使用委派管理员账号

本页面介绍了如何在 Managed Service for Microsoft Active Directory 中使用委派管理员账号和管理其凭据。

概览

当您创建托管式 Microsoft AD 网域时,托管式 Microsoft AD 会自动创建一个委派管理员账号。您可以使用此账号来管理该网域。登录此账号后,您可以执行以下任务:

  • 管理数据和 Active Directory 对象。
  • 管理其他服务管理员。
  • 使用标准的 Active Directory 工具。

详细了解自动授予委派管理员账号的权限

获取账号名称

委派管理员账号默认命名为 setupadmin。创建网域后,您将无法更改用户名。您只能在创建网域时指定自定义用户名。如果您指定自定义用户名,请务必遵循 SAM-Account-Name 属性的命名惯例。

要检索委派管理员账号的名称,请完成以下步骤:

控制台

  1. 在 Google Cloud 控制台中,前往代管式 Microsoft AD 页面。
    前往 Managed Microsoft AD
  2. FQDN 下,选择要获取其委派管理员账号名称的网域。
  3. 该账号名称列在管理员名称下。

gcloud

运行以下命令:

gcloud active-directory domains describe DOMAIN_NAME

响应为包含网域相关信息的 YAML。委派管理员账号名称在 managedIdentitiesAdminName 字段下列出:

managedIdentitiesAdminName: setupadmin

重置密码

如果您忘记了委派管理员账号的密码,则无法找回现有密码。不过,您可以重置密码。

如需重置委派管理员账号的密码,您必须拥有以下任一 IAM 角色:

  • Google Cloud Managed Identities Admin (roles/managedidentities.admin)
  • Google Cloud Managed Identities Domain Admin (roles/managedidentities.domainAdmin)

如需了解详情,请参阅 Cloud Managed Identities 角色

控制台

  1. 在 Google Cloud 控制台中,前往代管式 Microsoft AD 页面。
    前往“代管式 Microsoft AD”页面

  2. FQDN 下,选择要为其重置委派管理员密码的网域。

  3. 网域详情页面上,选择设置密码

  4. 设置密码对话框中,点击确认

  5. 新密码将显示在新密码对话框中。

gcloud

运行以下命令:

gcloud active-directory domains reset-admin-password DOMAIN_NAME

此操作最多可能需要 60 秒才能完成。

停用密码失效设置

默认情况下,委派管理员账号的密码到期日期晚于 42 天。请务必在密码过期前更改密码。

您可以使用精细化密码政策 (FGPP) 为委派管理员账号停用密码失效设置。使用 FGPP,您可以将必需的密码设置对象 (PSO) 中的 Maximum password age 政策设置的值设为“0”,并对委托的管理员账号强制执行密码政策。

要为委派的管理员账号停用密码失效设置,您必须是“Cloud Service Fine Grained Password Policy Administrators”群组的成员。

  1. 如需向此群组添加用户,请在 PowerShell 中运行以下命令:

    Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' 
    -Members USER
    USER 替换为您要添加到 Cloud Service Fine Grained Password Policy Administrators 群组的用户的名称。

    如需了解详情,请参阅委托管理政策的权限

  2. 退出委派管理员账号。

要为委派的管理员账号停用密码到期设置,请执行以下操作:

  1. Cloud Service Fine Grained Password Policy Administrators 群组成员身份登录。

  2. 如需将 MaxPasswordAge 属性的值修改为“0”,请在 PowerShell 中运行以下命令:

    Set-ADFineGrainedPasswordPolicy -Identity PSO -MaxPasswordAge 0
    
    PSO 替换为您要使用 FGPP 停用密码有效期政策的 PSO 的名称。例如 PSO-10

    如需详细了解 Set-ADFineGrainedPasswordPolicy cmdlet,请参阅修改预先创建的密码政策

  3. 如需将密码政策应用于委派的管理员账号,请在 PowerShell 中运行以下命令:

    Add-ADFineGrainedPasswordPolicySubject PSO -Subjects DELEGATED_ADMINISTRATOR_ACCOUNT
    
    替换以下内容:

    • PSO:您已停用密码过期政策的 PSO 的名称。例如 PSO-10
    • DELEGATED_ADMINISTRATOR_ACCOUNT:您要为其停用密码过期设置的委托管理员账号的名称。例如 setupadmin

    如需详细了解 Add-ADFineGrainedPasswordPolicySubject cmdlet,请参阅为一个密码政策添加用户或群组

使用 Active Directory 网域服务工具

要访问 Active Directory 网域服务 (AD DS) 工具,您必须使用委派管理员账号。连接到虚拟机实例时,请确保使用委派管理员账号登录。连接到虚拟机后,您将无法切换账号或提供其他凭据。连接到虚拟机后,您可以使用 Add Roles and Features 向导来启用 AD DS 工具。详细了解启用 AD DS 工具

创建 UPN 后缀

当前网域和根网域的名称是默认用户主体名称 (UPN) 后缀。添加备用域名可提供更高的安全性并简化用户登录名。

如需创建 UPN 后缀,请完成以下步骤:

  1. 使用委派管理员账号连接到虚拟机实例
  2. 打开 Server Manager
  3. Tools 中选择 Active Directory Domains and Trusts
  4. Active Directory Domains and Trusts 管理控制台中,右键点击左侧窗格中的 Active Directory Domains and Trusts,然后选择 Properties
  5. 在对话框中,在 Alternate UPN suffixes 框中,键入新的 UPN 后缀的名称。
  6. 点击 Add,然后点击 OK

当您将新的用户账号添加到 Active Directory,设置用户名时,列表中应该会显示新的 UPN 后缀。