Usar la cuenta de administrador delegada

En esta página se explica cómo usar la cuenta de administrador delegado y gestionar sus credenciales en el servicio gestionado para Microsoft Active Directory.

Información general

Cuando creas un dominio de Microsoft AD gestionado, Microsoft AD gestionado crea automáticamente una cuenta de administrador delegado. Puedes usar esta cuenta para gestionar el dominio. Después de iniciar sesión en esta cuenta, puedes hacer lo siguiente:

  • Gestionar datos y objetos de Active Directory.
  • Gestionar otros administradores de servicios.
  • Usa las herramientas estándar de Active Directory.

Más información sobre los derechos que se conceden automáticamente a la cuenta de administrador delegado

Obtener el nombre de la cuenta

De forma predeterminada, la cuenta de administrador delegada se llama setupadmin. Después de crear el dominio, no podrás cambiar el nombre de usuario. Solo puedes especificar un nombre de usuario personalizado cuando creas un dominio. Si especificas un nombre de usuario personalizado, asegúrate de seguir las convenciones de nomenclatura del atributo SAM-Account-Name.

Para obtener el nombre de la cuenta de administrador delegado, sigue estos pasos:

Consola

  1. En la consola de Google Cloud , ve a la página Microsoft AD gestionado.
    Ir a Microsoft AD gestionado
  2. En FQDN (Nombre de dominio completo), selecciona el dominio para obtener el nombre de la cuenta de administrador delegado.
  3. El nombre de la cuenta se indica en Nombre de administrador.

gcloud

Ejecuta el siguiente comando:

gcloud active-directory domains describe DOMAIN_NAME

La respuesta es un archivo YAML que contiene información sobre el dominio. El nombre de la cuenta de administrador delegado se muestra en el campo managedIdentitiesAdminName:

managedIdentitiesAdminName: setupadmin

Cambiar la contraseña

Si olvidas la contraseña de la cuenta de administrador delegado, no podrás recuperarla. Sin embargo, puedes restablecer la contraseña.

Para restablecer la contraseña de la cuenta de administrador delegado, debes tener uno de los siguientes roles de gestión de identidades y accesos:

  • Google Cloud Administrador de identidades gestionadas (roles/managedidentities.admin)
  • Google Cloud Administrador de dominios de identidades gestionadas (roles/managedidentities.domainAdmin)

Para obtener más información, consulta Roles de identidades gestionadas en la nube.

Consola

  1. En la consola de Google Cloud , ve a la página Microsoft AD gestionado.
    Ir a Microsoft AD gestionado

  2. En FQDN, selecciona el dominio para el que quieras restablecer la contraseña del administrador delegado.

  3. En la página Domain details (Detalles del dominio), selecciona Set Password (Establecer contraseña).

  4. En el cuadro de diálogo Definir contraseña, haz clic en Confirmar.

  5. La nueva contraseña se muestra en el cuadro de diálogo Nueva contraseña.

gcloud

Ejecuta el siguiente comando:

gcloud active-directory domains reset-admin-password DOMAIN_NAME

Esta operación puede tardar hasta 60 segundos en completarse.

Inhabilitar la caducidad de la contraseña

De forma predeterminada, la contraseña de la cuenta de administrador delegado caduca al cabo de 42 días. Asegúrate de cambiar la contraseña antes de que caduque.

Puedes usar políticas de contraseñas detalladas (FGPP) para inhabilitar la caducidad de la contraseña de la cuenta de administrador delegada. Con FGPP, puedes definir el valor del ajuste de política Maximum password age en los objetos de configuración de contraseñas (PSO) necesarios como "0" y aplicar la política de contraseñas a la cuenta de administrador delegado.

Para inhabilitar la caducidad de la contraseña de tu cuenta de administrador delegado, debes ser miembro del grupo Cloud Service Fine Grained Password Policy Administrators.

  1. Para añadir un usuario a este grupo, ejecuta el siguiente comando en PowerShell: 

    Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' 
    
 -Members USER
    Sustituye USER por el nombre del usuario que quieras añadir al grupo Cloud Service Fine Grained Password Policy Administrators.

    Para obtener más información, consulta el artículo Delegar permisos para gestionar políticas.

  2. Cierra la sesión de la cuenta de administrador delegada.

Para inhabilitar la caducidad de la contraseña de tu cuenta de administrador delegado, sigue estos pasos:

  1. Inicia sesión como miembro del grupo Cloud Service Fine Grained Password Policy Administrators.

  2. Para modificar el valor de la propiedad MaxPasswordAge a "0", ejecuta el siguiente comando en PowerShell: 

    Set-ADFineGrainedPasswordPolicy -Identity PSO -MaxPasswordAge 0
    Sustituye PSO por el nombre del PSO en el que quieras inhabilitar la política de caducidad de contraseñas mediante FGPP. Por ejemplo, PSO-10.

    Para obtener más información sobre el cmdlet Set-ADFineGrainedPasswordPolicy, consulta Modificar una política de contraseñas creada previamente.

  3. Para aplicar la política de contraseñas a tu cuenta de administrador delegado, ejecuta el siguiente comando en PowerShell: 

    Add-ADFineGrainedPasswordPolicySubject PSO -Subjects DELEGATED_ADMINISTRATOR_ACCOUNT
    Sustituye lo siguiente:

    • PSO: Nombre del PSO en el que has inhabilitado la política de vencimiento de contraseñas. Por ejemplo, PSO-10.
    • DELEGATED_ADMINISTRATOR_ACCOUNT: nombre de la cuenta de administrador delegado para la que quieres inhabilitar la caducidad de la contraseña. Por ejemplo, setupadmin.

    Para obtener más información sobre el cmdlet Add-ADFineGrainedPasswordPolicySubject, consulta Añadir un usuario o un grupo a una política de contraseñas.

Usar las herramientas de Servicios de dominio de Active Directory

Para acceder a las herramientas de Servicios de dominio de Active Directory (AD DS), debes usar la cuenta de administrador delegado. Cuando te conectes a la instancia de VM, asegúrate de iniciar sesión con la cuenta de administrador delegado. No puedes cambiar de cuenta ni proporcionar credenciales adicionales después de conectarte a la VM. Después de conectarte a la VM, puedes usar el Asistente para agregar roles y características para habilitar las herramientas de AD DS. Consulta más información sobre cómo habilitar las herramientas de AD DS.

Crear un sufijo UPN

Los nombres del dominio actual y del dominio raíz son los sufijos predeterminados del nombre principal de usuario (UPN). Añadir nombres de dominio alternativos proporciona seguridad adicional y simplifica los nombres de inicio de sesión de los usuarios.

Para crear un sufijo UPN, sigue estos pasos:

  1. Conéctate a la instancia de VM con la cuenta de administrador delegado.
  2. Abre Administrador del servidor.
  3. En Herramientas, selecciona Dominios y relaciones de confianza de Active Directory.
  4. En la consola de administración Dominios y relaciones de confianza de Active Directory, haz clic con el botón derecho en Dominios y relaciones de confianza de Active Directory en el panel de la izquierda y, a continuación, selecciona Propiedades.
  5. En el cuadro de diálogo, en el cuadro Sufijos de UPN alternativos, escribe el nombre del nuevo sufijo de UPN.
  6. Haz clic en Añadir y, a continuación, en Aceptar.

Cuando añadas una nueva cuenta de usuario a Active Directory, deberías ver el nuevo sufijo de UPN en la lista al configurar el nombre de usuario.