Erstellen einer Organisationseinheit (OE) in einer verwalteten Microsoft Entra Domain Services-Domäne
Mit Organisationseinheiten in einer von Active Directory Domain Services (AD DS) verwalteten Domäne können Sie Objekte wie Benutzerkonten, Dienstkonten oder Computerkonten logisch gruppieren. Sie können dann Administratoren bestimmten Organisationseinheiten zuordnen und Gruppenrichtlinien anwenden, um gezielte Konfigurationseinstellungen zu erzwingen.
Verwaltete Domain Services-Domänen enthalten die folgenden beiden integrierten Organisationseinheiten:
- AADDC-Computer: enthält Computerobjekte für alle Computer, die in die verwaltete Domäne eingebunden sind.
- AADDC-Benutzer: enthält Benutzer*innen und Gruppen, die über den Microsoft Entra-Mandanten synchronisiert wurden.
Wenn Sie Workloads erstellen und ausführen, die Domain Services verwenden, müssen Sie möglicherweise Dienstkonten für Anwendungen erstellen, damit diese sich selbst authentifizieren können. Um diese Dienstkonten zu organisieren, erstellen Sie häufig eine benutzerdefinierte Organisationseinheit in der verwalteten Domäne und erstellen dann Dienstkonten innerhalb dieser Organisationseinheit.
In einer Hybridumgebung werden in einer lokalen AD DS-Umgebung erstellte Organisationseinheiten nicht mit der verwalteten Domäne synchronisiert. Verwaltete Domänen weisen eine flache OE-Struktur auf. Alle Benutzerkonten und -gruppen werden ungeachtet der Synchronisierung aus verschiedenen lokalen Domänen oder Gesamtstrukturen im Container AADDC Users gespeichert, auch wenn Sie eine hierarchische OE-Struktur konfiguriert haben.
In diesem Artikel wird gezeigt, wie Sie in der verwalteten Domäne eine Organisationseinheit erstellen.
Voraussetzungen
Für diesen Artikel benötigen Sie die folgenden Ressourcen und Berechtigungen:
- Ein aktives Azure-Abonnement.
- Wenn Sie kein Azure-Abonnement besitzen, erstellen Sie ein Konto.
- Einen mit Ihrem Abonnement verknüpften Microsoft Entra-Mandanten, der entweder mit einem lokalen Verzeichnis synchronisiert oder ein reines Cloudverzeichnis ist.
- Erstellen Sie einen Microsoft Entra-Mandanten, oder verknüpfen Sie ein Azure-Abonnement mit Ihrem Konto, sofern erforderlich.
- Eine von Microsoft Entra Domain Services verwaltete Domäne, die in Ihrem Microsoft Entra-Mandanten aktiviert und konfiguriert ist.
- Bearbeiten Sie bei Bedarf das Tutorial Erstellen und Konfigurieren einer verwalteten Microsoft Entra Domain Services-Domäne.
- Eine Windows Server-Verwaltungs-VM, die in die verwaltete Domain Services-Domäne eingebunden ist.
- Führen Sie bei Bedarf das Tutorial zum Erstellen eines virtuellen Verwaltungscomputers aus.
- Ein Benutzerkonto, das Mitglied der Gruppe Microsoft Entra DC-Administratoren in Ihrem Microsoft Entra-Mandanten ist.
Überlegungen und Einschränkungen zu benutzerdefinierten Organisationseinheiten
Wenn Sie benutzerdefinierte Organisationseinheiten in einer verwalteten Domäne erstellen, erhalten Sie zusätzliche Flexibilität bei der Benutzerverwaltung und der Anwendung von Gruppenrichtlinien. Im Vergleich zu einer lokalen AD DS-Umgebung gibt es einige Einschränkungen und Aspekte, die beim Erstellen und Verwalten einer benutzerdefinierten OE-Struktur in einer verwalteten Domäne zu berücksichtigen sind:
- Um benutzerdefinierte Organisationseinheiten erstellen zu können, müssen Benutzer Mitglied der Gruppe AAD DC Administrators sein.
