Utilizza account amministratore con delega

Questa pagina mostra come utilizzare l'account di amministratore con delega e gestire le relative credenziali in Managed Service for Microsoft Active Directory.

Panoramica

Quando crei un dominio Microsoft Active Directory gestito, Microsoft Active Directory gestito crea automaticamente un account di amministratore delegato. Puoi utilizzare questo account per gestire il dominio. Dopo aver eseguito l'accesso a questo account, puoi svolgere le seguenti attività:

  • Gestire i dati e gli oggetti Active Directory.
  • Gestire altri amministratori del servizio.
  • Utilizza gli strumenti standard di Active Directory.

Scopri di più su i diritti che vengono concessi automaticamente all'account di amministratore con delega.

Recupera il nome dell'account

Per impostazione predefinita, l'account utente con delega di amministratore si chiama setupadmin. Dopo il dominio non puoi modificarlo. Puoi specificare un nome utente personalizzato solo quando crea un dominio. Se specifichi un nome utente personalizzato, assicurati di rispettare le convenzioni di denominazione dell'attributo SAM-Account-Name.

Per recuperare il nome dell'account di amministratore con delega, completa i seguenti passaggi:

Console

  1. Nella console Google Cloud, vai alla pagina Managed Microsoft AD.
    Vai a Microsoft Active Directory gestito
  2. In FQDN, seleziona il dominio per visualizzare l'utente con delega di amministratore nome account.
  3. Il nome dell'account è indicato in Nome amministratore.

gcloud

Esegui questo comando:

gcloud active-directory domains describe DOMAIN_NAME

La risposta è YAML contenente informazioni sul dominio. Gli utenti delegati il nome dell'account amministratore è indicato sotto managedIdentitiesAdminName campo:

managedIdentitiesAdminName: setupadmin

Reimpostare la password

Se dimentichi la password dell'account di amministratore con delega, non puoi recuperare la password esistente. Tuttavia, puoi reimpostare la password.

Per reimpostare la password dell'account di amministratore delegato, devi disporre di uno dei seguenti ruoli IAM:

  • Amministratore identità gestite da Google Cloud (roles/managedidentities.admin)
  • Amministratore domini delle identità gestite da Google Cloud (roles/managedidentities.domainAdmin)

Per ulteriori informazioni, vedi Ruoli delle identità gestite nel cloud.

Console

  1. Nella console Google Cloud, vai alla pagina Managed Microsoft AD.
    Vai a Microsoft Active Directory gestito

  2. In FQDN, seleziona il dominio per reimpostare l'amministratore con delega .

  3. Nella pagina Dettagli dominio, seleziona Imposta password.

  4. Nella finestra di dialogo Imposta password, fai clic su Conferma.

  5. La nuova password viene visualizzata nella finestra di dialogo Nuova password.

gcloud

Esegui questo comando:

gcloud active-directory domains reset-admin-password DOMAIN_NAME

Questa operazione può richiedere fino a 60 secondi.

Disattiva scadenza della password

Per impostazione predefinita, la password dell'account di amministratore con delega scade dopo il giorno 42 giorni. Assicurati di cambiare la password prima che scada.

Puoi utilizzare i criteri di password granulari (FGPP) per disattivare la scadenza della password per l'account amministratore con delega. Con FGPP, puoi impostare il valore dell'impostazione del criterio Maximum password age negli oggetti di impostazioni delle password (PSO) richiesti su "0" e applicare il criterio della password all'account amministratore delegato.

Per disabilitare la scadenza della password per il tuo account di amministratore con delega, devi essere un membro del gruppo Cloud Service Fine Grained Password Policy Administrators.

  1. Per aggiungere un utente a questo gruppo, esegui il seguente comando in PowerShell: 

    Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' 
    
 -Members USER
    Sostituisci USER con il nome dell'utente da aggiungere al gruppo Cloud Service Fine Grained Password Policy Administrators.

    Per saperne di più, consulta Delegare le autorizzazioni per la gestione dei criteri.

  2. Esci dall'account di amministratore con delega.

Per disabilitare la scadenza della password per il tuo account di amministratore con delega, segui questi passaggi:

  1. Accedi come membro del gruppo Cloud Service Fine Grained Password Policy Administrators.

  2. Per modificare il valore della proprietà MaxPasswordAge in "0", esegui questo comando in PowerShell: 

    Set-ADFineGrainedPasswordPolicy -Identity PSO -MaxPasswordAge 0
    Sostituisci PSO con il nome del PSO in cui vuoi disattivare il criterio di scadenza della password utilizzando FGPP. Ad esempio: PSO-10.

    Per ulteriori informazioni sul cmdlet Set-ADFineGrainedPasswordPolicy, consulta Modificare un criterio per le password creato in precedenza.

  3. Per applicare il criterio della password all'account amministratore delegato, esegui il seguente comando in PowerShell: 

    Add-ADFineGrainedPasswordPolicySubject PSO -Subjects DELEGATED_ADMINISTRATOR_ACCOUNT
    Sostituisci quanto segue:

    • PSO: nome del PSO in cui hai disabilitato il criterio per la scadenza della password. Ad esempio, PSO-10.
    • DELEGATED_ADMINISTRATOR_ACCOUNT: nome dell'account amministratore con delega per il quale vuoi disattivare la scadenza della password. Ad esempio, setupadmin.

    Per ulteriori informazioni sul cmdlet Add-ADFineGrainedPasswordPolicySubject, vedi Aggiungere un utente o un gruppo a un criterio delle password.

Utilizzo degli strumenti Active Directory Domain Services

Per accedere agli strumenti Active Directory Domain Services (AD DS), devi utilizzare la con delega di amministratore. Quando connetterti all'istanza VM, assicurati di accedere con l'account con delega di amministratore. Non puoi effettuare il passaggio dopo la connessione alla VM o fornire credenziali aggiuntive. Dopo il giorno connettendoti alla VM, puoi utilizzare la procedura guidata per l'aggiunta di ruoli e funzionalità per abilitare gli strumenti di AD DS. Scopri di più su come attivare gli strumenti AD DS.

Crea un suffisso UPN

I nomi del dominio corrente e del dominio principale sono i suffissi predefiniti del nome principale dell'utente (UPN). L'aggiunta di nomi di dominio alternativi offre una maggiore sicurezza e semplifica i nomi di accesso utente.

Per creare un suffisso UPN, completa i seguenti passaggi:

  1. Connettiti all'istanza VM all'account amministratore con delega.
  2. Apri Server Manager.
  3. Da Strumenti, seleziona Domini e attendibilità di Active Directory.
  4. Nella console di gestione Domini e attendibilità di Active Directory, Fai clic con il pulsante destro del mouse su Domini e attendibilità di Active Directory nel riquadro a sinistra e e seleziona Proprietà.
  5. Nella finestra di dialogo Suffissi UPN alternativi, digita il nome il nuovo suffisso UPN.
  6. Fai clic su Aggiungi, quindi su OK.

Quando aggiungi un nuovo account utente ad Active Directory, dovresti vedere il nuovo suffisso UPN disponibile nell'elenco durante l'impostazione del nome utente.