Microsoft Entra Domain Services fournit un domaine géré pour les utilisateurs, les applications et les services.
Cette approche modifie certaines tâches de gestion disponibles et les privilèges que vous avez dans le domaine géré.
Ces tâches et autorisations peuvent différer de celles d’un environnement AD DS local classique.

Vue d’ensemble

Les membres du groupe AAD DC Administrators reçoivent des privilèges sur le domaine géré Microsoft Entra Domain Services.
Ces administrateurs peuvent effectuer les tâches suivantes :

• Configurer les stratégies de groupe intégrées (GPO) pour les conteneurs AADDC Computers et AADDC Users.
• Administrer le DNS du domaine géré.
• Créer et administrer des unités d’organisation (OU) personnalisées.
• Obtenir un accès administrateur aux ordinateurs joints au domaine géré.

Cependant, comme le domaine géré est verrouillé, certaines tâches administratives ne sont pas autorisées, telles que :

• Étendre le schéma du domaine géré.
• Se connecter aux contrôleurs de domaine via Remote Desktop.
• Ajouter des contrôleurs de domaine au domaine géré.
• Utiliser les privilèges Domain Administrator ou Enterprise Administrator.

Joindre un ordinateur au domaine géré

Après avoir créé une instance Microsoft Entra Domain Services, vous devez joindre un ordinateur au domaine géré.
Cet ordinateur doit être connecté à un réseau virtuel Azure (VNet) qui assure la connectivité avec le domaine géré.

Le processus de jonction est identique à celui d’un domaine AD DS local.
Une fois l’ordinateur joint, vous devez installer les outils pour gérer l’instance Microsoft Entra Domain Services.

Outils de gestion

Vous gérez les domaines Microsoft Entra Domain Services avec les mêmes outils d’administration que pour AD DS local, tels que :

• Active Directory Administrative Center (ADAC)
• PowerShell Active Directory

Ces outils peuvent être installés via les Remote Server Administration Tools (RSAT) sur Windows Server ou sur des ordinateurs clients.
Les membres du groupe AAD DC Administrators peuvent administrer le domaine géré à distance depuis un ordinateur joint au domaine.

Les actions courantes dans ADAC, comme réinitialiser un mot de passe utilisateur ou gérer l’appartenance à un groupe, sont disponibles.
Cependant, ces actions ne fonctionnent que pour les utilisateurs et groupes créés directement dans le domaine géré.

Utiliser PowerShell

Vous pouvez également utiliser le module Active Directory pour Windows PowerShell, installé avec les outils d’administration, pour gérer les actions courantes dans le domaine géré.

Activer les comptes utilisateurs pour Microsoft Entra Domain Services

Pour authentifier les utilisateurs, Microsoft Entra Domain Services a besoin de hachages de mot de passe compatibles avec NTLM et Kerberos.
Microsoft Entra ID ne génère ni ne stocke ces hachages tant que le service n’est pas activé.

🔐 Sécurité :
Microsoft Entra ID ne stocke jamais les mots de passe en clair.
Les hachages sont générés après activation et stockés dans le domaine géré.

Différences selon le type de compte

• Comptes cloud uniquement (créés dans Microsoft Entra ID via le portail Azure ou PowerShell)
  ➤ Les utilisateurs doivent changer leur mot de passe pour que les hachages NTLM/Kerberos soient générés et stockés.
  ➤ Le compte n’est pas synchronisé vers Microsoft Entra Domain Services tant que le mot de passe n’est pas changé.

✅ Solution :
Expirez les mots de passe des utilisateurs cloud pour forcer le changement au prochain accès, ou demandez-leur de changer leur mot de passe manuellement.

📍 Unité suivante : Créer et configurer une instance Microsoft Entra Domain Services