Diese Seite wurde von der Cloud Translation API übersetzt.
Switch to English

Konto für delegierten Administrator verwenden

In diesem Thema wird gezeigt, wie Sie das delegierte Administratorkonto des Managed Service for Microsoft Active Directory verwenden und dessen Anmeldedaten verwalten.

Überblick

Wenn Sie einen Managed Service for Microsoft Active Directory-Domain erstellen, wird automatisch ein delegiertes Administratorkonto für Sie erstellt. Mit diesem Konto können Sie die Domain verwalten. Wenn Sie in diesem Konto angemeldet sind, können Sie:

  • Daten und Active Directory-Objekte verwalten
  • andere Dienstadministratoren verwalten
  • Standard-Active Directory-Tools verwenden

Weitere Informationen zu den Rechten, die dem delegierten Administratorkonto automatisch gewährt werden

Kontoname abrufen

Standardmäßig heißt das delegierte Administratorkonto setupadmin. Sie können beim Erstellen einer Domain auch einen benutzerdefinierten Nutzernamen angeben. Nachdem die Domain erstellt wurde, kann der Nutzername nicht mehr geändert werden.

So rufen Sie den Namen des delegierten Administratorkontos ab:

Console

  1. Öffnen Sie in der Cloud Console die Seite Managed Microsoft AD.
    Zur Seite "Managed Microsoft AD"
  2. Wählen Sie unter FQDN die Domain aus, für die Sie den Namen des delegierten Administratorkontos abrufen möchten.
  3. Der Kontoname wird unter Administratorname aufgeführt.

gcloud

Führen Sie diesen Befehl aus:

gcloud active-directory domains describe domain-name

Die Antwort ist YAML mit Informationen zur Domain. Der Name des delegierten Administratorkontos ist im Feld managedIdentitiesAdminName aufgeführt:

managedIdentitiesAdminName: setupadmin

Passwort zurücksetzen

Wenn Sie das Passwort für das delegierte Administratorkonto vergessen haben, können Sie es zurücksetzen. Es gibt keine Methode zum Abrufen eines vorhandenen Passworts.

Zum Zurücksetzen des Administratorpassworts muss der Nutzer die IAM-Rolle roles/managedidentities.admin oder roles/managedidentities.domainAdmin oder eine andere Rolle mit der Berechtigung managedidentities.domains.resetpassword haben. Weitere Informationen finden Sie unter Zugriff gewähren, ändern und widerrufen.

Console

  1. Öffnen Sie in der Cloud Console die Seite Managed Microsoft AD.
    Zur Seite "Managed Microsoft AD"

  2. Wählen Sie unter FQDN die Domain aus, für die Sie das delegierte Administratorpasswort zurücksetzen möchten.

  3. Wählen Sie auf der Seite Domain-Details die Option Passwort festlegen aus.

  4. Klicken Sie im Dialogfeld Passwort festlegen auf Bestätigen.

  5. Das neue Passwort wird im Dialogfeld Neues Passwort angezeigt.

gcloud

Führen Sie diesen Befehl aus:

gcloud active-directory domains reset-admin-password domain-name

Dieser Vorgang kann bis zu 60 Sekunden dauern, da er das Passwort innerhalb der Domain selbst zurückgesetzt.

Ablauf des Passworts deaktivieren

Das Passwort für das delegierte Administratorkonto läuft standardmäßig nach 42 Tagen ab.

Sie können die Passwortablaufzeit für das Konto deaktivieren, indem Sie das PowerShell-Cmdlet Set-ADUser mit dem Parameter -PasswordNeverExpires verwenden. Weitere Informationen zum Cmdlet Set-ADUser

Active Directory Domain Services Tools verwenden

Für den Zugriff auf die Tools von Active Directory Domain Services (AD DS) müssen Sie das delegierte Administratorkonto verwenden. Wenn Sie eine Verbindung zur VM-Instanz herstellen, müssen Sie sich mit dem delegierten Administratorkonto anmelden. Sie können das Konto nicht mehr wechseln, nachdem Sie eine Verbindung zur VM hergestellt haben oder zusätzliche Anmeldedaten angegeben werden. Nachdem Sie eine Verbindung zur VM hergestellt haben, können Sie den Assistent zum Hinzufügen von Rollen und Features aktivieren, um die AD DS-Tools zu aktivieren. Informationen zu AD DS-Tools aktivieren

UPN-Suffix erstellen

Die Namen der aktuellen Domain und der Stammdomain sind die standardmäßigen UPN-Suffixe. Das Hinzufügen alternativer Domainnamen bietet zusätzliche Sicherheit und vereinfacht die Anmeldung von Nutzern.

So erstellen Sie ein UPN-Suffix:

  1. Stellen Sie mit dem delegierten Administratorkonto eine Verbindung zur VM-Instanz her.
  2. Öffnen Sie Server-Manager.
  3. Wählen Sie unter Tools die Option Active Directory-Domains und Vertrauensstellungen aus.
  4. Wählen Sie in der Active Directory Domains und Vertrauensstellungen Verwaltungskonsole mit der rechten Maustaste Active Directory-Domains und Vertrauensstellungen im linken Bereich und wählen Sie dann Immobilien, um die Option zu aktivieren.
  5. Geben Sie im Dialogfeld im Feld Alternative UPN-Suffixe den Namen des neuen UPN-Suffixs ein.
  6. Klicken Sie auf Hinzufügen und dann auf OK.

Wenn Sie Active Directory ein neues Benutzerkonto hinzufügen, sollte beim Festlegen des Benutzernamens das neue UPN-Suffix in der Liste angezeigt werden.