本页面介绍了如何在 Managed Service for Microsoft Active Directory 中使用委派管理员账号和管理其凭据。
概览
当您创建托管式 Microsoft AD 网域时,托管式 Microsoft AD 会自动创建一个委派管理员账号。您可以使用此账号来管理该网域。登录此账号后,您可以执行以下任务:
- 管理数据和 Active Directory 对象。
- 管理其他服务管理员。
- 使用标准的 Active Directory 工具。
详细了解自动授予委派管理员账号的权限。
获取账号名称
委派管理员账号默认命名为 setupadmin
。创建网域后,您将无法更改用户名。您只能在创建网域时指定自定义用户名。如果您指定自定义用户名,请务必遵循 SAM-Account-Name 属性的命名惯例。
要检索委派管理员账号的名称,请完成以下步骤:
控制台
- 在 Google Cloud 控制台中,前往代管式 Microsoft AD 页面。
前往 Managed Microsoft AD - 在 FQDN 下,选择要获取其委派管理员账号名称的网域。
- 该账号名称列在管理员名称下。
gcloud
运行以下命令:
gcloud active-directory domains describe DOMAIN_NAME
响应为包含网域相关信息的 YAML。委派管理员账号名称在 managedIdentitiesAdminName
字段下列出:
managedIdentitiesAdminName: setupadmin
重置密码
如果您忘记了委派管理员账号的密码,则无法找回现有密码。不过,您可以重置密码。
如需重置委派管理员账号的密码,您必须拥有以下任一 IAM 角色:
- Google Cloud Managed Identities Admin (
roles/managedidentities.admin
) - Google Cloud Managed Identities Domain Admin (
roles/managedidentities.domainAdmin
)
如需了解详情,请参阅 Cloud Managed Identities 角色。
控制台
在 Google Cloud 控制台中,前往代管式 Microsoft AD 页面。
前往“代管式 Microsoft AD”页面在 FQDN 下,选择要为其重置委派管理员密码的网域。
在网域详情页面上,选择设置密码。
在设置密码对话框中,点击确认。
新密码将显示在新密码对话框中。
gcloud
运行以下命令:
gcloud active-directory domains reset-admin-password DOMAIN_NAME
此操作最多可能需要 60 秒才能完成。
停用密码失效设置
默认情况下,委派管理员账号的密码到期日期晚于 42 天。请务必在密码过期前更改密码。
您可以使用精细化密码政策 (FGPP) 为委派管理员账号停用密码失效设置。使用 FGPP,您可以将必需的密码设置对象 (PSO) 中的 Maximum password age
政策设置的值设为“0”,并对委托的管理员账号强制执行密码政策。
要为委派的管理员账号停用密码失效设置,您必须是“Cloud Service Fine Grained Password Policy Administrators
”群组的成员。
如需向此群组添加用户,请在 PowerShell 中运行以下命令:
将 USER 替换为您要添加到Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators'
-Members USERCloud Service Fine Grained Password Policy Administrators
群组的用户的名称。如需了解详情,请参阅委托管理政策的权限。
退出委派管理员账号。
要为委派的管理员账号停用密码到期设置,请执行以下操作:
以
Cloud Service Fine Grained Password Policy Administrators
群组成员身份登录。如需将
MaxPasswordAge
属性的值修改为“0”,请在 PowerShell 中运行以下命令: 将 PSO 替换为您要使用 FGPP 停用密码有效期政策的 PSO 的名称。例如Set-ADFineGrainedPasswordPolicy -Identity PSO -MaxPasswordAge 0
PSO-10
。如需详细了解
Set-ADFineGrainedPasswordPolicy
cmdlet,请参阅修改预先创建的密码政策。如需将密码政策应用于委派的管理员账号,请在 PowerShell 中运行以下命令:
替换以下内容:Add-ADFineGrainedPasswordPolicySubject PSO -Subjects DELEGATED_ADMINISTRATOR_ACCOUNT
- PSO:您已停用密码过期政策的 PSO 的名称。例如
PSO-10
。 - DELEGATED_ADMINISTRATOR_ACCOUNT:您要为其停用密码过期设置的委托管理员账号的名称。例如
setupadmin
。
如需详细了解
Add-ADFineGrainedPasswordPolicySubject
cmdlet,请参阅为一个密码政策添加用户或群组。- PSO:您已停用密码过期政策的 PSO 的名称。例如
使用 Active Directory 网域服务工具
要访问 Active Directory 网域服务 (AD DS) 工具,您必须使用委派管理员账号。连接到虚拟机实例时,请确保使用委派管理员账号登录。连接到虚拟机后,您将无法切换账号或提供其他凭据。连接到虚拟机后,您可以使用 Add Roles and Features 向导来启用 AD DS 工具。详细了解启用 AD DS 工具。
创建 UPN 后缀
当前网域和根网域的名称是默认用户主体名称 (UPN) 后缀。添加备用域名可提供更高的安全性并简化用户登录名。
如需创建 UPN 后缀,请完成以下步骤:
- 使用委派管理员账号连接到虚拟机实例。
- 打开 Server Manager。
- 从 Tools 中选择 Active Directory Domains and Trusts。
- 在 Active Directory Domains and Trusts 管理控制台中,右键点击左侧窗格中的 Active Directory Domains and Trusts,然后选择 Properties。
- 在对话框中,在 Alternate UPN suffixes 框中,键入新的 UPN 后缀的名称。
- 点击 Add,然后点击 OK。
当您将新的用户账号添加到 Active Directory,设置用户名时,列表中应该会显示新的 UPN 后缀。