Tutorial: Criar uma VM de gerenciamento para configurar e administrar um domínio gerenciado dos Serviços de Domínio Microsoft Entra
Os Serviços de Domínio Microsoft Entra fornecem serviços de domínio gerenciados, como ingresso no domínio, política de grupo, LDAP e autenticação Kerberos/NTLM que é totalmente compatível com o Ative Directory do Windows Server. Você administra esse domínio gerenciado usando as mesmas Ferramentas de Administração de Servidor Remoto (RSAT) que um domínio local dos Serviços de Domínio Ative Directory. Como os Serviços de Domínio são um serviço gerenciado, há algumas tarefas administrativas que você não pode executar, como usar o protocolo RDP (Remote Desktop Protocol) para se conectar aos controladores de domínio.
Este tutorial mostra como configurar uma VM do Windows Server no Azure e instalar as ferramentas necessárias para administrar um domínio gerenciado dos Serviços de Domínio.
Neste tutorial, irá aprender a:
- Compreender as tarefas administrativas disponíveis em um domínio gerenciado
- Instalar as ferramentas administrativas do Ative Directory em uma VM do Windows Server
- Usar a Central Administrativa do Ative Directory para executar tarefas comuns
Se você não tiver uma assinatura do Azure, crie uma conta antes de começar.
Pré-requisitos
Para concluir este tutorial, você precisa dos seguintes recursos e privilégios:
- Uma subscrição ativa do Azure.
- Se você não tiver uma assinatura do Azure, crie uma conta.
- Um locatário do Microsoft Entra associado à sua assinatura, sincronizado com um diretório local ou um diretório somente na nuvem.
- Se necessário, crie um locatário do Microsoft Entra ou associe uma assinatura do Azure à sua conta.
- Um domínio gerenciado dos Serviços de Domínio Microsoft Entra habilitado e configurado em seu locatário do Microsoft Entra.
- Se necessário, consulte o primeiro tutorial para criar e configurar um domínio gerenciado dos Serviços de Domínio Microsoft Entra.
- Uma VM do Windows Server que ingressou no domínio gerenciado.
- Se necessário, consulte o tutorial anterior para criar uma VM do Windows Server e associá-la a um domínio gerenciado.
- Uma conta de usuário que seja membro do grupo de administradores do Microsoft Entra DC em seu locatário do Microsoft Entra.
- Um host do Azure Bastion implantado em sua rede virtual dos Serviços de Domínio.
- Se necessário, crie um host do Azure Bastion.
Inicie sessão no Centro de administração do Microsoft Entra.
Neste tutorial, você cria e configura uma VM de gerenciamento usando o centro de administração do Microsoft Entra. Para começar, primeiro entre no centro de administração do Microsoft Entra.
Tarefas administrativas disponíveis nos Serviços de Domínio
Os Serviços de Domínio fornecem um domínio gerenciado para seus usuários, aplicativos e serviços consumirem. Essa abordagem altera algumas das tarefas de gerenciamento disponíveis que você pode fazer e quais privilégios você tem no domínio gerenciado. Essas tarefas e permissões podem ser diferentes do que você experimenta com um ambiente de Serviços de Domínio Ative Directory local regular. Você também não pode se conectar a controladores de domínio no domínio gerenciado usando a Área de Trabalho Remota.
Tarefas administrativas que você pode executar em um domínio gerenciado
Os membros do grupo Administradores de DC do AAD recebem privilégios no domínio gerenciado que lhes permite executar tarefas como:
- Configure o objeto de diretiva de grupo (GPO) interno para os contêineres Computadores AADDC e Usuários AADDC no domínio gerenciado.
- Administrar o DNS no domínio gerido.
- Crie e administre unidades organizacionais (OUs) personalizadas no domínio gerenciado.
- Obter acesso administrativo aos computadores associados ao domínio gerido.
Privilégios administrativos que você não tem em um domínio gerenciado
O domínio gerenciado está bloqueado, portanto, você não tem privilégios para executar determinadas tarefas administrativas no domínio. Alguns dos exemplos a seguir são tarefas que você não pode fazer:
- Estenda o esquema do domínio gerenciado.
- Conecte-se aos controladores de domínio para o domínio gerenciado usando a Área de Trabalho Remota.
- Adicione controladores de domínio ao domínio gerenciado.
- Você não tem privilégios de Administrador de Domínio ou Administrador Corporativo para o domínio gerenciado.
Entrar na VM do Windows Server
No tutorial anterior, uma VM do Windows Server foi criada e ingressada no domínio gerenciado. Use essa VM para instalar as ferramentas de gerenciamento. Se necessário, siga as etapas no tutorial para criar e associar uma VM do Windows Server a um domínio gerenciado.
Nota
Neste tutorial, você usa uma VM do Windows Server no Azure que ingressou no domínio gerenciado. Você também pode usar um cliente Windows, como o Windows 10, que ingressou no domínio gerenciado.
