Questa pagina mostra come utilizzare l'account di amministratore con delega e gestire le relative credenziali in Managed Service for Microsoft Active Directory.
Panoramica
Quando crei un dominio Microsoft Active Directory gestito, Microsoft Active Directory gestito crea automaticamente un account di amministratore delegato. Puoi utilizzare questo account per gestire il dominio. Dopo aver eseguito l'accesso a questo account, puoi svolgere le seguenti attività:
- Gestire i dati e gli oggetti Active Directory.
- Gestire altri amministratori del servizio.
- Utilizza gli strumenti standard di Active Directory.
Scopri di più su i diritti che vengono concessi automaticamente all'account di amministratore con delega.
Recupera il nome dell'account
Per impostazione predefinita, l'account utente con delega di amministratore si chiama setupadmin
. Dopo il dominio
non puoi modificarlo. Puoi specificare un nome utente personalizzato solo quando
crea un dominio. Se specifichi un nome utente personalizzato, assicurati di rispettare le convenzioni di denominazione dell'attributo SAM-Account-Name.
Per recuperare il nome dell'account di amministratore con delega, completa i seguenti passaggi:
Console
- Nella console Google Cloud, vai alla pagina Managed Microsoft AD.
Vai a Microsoft Active Directory gestito - In FQDN, seleziona il dominio per visualizzare l'utente con delega di amministratore nome account.
- Il nome dell'account è indicato in Nome amministratore.
gcloud
Esegui questo comando:
gcloud active-directory domains describe DOMAIN_NAME
La risposta è YAML contenente informazioni sul dominio. Gli utenti delegati
il nome dell'account amministratore è indicato sotto managedIdentitiesAdminName
campo:
managedIdentitiesAdminName: setupadmin
Reimpostare la password
Se dimentichi la password dell'account di amministratore con delega, non puoi recuperare la password esistente. Tuttavia, puoi reimpostare la password.
Per reimpostare la password dell'account di amministratore delegato, devi disporre di uno dei seguenti ruoli IAM:
- Amministratore identità gestite da Google Cloud (
roles/managedidentities.admin
) - Amministratore domini delle identità gestite da Google Cloud (
roles/managedidentities.domainAdmin
)
Per ulteriori informazioni, vedi Ruoli delle identità gestite nel cloud.
Console
Nella console Google Cloud, vai alla pagina Managed Microsoft AD.
Vai a Microsoft Active Directory gestitoIn FQDN, seleziona il dominio per reimpostare l'amministratore con delega .
Nella pagina Dettagli dominio, seleziona Imposta password.
Nella finestra di dialogo Imposta password, fai clic su Conferma.
La nuova password viene visualizzata nella finestra di dialogo Nuova password.
gcloud
Esegui questo comando:
gcloud active-directory domains reset-admin-password DOMAIN_NAME
Questa operazione può richiedere fino a 60 secondi.
Disattiva scadenza della password
Per impostazione predefinita, la password dell'account di amministratore con delega scade dopo il giorno 42 giorni. Assicurati di cambiare la password prima che scada.
Puoi utilizzare i criteri di password granulari (FGPP) per disattivare la scadenza della password per l'account amministratore con delega. Con FGPP, puoi impostare il valore dell'impostazione del criterio Maximum password age
negli oggetti di impostazioni delle password (PSO) richiesti su "0" e applicare il criterio della password all'account amministratore delegato.
Per disabilitare la scadenza della password per il tuo account di amministratore con delega, devi essere un membro del gruppo Cloud Service Fine Grained Password Policy Administrators
.
Per aggiungere un utente a questo gruppo, esegui il seguente comando in PowerShell:
Sostituisci USER con il nome dell'utente da aggiungere al gruppoAdd-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators'
-Members USERCloud Service Fine Grained Password Policy Administrators
.Per saperne di più, consulta Delegare le autorizzazioni per la gestione dei criteri.
Esci dall'account di amministratore con delega.
Per disabilitare la scadenza della password per il tuo account di amministratore con delega, segui questi passaggi:
Accedi come membro del gruppo
Cloud Service Fine Grained Password Policy Administrators
.Per modificare il valore della proprietà
MaxPasswordAge
in "0", esegui questo comando in PowerShell: Sostituisci PSO con il nome del PSO in cui vuoi disattivare il criterio di scadenza della password utilizzando FGPP. Ad esempio:Set-ADFineGrainedPasswordPolicy -Identity PSO -MaxPasswordAge 0
PSO-10
.Per ulteriori informazioni sul cmdlet
Set-ADFineGrainedPasswordPolicy
, consulta Modificare un criterio per le password creato in precedenza.Per applicare il criterio della password all'account amministratore delegato, esegui il seguente comando in PowerShell:
Sostituisci quanto segue:Add-ADFineGrainedPasswordPolicySubject PSO -Subjects DELEGATED_ADMINISTRATOR_ACCOUNT
- PSO: nome del PSO in cui hai disabilitato il criterio per la scadenza della password. Ad esempio,
PSO-10
. - DELEGATED_ADMINISTRATOR_ACCOUNT: nome dell'account amministratore con delega per il quale vuoi disattivare la scadenza della password. Ad esempio,
setupadmin
.
Per ulteriori informazioni sul cmdlet
Add-ADFineGrainedPasswordPolicySubject
, vedi Aggiungere un utente o un gruppo a un criterio delle password.- PSO: nome del PSO in cui hai disabilitato il criterio per la scadenza della password. Ad esempio,
Utilizzo degli strumenti Active Directory Domain Services
Per accedere agli strumenti Active Directory Domain Services (AD DS), devi utilizzare la con delega di amministratore. Quando connetterti all'istanza VM, assicurati di accedere con l'account con delega di amministratore. Non puoi effettuare il passaggio dopo la connessione alla VM o fornire credenziali aggiuntive. Dopo il giorno connettendoti alla VM, puoi utilizzare la procedura guidata per l'aggiunta di ruoli e funzionalità per abilitare gli strumenti di AD DS. Scopri di più su come attivare gli strumenti AD DS.
Crea un suffisso UPN
I nomi del dominio corrente e del dominio principale sono i suffissi predefiniti del nome principale dell'utente (UPN). L'aggiunta di nomi di dominio alternativi offre una maggiore sicurezza e semplifica i nomi di accesso utente.
Per creare un suffisso UPN, completa i seguenti passaggi:
- Connettiti all'istanza VM all'account amministratore con delega.
- Apri Server Manager.
- Da Strumenti, seleziona Domini e attendibilità di Active Directory.
- Nella console di gestione Domini e attendibilità di Active Directory, Fai clic con il pulsante destro del mouse su Domini e attendibilità di Active Directory nel riquadro a sinistra e e seleziona Proprietà.
- Nella finestra di dialogo Suffissi UPN alternativi, digita il nome il nuovo suffisso UPN.
- Fai clic su Aggiungi, quindi su OK.
Quando aggiungi un nuovo account utente ad Active Directory, dovresti vedere il nuovo suffisso UPN disponibile nell'elenco durante l'impostazione del nome utente.