使用委派管理员帐号

使用集合让一切井井有条 根据您的偏好保存内容并对其进行分类。

本主题介绍如何使用 Managed Service for Microsoft Active Directory 委派管理员帐号并管理其凭据。

概览

当您创建受管理的 Microsoft AD 网域时,代管式 Microsoft AD 会自动创建委派管理员帐号。您可以使用此帐号来管理该网域。登录此帐号后,您可以:

  • 管理数据和 Active Directory 对象。
  • 管理其他服务管理员。
  • 使用标准的 Active Directory 工具。

详细了解自动授予委派的管理员帐号的权利

获取帐号名称

委派管理员帐号默认命名为 setupadmin。您也可以在创建网域时指定自定义用户名。创建网域后,您将无法更改用户名。

要检索委派管理员帐号的名称,请执行以下操作:

控制台

  1. 转到 Google Cloud 控制台中的 Managed Microsoft AD 页面。
    转到 Managed Microsoft AD
  2. FQDN 下,选择要获取其委派管理员帐号名称的网域。
  3. 该帐号名称列在管理员名称下。

gcloud

运行以下命令:

gcloud active-directory domains describe DOMAIN_NAME

响应为包含网域相关信息的 YAML。委派管理员帐号名称在 managedIdentitiesAdminName 字段下列出:

managedIdentitiesAdminName: setupadmin

重置密码

如果您忘记委派的管理员帐号的密码,则无法找回现有密码。不过,您可以重置密码。

如需重置委派的管理员帐号的密码,您必须拥有以下任一 IAM 角色:

  • Google Cloud Managed Identities 管理员 (roles/managedidentities.admin)
  • Google Cloud Managed Identities 网域管理员 (roles/managedidentities.domainAdmin)

如需了解详情,请参阅 Cloud Managed Identities 角色

控制台

  1. 转到 Google Cloud 控制台中的 Managed Microsoft AD 页面。
    转到 Managed Microsoft AD

  2. FQDN 下,选择要为其重置委派管理员密码的网域。

  3. 网域详情页面上,选择设置密码

  4. 设置密码对话框中,点击确认

  5. 新密码将显示在新密码对话框中。

gcloud

运行以下命令:

gcloud active-directory domains reset-admin-password DOMAIN_NAME

由于此操作会在网域本身内部重置密码,因此最多可能需要 60 秒才能完成。

停用密码失效设置

默认情况下,委派管理员帐号的密码会在 42 天后过期。

您可以使用细化密码政策 (FGPP) 为委派的管理员帐号停用密码有效期。使用 FGPP,您可以将所需的密码设置对象 (PSO) 中 Maximum password age 政策设置的值设为“0”,并对委派的管理员帐号强制执行密码政策。

要停用委派管理员帐号的密码有效期,您必须是 Cloud Service Fine Grained Password Policy Administrator 群组的成员。

  1. 如需将用户添加到该群组,请在 PowerShell 中运行以下命令:

    Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' 
    
 -Members USER
    USER 替换为您要添加到 Cloud Service Fine Grained Password Policy Administrator 群组的用户的名称。

    如需了解详情,请参阅授予管理政策的权限

  2. 从委派的管理员帐号退出。

要停用委派管理员帐号的密码有效期,请执行以下操作:

  1. 以 Cloud Service Fine Grained Password Policy Administrator 群组的成员身份登录。

  2. 在 PowerShell 中运行以下命令,将 MaxPasswordAge 属性的值修改为“0”:

    Set-ADFineGrainedPasswordPolicy -Identity PSO -MaxPasswordAge 0
    PSO 替换为您想使用 FGPP 停用密码到期政策的 PSO 的名称。例如 PSO-10

    如需详细了解 Set-ADFineGrainedPasswordPolicy cmdlet,请参阅修改预先创建的密码政策

  3. 在 PowerShell 中运行以下命令,将密码政策应用到您的委派管理员帐号: 

    Add-ADFineGrainedPasswordPolicySubject PSO -Subjects DELEGATED_ADMINISTRATOR_ACCOUNT
    请替换以下内容:

    • PSO:您已停用密码有效期政策的 PSO 的名称。例如 PSO-10
    • DELEGATED_ADMINISTRATOR_ACCOUNT:您要停用密码失效的委派管理员帐号的名称。例如 setupadmin

    如需详细了解 Add-ADFineGrainedPasswordPolicySubject cmdlet,请参阅将用户或群组添加到密码政策

使用 Active Directory 网域服务工具

要访问 Active Directory 网域服务 (AD DS) 工具,您必须使用委派管理员帐号。连接到虚拟机实例时,请确保使用委派管理员帐号登录。连接到虚拟机后,您将无法切换帐号或提供其他凭据。连接到虚拟机后,您可以使用 Add Roles and Features 向导来启用 AD DS 工具。详细了解启用 AD DS 工具

创建 UPN 后缀

当前网域和根网域的名称是默认用户主体名称 (UPN) 后缀。添加备用域名可提供更高的安全性并简化用户登录名。

要创建 UPN 后缀,请执行以下操作:

  1. 使用委派管理员帐号连接到虚拟机实例
  2. 打开 Server Manager
  3. Tools 中选择 Active Directory Domains and Trusts
  4. Active Directory Domains and Trusts 管理控制台中,右键点击左侧窗格中的 Active Directory Domains and Trusts,然后选择 Properties
  5. 在对话框中,在 Alternate UPN suffixes 框中,键入新的 UPN 后缀的名称。
  6. 点击 Add,然后点击 OK

当您将新的用户帐号添加到 Active Directory,设置用户名时,列表中应该会显示新的 UPN 后缀。