Para obter mais informações sobre como instalar as ferramentas administrativas em um cliente Windows, consulte instalar as Ferramentas de Administração de Servidor Remoto (RSAT)
Para começar, conecte-se à VM do Windows Server da seguinte maneira:
No centro de administração do Microsoft Entra, selecione Grupos de recursos no lado esquerdo. Escolha o grupo de recursos onde sua VM foi criada, como myResourceGroup, e selecione a VM, como myVM.
No painel Visão geral da sua VM, selecione Conectar e, em seguida, Bastion.
Insira as credenciais da sua VM e selecione Conectar.
Se necessário, permita que seu navegador abra pop-ups para que a conexão Bastion seja exibida. Leva alguns segundos para fazer a conexão com sua VM.
Instalar ferramentas administrativas do Ative Directory
Você usa as mesmas ferramentas administrativas em um domínio gerenciado como ambientes AD DS locais, como o Centro Administrativo do Ative Directory (ADAC) ou o AD PowerShell. Essas ferramentas podem ser instaladas como parte do recurso Ferramentas de Administração de Servidor Remoto (RSAT) no Windows Server e em computadores cliente. Os membros do grupo Administradores de DC do AAD podem administrar domínios gerenciados remotamente usando essas ferramentas administrativas do AD a partir de um computador que ingressou no domínio gerenciado.
Para instalar as ferramentas de Administração do Ative Directory em uma VM associada a um domínio, conclua as seguintes etapas:
Se o Gerenciador do Servidor não abrir por padrão quando você entrar na VM, selecione o menu Iniciar e escolha Gerenciador do Servidor.
No painel Painel da janela Gerenciador do Servidor, selecione Adicionar Funções e Recursos.
Na página Antes de Começar do Assistente para Adicionar Funções e Recursos, selecione Avançar.
Para o Tipo de Instalação, deixe a opção de instalação baseada em função ou recurso marcada e selecione Avançar.
Na página Seleção do Servidor, escolha a VM atual no pool de servidores, como myvm.aaddscontoso.com, e selecione Avançar.
Na página Funções de Servidor, clique em Avançar.
Na página Recursos, expanda o nó Ferramentas de Administração de Servidor Remoto e, em seguida, expanda o nó Ferramentas de Administração de Função.
Escolha o recurso Ferramentas do AD DS e AD LDS na lista de ferramentas de administração de função e selecione Avançar.
Na página Confirmação, selecione Instalar. Pode levar um ou dois minutos para instalar as ferramentas administrativas.
Quando a instalação do recurso estiver concluída, selecione Fechar para sair do assistente Adicionar funções e recursos .
Usar ferramentas administrativas do Ative Directory
Com as ferramentas administrativas instaladas, vamos ver como usá-las para administrar o domínio gerenciado. Verifique se você está conectado à VM com uma conta de usuário que seja membro do grupo Administradores de DC do AAD.
No menu Iniciar, selecione Ferramentas Administrativas do Windows. As ferramentas administrativas do AD instaladas na etapa anterior são listadas.
Selecione Centro Administrativo do Ative Directory.
Para explorar o domínio gerenciado, escolha o nome de domínio no painel esquerdo, como aaddscontoso. Dois contêineres chamados AADDC Computers e AADDC Users estão no topo da lista.
Para ver os usuários e grupos que pertencem ao domínio gerenciado, selecione o contêiner Usuários AADDC. As contas de usuário e grupos do locatário do Microsoft Entra estão listados neste contêiner.
Na saída de exemplo a seguir, uma conta de usuário chamada Contoso Admin e um grupo para Administradores de DC do AAD são mostrados neste contêiner.
Para ver os computadores que ingressaram no domínio gerenciado, selecione o contêiner Computadores AADDC. Uma entrada para a máquina virtual atual, como myVM, é listada. As contas de computador para todos os dispositivos que ingressaram no domínio gerenciado são armazenadas neste contêiner de computadores AADDC.
Ações comuns da Central Administrativa do Ative Directory, como redefinir uma senha de conta de usuário ou gerenciar a associação ao grupo, estão disponíveis. Essas ações só funcionam para usuários e grupos criados diretamente no domínio gerenciado. As informações de identidade só são sincronizadas do ID do Microsoft Entra para os Serviços de Domínio. Não há gravação de volta dos Serviços de Domínio para o ID do Microsoft Entra. Não é possível alterar senhas ou associação a grupos gerenciados para usuários sincronizados a partir do Microsoft Entra ID e ter essas alterações sincronizadas novamente.
Você também pode usar o Módulo Ative Directory para Windows PowerShell, instalado como parte das ferramentas administrativas, para gerenciar ações comuns em seu domínio gerenciado.
Próximos passos
Neste tutorial, ficou a saber como:
- Compreender as tarefas administrativas disponíveis em um domínio gerenciado
- Instalar as ferramentas administrativas do Ative Directory em uma VM do Windows Server
- Usar a Central Administrativa do Ative Directory para executar tarefas comuns
Para interagir com segurança com seu domínio gerenciado a partir de outros aplicativos, habilite o protocolo LDAPS (Lightweight Directory Access Protocol) seguro.