Delegiertes Administratorkonto verwenden

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

In diesem Thema erfahren Sie, wie Sie das delegierte Administratorkonto für Managed Service for Microsoft Active Directory verwenden und seine Anmeldedaten verwalten.

Übersicht

Wenn Sie eine Managed Microsoft AD-Domain erstellen, wird in Managed Microsoft AD automatisch ein delegiertes Administratorkonto erstellt. Mit diesem Konto können Sie die Domain verwalten. Wenn Sie sich in diesem Konto anmelden, haben Sie folgende Möglichkeiten:

  • Daten und Active Directory-Objekte verwalten
  • Andere Dienstadministratoren verwalten.
  • Verwenden Sie standardmäßige Active Directory-Tools.

Weitere Informationen zu den Berechtigungen, die dem delegierten Administratorkonto automatisch gewährt werden

Kontoname abrufen

Standardmäßig heißt das delegierte Administratorkonto setupadmin. Sie können auch beim Erstellen einer Domain einen benutzerdefinierten Nutzernamen angeben. Nach dem Erstellen der Domain können Sie den Nutzernamen nicht mehr ändern.

So rufen Sie den Namen des delegierten Administratorkontos ab:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Managed Microsoft AD auf.
    Zu Managed Microsoft AD
  2. Wählen Sie unter FQDN die Domain aus, für die Sie den Namen des delegierten Administratorkontos abrufen möchten.
  3. Der Kontoname wird unter Administratorname aufgeführt.

gcloud

Führen Sie diesen Befehl aus:

gcloud active-directory domains describe DOMAIN_NAME

Die Antwort ist YAML mit Informationen zur Domain. Der Name des delegierten Administratorkontos ist im Feld managedIdentitiesAdminName aufgeführt:

managedIdentitiesAdminName: setupadmin

Passwort zurücksetzen

Wenn Sie das Passwort für das delegierte Administratorkonto vergessen, können Sie das vorhandene Passwort nicht wiederherstellen. Sie können das Passwort jedoch zurücksetzen.

Zum Zurücksetzen des Passworts des delegierten Administratorkontos benötigen Sie eine der folgenden IAM-Rollen:

  • Google Cloud Managed Identities-Administrator (roles/managedidentities.admin)
  • Google Cloud Managed Identities-Domainadministrator (roles/managedidentities.domainAdmin)

Weitere Informationen finden Sie unter Rollen von Cloud Managed Identities.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Managed Microsoft AD auf.
    Zu Managed Microsoft AD

  2. Wählen Sie unter FQDN die Domain aus, für die Sie das delegierte Administratorpasswort zurücksetzen möchten.

  3. Wählen Sie auf der Seite Domain-Details die Option Passwort festlegen aus.

  4. Klicken Sie im Dialogfeld Passwort festlegen auf Bestätigen.

  5. Das neue Passwort wird im Dialogfeld Neues Passwort angezeigt.

gcloud

Führen Sie diesen Befehl aus:

gcloud active-directory domains reset-admin-password DOMAIN_NAME

Dieser Vorgang kann bis zu 60 Sekunden dauern, da er das Passwort innerhalb der Domain selbst zurückgesetzt.

Ablauf des Passworts deaktivieren

Das Passwort für das delegierte Administratorkonto läuft standardmäßig nach 42 Tagen ab.

Sie können detaillierte Passwortrichtlinien verwenden, um das Ablaufen des Passworts für das delegierte Administratorkonto zu deaktivieren. Mit FGPP können Sie den Wert der Richtlinie Maximum password age in den erforderlichen Objekten der Passworteinstellung auf P&O setzen und die Passwortrichtlinie im delegierten Administratorkonto erzwingen.

Wenn Sie das Ablaufen des Passworts für Ihr delegiertes Administratorkonto deaktivieren möchten, müssen Sie Mitglied der Gruppe „Detaillierter Administrator für Cloud-Dienstrichtlinien“ von Cloud Service sein.

