在 Microsoft Entra 域服务托管域中创建组织单位 (OU)

Active Directory 域服务 (AD DS) 托管的域中的组织单位 (OU) 使你能够对用户帐户、服务帐户或计算机帐户等对象进行逻辑分组。 然后,你可以将管理员分配到特定的 OU,并应用组策略来强制实施目标配置设置。

域服务托管域包括以下两个内置 OU:

  • AADDC 计算机 - 容器包含已加入托管域的所有计算机的计算机对象。
  • AADDC 用户 - 包含从 Microsoft Entra 租户同步的用户和组。

创建和运行使用域服务的工作负载时,可能需要为应用程序创建服务帐户,用于为其进行身份验证。 为了组织这些服务帐户,通常在托管域中创建一个自定义 OU,然后在该 OU 中创建服务帐户。

在混合环境中,在本地 AD DS 环境中创建的 OU 不会与托管域同步。 托管域使用平面 OU 结构。 所有用户帐户和组都存储在“AADDC 用户”容器中,尽管它们是从不同的本地域或林进行同步,即使你在其中配置了分层 OU 结构。

本文说明如何在托管域中创建 OU。

准备阶段

需有以下资源和特权才能完成本文:

自定义 OU 注意事项和限制

在托管域中创建自定义 OU 时,在用户管理和组策略应用方面可以获得额外的管理上的灵活性。 与本地 AD DS 环境相比,在托管域中创建和管理自定义 OU 结构时存在一些限制和注意事项:

  • 若要创建自定义 OU,用户必须是“AAD DC 管理员”组的成员。
  • 创建自定义 OU 的用户会获得对该 OU 的管理权限(完全控制),并且是资源所有者。
    • 默认情况下,AAD DC 管理员组也能充分控制自定义 OU。
  • 将为 AADDC 用户创建默认 OU,其中包含 Microsoft Entra 租户中所有已同步的用户帐户。
    • 无法将用户或组从“AADDC 用户”OU 移到创建的自定义 OU。 只有在托管域中创建的用户帐户或资源才能移动到自定义 OU 中。
  • 在自定义 OU 下创建的用户帐户、组、服务帐户和计算机对象无法在 Microsoft Entra 租户中使用。
    • 这些对象不会在使用 Microsoft Graph API 时或在 Microsoft Entra UI 中显示;它们仅在托管域中可用。

创建自定义 OU

若要创建自定义 OU,应使用已加入域的 VM 中的 Active Directory 管理工具。 在 Active Directory 管理中心可查看、编辑和创建托管域(包括 OU)中的资源。

注意

若要在托管域中创建自定义 OU,需要使用 AAD DC 管理员组成员的用户帐户进行登录。

  1. 登录到管理 VM。 有关如何使用 Microsoft Entra 管理中心进行连接的步骤,请参阅连接到 Windows Server VM

  2. 在“开始”屏幕中选择“管理工具”。 其中显示了可用管理工具列表,这些工具是在教程创建管理 VM 中安装的。

  3. 若要创建和管理 OU,请从管理工具列表中选择“Active Directory 管理中心”。

  4. 在左窗格中,选择托管域,例如 aaddscontoso.com。 现有 OU 和资源列表如下所示:

    在 Active Directory 管理中心中选择你的托管域

  5. “任务”窗格显示在 Active Directory 管理中心的右侧。 在域下(如 aaddscontoso.com),选择“新建”>“组织单位”。

    选择在 Active Directory 管理中心中创建新 OU 的选项

  6. 在“创建组织单位”对话框中,指定新 OU 的名称(例如 MyCustomOu)。 提供 OU 的简短描述,例如“服务帐户的自定义 OU”。 如果需要,还可以为 OU 设置“管理方”字段。 若要创建自定义 OU,请选择“确定”。

    从 Active Directory 管理中心创建自定义 OU

  7. 返回 Active Directory 管理中心,自定义 OU 现已列出并可供使用:

    可在 Active Directory 管理中心使用的自定义 OU

后续步骤

有关如何使用管理工具或创建和使用服务帐户的详细信息,请参阅以下文章: