使用委派的管理员账号

本页面介绍了如何在 Managed Service for Microsoft Active Directory 中使用委派管理员账号和管理其凭据。

概览

创建 Managed Microsoft AD 网域时,Managed Microsoft AD 会自动创建委派的管理员账号。您可以使用此账号来管理该网域。登录此账号后,您可以执行以下任务:

  • 管理数据和 Active Directory 对象。
  • 管理其他服务管理员。
  • 使用标准 Active Directory 工具。

详细了解自动授予委派管理员帐号的权限

获取账号名称

委派管理员账号默认命名为 setupadmin。创建网域后,您将无法更改用户名。您只能在创建网域时指定自定义用户名。如果您指定自定义用户名,请确保遵循 SAM-Account-Name 属性的命名惯例。

如要检索委派管理员账号的名称,请完成以下步骤:

控制台

  1. 在 Google Cloud 控制台中,前往代管式 Microsoft AD 页面。
    转到代管式 Microsoft AD
  2. FQDN 下,选择要获取其委派管理员账号名称的网域。
  3. 该账号名称列在管理员名称下。

gcloud

运行以下命令:

gcloud active-directory domains describe DOMAIN_NAME

响应为包含网域相关信息的 YAML。委派管理员账号名称在 managedIdentitiesAdminName 字段下列出:

managedIdentitiesAdminName: setupadmin

重置密码

如果您忘记了委派管理员帐号的密码,则无法找回现有密码。不过,您可以重置密码。

如需重置委派管理员账号的密码,您必须具有以下任一 IAM 角色:

  • Google Cloud Managed Identities 管理员 (roles/managedidentities.admin)
  • Google Cloud Managed Identities 网域管理员 (roles/managedidentities.domainAdmin)

如需了解详情,请参阅 Cloud Managed Identities 角色

控制台

  1. 在 Google Cloud 控制台中,前往代管式 Microsoft AD 页面。
    转到代管式 Microsoft AD

  2. FQDN 下,选择要为其重置委派管理员密码的网域。

  3. 网域详情页面上,选择设置密码

  4. 设置密码对话框中,点击确认

  5. 新密码将显示在新密码对话框中。

gcloud

运行以下命令:

gcloud active-directory domains reset-admin-password DOMAIN_NAME

此操作最多可能需要 60 秒才能完成。

停用密码有效期

默认情况下,委派管理员帐号的密码会在 42 天后过期。请务必在密码过期前更改密码。

您可以使用精细密码政策 (FGPP) 为委派管理员帐号停用密码有效期。使用 FGPP,您可以将所需密码设置对象 (PSO) 中的 Maximum password age 政策设置的值设为“0”,并对委派管理员帐号强制执行密码政策。

如要为您委派的管理员账号停用密码失效设置,您必须是“Cloud Service Fine Grained Password Policy Administrators”群组的成员。

  1. 如需将用户添加到此群组,请在 PowerShell 中运行以下命令: 

    Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' 
    
 -Members USER
    USER 替换为您要添加到 Cloud Service Fine Grained Password Policy Administrators 群组的用户的姓名。

    有关详情,请参阅委托管理政策的权限

  2. 从委派管理员账号注销。

要为委派管理员账号停用密码失效设置,请执行以下操作:

  1. 以“Cloud Service Fine Grained Password Policy Administrators”群组的成员身份登录。

  2. 如需将 MaxPasswordAge 属性的值修改为“0”,请在 PowerShell 中运行以下命令: 

    Set-ADFineGrainedPasswordPolicy -Identity PSO -MaxPasswordAge 0
    PSO 替换为您要使用 FGPP 停用密码失效政策的 PSO 的名称。例如 PSO-10

    如需详细了解 Set-ADFineGrainedPasswordPolicy cmdlet,请参阅修改预先创建的密码政策

  3. 如需将密码政策应用于委派的管理员账号,请在 PowerShell 中运行以下命令: 

    Add-ADFineGrainedPasswordPolicySubject PSO -Subjects DELEGATED_ADMINISTRATOR_ACCOUNT
    替换以下内容:

    • PSO:您已在其中停用密码失效政策的 PSO 的名称。例如 PSO-10
    • DELEGATED_ADMINISTRATOR_ACCOUNT:您要停用密码失效设置的委派管理员账号的名称。例如 setupadmin

    如需详细了解 Add-ADFineGrainedPasswordPolicySubject cmdlet,请参阅向密码政策添加用户或群组

使用 Active Directory 网域服务工具

要访问 Active Directory 网域服务 (AD DS) 工具,您必须使用委派管理员账号。连接到虚拟机实例时,请确保使用委派管理员账号登录。连接到虚拟机后,您将无法切换账号或提供其他凭据。连接到虚拟机后,您可以使用 Add Roles and Features 向导来启用 AD DS 工具。详细了解启用 AD DS 工具

创建 UPN 后缀

当前网域和根网域的名称是默认用户主体名称 (UPN) 后缀。添加备用域名可提供更高的安全性并简化用户登录名。

如需创建 UPN 后缀,请完成以下步骤:

  1. 使用委派管理员账号连接到虚拟机实例
  2. 打开 Server Manager
  3. Tools 中选择 Active Directory Domains and Trusts
  4. Active Directory Domains and Trusts 管理控制台中,右键点击左侧窗格中的 Active Directory Domains and Trusts,然后选择 Properties
  5. 在对话框中,在 Alternate UPN suffixes 框中,键入新的 UPN 后缀的名称。
  6. 点击 Add,然后点击 OK

当您将新的用户账号添加到 Active Directory,设置用户名时,列表中应该会显示新的 UPN 后缀。