Konto für delegierten Administrator verwenden

In diesem Thema erfahren Sie, wie Sie das delegierte Administratorkonto von Managed Service for Microsoft Active Directory verwenden und seine Anmeldedaten verwalten.

Übersicht

Wenn Sie eine verwaltete Microsoft AD-Domain erstellen, wird von Managed Microsoft AD automatisch ein delegiertes Administratorkonto erstellt. Mit diesem Konto können Sie die Domain verwalten. Wenn Sie sich in diesem Konto anmelden, können Sie:

  • Daten und Active Directory-Objekte verwalten
  • Andere Dienstadministratoren verwalten.
  • Verwenden Sie Standard-Active Directory-Tools.

Weitere Informationen zu den Rechten, die dem delegierten Administratorkonto automatisch gewährt werden

Kontoname abrufen

Standardmäßig heißt das delegierte Administratorkonto setupadmin. Sie können beim Erstellen einer Domain auch einen benutzerdefinierten Nutzernamen angeben. Nach der Erstellung der Domain können Sie den Nutzernamen nicht mehr ändern.

So rufen Sie den Namen des delegierten Administratorkontos ab:

Console

  1. Rufen Sie in der Cloud Console die Seite Verwaltete Microsoft AD auf.
    Zu Managed Microsoft AD
  2. Wählen Sie unter FQDN die Domain aus, für die Sie den Namen des delegierten Administratorkontos abrufen möchten.
  3. Der Kontoname wird unter Administratorname aufgeführt.

gcloud

Führen Sie diesen Befehl aus:

gcloud active-directory domains describe DOMAIN_NAME

Die Antwort ist YAML mit Informationen zur Domain. Der Name des delegierten Administratorkontos ist im Feld managedIdentitiesAdminName aufgeführt:

managedIdentitiesAdminName: setupadmin

Passwort zurücksetzen

Wenn Sie das Passwort für das delegierte Administratorkonto vergessen, können Sie das vorhandene Passwort nicht abrufen. Sie können das Passwort jedoch zurücksetzen.

Wenn Sie das Passwort des delegierten Administratorkontos zurücksetzen möchten, benötigen Sie eine der folgenden IAM-Rollen:

  • Google Cloud Managed Identities-Administrator (roles/managedidentities.admin)
  • Google Cloud Managed Identities-Domainadministrator (roles/managedidentities.domainAdmin)

Weitere Informationen finden Sie unter Cloud Managed Identities-Rollen.

Console

  1. Rufen Sie in der Cloud Console die Seite Verwaltete Microsoft AD auf.
    Zu Managed Microsoft AD

  2. Wählen Sie unter FQDN die Domain aus, für die Sie das delegierte Administratorpasswort zurücksetzen möchten.

  3. Wählen Sie auf der Seite Domain-Details die Option Passwort festlegen aus.

  4. Klicken Sie im Dialogfeld Passwort festlegen auf Bestätigen.

  5. Das neue Passwort wird im Dialogfeld Neues Passwort angezeigt.

gcloud

Führen Sie diesen Befehl aus:

gcloud active-directory domains reset-admin-password DOMAIN_NAME

Dieser Vorgang kann bis zu 60 Sekunden dauern, da er das Passwort innerhalb der Domain selbst zurückgesetzt.

Ablauf des Passworts deaktivieren

Das Passwort für das delegierte Administratorkonto läuft standardmäßig nach 42 Tagen ab.

Sie können detaillierte Richtlinien (FGPP) verwenden, um die Ablaufzeit von Passwörtern für das delegierte Administratorkonto zu deaktivieren. Mit FGPP können Sie den Wert der Richtlinieneinstellung Maximum password age in den erforderlichen Objekten zur Passworteinstellung (PSO) auf &0 setzen und die Passwortrichtlinie für das delegierte Administratorkonto erzwingen.

Wenn Sie das Ablaufen des Passworts für Ihr delegiertes Administratorkonto deaktivieren möchten, müssen Sie Mitglied der Gruppe „Cloud Service Feined Password Policy-Administratoren“ sein.

