什么是 Azure ADDS？

Azure Active Directory Domain Services（Azure ADDS）是一项托管服务，它为 Azure Active Directory（Azure AD）中的对象提供一组完整的域服务，例如域联接、组策略、LDAP、Kerberos/NTLM 认证等。Azure ADDS 使您可以在 Azure 中轻松运行基于域的应用程序，而无需管理自己的域控制器或基础设施。

Azure ADDS 的优势

Azure ADDS 为您提供了以下优势：

l  您可以使用 Azure AD 中的相同身份和凭据，在 Azure 中的虚拟机或 Azure App Service 中的应用程序访问域服务。

l  您可以利用 Azure AD 的身份保护和条件访问功能，为您的域服务提供额外的安全层。

l  您可以使用 Azure 门户或 PowerShell 管理您的域服务，而无需部署、维护或更新域控制器。

l  您可以根据您的业务需求，灵活地扩展或缩减您的域服务，而无需担心基础设施的容量或性能。

l  您可以节省域服务的运营成本，因为您只需为您使用的域服务付费，而不需要购买额外的许可证或硬件。

Azure ADDS 的使用场景

Azure ADDS 适用于以下场景：

l  您想要在 Azure 中运行基于 Windows Server Active Directory（AD）的传统应用程序，例如 SharePoint、Exchange、SAP 等。

l  您想要将您的本地 Windows Server AD 迁移到 Azure，以实现云原生的域服务。

l  您想要为您的混合云环境提供一致的域服务，无论您的工作负载是在 Azure、本地还是其他云平台上。

l  您想要为您的开发和测试环境提供快速、简单和低成本的域服务，而无需创建复杂的域架构。

如何开始使用 Azure ADDS？

要开始使用 Azure ADDS，您需要执行以下步骤：

1.       在 Azure 门户中，创建一个 Azure ADDS 实例，并选择您的 Azure AD 租户和域名称。

2.       为您的 Azure ADDS 实例分配一个虚拟网络，并配置必要的网络安全组和 DNS 设置。

3.       为您的 Azure ADDS 实例分配一个管理员组，并授予该组对域服务的管理权限。

4.       在 Azure 门户或 PowerShell 中，启用您想要使用的域服务功能，例如 LDAP、组策略、Azure AD Connect 等。

5.       将您的 Azure VM 或 Azure App Service 中的应用程序域联接到您的 Azure ADDS 实例，并使用您的 Azure AD 身份和凭据访问域服务。

Azure AD DS 限制

无混合 Azure AD 联接

客户端计算机可以加入 AD DS（Windows 或 Azure） 或到 Azure AD。对于已加入的客户端计算机 到 Windows AD，Azure AD Connect Sync 可以将它们混合加入 Azure AD。 Azure AD Connect Sync 不支持 Azure AD DS 和客户端计算机不能加入混合 Azure AD，如果 Azure AD DS 域的成员。这些客户端 计算机不能是需要 Azure AD 联接或混合 Azure 的服务的一部分 AD 联接，例如通用打印或条件访问策略。

无企业或域管理员

Azure AD 中没有企业或域管理员帐户There is no Enterprise or Domain admin accounts in Azure AD ESO公司相反，有一个名为 AAD 的组 用于管理 Azure AD DS 的 DC 管理员。 此组中的帐户具有成员的本地管理员等权限 管理 Azure AD DS 所需的服务器和管理权限。域和企业管理员权限 为 Azure AD DS 服务保留。

不支持 Active Directory 证书服务

安装 Active Directory 的第一个要求 证书服务是以 Enterprise Admin 成员身份登录 群。如前所述，这些帐户没有 存在于 Azure AD DS 中，因此，AD 证书服务不受 Azure AD DS.这排除了基于证书的 智能卡身份验证等功能。

无法扩展架构

Azure AD DS 不支持扩展架构。缺少模式扩展排除了任何应用程序， Microsoft 和 3^RD路party，需要架构扩展。

有限的组策略支持

Azure AD DS 是一种 PaaS 产品/服务，这意味着客户没有 登录并管理域控制器。 话虽如此，无法访问服务器资源，例如 sysvol 文件夹。Azure AD DS 支持 默认的组策略集。然而，它 无法将 ADMX 文件添加到 sysvol 文件夹。

此外，还有一个默认策略，用于应用于所有 Azure AD DS 用户的帐户锁定。您可以创建具有更多限制性设置的新策略，但无法更改默认策略。
2021 年 8 月 31 日更新：
有人指出了下面的链接。不幸的是，我找不到是谁给他们点赞。可以从 Azure 门户更改 Azure AD DS 策略中的默认密码 https://docs.microsoft.com/en-us/azure/active-directory-domain-services/password-policy

有限的冗余

Windows AD 的最佳做法是将 DC 放在尽可能靠近用户的位置。通常通过在分支位置部署域控制器来在本地处理登录并在 WAN 连接失败时提供登录服务来执行此操作。Azure AD DS 实例限制为单个区域中的两个域控制器。如果该区域出现故障或网络连接中断，登录处理将变得不可用。