Utilizza account amministratore con delega

Questa pagina mostra come utilizzare l'account di amministratore con delega e gestirne le credenziali in Managed Service for Microsoft Active Directory.

Panoramica

Quando crei un dominio Microsoft AD gestito, Microsoft Active Directory gestito crea automaticamente un account amministratore con delega. Puoi utilizzare questo account per gestire il dominio. Dopo aver eseguito l'accesso all'account, puoi eseguire le seguenti attività:

• Gestire i dati e gli oggetti di Active Directory.
• Gestire altri amministratori del servizio.
• Utilizzare gli strumenti standard di Active Directory.

Scopri di più sui diritti concessi automaticamente all'account amministratore con delega.

Recupera nome account

Per impostazione predefinita, l'account con delega di amministratore è denominato setupadmin. Dopo la creazione del dominio, non puoi più modificare il nome utente. Puoi specificare un nome utente personalizzato solo quando crei un dominio. Se specifichi un nome utente personalizzato, assicurati di seguire le convenzioni di denominazione dell'attributo SAM-Account-Name.

Per recuperare il nome dell'account con delega di amministratore, completa i seguenti passaggi:

gcloud active-directory domains describe DOMAIN_NAME

managedIdentitiesAdminName: setupadmin

Reimpostare la password

Se dimentichi la password dell'account con delega di amministratore, non puoi recuperare la password esistente. Tuttavia, puoi reimpostare la password.

Per reimpostare la password dell'account amministratore con delega, devi disporre di uno dei seguenti ruoli IAM:

• Amministratore identità gestite da Google Cloud (roles/managedidentities.admin)
• Amministratore domini identità gestite da Google Cloud (roles/managedidentities.domainAdmin)

Per maggiori informazioni, consulta Ruoli relativi alle identità gestite nel cloud.

gcloud active-directory domains reset-admin-password DOMAIN_NAME

Questa operazione può richiedere fino a 60 secondi.

Disattiva scadenza password

Per impostazione predefinita, la password dell'account con delega di amministratore scade dopo 42 giorni. Assicurati di cambiare la password prima che scada.

Puoi utilizzare i criteri per le password granulari (FGPP) per disattivare la scadenza della password per l'account amministratore con delega. Con FGPP, puoi impostare il valore dell'impostazione dei criteri Maximum password age negli oggetti delle impostazioni della password (PSO) richiesti su "0" e applicare il criterio per le password all'account amministratore con delega.

Per disattivare la scadenza della password per l'account con delega di amministratore, devi essere un membro del gruppo Cloud Service Fine Grained Password Policy Administrators.

1. Per aggiungere un utente a questo gruppo, esegui il comando seguente in PowerShell:

   Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' 
   
    -Members USER
   

   Sostituisci USER con il nome dell'utente che vuoi aggiungere al gruppo Cloud Service Fine Grained Password Policy Administrators.

   Per saperne di più, vedi Delegare le autorizzazioni per gestire i criteri.

2. Esci dall'account dell'amministratore con delega.

Per disattivare la scadenza della password per l'account con delega di amministratore:

1. Accedi come membro del gruppo Cloud Service Fine Grained Password Policy Administrators.

2. Per modificare il valore della proprietà MaxPasswordAge in "0", esegui il comando seguente in PowerShell:

   Set-ADFineGrainedPasswordPolicy -Identity PSO -MaxPasswordAge 0
   

   Sostituisci PSO con il nome del PSO in cui vuoi disattivare il criterio di scadenza della password utilizzando FGPP. Ad esempio, PSO-10.

   Per ulteriori informazioni sul cmdlet Set-ADFineGrainedPasswordPolicy, consulta Modificare un criterio della password precreato.

3. Per applicare il criterio per le password all'account di amministratore con delega, esegui il seguente comando in PowerShell:

   Add-ADFineGrainedPasswordPolicySubject PSO -Subjects DELEGATED_ADMINISTRATOR_ACCOUNT
   

   Sostituisci quanto segue:
   • PSO: nome del PSO in cui hai disattivato il criterio di scadenza della password. Ad esempio, PSO-10.
   • DELEGATED_ADMINISTRATOR_ACCOUNT: nome dell'account amministratore con delega per il quale vuoi disattivare la scadenza della password. Ad esempio, setupadmin.

   Per ulteriori informazioni sul cmdlet Add-ADFineGrainedPasswordPolicySubject, consulta Aggiungere un utente o un gruppo a un criterio per le password.

Utilizzo degli strumenti dei Servizi di dominio di Active Directory

Per accedere agli strumenti di Active Directory Domain Services (AD DS), devi utilizzare l'account amministratore delegato. Quando ti connetti all'istanza VM, assicurati di accedere con l'account amministratore con delega. Non puoi cambiare account dopo aver eseguito la connessione alla VM o fornire credenziali aggiuntive. Dopo aver effettuato la connessione alla VM, puoi utilizzare la procedura guidata per l'aggiunta di ruoli e funzionalità per attivare gli strumenti di AD DS. Scopri di più sull'attivazione degli strumenti di AD DS.

Crea un suffisso UPN

I nomi del dominio attuale e del dominio principale sono i suffissi UPN (User Principal Name) predefiniti. L'aggiunta di nomi di dominio alternativi fornisce una maggiore sicurezza e semplifica i nomi di accesso degli utenti.

Per creare un suffisso UPN:

1. Connettiti all'istanza VM con l'account amministratore con delega.
2. Apri Server Manager (Gestione server).
3. In Strumenti, seleziona Domini e trust di Active Directory.
4. Nella console di gestione Domini e trust di Active Directory, fai clic con il pulsante destro del mouse su Domini e trust di Active Directory nel riquadro a sinistra, quindi seleziona Proprietà.
5. Nella finestra di dialogo Suffissi UPN alternativi della finestra di dialogo, digita il nome del nuovo suffisso UPN.
6. Fai clic su Aggiungi, quindi su OK.

Quando aggiungi un nuovo account utente ad Active Directory, durante l'impostazione del nome utente dovresti vedere il nuovo suffisso UPN disponibile nell'elenco.