このページでは、委任された管理者アカウントを使用して、Managed Service for Microsoft Active Directory で認証情報を管理する方法について説明します。
概要
Managed Microsoft AD ドメインを作成すると、委任された管理者アカウントが Managed Microsoft AD により自動的に作成されます。このアカウントを使用してドメインを管理できます。 このアカウントにログインすると、次のことができるようになります。
- データ オブジェクトと Active Directory オブジェクトを管理する
- 他のサービス管理者を管理する
- 標準の Active Directory ツールを使用する
詳細については、委任された管理者アカウントに自動的に付与される権限をご覧ください。
アカウント名を取得する
デフォルトでは、委任された管理者アカウントの名前は setupadmin
です。ドメインの作成後にはユーザー名を変更することはできません。カスタム ユーザー名は、ドメインを作成するときにのみ指定できます。カスタム ユーザー名を指定する場合は、SAM-Account-Name 属性の命名規則に従ってください。
委任された管理者アカウントの名前を取得する手順は次のとおりです。
コンソール
- Google Cloud コンソールで、[マネージド Microsoft AD] ページに移動します。
[マネージド Microsoft AD] に移動 - [FQDN] から、委任された管理者アカウント名を取得するドメインを選択します。
- アカウント名は [管理者名] の下に表示されています。
gcloud
次のコマンドを実行します。
gcloud active-directory domains describe DOMAIN_NAME
レスポンスは、ドメインに関する情報を含む YAML です。委任された管理者アカウント名は、managedIdentitiesAdminName
フィールドの下に表示されています。
managedIdentitiesAdminName: setupadmin
パスワードをリセットする
委任された管理者アカウントのパスワードを忘れた場合、既存のパスワードを取得することはできません。ただし、パスワードのリセットはできます。
委任された管理者アカウントのパスワードをリセットするには、次のいずれかの IAM ロールを付与されている必要があります。
- Google Cloud Managed Identities 管理者(
roles/managedidentities.admin
) - Google Cloud Managed Identities ドメイン管理者(
roles/managedidentities.domainAdmin
)
詳細については、Cloud Managed Identities のロールをご覧ください。
コンソール
Google Cloud コンソールで、[マネージド Microsoft AD] ページに移動します。
[マネージド Microsoft AD] に移動[FQDN] から、委任された管理者のパスワードをリセットするドメインを選択します。
[ドメインの詳細] ページで、[パスワードを設定] を選択します。
[パスワードを設定] ダイアログで、[確認] をクリックします。
新しいパスワードが [新しいパスワード] ダイアログに表示されます。
gcloud
次のコマンドを実行します。
gcloud active-directory domains reset-admin-password DOMAIN_NAME
このオペレーションが完了するまでに 60 秒ほどかかることがあります。
パスワードの有効期限を無効にする
デフォルトでは、委任された管理者アカウントのパスワードは 42 日後に期限切れになります。有効期限が切れる前にパスワードを変更するようにしてください。
細かい設定が可能なパスワード ポリシー(FGPP)を使用すると、委任された管理者アカウントのパスワードの有効期限を無効にできます。FGPP を使用すると、必要なパスワード設定オブジェクト(PSO)の Maximum password age
ポリシー設定の値を「0」に設定し、委任された管理者アカウントにパスワード ポリシーを適用できます。
委任された管理者アカウントのパスワードの有効期限を無効にするには、Cloud Service Fine Grained Password Policy Administrators
グループのメンバーである必要があります。
このグループにユーザーを追加するには、PowerShell で次のコマンドを実行します。
USER は、Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators'
-Members USERCloud Service Fine Grained Password Policy Administrators
グループに追加するユーザーの名前に置き換えます。詳細については、ポリシーを管理する権限を委任するをご覧ください。
委任された管理者アカウントからログアウトします。
委任された管理者アカウントのパスワードの有効期限を無効にするには、次の手順に従います。
Cloud Service Fine Grained Password Policy Administrators
グループのメンバーとしてログインします。MaxPasswordAge
プロパティの値を「0」に変更するには、PowerShell で次のコマンドを実行します。 PSO は、FGPP を使用して、パスワードの有効期限ポリシーを無効にする PSO の名前に置き換えます。例:Set-ADFineGrainedPasswordPolicy -Identity PSO -MaxPasswordAge 0
PSO-10
。Set-ADFineGrainedPasswordPolicy
コマンドレットの詳細については、事前に作成されたパスワード ポリシーを変更するをご覧ください。委任された管理者アカウントにパスワード ポリシーを適用するには、PowerShell で次のコマンドを実行します。
次のように置き換えます。Add-ADFineGrainedPasswordPolicySubject PSO -Subjects DELEGATED_ADMINISTRATOR_ACCOUNT
- PSO: パスワードの有効期限ポリシーを無効にした PSO の名前。例:
PSO-10
。 - DELEGATED_ADMINISTRATOR_ACCOUNT: パスワードの有効期限を無効にする委任された管理者アカウントの名前。例:
setupadmin
Add-ADFineGrainedPasswordPolicySubject
コマンドレットの詳細については、パスワード ポリシーにユーザーまたはグループを追加するをご覧ください。- PSO: パスワードの有効期限ポリシーを無効にした PSO の名前。例:
Active Directory Domain Services ツールの使用
Active Directory ドメイン サービス(AD DS)ツールにアクセスするには、委任された管理者アカウントを使用する必要があります。VM インスタンスに接続するときには、委任された管理者アカウントでログインしてください。VM への接続後にアカウントを切り替えたり、追加の認証情報を提供したりすることはできません。VM に接続したら、ロールと機能の追加ウィザードを使用して AD DS ツールを有効にできます。詳しくは、AD DS ツールの有効化をご覧ください。
UPN サフィックスを作成する
現在のドメインとルートドメインの名前は、デフォルトのユーザー プリンシパル名(UPN)サフィックスです。代替のドメイン名を追加すると、セキュリティが強化され、ユーザーのログイン名が簡略化されます。
UPN サフィックスを作成するには、次の操作を行います。
- 委任された管理者アカウントで VM インスタンスに接続します。
- [サーバー マネージャー] を開きます。
- [ツール] から、[Active Directory Domains and Trusts] を選択します。
- [Active Directory Domains and Trusts] 管理コンソールで、左側のペインで [Active Directory Domains and Trusts] を右クリックし、[プロパティ] を選択します。
- ダイアログ ボックスの [Alternate UPN suffixes] ボックスに、新しい UPN サフィックスの名前を入力します。
- [追加] をクリックして、[OK] をクリックします。
Active Directory に新しいユーザー アカウントを追加すると、ユーザー名を設定するときに、リストに利用可能な新しい UPN サフィックスが表示されます。