- Ein Benutzer, der eine benutzerdefinierte Organisationseinheit erstellt, erhält Administratorrechte (Vollzugriff) über diese Organisationseinheit und ist der Ressourcenbesitzer.
- Standardmäßig hat die Gruppe AAD DC Administrators auch Vollzugriff auf die benutzerdefinierte Organisationseinheit.
- Es wird eine Standardorganisationseinheit für AADDC-Benutzer*innen erstellt, die alle synchronisierten Benutzerkonten Ihres Microsoft Entra-Mandanten enthält.
- Sie können keine Benutzer oder Gruppen der Organisationseinheit AADDC-Benutzer in benutzerdefinierte Organisationseinheiten verschieben, die Sie erstellen. Es können nur in der verwalteten Domäne erstellte Benutzerkonten oder Ressourcen in benutzerdefinierte Organisationseinheiten verschoben werden.
- Benutzerkonten, Gruppen, Dienstkonten und Computerobjekte, die Sie in benutzerdefinierten Organisationseinheiten erstellen, stehen in Ihrem Microsoft Entra-Mandanten nicht zur Verfügung.
- Diese Objekte werden nicht über die Microsoft Graph-API oder auf der Microsoft Entra-Benutzeroberfläche angezeigt. Sie sind nur in Ihrer verwalteten Domäne verfügbar.
Erstellen einer benutzerdefinierten Organisationseinheit
Um eine benutzerdefinierte Organisationseinheit zu erstellen, verwenden Sie die Active Directory-Verwaltungstools auf einer in die Domäne eingebundenen VM. Im Active Directory-Verwaltungscenter können Sie Ressourcen in einer verwalteten Domäne (einschließlich Organisationseinheiten) anzeigen, bearbeiten und erstellen.
Hinweis
Um eine benutzerdefinierte Organisationseinheit in einer verwalteten Domäne erstellen zu können, müssen Sie bei einem Benutzerkonto angemeldet sein, das Mitglied der Gruppe AAD DC-Administratoren ist.
Melden Sie sich bei Ihrer Verwaltungs-VM an. Die Schritte zur Verbindungsherstellung mit dem Microsoft Entra Admin Center finden Sie unter Herstellen einer Verbindung mit einer Windows Server-VM.
Klicken Sie auf dem Startbildschirm auf Verwaltung. Es wird eine Liste der verfügbaren Verwaltungstools angezeigt, die im Tutorial zum Erstellen eines virtuellen Verwaltungscomputers installiert wurden.
Wählen Sie zum Erstellen und Verwalten von Organisationseinheiten Active Directory-Verwaltungscenter aus der Liste der Verwaltungstools aus.
Wählen Sie im linken Bereich Ihre verwaltete Domäne (z. B. aaddscontoso.com) aus. Eine Liste der vorhandenen Organisationseinheiten und Ressourcen wird angezeigt:
Der Bereich Aufgaben wird auf der rechten Seite des Active Directory-Verwaltungscenters angezeigt. Wählen Sie unter der Domäne (z. B. aaddscontoso.com) die Option Neu > Organisationseinheit aus.
Geben Sie im Dialogfeld Organisationseinheit erstellen einen Namen für die neue Organisationseinheit an, z. B. MyCustomOu. Geben Sie eine kurze Beschreibung für die Organisationseinheit an, z. B. Benutzerdefinierte Organisationseinheit für Dienstkonten. Bei Bedarf können Sie auch das Feld Verwaltet von für die Organisationseinheit festlegen. Wählen Sie OK aus, um die benutzerdefinierte Organisationseinheit zu erstellen.
Im Active Directory-Verwaltungscenter ist jetzt die benutzerdefinierte Organisationseinheit aufgeführt und kann verwendet werden:
Nächste Schritte
Weitere Informationen zur Verwendung der Verwaltungstools oder zum Erstellen und Verwenden von Dienstkonten finden Sie in den folgenden Artikeln: