Usar a conta de administrador delegada

Esta página mostra como usar a conta de administrador delegada e gerenciar as credenciais dela no Serviço Gerenciado para Microsoft Active Directory.

Visão geral

Quando você cria um domínio do Microsoft AD gerenciado, o Microsoft AD gerenciado cria automaticamente uma conta de administrador delegada. Essa conta pode ser usada para gerenciar o domínio. Depois de fazer login nessa conta, você pode realizar as seguintes tarefas:

  • Gerenciar dados e objetos do Active Directory.
  • Gerenciar outros administradores de serviço.
  • Use ferramentas padrão do Active Directory.

Saiba mais sobre os direitos concedidos automaticamente à conta de administrador delegada.

Receber o nome da conta

Por padrão, a conta de administrador delegada é nomeada setupadmin. Após a criação do domínio, não será possível mudar o nome de usuário. Só é possível especificar um nome de usuário personalizado ao criar um domínio. Se você especificar um nome de usuário personalizado, siga as convenções de nomenclatura do atributo SAM-Account-Name.

Para recuperar o nome da conta de administrador delegada, siga estas etapas:

Console

  1. No console do Google Cloud, acesse a página Microsoft AD gerenciado.
    Acessar o Managed Microsoft AD
  2. Em FQDN, selecione o domínio para o qual quer acessar o nome da conta de administrador delegada.
  3. O nome da conta está listado em Nome do administrador.

gcloud

Execute este comando:

gcloud active-directory domains describe DOMAIN_NAME

A resposta é YAML, que contém informações sobre o domínio. O nome da conta de administrador delegada está listado no campo managedIdentitiesAdminName:

managedIdentitiesAdminName: setupadmin

Redefinir a senha

Se você esquecer a senha da conta de administrador delegada, não será possível recuperar a senha atual. No entanto, você pode redefinir a senha.

Para redefinir a senha da conta de administrador delegada, você precisa ter uma das seguintes funções do IAM:

  • Administrador de identidades gerenciadas do Google Cloud (roles/managedidentities.admin)
  • Administrador de domínio das identidades gerenciadas do Google Cloud (roles/managedidentities.domainAdmin)

Para mais informações, consulte Papéis do Cloud Managed Identities.

Console

  1. No console do Google Cloud, acesse a página Microsoft AD gerenciado.
    Acessar o Managed Microsoft AD

  2. Em FQDN, selecione o domínio para o qual redefinir a senha de administrador delegada.

  3. Na página Detalhes do domínio, selecione Definir senha.

  4. Na caixa de diálogo Definir senha, clique em Confirmar.

  5. A nova senha é exibida na caixa de diálogo Nova senha.

gcloud

Execute este comando:

gcloud active-directory domains reset-admin-password DOMAIN_NAME

Essa operação pode levar até 60 segundos para ser concluída.

Desativar a expiração da senha

Por padrão, a senha da conta de administrador delegada expira após 42 dias. Mude a senha antes que ela expire.

Use políticas de senhas detalhadas (FGPP, na sigla em inglês) para desativar a expiração da senha da conta de administrador delegada. Com as FGPPs, é possível definir o valor da configuração da política Maximum password age nos objetos de configurações de senha obrigatórios (PSO) como "0" e aplicar a política de senhas na conta de administrador delegada.

Para desativar a expiração da senha da sua conta de administrador delegada, você precisa ser membro do grupo Cloud Service Fine Grained Password Policy Administrators.

  1. Para adicionar um usuário a esse grupo, execute o seguinte comando no PowerShell:

    Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' 
    -Members USER
    Substitua USER pelo nome do usuário que você quer adicionar ao grupo Cloud Service Fine Grained Password Policy Administrators.

    Para mais informações, consulte Delegar permissões para gerenciar políticas.

  2. Saia da conta de administrador delegada.

Para desativar a expiração da senha da sua conta de administrador delegada, faça o seguinte:

  1. Faça login como membro do grupo Cloud Service Fine Grained Password Policy Administrators.

  2. Para modificar o valor da propriedade MaxPasswordAge para "0", execute o seguinte comando no PowerShell:

    Set-ADFineGrainedPasswordPolicy -Identity PSO -MaxPasswordAge 0
    
    Substitua PSO pelo nome da PSO em que você quer desativar a política de expiração de senha usando a FGPP. Por exemplo, PSO-10.

    Para mais informações sobre o cmdlet Set-ADFineGrainedPasswordPolicy, consulte Modificar uma política de senha pré-criada.

  3. Para aplicar a política de senha à sua conta de administrador delegada, execute o seguinte comando no PowerShell:

    Add-ADFineGrainedPasswordPolicySubject PSO -Subjects DELEGATED_ADMINISTRATOR_ACCOUNT
    
    Substitua:

    • PSO: nome da PSO em que você desativou a política de expiração de senha. Por exemplo, PSO-10.
    • DELEGATED_ADMINISTRATOR_ACCOUNT: nome da conta de administrador delegada para a qual você quer desativar a expiração da senha. Por exemplo, setupadmin.

    Para mais informações sobre o cmdlet Add-ADFineGrainedPasswordPolicySubject, consulte Adicionar um usuário ou grupo a uma política de senha.

Como usar as ferramentas do Active Directory Domain Services

Para acessar as ferramentas do Active Directory Domain Services (AD DS), use a conta de administrador delegada. Ao conectar-se à instância de VM, faça login com a conta de administrador delegada. Não é possível alternar entre contas depois de se conectar à VM ou fornecer credenciais adicionais. Depois de se conectar à VM, é possível usar o Assistente Adicionar papéis e recursos para ativar as ferramentas do AD DS. Saiba mais sobre como ativar as ferramentas do AD DS.

Criar um sufixo UPN

Os nomes do domínio atual e do domínio raiz são os sufixos do nome de usuário principal (UPN, na sigla em inglês) padrão. A adição de nomes de domínio alternativos fornece mais segurança e simplifica os nomes de login do usuário.

Para criar um sufixo de UPN, siga estas etapas:

  1. Conecte-se à instância de VM com a conta de administrador delegada.
  2. Abra o Gerenciador do servidor.
  3. Em Ferramentas, selecione Domínios e confianças do Active Directory.
  4. No console de gerenciamento de Domínios e confianças do Active Directory, clique com o botão direito do mouse em Domínios e confianças do Active Directory no painel esquerdo e selecione Propriedades.
  5. Na caixa de diálogo, na caixa Sufixos de UPN alternativos, digite o nome do novo sufixo de UPN.
  6. Clique em Adicionar e em OK.

Ao adicionar uma nova conta de usuário ao Active Directory, você verá o novo sufixo de UPN disponível na lista ao definir o nome de usuário.