Gunakan akun administrator yang didelegasikan

Halaman ini menunjukkan cara menggunakan akun administrator delegasi dan mengelola kredensialnya di Google Cloud Managed Service untuk Microsoft Active Directory.

Ringkasan

Saat Anda membuat domain Microsoft AD Terkelola, Microsoft AD Terkelola akan otomatis membuat akun administrator yang didelegasikan. Anda dapat menggunakan akun ini untuk mengelola domain. Setelah login ke akun ini, Anda dapat melakukan tugas berikut:

  • Mengelola data dan objek Active Directory.
  • Mengelola administrator layanan lainnya.
  • Menggunakan alat Active Directory standar.

Pelajari lebih lanjut hak yang otomatis diberikan ke akun administrator yang didelegasikan.

Dapatkan nama akun

Secara default, akun administrator yang didelegasikan diberi nama setupadmin. Setelah pembuatan domain, Anda tidak dapat mengubah nama pengguna. Anda dapat menentukan nama pengguna kustom hanya saat Anda membuat domain. Jika menentukan nama pengguna kustom, pastikan Anda mengikuti konvensi penamaan atribut SAM-Account-Name.

Untuk mengambil nama akun administrator yang didelegasikan, selesaikan langkah-langkah berikut:

Konsol

  1. Di konsol Google Cloud, buka halaman Managed Microsoft AD.
    Buka Microsoft AD Terkelola
  2. Di bagian FQDN, pilih domain untuk mendapatkan nama akun administrator yang didelegasikan.
  3. Nama akun tercantum di bagian Nama admin.

gcloud

Jalankan perintah berikut:

gcloud active-directory domains describe DOMAIN_NAME

Responsnya adalah YAML yang berisi informasi tentang domain. Nama akun administrator yang didelegasikan tercantum di kolom managedIdentitiesAdminName:

managedIdentitiesAdminName: setupadmin

Reset sandi

Jika lupa sandi untuk akun administrator yang didelegasikan, Anda tidak dapat mengambil sandi yang ada. Namun, Anda dapat mereset sandi.

Untuk mereset sandi akun administrator yang didelegasikan, Anda harus memiliki salah satu peran IAM berikut:

  • Admin Google Cloud Managed Identities (roles/managedidentities.admin)
  • Admin Domain Identitas yang Dikelola Google Cloud (roles/managedidentities.domainAdmin)

Untuk mengetahui informasi selengkapnya, lihat Peran Cloud Managed Identities.

Konsol

  1. Di konsol Google Cloud, buka halaman Managed Microsoft AD.
    Buka Microsoft AD Terkelola

  2. Di bagian FQDN, pilih domain untuk mereset sandi administrator yang didelegasikan.

  3. Di halaman Domain details, pilih Set Password.

  4. Pada dialog Setel sandi, klik Konfirmasi.

  5. Sandi baru akan ditampilkan di dialog New password.

gcloud

Jalankan perintah berikut:

gcloud active-directory domains reset-admin-password DOMAIN_NAME

Operasi ini dapat memerlukan waktu hingga 60 detik hingga selesai.

Nonaktifkan akhir masa berlaku sandi

Secara default, masa berlaku sandi untuk akun administrator yang didelegasikan akan berakhir setelah 42 hari. Pastikan Anda mengubah kata sandi sebelum kedaluwarsa.

Anda dapat menggunakan kebijakan sandi mendetail (FGPP) untuk menonaktifkan akhir masa berlaku sandi bagi akun administrator yang didelegasikan. Dengan FGPP, Anda dapat menetapkan nilai setelan kebijakan Maximum password age di objek setelan sandi (PSO) yang diperlukan ke "0" dan menerapkan kebijakan sandi di akun administrator yang didelegasikan.

Untuk menonaktifkan akhir masa berlaku sandi bagi akun administrator yang didelegasikan, Anda harus menjadi anggota grup Cloud Service Fine Grained Password Policy Administrators.

  1. Untuk menambahkan pengguna ke grup ini, jalankan perintah berikut di PowerShell:

    Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' 
    -Members USER
    Ganti USER dengan nama pengguna yang ingin Anda tambahkan ke grup Cloud Service Fine Grained Password Policy Administrators.

    Untuk informasi selengkapnya, lihat Mendelegasikan izin untuk mengelola kebijakan.

  2. Keluar dari akun administrator yang didelegasikan.

Untuk menonaktifkan akhir masa berlaku sandi bagi akun administrator yang didelegasikan, lakukan hal berikut:

  1. Login sebagai anggota grup Cloud Service Fine Grained Password Policy Administrators.

  2. Untuk mengubah nilai properti MaxPasswordAge menjadi "0", jalankan perintah berikut di PowerShell:

    Set-ADFineGrainedPasswordPolicy -Identity PSO -MaxPasswordAge 0
    
    Ganti PSO dengan nama PSO tempat Anda ingin menonaktifkan kebijakan akhir masa berlaku sandi menggunakan FGPP. Contoh, PSO-10.

    Untuk informasi selengkapnya tentang cmdlet Set-ADFineGrainedPasswordPolicy, lihat Mengubah kebijakan sandi yang dibuat sebelumnya.

  3. Untuk menerapkan kebijakan sandi ke akun administrator yang didelegasikan, jalankan perintah berikut di PowerShell:

    Add-ADFineGrainedPasswordPolicySubject PSO -Subjects DELEGATED_ADMINISTRATOR_ACCOUNT
    
    Ganti kode berikut:

    • PSO: Nama PSO tempat Anda menonaktifkan kebijakan akhir masa berlaku sandi. Contoh, PSO-10.
    • DELEGATED_ADMINISTRATOR_ACCOUNT: Nama akun administrator yang didelegasikan yang ingin Anda nonaktifkan akhir masa berlaku sandinya. Contoh, setupadmin.

    Untuk informasi selengkapnya tentang cmdlet Add-ADFineGrainedPasswordPolicySubject, lihat Menambahkan pengguna atau grup ke kebijakan sandi.

Menggunakan alat Layanan Domain Active Directory

Untuk mengakses alat Layanan Domain Active Directory (AD DS), Anda harus menggunakan akun administrator yang didelegasikan. Saat terhubung ke instance VM, pastikan Anda login dengan akun administrator yang didelegasikan. Anda tidak dapat mengganti akun setelah terhubung ke VM atau memberikan kredensial tambahan. Setelah terhubung ke VM, Anda dapat menggunakan Wizard Tambahkan Peran dan Fitur untuk mengaktifkan alat AD DS. Pelajari lebih lanjut cara mengaktifkan alat AD DS.

Buat akhiran UPN

Nama domain saat ini dan domain root adalah akhiran nama utama pengguna (UPN) default. Menambahkan nama domain alternatif akan memberikan keamanan tambahan dan menyederhanakan nama login pengguna.

Untuk membuat akhiran UPN, selesaikan langkah-langkah berikut:

  1. Hubungkan ke instance VM dengan akun administrator yang didelegasikan.
  2. Buka Server Manager.
  3. Dari Tools, pilih Active Directory Domains and Trusts.
  4. Di konsol pengelolaan Active Directory Domains and Trusts, klik kanan Active Directory Domains and Trusts di panel kiri, lalu pilih Properties.
  5. Di kotak dialog, di kotak Suffix UPN alternatif, ketik nama akhiran UPN baru.
  6. Klik Add, lalu klik OK.

Saat menambahkan akun pengguna baru ke Active Directory, Anda akan melihat akhiran UPN baru yang tersedia dalam daftar saat menetapkan nama pengguna.