En esta página, se muestra cómo usar la cuenta de administrador delegada y administrar sus credenciales en el servicio administrado para Microsoft Active Directory.
Descripción general
Cuando creas un dominio de Microsoft AD administrado, este crea automáticamente una cuenta de administrador delegada. Puedes usarla para administrar el dominio. Después de acceder a esta cuenta, puedes realizar las siguientes tareas:
- Administrar datos y objetos de Active Directory
- Administrar a otros administradores de servicios
- Usa herramientas estándar de Active Directory.
Obtén más información sobre los derechos que se otorgan automáticamente a la cuenta de administrador delegada.
Cómo obtener el nombre de la cuenta
De forma predeterminada, la cuenta de administrador delegada se llama setupadmin
. Después de crear el dominio, no puedes cambiar el nombre de usuario. Puedes especificar un nombre de usuario personalizado solo cuando creas un dominio. Si especificas un nombre de usuario personalizado, asegúrate de seguir las convenciones de nombres del atributo SAM-Account-Name.
Para recuperar el nombre de la cuenta de administrador delegada, sigue estos pasos:
Console
- En la consola de Google Cloud, ve a la página Microsoft AD administrado.
Ir a Microsoft AD administrado - En FQDN, seleccione el dominio para el que desea obtener el nombre de la cuenta de administrador delegada.
- El nombre de la cuenta aparece en Nombre del administrador.
gcloud
Ejecuta el siguiente comando:
gcloud active-directory domains describe DOMAIN_NAME
La respuesta es YAML con información sobre el dominio. El nombre de la cuenta de administrador delegada aparece en el campo managedIdentitiesAdminName
:
managedIdentitiesAdminName: setupadmin
Restablece la contraseña
Si olvidas la contraseña de la cuenta de administrador delegada, no podrás recuperar la contraseña existente. Sin embargo, puedes restablecer la contraseña.
Para restablecer la contraseña de la cuenta de administrador delegada, debes tener uno de los siguientes roles de IAM:
- Administrador de identidades administradas de Google Cloud (
roles/managedidentities.admin
) - Administrador de dominios de identidades administradas de Google Cloud (
roles/managedidentities.domainAdmin
)
Para obtener más información, consulta Roles de identidades administradas por Cloud.
Console
En la consola de Google Cloud, ve a la página Microsoft AD administrado.
Ir a Microsoft AD administradoEn FQDN, seleccione el dominio del que desea restablecer la contraseña de administrador delegada.
En la página Detalles del dominio, selecciona la opción Establecer contraseña.
En el cuadro de diálogo Establecer contraseña, haz clic en Confirmar.
La nueva contraseña se mostrará en el cuadro de diálogo Contraseña nueva.
gcloud
Ejecuta el siguiente comando:
gcloud active-directory domains reset-admin-password DOMAIN_NAME
Esta operación puede tardar hasta 60 segundos en completarse.
Cómo inhabilitar el vencimiento de contraseña
Según la configuración predeterminada, la contraseña de la cuenta de administrador delegada vence en un plazo de 42 días. Asegúrate de cambiar la contraseña antes de que venza.
Puedes usar políticas de contraseñas detalladas (FGPP) para inhabilitar el vencimiento de contraseñas para la cuenta de administrador delegada. Con las FGPP, puedes establecer el valor de la configuración de la política Maximum password age
en los objetos de configuración de contraseña (PSO) requeridos en “0” y aplicar la política de contraseñas en la cuenta de administrador delegada.
Para inhabilitar el vencimiento de la contraseña de tu cuenta de administrador delegada, debes ser miembro del grupo Cloud Service Fine Grained Password Policy Administrators
.
Para agregar un usuario a este grupo, ejecuta el siguiente comando en PowerShell:
Reemplaza USER por el nombre del usuario que deseas agregar al grupoAdd-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators'
-Members USERCloud Service Fine Grained Password Policy Administrators
.Para obtener más información, consulta Cómo delegar permisos para administrar políticas.
Sal de la cuenta de administrador delegada.
Para inhabilitar el vencimiento de contraseñas de tu cuenta de administrador delegada, haz lo siguiente:
Accede como miembro del grupo
Cloud Service Fine Grained Password Policy Administrators
.Para modificar el valor de la propiedad
MaxPasswordAge
a “0”, ejecuta el siguiente comando en PowerShell: Reemplaza PSO por el nombre del PSO en el que deseas inhabilitar la política de vencimiento de contraseñas con FGPP. Por ejemplo,Set-ADFineGrainedPasswordPolicy -Identity PSO -MaxPasswordAge 0
PSO-10
.Para obtener más información sobre el cmdlet
Set-ADFineGrainedPasswordPolicy
, consulta Modifica una política de contraseñas creada con anterioridad.Para aplicar la política de contraseñas a tu cuenta de administrador delegada, ejecuta el siguiente comando en PowerShell:
Reemplaza lo siguiente:Add-ADFineGrainedPasswordPolicySubject PSO -Subjects DELEGATED_ADMINISTRATOR_ACCOUNT
- PSO: Es el nombre del PSO en el que inhabilitaste la política de vencimiento de contraseñas. Por ejemplo,
PSO-10
- DELEGATED_ADMINISTRATOR_ACCOUNT: Es el nombre de la cuenta de administrador delegada para la que deseas inhabilitar el vencimiento de la contraseña. Por ejemplo,
setupadmin
Para obtener más información sobre el cmdlet
Add-ADFineGrainedPasswordPolicySubject
, consulta Cómo agregar un usuario o grupo a una política de contraseñas.- PSO: Es el nombre del PSO en el que inhabilitaste la política de vencimiento de contraseñas. Por ejemplo,
Usa las herramientas de los servicios de dominio de Active Directory
Para acceder a las herramientas de Servicios de dominio de Active Directory (AD DS), debes usar la cuenta de administrador delegada. Cuando te conectes a la instancia de VM, asegúrate de acceder con la cuenta de administrador delegada. No puedes cambiar de cuenta después de conectarte a la VM o proporcionar credenciales adicionales. Después de conectarte a la VM, puedes usar el Asistente para agregar funciones y características para habilitar las herramientas de AD DS. Obtén más información sobre cómo habilitar las herramientas de AD DS.
Crea un sufijo UPN
Los nombres del dominio actual y del dominio raíz son los sufijos principales del nombre de usuario (UPN) predeterminado. Agregar nombres de dominio alternativos proporciona seguridad adicional y simplifica los nombres de acceso de los usuarios.
Para crear un sufijo UPN, sigue estos pasos:
- Conéctate a la instancia de VM con la cuenta de administrador delegada.
- Abre Administrador del servidor.
- Desde Herramientas, seleccione Dominios y confianzas de Active Directory.
- En la consola de administración Dominios y confianzas de Active Directory, haga clic con el botón derecho en Dominios y confianzas de Active Directory en el panel izquierdo y luego seleccione Propiedades.
- En el cuadro de diálogo Parámetros de UPN alternativos, escribe el nombre del nuevo sufijo UPN.
- Haz clic en Agregar y, luego, en Aceptar.
Cuando agregas una cuenta de usuario nueva a Active Directory, debes ver el nuevo sufijo UPN disponible en la lista cuando configuras el nombre de usuario.