Esta página mostra como usar a conta de administrador delegada e gerenciar as credenciais dela no Serviço Gerenciado para Microsoft Active Directory.
Visão geral
Quando você cria um domínio do Microsoft AD gerenciado, o Microsoft AD gerenciado cria automaticamente uma conta de administrador delegada. Essa conta pode ser usada para gerenciar o domínio. Depois de fazer login nessa conta, você pode realizar as seguintes tarefas:
- Gerenciar dados e objetos do Active Directory.
- Gerenciar outros administradores de serviço.
- Use ferramentas padrão do Active Directory.
Saiba mais sobre os direitos concedidos automaticamente à conta de administrador delegada.
Receber o nome da conta
Por padrão, a conta de administrador delegada é nomeada setupadmin
. Após a criação do
domínio, não será possível mudar o nome de usuário. Só é possível especificar um nome de usuário personalizado ao
criar um domínio. Se você especificar um nome de usuário personalizado, siga as convenções de nomenclatura do
atributo
SAM-Account-Name.
Para recuperar o nome da conta de administrador delegada, siga estas etapas:
Console
- No console do Google Cloud, acesse a página Microsoft AD gerenciado.
Acessar o Managed Microsoft AD - Em FQDN, selecione o domínio para o qual quer acessar o nome da conta de administrador delegada.
- O nome da conta está listado em Nome do administrador.
gcloud
Execute este comando:
gcloud active-directory domains describe DOMAIN_NAME
A resposta é YAML, que contém informações sobre o domínio. O nome
da conta de administrador delegada está listado no campo
managedIdentitiesAdminName
:
managedIdentitiesAdminName: setupadmin
Redefinir a senha
Se você esquecer a senha da conta de administrador delegada, não será possível recuperar a senha atual. No entanto, você pode redefinir a senha.
Para redefinir a senha da conta de administrador delegada, você precisa ter uma das seguintes funções do IAM:
- Administrador de identidades gerenciadas do Google Cloud (
roles/managedidentities.admin
) - Administrador de domínio das identidades gerenciadas do Google Cloud (
roles/managedidentities.domainAdmin
)
Para mais informações, consulte Papéis do Cloud Managed Identities.
Console
No console do Google Cloud, acesse a página Microsoft AD gerenciado.
Acessar o Managed Microsoft ADEm FQDN, selecione o domínio para o qual redefinir a senha de administrador delegada.
Na página Detalhes do domínio, selecione Definir senha.
Na caixa de diálogo Definir senha, clique em Confirmar.
A nova senha é exibida na caixa de diálogo Nova senha.
gcloud
Execute este comando:
gcloud active-directory domains reset-admin-password DOMAIN_NAME
Essa operação pode levar até 60 segundos para ser concluída.
Desativar a expiração da senha
Por padrão, a senha da conta de administrador delegada expira após 42 dias. Mude a senha antes que ela expire.
Use políticas de senhas detalhadas (FGPP, na sigla em inglês) para desativar a expiração da senha da conta de administrador delegada. Com as FGPPs, é possível definir o valor da configuração da política Maximum password age
nos objetos de configurações de senha obrigatórios (PSO) como "0" e aplicar a política de senhas na conta de administrador delegada.
Para desativar a expiração da senha da sua conta de administrador delegada, você precisa ser membro do grupo Cloud Service Fine Grained Password Policy Administrators
.
Para adicionar um usuário a esse grupo, execute o seguinte comando no PowerShell:
Substitua USER pelo nome do usuário que você quer adicionar ao grupoAdd-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators'
-Members USERCloud Service Fine Grained Password Policy Administrators
.Para mais informações, consulte Delegar permissões para gerenciar políticas.
Saia da conta de administrador delegada.
Para desativar a expiração da senha da sua conta de administrador delegada, faça o seguinte:
Faça login como membro do grupo
Cloud Service Fine Grained Password Policy Administrators
.Para modificar o valor da propriedade
MaxPasswordAge
para "0", execute o seguinte comando no PowerShell: Substitua PSO pelo nome da PSO em que você quer desativar a política de expiração de senha usando a FGPP. Por exemplo,Set-ADFineGrainedPasswordPolicy -Identity PSO -MaxPasswordAge 0
PSO-10
.Para mais informações sobre o cmdlet
Set-ADFineGrainedPasswordPolicy
, consulte Modificar uma política de senha pré-criada.Para aplicar a política de senha à sua conta de administrador delegada, execute o seguinte comando no PowerShell:
Substitua:Add-ADFineGrainedPasswordPolicySubject PSO -Subjects DELEGATED_ADMINISTRATOR_ACCOUNT
- PSO: nome da PSO em que você desativou a política de expiração de senha. Por exemplo,
PSO-10
. - DELEGATED_ADMINISTRATOR_ACCOUNT: nome da conta de administrador delegada para a qual você quer desativar a expiração da senha. Por exemplo,
setupadmin
.
Para mais informações sobre o cmdlet
Add-ADFineGrainedPasswordPolicySubject
, consulte Adicionar um usuário ou grupo a uma política de senha.- PSO: nome da PSO em que você desativou a política de expiração de senha. Por exemplo,
Como usar as ferramentas do Active Directory Domain Services
Para acessar as ferramentas do Active Directory Domain Services (AD DS), use a conta de administrador delegada. Ao conectar-se à instância de VM, faça login com a conta de administrador delegada. Não é possível alternar entre contas depois de se conectar à VM ou fornecer credenciais adicionais. Depois de se conectar à VM, é possível usar o Assistente Adicionar papéis e recursos para ativar as ferramentas do AD DS. Saiba mais sobre como ativar as ferramentas do AD DS.
Criar um sufixo UPN
Os nomes do domínio atual e do domínio raiz são os sufixos do nome de usuário principal (UPN, na sigla em inglês) padrão. A adição de nomes de domínio alternativos fornece mais segurança e simplifica os nomes de login do usuário.
Para criar um sufixo de UPN, siga estas etapas:
- Conecte-se à instância de VM com a conta de administrador delegada.
- Abra o Gerenciador do servidor.
- Em Ferramentas, selecione Domínios e confianças do Active Directory.
- No console de gerenciamento de Domínios e confianças do Active Directory, clique com o botão direito do mouse em Domínios e confianças do Active Directory no painel esquerdo e selecione Propriedades.
- Na caixa de diálogo, na caixa Sufixos de UPN alternativos, digite o nome do novo sufixo de UPN.
- Clique em Adicionar e em OK.
Ao adicionar uma nova conta de usuário ao Active Directory, você verá o novo sufixo de UPN disponível na lista ao definir o nome de usuário.