使用 Active Directory 域服务(AD DS)托管域中的组织单位(OU)可以按逻辑方式对用户帐户、服务帐户或计算机帐户等对象进行分组。 然后,可以将管理员分配到特定的 OU,并应用组策略来强制实施目标配置设置。
域服务托管域包括以下两个内置 OU:
- AADDC 计算机 - 容器包含已加入托管域的所有计算机的计算机对象。
- AADDC 用户 - 包含从 Microsoft Entra 租户同步的用户和组。
创建和运行使用域服务的工作负荷时,可能需要创建服务帐户,以便应用程序自行进行身份验证。 若要组织这些服务帐户,通常会在托管域中创建自定义 OU,然后在该 OU 中创建服务帐户。
在混合环境中,在本地 AD DS 环境中创建的 OU 不会同步到托管域。 托管域使用平面 OU 结构。 所有用户帐户和组都存储在“AADDC 用户”容器中,尽管它们是从不同的本地域或林进行同步,即使你在其中配置了分层 OU 结构。
本文介绍如何在托管域中创建 OU。
在您开始之前
若要完成本文,需要以下资源和权限:
- 有效的 Azure 订阅。
- 如果你没有 Azure 订阅,请创建一个帐户。
- 与您的订阅关联的 Microsoft Entra 租户,可以是与本地目录同步的,也可以是仅限于云端的目录。
- 在 Microsoft Entra 租户中启用和配置的 Microsoft Entra 域服务托管域。
- 请根据需要完成创建并配置 Microsoft Entra 域服务托管域的教程。
- 已加入域服务托管域的 Windows Server 管理 VM。
- 如果需要,请完成创建 管理 VM 的教程。
- 属于 Microsoft Entra 租户中“Microsoft Entra DC 管理员”组的用户帐户。
自定义 OU 注意事项和限制
在托管域中创建自定义 OU 时,可获得更多管理灵活性,以便进行用户管理和应用组策略。 与本地 AD DS 环境相比,在托管域中创建和管理自定义 OU 结构时存在一些限制和注意事项:
- 若要创建自定义 OU,用户必须是 AAD DC 管理员 组的成员。
- 创建自定义 OU 的用户被授予对该 OU 的管理权限(完全控制),并且是资源所有者。
- 默认情况下, AAD DC 管理员 组还完全控制自定义 OU。
- 将创建 AADDC 用户 的默认 OU,其中包含Microsoft Entra 租户中的所有同步用户帐户。
- 无法将用户或组从 AADDC 用户 OU 移动到你创建的自定义 OU。 只有在托管域中创建的用户帐户或资源才能移动到自定义 OU 中。
- Microsoft Entra 租户中不提供在自定义 OU 下创建的用户帐户、组、服务帐户和计算机对象。
- 这些对象不会使用 Microsoft 图形 API 或在 Microsoft Entra UI 中显示;它们仅在托管域中可用。
创建自定义 OU
若要创建自定义 OU,请使用已加入域的 VM 中的 Active Directory 管理工具。 Active Directory 管理中心允许在托管域中查看、编辑和创建资源,包括 OU。
注释
若要在托管域中创建自定义 OU,必须登录到属于 AAD DC 管理员 组成员的用户帐户。
登录到管理 VM。 有关如何使用 Microsoft Entra 管理中心进行连接的步骤,请参阅连接到 Windows Server VM。
在“开始”屏幕中选择管理工具。 本教程中显示了用于 创建管理 VM 的可用管理工具列表。
若要创建和管理 OU,请从管理工具列表中选择 Active Directory 管理中心 。
在左窗格中,选择托管域,例如 aaddscontoso.com。 显示了现有 OU 和资源的列表:
“ 任务 ”窗格显示在 Active Directory 管理中心的右侧。 在域(如 aaddscontoso.com)下,选择“ 新建 > 组织单位”。
在 “创建组织单位 ”对话框中,为新 OU 指定 名称 ,例如 MyCustomOu。 提供 OU 的简短说明,例如 服务帐户的自定义 OU。 如果需要,还可以为 OU 设置“管理方”字段。 若要创建自定义 OU,请选择“ 确定”。
回到 Active Directory 管理中心,自定义 OU 现已列出,可供使用:
后续步骤
有关使用管理工具或使用服务帐户的详细信息,请参阅以下文章: