Usar la cuenta de administrador delegada

En este tema, se muestra cómo usar la cuenta de administrador delegado del servicio administrado para Microsoft Active Directory y administrar sus credenciales.

Descripción general

Cuando creas un dominio administrado de Microsoft AD, Microsoft AD administrado crea automáticamente una cuenta de administrador delegada. Puedes usarla para administrar el dominio. Cuando inicias sesión en esta cuenta, puedes:

  • Administra datos y objetos de Active Directory.
  • Administrar otros administradores de servicios
  • Usa las herramientas estándar de Active Directory.

Obtén más información sobre los derechos que se otorgan automáticamente a la cuenta de administrador delegado.

Obtén el nombre de la cuenta

De forma predeterminada, la cuenta de administrador delegada se llama setupadmin. También puedes especificar un nombre de usuario personalizado cuando creas un dominio. Después de crear el dominio, no podrás cambiar el nombre de usuario.

Para recuperar el nombre de la cuenta de administrador delegada, sigue estos pasos:

Console

  1. Ve a la página Microsoft AD administrado en Cloud Console.
    Ir a Microsoft AD administrado
  2. En FQDN, seleccione el dominio para el que desea obtener el nombre de la cuenta de administrador delegada.
  3. El nombre de la cuenta aparece en Nombre del administrador.

gcloud

Ejecuta el siguiente comando:

gcloud active-directory domains describe DOMAIN_NAME

La respuesta es YAML con información sobre el dominio. El nombre de la cuenta de administrador delegada aparece en el campo managedIdentitiesAdminName:

managedIdentitiesAdminName: setupadmin

Restablece la contraseña

Si olvidas la contraseña de la cuenta de administrador delegado, no podrás recuperar la contraseña existente. Sin embargo, puedes restablecerla.

Para restablecer la contraseña de la cuenta de administrador delegada, debes tener cualquiera de las siguientes funciones de IAM:

  • Administrador de identidades administradas de Google Cloud (roles/managedidentities.admin)
  • Administrador de dominios de identidades administradas de Google Cloud (roles/managedidentities.domainAdmin)

Para obtener más información, consulta Funciones de identidades administradas por Cloud.

Console

  1. Ve a la página Microsoft AD administrado en Cloud Console.
    Ir a Microsoft AD administrado

  2. En FQDN, seleccione el dominio del que desea restablecer la contraseña de administrador delegada.

  3. En la página Detalles del dominio, selecciona la opción Establecer contraseña.

  4. En el cuadro de diálogo Establecer contraseña, haz clic en Confirmar.

  5. La nueva contraseña se mostrará en el cuadro de diálogo Contraseña nueva.

gcloud

Ejecuta el siguiente comando:

gcloud active-directory domains reset-admin-password DOMAIN_NAME

Esta operación puede tardar hasta 60 segundos en completarse, ya que restablece la contraseña dentro del dominio.

Cómo inhabilitar el vencimiento de contraseña

Según la configuración predeterminada, la contraseña de la cuenta de administrador delegada vence en un plazo de 42 días.

Puede usar políticas de contraseñas detalladas (FGPP) a fin de inhabilitar el vencimiento de las contraseñas para la cuenta de administrador delegado. Con el FGPP, puedes establecer el valor de la política Maximum password age en los objetos de configuración de contraseña (PSO) obligatorios como "&0"; y aplicar la política de contraseñas en la cuenta de administrador delegada.

Para inhabilitar el vencimiento de la contraseña de tu cuenta de administrador delegada, debes ser miembro del grupo de administradores de políticas de contraseñas detalladas de servicios de Cloud.

  1. Para agregar un usuario a este grupo, ejecuta el siguiente comando en PowerShell:

    Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' 
    -Members USER
    Reemplaza USER por el nombre del usuario que deseas agregar al grupo de administradores de políticas de contraseñas detalladas de servicios de Cloud.

    Si quieres obtener más información, consulta Delegar permisos para administrar políticas.

  2. Salga de la cuenta de administrador delegado.

Para inhabilitar el vencimiento de la contraseña de tu cuenta de administrador delegado, haz lo siguiente:

  1. Accede como miembro del grupo de administradores de políticas de contraseñas detalladas de servicios de Cloud.

  2. Ejecuta el siguiente comando en PowerShell para modificar el valor de la propiedad MaxPasswordAge a &&tt;0":

    Set-ADFineGrainedPasswordPolicy -Identity PSO -MaxPasswordAge 0
    
    Reemplaza PSO por el nombre de la PSO en la que deseas inhabilitar la política de vencimiento de contraseñas con FGPP. Por ejemplo, PSO-10.

    Para obtener más información sobre el selector Set-ADFineGrainedPasswordPolicy, consulta la sección Modifica la política de contraseñas creadas previamente.

  3. Ejecute el siguiente comando en PowerShell para aplicar la política de contraseñas a su cuenta de administrador delegado:

    Add-ADFineGrainedPasswordPolicySubject PSO -Subjects DELEGATED_ADMINISTRATOR_ACCOUNT
    
    Reemplaza lo siguiente:

    • PSO: El nombre de la PSO en la que inhabilitaste la política de vencimiento de contraseñas Por ejemplo, PSO-10.
    • DELEGATED_ADMINISTRATOR_ACCOUNT: Es el nombre de la cuenta de administrador delegado para la que deseas inhabilitar el vencimiento de la contraseña. Por ejemplo, setupadmin.

    Para obtener más información sobre el compilador Add-ADFineGrainedPasswordPolicySubject, consulta Agrega un usuario o grupo a una política de contraseña.

Usa las herramientas de los servicios de dominio de Active Directory

Para acceder a las herramientas de Servicios de dominio de Active Directory (AD DS), debes usar la cuenta de administrador delegada. Cuando te conectes a la instancia de VM, asegúrate de acceder con la cuenta de administrador delegada. No puedes cambiar de cuenta después de conectarte a la VM o proporcionar credenciales adicionales. Después de conectarte a la VM, puedes usar el Asistente para agregar funciones y características para habilitar las herramientas de AD DS. Obtén más información sobre cómo habilitar las herramientas de AD DS.

Crea un sufijo UPN

Los nombres del dominio actual y del dominio raíz son los sufijos principales del nombre de usuario (UPN) predeterminado. Agregar nombres de dominio alternativos proporciona seguridad adicional y simplifica los nombres de acceso de los usuarios.

Para crear un sufijo UPN, sigue estos pasos:

  1. Conéctate a la instancia de VM con la cuenta de administrador delegada.
  2. Abre Administrador del servidor.
  3. Desde Herramientas, seleccione Dominios y confianzas de Active Directory.
  4. En la consola de administración Dominios y confianzas de Active Directory, haga clic con el botón derecho en Dominios y confianzas de Active Directory en el panel izquierdo y luego seleccione Propiedades.
  5. En el cuadro de diálogo Parámetros de UPN alternativos, escribe el nombre del nuevo sufijo UPN.
  6. Haz clic en Agregar y, luego, en Aceptar.

Cuando agregas una cuenta de usuario nueva a Active Directory, debes ver el nuevo sufijo UPN disponible en la lista cuando configuras el nombre de usuario.