Usa la cuenta de administrador delegada

Este tema muestra cómo usar el servicio administrado de la cuenta de administrador delegada de Microsoft Active Directory y cómo administrar sus credenciales.

Resumen

Cuando creas un servicio administrado para un dominio de Microsoft Active Directory, se crea una cuenta de administrador delegada de forma automática. Puedes usarla para administrar el dominio. Cuando hayas accedido a esta cuenta, podrás hacer lo siguiente:

  • Administrar objetos de Active Directory y datos
  • Administrar otros administradores de servicios
  • Usar herramientas estándar de Active Directory

Obtén más información sobre los derechos que se otorgan automáticamente a la cuenta de administrador delegada.

Obtén el nombre de la cuenta

De forma predeterminada, la cuenta de administrador delegada se llama setupadmin. También puedes especificar un nombre de usuario personalizado cuando creas un dominio. Después de crear el dominio, el nombre de usuario no se puede cambiar.

Para recuperar el nombre de la cuenta de administrador delegada, sigue estos pasos:

Console

  1. Vaya a la página Microsoft AD administrado en Cloud Console.
    Ir a la página de Microsoft AD administrado
  2. En FQDN, seleccione el dominio para el que desea obtener el nombre de la cuenta de administrador delegada.
  3. El nombre de la cuenta aparece en Nombre del administrador.

gcloud

Ejecuta el siguiente comando:

gcloud active-directory domains describe domain-name

La respuesta es YAML con información sobre el dominio. El nombre de la cuenta de administrador delegada aparece en el campo managedIdentitiesAdminName:

managedIdentitiesAdminName: setupadmin

Restablece la contraseña

Si olvidas la contraseña de la cuenta de administrador delegada, puedes restablecerla. No hay un método para recuperar una contraseña existente.

Para restablecer la contraseña de administrador delegada, a un usuario se le debe otorgar la función de IAM roles/managedidentities.admin o roles/managedidentities.domainAdmin, o alguna otra función que otorgue el permiso managedidentities.domains.resetpassword. Consulta Cómo otorgar, cambiar y revocar el acceso para obtener más información.

Console

  1. Vaya a la página Microsoft AD administrado en Cloud Console.
    Ir a la página Microsoft AD administrado

  2. En FQDN, seleccione el dominio del que desea restablecer la contraseña de administrador delegada.

  3. En la página Detalles del dominio, selecciona la opción Establecer contraseña.

  4. En el cuadro de diálogo Establecer contraseña, haz clic en Confirmar.

  5. La nueva contraseña se mostrará en el cuadro de diálogo Contraseña nueva.

gcloud

Ejecuta el siguiente comando:

gcloud active-directory domains reset-admin-password domain-name

Esta operación puede tardar hasta 60 segundos en completarse, ya que restablece la contraseña dentro del dominio.

Cómo inhabilitar el vencimiento de contraseña

Según la configuración predeterminada, la contraseña de la cuenta de administrador delegada vence en un plazo de 42 días.

A fin de inhabilitar el vencimiento de contraseñas para la cuenta, puedes usar el cmdlet de PowerShell Set-ADUser con el parámetro -PasswordNeverExpires. Obtén más información sobre el cmd de Set-ADUser.

Usa las herramientas de los servicios de dominio de Active Directory

Para acceder a las herramientas de Servicios de dominio de Active Directory (AD DS), debes usar la cuenta de administrador delegada. Cuando te conectes a la instancia de VM, asegúrate de acceder con la cuenta de administrador delegada. No puedes cambiar de cuenta después de conectarte a la VM o proporcionar credenciales adicionales. Después de conectarte a la VM, puedes usar el Asistente para agregar funciones y características para habilitar las herramientas de AD DS. Obtén más información sobre cómo habilitar las herramientas de AD DS.

Crea un sufijo UPN

Los nombres del dominio actual y del dominio raíz son los sufijos principales del nombre de usuario (UPN) predeterminado. Agregar nombres de dominio alternativos proporciona seguridad adicional y simplifica los nombres de acceso de los usuarios.

Para crear un sufijo UPN, sigue estos pasos:

  1. Conéctate a la instancia de VM con la cuenta de administrador delegada.
  2. Abre Administrador del servidor.
  3. Desde Herramientas, seleccione Dominios y confianzas de Active Directory.
  4. En la consola de administración Dominios y confianzas de Active Directory, haga clic con el botón derecho en Dominios y confianzas de Active Directory en el panel izquierdo y luego seleccione Propiedades.
  5. En el cuadro de diálogo Parámetros de UPN alternativos, escribe el nombre del nuevo sufijo UPN.
  6. Haz clic en Agregar y, luego, en Aceptar.

Cuando agregas una cuenta de usuario nueva a Active Directory, debes ver el nuevo sufijo UPN disponible en la lista cuando configuras el nombre de usuario.