{"id":257109,"date":"2021-08-29T08:33:42","date_gmt":"2021-08-29T06:33:42","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=257109"},"modified":"2022-02-26T12:15:58","modified_gmt":"2022-02-26T11:15:58","slug":"warum-man-azure-ad-domain-services-nicht-als-windows-ad-ersatz-verwenden-sollte","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/08\/29\/warum-man-azure-ad-domain-services-nicht-als-windows-ad-ersatz-verwenden-sollte\/","title":{"rendered":"Warum man Azure AD Domain Services nicht als Windows AD-Ersatz verwenden sollte"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2019\/07\/Azure.jpg\" width=\"86\" height=\"50\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2021\/08\/29\/warum-man-azure-ad-domain-services-nicht-als-windows-ad-ersatz-verwenden-sollte\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Bei der Migration von On-Premises Windows Servern in die Cloud oder bei Hybrid-L\u00f6sungen k\u00f6nnte man auf die Idee kommen, das Windows Active Directory (AD) durch die Azure AD Domain Services abzul\u00f6sen. Sollte man aber nochmals \u00fcberdenken.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg02.met.vgwort.de\/na\/c46d012b7db34297bb9d63b87eded526\" alt=\"\" width=\"1\" height=\"1\" \/>Ich bin da nicht so firm, aber mir ist gerade der nachfolgende <a href=\"https:\/\/twitter.com\/Ciraltos\/status\/1430953195065405447\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> unter die Augen gekommen, den ich einfach mal zur Lekt\u00fcre hier einstelle. Der Autor und MVP macht sich da in <a href=\"https:\/\/www.ciraltos.com\/dont-use-azure-ad-domain-services-to-replace-windows-domain-controllers\/\" target=\"_blank\" rel=\"noopener\">diesem Blog-Beitrag<\/a> einige Gedanken, warum man dies sein lassen soll.<\/p>\n<p><a href=\"https:\/\/twitter.com\/Ciraltos\/status\/1430953195065405447\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"Azure AD Domain Services should not replace Windows AD\" src=\"https:\/\/i.imgur.com\/pUx03xa.png\" alt=\"Azure AD Domain Services should not replace Windows AD\" \/><\/a><\/p>\n<p>Seine Kernaussage ist: Azure Active Directory Domain Services (Azure AD DS) ist kein Ersatz f\u00fcr Windows Active Directory. Der Autor listet z.B. folgende Azure AD DS Beschr\u00e4nkungen auf.<\/p>\n<h2>Kein hybrider Azure AD Beitritt<\/h2>\n<p>Ein Client-Computer kann mit AD DS (Windows oder Azure) oder mit Azure AD verbunden werden. Bei Client-Computern, die mit Windows AD verbunden sind, kann Azure AD Connect Sync eine hybride Verbindung zu Azure AD herstellen. Azure AD Connect Sync unterst\u00fctzt aber Azure AD DS nicht. Daher k\u00f6nnen Client-Computer nicht hybrid mit Azure AD verbunden werden, wenn sie Mitglied einer Azure AD DS-Dom\u00e4ne sind. Diese Client-Computer k\u00f6nnen nicht Teil von Diensten sein, die Azure AD Join oder Hybrid Azure AD Join erfordern, wie z. B. Universal Print oder Conditional Access Policies.<\/p>\n<h2>Kein Unternehmens- oder Dom\u00e4nen-Admin<\/h2>\n<p>In Azure AD DS gibt es keine Enterprise- oder Domain-Admin-Konten. Stattdessen gibt es eine Gruppe namens AAD DC Administrators, die zur Verwaltung von Azure AD DS verwendet wird. Konten in dieser Gruppe haben Rechte wie lokaler Administrator auf Mitgliedsservern und administrative Rechte, die zur Verwaltung von Azure AD DS erforderlich sind. Die Berechtigungen Dom\u00e4nen- und Unternehmensadministrator sind f\u00fcr den Azure AD DS-Dienst reserviert.<\/p>\n<h2>Keine Unterst\u00fctzung von Active Directory-Zertifikatsdiensten<\/h2>\n<p>Die erste Voraussetzung f\u00fcr die Installation von Active Directory Certificate Services ist die Anmeldung als Mitglied der Enterprise Admin Group. Wie bereits erw\u00e4hnt, gibt es diese Konten in Azure AD DS nicht, und daher wird der AD-Zertifikatsdienst in Azure AD DS nicht unterst\u00fctzt. Das schlie\u00dft zertifikatsbasierte Funktionen wie die Smartcard-Authentifizierung aus.<\/p>\n<p>Der Beitrag enth\u00e4lt weitere Einschr\u00e4nkungen wie \"das\u00a0Schema kann nicht erweitert werden\", Begrenzte GPO-Unterst\u00fctzung oder Redundanz.<\/p>\n<p>&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Bei der Migration von On-Premises Windows Servern in die Cloud oder bei Hybrid-L\u00f6sungen k\u00f6nnte man auf die Idee kommen, das Windows Active Directory (AD) durch die Azure AD Domain Services abzul\u00f6sen. Sollte man aber nochmals \u00fcberdenken.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,2557],"tags":[8275,4375],"class_list":["post-257109","post","type-post","status-publish","format-standard","hentry","category-cloud","category-windows-server","tag-ad-domain-services","tag-azure"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/257109","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=257109"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/257109\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=257109"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=257109"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=257109"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}