  1. Führen Sie den folgenden Befehl in PowerShell aus, um dieser Gruppe einen Nutzer hinzuzufügen:

    Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' 
    -Members USER
    Ersetzen Sie USER durch den Namen des Nutzers, den Sie der Gruppe „Administrator für die Cloud-Dienstrichtlinien“ hinzufügen möchten.

    Weitere Informationen zum Delegieren von Berechtigungen zum Verwalten von Richtlinien

  2. Melden Sie sich vom delegierten Administratorkonto ab.

So deaktivieren Sie das Ablaufen des Passworts für Ihr delegiertes Administratorkonto:

  1. Melden Sie sich als Mitglied der Gruppe „Cloud Service Feined Password Policy-Administratoren“ an.

  2. Führen Sie in PowerShell folgenden Befehl aus, um den Wert der Eigenschaft MaxPasswordAge in "0 zu ändern:

    Set-ADFineGrainedPasswordPolicy -Identity PSO -MaxPasswordAge 0
    
    Ersetzen Sie PSO durch den Namen der PSO, für die Sie die Richtlinie zum Ablauf des Passworts mithilfe von FGPP deaktivieren möchten. Beispiel: PSO-10

    Weitere Informationen zum Set-ADFineGrainedPasswordPolicy-Cmdlet finden Sie unter Vorgefertigte Passwortrichtlinien ändern.

  3. Führen Sie in PowerShell folgenden Befehl aus, um die Passwortrichtlinie auf das delegierte Administratorkonto anzuwenden:

    Add-ADFineGrainedPasswordPolicySubject PSO -Subjects DELEGATED_ADMINISTRATOR_ACCOUNT
    
    Ersetzen Sie Folgendes:

    • PSO: Der Name der PSO, für die Sie die Richtlinie zum Ablauf des Passworts deaktiviert haben. Beispiel: PSO-10
    • DELEGATED_ADMINISTRATOR_ACCOUNT: Der Name des delegierten Administratorkontos, für das Sie das Ablaufen des Passworts deaktivieren möchten. Beispiel: setupadmin

    Weitere Informationen zum Add-ADFineGrainedPasswordPolicySubject-Cmdlet finden Sie unter Einer Passwortrichtlinie einen Nutzer oder eine Gruppe hinzufügen.

Active Directory Domain Services Tools verwenden

Für den Zugriff auf die Tools von Active Directory Domain Services (AD DS) müssen Sie das delegierte Administratorkonto verwenden. Wenn Sie eine Verbindung zur VM-Instanz herstellen, müssen Sie sich mit dem delegierten Administratorkonto anmelden. Sie können das Konto nicht mehr wechseln, nachdem Sie eine Verbindung zur VM hergestellt haben oder zusätzliche Anmeldedaten angegeben werden. Nachdem Sie eine Verbindung zur VM hergestellt haben, können Sie den Assistent zum Hinzufügen von Rollen und Features aktivieren, um die AD DS-Tools zu aktivieren. Informationen zu AD DS-Tools aktivieren

UPN-Suffix erstellen

Die Namen der aktuellen Domain und der Stammdomain sind die standardmäßigen UPN-Suffixe. Das Hinzufügen alternativer Domainnamen bietet zusätzliche Sicherheit und vereinfacht die Anmeldung von Nutzern.

So erstellen Sie ein UPN-Suffix:

  1. Stellen Sie mit dem delegierten Administratorkonto eine Verbindung zur VM-Instanz her.
  2. Öffnen Sie Server-Manager.
  3. Wählen Sie unter Tools die Option Active Directory-Domains und Vertrauensstellungen aus.
  4. Wählen Sie in der Active Directory Domains und Vertrauensstellungen Verwaltungskonsole mit der rechten Maustaste Active Directory-Domains und Vertrauensstellungen im linken Bereich und wählen Sie dann Immobilien, um die Option zu aktivieren.
  5. Geben Sie im Dialogfeld im Feld Alternative UPN-Suffixe den Namen des neuen UPN-Suffixs ein.
  6. Klicken Sie auf Hinzufügen und dann auf OK.

Wenn Sie Active Directory ein neues Benutzerkonto hinzufügen, sollte beim Festlegen des Benutzernamens das neue UPN-Suffix in der Liste angezeigt werden.