Vous trouverez sur cette page des réponses aux questions fréquentes concernant le service géré pour Microsoft Active Directory de Google Cloud.
Quel compte utilisateur puis-je utiliser pour administrer le service Microsoft AD géré ?
Lorsque vous créez un domaine, le service Microsoft AD géré crée automatiquement un compte administrateur délégué. Vous pouvez utiliser ce compte utilisateur pour gérer les objets Active Directory dans votre domaine. Le compte administrateur délégué ne dispose pas des autorisations "Administrateur de domaine" et "Administrateur d'entreprise", car le service Microsoft AD géré est un service géré et Google se réserve le droit d'utiliser ces autorisations.
Quelles sont les capacités d'un compte administrateur délégué ?
Le compte administrateur délégué est autorisé à effectuer une liste spécifique d'activités d'administration pour gérer les objets Active Directory. Le compte administrateur délégué ne dispose pas des autorisations nécessaires pour effectuer d'autres activités d'administration. Par exemple, un administrateur délégué ne peut pas créer ni gérer les stratégies au niveau du domaine, ni effectuer de tâches administratives telles que la sauvegarde et la restauration de domaines, ainsi que l'extension du schéma à l'aide des outils AD standards. Pour en savoir plus, consultez la section Administrateur délégué.
Toutefois, vous pouvez utiliser ces fonctionnalités via le service Microsoft AD géré. Tout utilisateur disposant des autorisations nécessaires pour sauvegarder et restaurer un domaine, ainsi que pour étendre le schéma peut lancer ces tâches.
Comment gérer les unités organisationnelles (UO) ?
Lorsque vous créez un domaine, le service Microsoft AD géré crée automatiquement les UO Cloud
et Cloud Service Objects
, ainsi que d'autres objets Active Directory par défaut. Pour en savoir plus sur la gestion de ces objets, consultez la page Gérer les objets Active Directory.
Comment gérer les objets de stratégie de groupe (GPO) ?
Par défaut, le service Microsoft AD géré crée le GPO Cloud Service Default
Computer Policy
avec d'autres objets Active Directory par défaut et l'associe à l'UO Cloud
. Si vous avez besoin d'un GPO supplémentaire, vous pouvez créer des GPO personnalisés et les ajouter à l'UO Cloud
ou à toute autre UO personnalisée que vous avez créée sous l'UO Cloud
. Pour en savoir plus sur la gestion de ces objets, consultez la page Gérer les objets Active Directory.
Comment les contrôleurs de domaine sont-ils déployés ?
Le service Microsoft AD géré crée des contrôleurs de domaine en tant que VM dans des réseaux cloud privé virtuel (VPC) dédiés. Le service Microsoft AD géré connecte ensuite les réseaux VPC du contrôleur de domaine à vos autres réseaux VPC existants à l'aide de l'appairage de réseaux VPC.
Pour en savoir plus, consultez Déployer une forêt de ressources Active Directory.
Quelles sont les versions compatibles de Windows et de Linux que je peux associer à un domaine ?
Pour en savoir plus sur les versions de Windows et de Linux compatibles que vous pouvez associer à un domaine, consultez la section Versions d'OS compatibles.
Lorsque je crée un domaine Microsoft AD géré, comment sélectionner la plage d'adresses IP appropriée ?
Le service Microsoft AD géré nécessite au minimum une plage CIDR RFC 1918 privée de /24, telle que 10.1.0.0/24
, qui ne correspond pas déjà à un sous-réseau de votre réseau VPC autorisé.
Pour en savoir plus, consultez la section Sélectionner des plages d'adresses IP.
Où puis-je consulter les journaux des événements pour les contrôleurs de domaine ?
Vous pouvez afficher les journaux des événements pour les contrôleurs de domaine en configurant la journalisation d'audit pour le domaine.
À quoi dois-je m'attendre lors de la maintenance d'un contrôleur de domaine ? Y a-t-il des temps d'arrêt pendant la maintenance ?
Le service Microsoft AD géré garantit qu'au moins deux contrôleurs de domaine sont exécutés dans chaque région pour un domaine dans différentes zones de disponibilité. Ainsi, le domaine reste disponible pendant l'application des correctifs. Pour en savoir plus, consultez la section Appliquer des correctifs.
Quel est le calendrier pour appliquer les correctifs de sécurité aux contrôleurs de domaine ?
Le service Microsoft AD géré cible des délais différents pour appliquer différents types de correctifs aux contrôleurs de domaine. Pour en savoir plus, consultez la section Appliquer des correctifs à la programmation.
Puis-je restaurer mes données Active Directory après une défaillance ?
Le service Microsoft AD géré est compatible avec les sauvegardes à la demande et automatiques de votre domaine. Vous pouvez utiliser n'importe lequel de ces types de sauvegarde pour effectuer une restauration faisant autorité, ce qui renvoie le domaine à un moment antérieur. Pour en savoir plus, consultez la page Sauvegarder et restaurer votre domaine.
Puis-je étendre le schéma Active Directory ?
Oui, vous pouvez étendre le schéma Active Directory de votre domaine Microsoft AD géré. Pour en savoir plus, consultez À propos de l'extension de schéma.
Quel serveur de temps les contrôleurs de domaine du service Microsoft AD géré utilisent-ils ?
Les contrôleurs de domaine du service Microsoft AD géré synchronisent leur heure avec le serveur de temps metadata.google.internal
. Pour en savoir plus, consultez la section Configurer NTP sur une VM.
Dois-je créer un projet distinct pour chaque domaine Microsoft AD géré ?
Non, vous n'avez pas besoin de projets Google Cloud distincts. Par défaut, vous pouvez créer deux domaines indépendants dans le même projet. Contactez l'assistance pour augmenter le nombre de domaines indépendants que vous pouvez créer dans le même projet.