このページでは、Google Cloud の Managed Service for Microsoft Active Directory についてよく寄せられる質問への回答を紹介します。
Managed Microsoft AD の管理に使用できるユーザー アカウント
新しいドメインを作成すると、Managed Microsoft AD によって委任された管理者アカウントが自動的に作成されます。このユーザー アカウントを使用して、ドメイン内の Active Directory オブジェクトを管理できます。委任された管理者アカウントには、ドメイン管理者とエンタープライズ管理者の権限がありません。これは、Managed Microsoft AD がマネージド サービスであり、Google がこれらの権限を使用する権限を有しているためです。
委任された管理者アカウントの機能
委任された管理者アカウントには、Active Directory オブジェクトを管理するための特定の管理アクティビティを実行する権限があります。委任された管理者アカウントには、他の管理作業を行う権限がありません。たとえば、委任された管理者は、ドメインレベルのポリシーを作成して管理することはできません。また、標準の AD ツールを使用してドメインのバックアップと復元、スキーマの拡張などの管理タスクを実行することもできません。詳細については、委任された管理者をご覧ください。
ただし、これらの機能は Managed Microsoft AD で使用できます。ドメインのバックアップと復元、スキーマの拡張に必要な権限を持つすべてのユーザーが、これらのタスクを開始できます。
組織部門(OU)を管理するにはどうすればよいですか?
新しいドメインを作成すると、Managed Microsoft AD は、他のデフォルトの Active Directory オブジェクトとともに、Cloud
OU と Cloud Service Objects
OU を自動的に作成します。これらのオブジェクトの管理の詳細については、Active Directory オブジェクトを管理するをご覧ください。
グループ ポリシー オブジェクト(GPO)を管理するにはどうすればよいですか?
デフォルトで、Managed Microsoft AD は Cloud Service Default
Computer Policy
GPO とその他のデフォルト Active Directory オブジェクトを作成し、それを Cloud
OU にリンクします。追加の GPO が必要な場合は、カスタム GPO を作成して、Cloud
OU または Cloud
OU の下に作成した他のカスタム OU に追加できます。これらのオブジェクトの管理の詳細については、Active Directory オブジェクトを管理するをご覧ください。
ドメイン コントローラはどのようにデプロイされますか?
Managed Microsoft AD は、専用の Virtual Private Cloud(VPC)ネットワークに VM としてドメイン コントローラを作成します。次に、マネージド Microsoft AD は、VPC ネットワーク ピアリングを使用して、ドメイン コントローラの VPC ネットワークを他の既存の VPC ネットワークに接続します。
詳細については、Active Directory リソース フォレストをデプロイするをご覧ください。
ドメインに参加できる Windows と Linux のサポートされているバージョンを教えてください。
ドメインに参加できるサポートされている Windows バージョンと Linux バージョンについては、対応している OS のバージョンをご覧ください。
新しい Managed Microsoft AD ドメインを作成するときに、適切な IP アドレス範囲を選択するにはどうすればよいですか?
Managed Microsoft AD には、承認済み VPC ネットワークのサブネットではない、少なくとも /24 のプライベート RFC 1918 CIDR 範囲(10.1.0.0/24
など)が必要です。
詳細については、IP アドレス範囲を選択するをご覧ください。
ドメイン コントローラのイベントログはどこで確認できますか?
ドメイン コントローラのイベントログを表示するには、ドメインの監査ロギングを設定します。
ドメイン コントローラのメンテナンス時には何が起こりますか?メンテナンス中にダウンタイムは発生しますか?
マネージド Microsoft AD では、異なるアベイラビリティ ゾーンにあるドメインに対して、各リージョンで少なくとも 2 つのドメイン コントローラが実行されます。そのため、パッチ適用中もドメインは使用できます。詳細については、パッチ適用をご覧ください。
ドメイン コントローラにセキュリティ パッチを適用するスケジュールはどのようなものですか?
Managed Microsoft AD は、異なるタイムラインをターゲットに設定して、ドメイン コントローラにさまざまなタイプのパッチを適用します。詳細については、パッチ適用スケジュールをご覧ください。
障害発生後に Active Directory データを復元できますか?
マネージド Microsoft AD は、ドメインのオンデマンド バックアップと自動バックアップをサポートしています。これらのバックアップ タイプのいずれかを使用して、信頼できる復元を実行し、ドメインを以前の時点に戻すことができます。詳細については、ドメインをバックアップして復元するをご覧ください。
Active Directory スキーマを拡張できますか?
はい。マネージド Microsoft AD ドメインの Active Directory スキーマを拡張できます。詳細については、スキーマ拡張機能についてをご覧ください。
Managed Microsoft AD のドメイン コントローラはどの時刻サーバーを使用しますか?
Managed Microsoft AD のドメイン コントローラは、metadata.google.internal
時刻サーバーとの時刻を同期します。詳細については、VM で NTP を構成するをご覧ください。
Managed Microsoft AD ドメインごとに個別のプロジェクトを作成する必要がありますか?
いいえ、個別の Google Cloud プロジェクトは必要ありません。デフォルトでは、同じプロジェクトに 2 つの独立したドメインを作成できます。同じプロジェクトで作成できる独立したドメインの数を増やすには、サポートにお問い合わせください。