  1. Führen Sie den folgenden Befehl in PowerShell aus, um dieser Gruppe einen Nutzer hinzuzufügen: 

    Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' 
    
 -Members USER
    Ersetzen Sie USER durch den Namen des Nutzers, den Sie der Gruppe „Gruppenrichtlinien“ mit Administratorberechtigungen für Cloud Service hinzufügen möchten.

    Weitere Informationen finden Sie unter Berechtigungen für die Verwaltung von Richtlinien delegieren.

  2. Melden Sie sich vom delegierten Administratorkonto ab.

So deaktivieren Sie das Ablaufen des Passworts für Ihr delegiertes Administratorkonto:

  1. Melden Sie sich als Mitglied der Gruppe „Detaillierter Administrator für Passwortrichtlinien von Cloud Service“ an.

  2. Führen Sie in PowerShell den folgenden Befehl aus, um den Wert der Property MaxPasswordAge in "0" zu ändern: 

    Set-ADFineGrainedPasswordPolicy -Identity PSO -MaxPasswordAge 0
    Ersetzen Sie PSO durch den Namen der PSO, in der Sie die Richtlinie zum Ablauf des Passworts mit FGPP deaktivieren möchten. Beispiel: PSO-10.

    Weitere Informationen zum Set-ADFineGrainedPasswordPolicy-Cmdlet finden Sie unter Vorgefertigte Passwortrichtlinie ändern.

  3. Führen Sie in PowerShell den folgenden Befehl aus, um die Passwortrichtlinie auf Ihr delegiertes Administratorkonto anzuwenden: 

    Add-ADFineGrainedPasswordPolicySubject PSO -Subjects DELEGATED_ADMINISTRATOR_ACCOUNT
    Dabei gilt:

    • PSO: Name der PSO, für die Sie die Richtlinie zum Ablauf des Passworts deaktiviert haben. Beispiel: PSO-10.
    • DELEGATED_ADMINISTRATOR_ACCOUNT: Name des delegierten Administratorkontos, für das Sie das Ablaufen des Passworts deaktivieren möchten. Beispiel: setupadmin.

    Weitere Informationen zum Add-ADFineGrainedPasswordPolicySubject-Cmdlet finden Sie unter Nutzer oder Gruppen zu einer Passwortrichtlinie hinzufügen.

Active Directory Domain Services Tools verwenden

Für den Zugriff auf die Tools von Active Directory Domain Services (AD DS) müssen Sie das delegierte Administratorkonto verwenden. Wenn Sie eine Verbindung zur VM-Instanz herstellen, müssen Sie sich mit dem delegierten Administratorkonto anmelden. Sie können das Konto nicht mehr wechseln, nachdem Sie eine Verbindung zur VM hergestellt haben oder zusätzliche Anmeldedaten angegeben werden. Nachdem Sie eine Verbindung zur VM hergestellt haben, können Sie den Assistent zum Hinzufügen von Rollen und Features aktivieren, um die AD DS-Tools zu aktivieren. Informationen zu AD DS-Tools aktivieren

UPN-Suffix erstellen

Die Namen der aktuellen Domain und der Stammdomain sind die standardmäßigen UPN-Suffixe. Das Hinzufügen alternativer Domainnamen bietet zusätzliche Sicherheit und vereinfacht die Anmeldung von Nutzern.

So erstellen Sie ein UPN-Suffix:

  1. Stellen Sie mit dem delegierten Administratorkonto eine Verbindung zur VM-Instanz her.
  2. Öffnen Sie Server-Manager.
  3. Wählen Sie unter Tools die Option Active Directory-Domains und Vertrauensstellungen aus.
  4. Wählen Sie in der Active Directory Domains und Vertrauensstellungen Verwaltungskonsole mit der rechten Maustaste Active Directory-Domains und Vertrauensstellungen im linken Bereich und wählen Sie dann Immobilien, um die Option zu aktivieren.
  5. Geben Sie im Dialogfeld im Feld Alternative UPN-Suffixe den Namen des neuen UPN-Suffixs ein.
  6. Klicken Sie auf Hinzufügen und dann auf OK.

Wenn Sie Active Directory ein neues Benutzerkonto hinzufügen, sollte beim Festlegen des Benutzernamens das neue UPN-Suffix in der Liste angezeigt werden.