Halaman ini menunjukkan cara menggunakan akun administrator yang didelegasikan dan mengelola kredensialnya di Layanan Terkelola untuk Microsoft Active Directory.
Ringkasan
Saat Anda membuat domain Managed Microsoft AD, Managed Microsoft AD akan otomatis membuat akun administrator yang didelegasikan. Anda dapat menggunakan akun ini untuk mengelola domain. Setelah login ke akun ini, Anda dapat melakukan tugas berikut:
- Mengelola data dan objek Active Directory.
- Mengelola administrator layanan lainnya.
- Gunakan alat Active Directory standar.
Pelajari lebih lanjut hak yang otomatis diberikan ke akun administrator yang didelegasikan.
Mendapatkan nama akun
Secara default, akun administrator yang didelegasikan diberi nama setupadmin
. Setelah pembuatan domain, Anda tidak dapat mengubah nama pengguna. Anda dapat menentukan nama pengguna kustom hanya saat
membuat domain. Jika Anda menentukan nama pengguna kustom, pastikan Anda mengikuti konvensi penamaan
atribut
SAM-Account-Name.
Untuk mengambil nama akun administrator yang didelegasikan, selesaikan langkah-langkah berikut:
Konsol
- Di konsol Google Cloud , buka halaman Managed Microsoft AD.
Buka Microsoft AD Terkelola - Di bagian FQDN, pilih domain untuk mendapatkan nama akun administrator yang didelegasikan.
- Nama akun tercantum di bagian Nama admin.
gcloud
Jalankan perintah berikut:
gcloud active-directory domains describe DOMAIN_NAME
Responsnya adalah YAML yang berisi informasi tentang domain. Nama akun administrator yang didelegasikan tercantum di kolom managedIdentitiesAdminName
:
managedIdentitiesAdminName: setupadmin
Mereset sandi
Jika lupa sandi untuk akun administrator yang didelegasikan, Anda tidak dapat mengambil sandi yang ada. Namun, Anda dapat mereset sandi.
Untuk mereset sandi akun administrator yang didelegasikan, Anda harus memiliki salah satu peran IAM berikut:
- Google Cloud Admin Identitas Terkelola (
roles/managedidentities.admin
) - Google Cloud Managed Identities Domain Admin (
roles/managedidentities.domainAdmin
)
Untuk mengetahui informasi selengkapnya, lihat Peran Cloud Managed Identities.
Konsol
Di konsol Google Cloud , buka halaman Managed Microsoft AD.
Buka Microsoft AD TerkelolaDi bagian FQDN, pilih domain untuk mereset sandi administrator yang didelegasikan.
Di halaman Domain details, pilih Set Password.
Di dialog Setel sandi, klik Konfirmasi.
Sandi baru akan ditampilkan di dialog Sandi baru.
gcloud
Jalankan perintah berikut:
gcloud active-directory domains reset-admin-password DOMAIN_NAME
Operasi ini dapat memerlukan waktu hingga 60 detik untuk selesai.
Menonaktifkan masa berlaku sandi
Secara default, masa berlaku sandi untuk akun administrator yang didelegasikan akan berakhir setelah 42 hari. Pastikan Anda mengubah sandi sebelum masa berlakunya habis.
Anda dapat menggunakan kebijakan sandi terperinci (FGPP) untuk menonaktifkan masa berlaku sandi untuk akun administrator yang didelegasikan. Dengan FGPP, Anda dapat menetapkan nilai setelan kebijakan Maximum password age
di objek setelan sandi (PSO) yang diperlukan ke "0" dan menerapkan kebijakan sandi di akun administrator yang didelegasikan.
Untuk menonaktifkan masa berlaku sandi untuk akun administrator yang didelegasikan, Anda harus menjadi anggota grup Cloud Service Fine Grained Password Policy Administrators
.
Untuk menambahkan pengguna ke grup ini, jalankan perintah berikut di PowerShell:
Ganti USER dengan nama pengguna yang ingin Anda tambahkan ke grupAdd-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators'
-Members USERCloud Service Fine Grained Password Policy Administrators
.Untuk mengetahui informasi selengkapnya, lihat Mendelegasikan izin untuk mengelola kebijakan.
Logout dari akun administrator yang didelegasikan.
Untuk menonaktifkan masa berlaku sandi untuk akun administrator yang didelegasikan, lakukan langkah-langkah berikut:
Login sebagai anggota grup
Cloud Service Fine Grained Password Policy Administrators
.Untuk mengubah nilai properti
MaxPasswordAge
menjadi "0", jalankan perintah berikut di PowerShell: Ganti PSO dengan nama PSO tempat Anda ingin menonaktifkan kebijakan masa berlaku sandi menggunakan FGPP. Contohnya,Set-ADFineGrainedPasswordPolicy -Identity PSO -MaxPasswordAge 0
PSO-10
Untuk mengetahui informasi selengkapnya tentang cmdlet
Set-ADFineGrainedPasswordPolicy
, lihat Mengubah kebijakan sandi yang telah dibuat sebelumnya.Untuk menerapkan kebijakan sandi ke akun administrator yang didelegasikan, jalankan perintah berikut di PowerShell:
Ganti kode berikut:Add-ADFineGrainedPasswordPolicySubject PSO -Subjects DELEGATED_ADMINISTRATOR_ACCOUNT
- PSO: Nama PSO tempat Anda menonaktifkan kebijakan masa berlaku sandi. Contoh,
PSO-10
. - DELEGATED_ADMINISTRATOR_ACCOUNT: Nama akun administrator yang didelegasikan yang masa berlaku sandinya ingin Anda nonaktifkan. Contoh,
setupadmin
.
Untuk mengetahui informasi selengkapnya tentang cmdlet
Add-ADFineGrainedPasswordPolicySubject
, lihat Menambahkan pengguna atau grup ke kebijakan sandi.- PSO: Nama PSO tempat Anda menonaktifkan kebijakan masa berlaku sandi. Contoh,
Menggunakan alat Layanan Domain Active Directory
Untuk mengakses alat Layanan Domain Active Directory (AD DS), Anda harus menggunakan akun administrator yang didelegasikan. Saat Anda terhubung ke instance VM, pastikan untuk login dengan akun administrator yang didelegasikan. Anda tidak dapat beralih akun setelah terhubung ke VM atau memberikan kredensial tambahan. Setelah terhubung ke VM, Anda dapat menggunakan Wizard Tambahkan Peran dan Fitur untuk mengaktifkan alat AD DS. Pelajari lebih lanjut cara mengaktifkan alat AD DS.
Membuat akhiran UPN
Nama domain saat ini dan domain root adalah akhiran nama utama pengguna (UPN) default. Menambahkan nama domain alternatif akan memberikan keamanan tambahan dan menyederhanakan nama login pengguna.
Untuk membuat akhiran UPN, selesaikan langkah-langkah berikut:
- Hubungkan ke instance VM dengan akun administrator yang didelegasikan.
- Buka Server Manager.
- Dari Tools, pilih Active Directory Domains and Trusts.
- Di konsol pengelolaan Active Directory Domains and Trusts, klik kanan Active Directory Domains and Trusts di panel kiri, lalu pilih Properties.
- Di kotak dialog, di kotak Alternate UPN suffixes, ketik nama akhiran UPN baru.
- Klik Tambahkan, lalu klik OK.
Saat menambahkan akun pengguna baru ke Active Directory, Anda akan melihat akhiran UPN baru yang tersedia dalam daftar saat menetapkan nama pengguna.