管理任务

域服务提供了用户、应用程序和服务可以使用的托管域。 这种方法改变了可以执行的某些管理任务,以及你在托管域中拥有的特权。 这些任务和权限可能与普通本地 Active Directory 域服务环境中的体验不同。 此外,无法使用远程桌面连接到托管域上的域控制器。

可以在托管域上执行的管理任务

“AAD DC 管理员”组的成员被授予托管域上的相应权限,可以执行以下任务:

  • 配置托管域中“AADDC 计算机”和“AADDC 用户”容器的内置组策略对象 (GPO)。
  • 管理托管域上的 DNS。
  • 创建和管理托管域上的自定义组织单位 (OU)。
  • 获取对已加入托管域的计算机的管理访问权限。

在托管域上不拥有的管理特权

托管域处于锁定状态,因此你不拥有在该域上执行某些管理任务的特权。 下面是无法执行的任务示例:

  • 扩展托管域的架构。
  • 使用远程桌面连接到托管域的域控制器。
  • 将域控制器添加到托管域。
  • 你不拥有托管域的“域管理员”或“企业管理员”特权。

登录到 Windows Server VM

上一篇教程已创建一个 Windows Server VM 并将其加入托管域。 使用该 VM 安装管理工具。 如果需要,请遵循该教程中的步骤创建 Windows Server VM 并将其加入托管域

注意

在本教程中,你将使用 Azure 中已加入托管域的 Windows Server VM。 也可以使用已加入托管域的 Windows 客户端,例如 Windows 10。

有关如何在 Windows 客户端上安装管理工具的详细信息,请参阅安装远程服务器管理工具 (RSAT)

若要开始,请按如下所述连接到该 Windows Server VM:

  1. 在 Microsoft Entra 管理中心内,选择左侧的“资源组”。 选择在其中创建了该 VM 的资源组(例如 myResourceGroup),然后选择该 VM(例如 myVM)。

  2. 在 VM 的“概览”窗格中选择“连接”,然后选择“Bastion”。

    Connect to Windows virtual machine using Bastion in the Microsoft Entra admin center

  3. 输入 VM 的凭据,然后选择“连接”。

    Connect through the Bastion host in the Microsoft Entra admin center

在需要的情况下,允许 Web 浏览器打开要显示的 Bastion 连接的弹出窗口。 连接到 VM 需要几秒钟的时间。

安装 Active Directory 管理工具

在托管域中使用与本地 AD DS 环境中相同的管理工具,如 Active Directory 管理中心 (ADAC) 或 AD PowerShell。 可将这些工具作为远程服务器管理工具 (RSAT) 功能的一部分安装到 Windows Server 和客户端计算机上。 然后,“AAD DC 管理员”组的成员可以在已加入托管域的计算机中使用这些 AD 管理工具来远程管理托管域。

若要在已加入域的 VM 上安装 Active Directory 管理工具,请完成以下步骤:

  1. 如果在登录 VM 时服务器管理器默认情况下未打开,请选择“开始”菜单,然后选择“服务器管理器”。

  2. 在“服务器管理器”窗口的“仪表板”窗格中,选择“添加角色和功能”。

  3. 在“添加角色和功能向导”的“准备工作”页上,选择“下一步”。

  4. 对于“安装类型”,请保留选中“基于角色或基于功能的安装”选项,然后选择“下一步”。

  5. 在“服务器选择”页上,从服务器池中选择当前的 VM(例如 myvm.aaddscontoso.com),然后选择“下一步”。

  6. 在“服务器角色”页上,单击“下一步”。

  7. 在“功能”页上,依次展开“远程服务器管理工具”节点和“角色管理工具”节点。

    从角色管理工具列表中选择“AD DS 和 AD LDS 工具”功能,然后选择“下一步”。

    Install the 'AD DS and AD LDS Tools' from the Features page

  8. 在“确认”页上选择“安装”。 安装管理工具可能需要一两分钟时间。

  9. 功能安装完成后,选择“关闭”退出“添加角色和功能”向导。

使用 Active Directory 管理工具

安装管理工具后,让我们了解如何使用它们来管理托管域。 请确保已使用属于“AAD DC 管理员”组成员的用户帐户登录到 VM。

  1. 从“开始”菜单中选择“Windows 管理工具”。 此时会列出在上一步骤中安装的 AD 管理工具。

    List of Administrative Tools installed on the server

  2. 选择“Active Directory 管理中心”。

  3. 若要浏览托管域,请在左窗格中选择域名,例如 aaddscontoso。 列表顶部显示了名为“AADDC 计算机”和“AADDC 用户”的两个容器。

    List the available containers part of the managed domain

  4. 若要查看属于托管域的用户和组,请选择“AADDC 用户”容器。 来自 Microsoft Entra 租户的用户帐户和组列在此容器中。

    在以下示例输出中,名为 Contoso Admin 的用户帐户和“AAD DC 管理员”组已在此容器中显示 。

    View the list of Domain Services domain users in the Active Directory Administrative Center

  5. 若要查看已加入托管域的计算机,请选择“AADDC 计算机”容器。 此时会列出当前虚拟机的条目,例如 myVM。 已加入托管域的所有设备的计算机帐户存储在此“AADDC 计算机”容器中。

可以执行常见的 Active Directory 管理中心操作,例如重置用户帐户密码,或管理组成员身份。 这些操作仅适用于直接在托管域中创建的用户和组。 标识信息仅 Microsoft Entra ID 同步到域服务。 域服务不会回写到 Microsoft Entra ID。 无法更改从 Microsoft Entra ID 同步的用户的密码或托管组成员身份,并且无法将这些更改同步回来。

还可以使用作为管理工具的一部分安装的“适用于 Windows PowerShell 的 Active Directory 模块”来管理托管域中的常见操作。

后续步骤

在本教程中,你了解了如何执行以下操作:

  • 了解可在托管域中执行的管理任务
  • 在 Windows Server VM 上安装 Active Directory 管理工具
  • 使用 Active Directory 管理中心执行常见任务

若要从其他应用程序与托管域进行安全交互,请启用安全的轻型目录访问协议 (LDAPS)。

为托管域配置安全 LDAP