Usar cuenta de administrador delegada

En este tema, se muestra cómo usar la cuenta de administrador delegado del servicio administrado para Microsoft Active Directory y administrar sus credenciales.

Descripción general

Cuando creas un dominio de Microsoft AD administrado, este servicio crea automáticamente una cuenta de administrador delegada. Puedes usarla para administrar el dominio. Cuando accedes a esta cuenta, puedes:

Administra datos y objetos de Active Directory.
Administra otros administradores de servicios.
Usa las herramientas estándar de Active Directory.

Obtén más información sobre los derechos que se otorgan automáticamente a la cuenta de administrador delegado.

Obtén el nombre de la cuenta

De forma predeterminada, la cuenta de administrador delegada se llama setupadmin. También puedes especificar un nombre de usuario personalizado cuando creas un dominio. Después de crear el dominio, no puedes cambiar el nombre de usuario.

Para recuperar el nombre de la cuenta de administrador delegada, sigue estos pasos:

Consola

Ve a la página Microsoft AD administrado en Google Cloud Console.
Ir a Microsoft AD administrado
En FQDN, seleccione el dominio para el que desea obtener el nombre de la cuenta de administrador delegada.
El nombre de la cuenta aparece en Nombre del administrador.

gcloud

Ejecuta el siguiente comando:

gcloud active-directory domains describe DOMAIN_NAME

La respuesta es YAML con información sobre el dominio. El nombre de la cuenta de administrador delegada aparece en el campo managedIdentitiesAdminName:

managedIdentitiesAdminName: setupadmin

Restablece la contraseña

Si olvidas la contraseña de la cuenta de administrador delegado, no podrás recuperar la contraseña existente. Sin embargo, puedes restablecerla.

Para restablecer la contraseña de la cuenta de administrador delegada, debes tener una de las siguientes funciones de IAM:

Administrador de identidades administradas de Google Cloud (roles/managedidentities.admin)
Administrador de dominios de identidades administradas de Google Cloud (roles/managedidentities.domainAdmin)

Para obtener más información, consulta Funciones de identidades administradas en la nube.

Consola

Ve a la página Microsoft AD administrado en Google Cloud Console.
Ir a Microsoft AD administrado
En FQDN, seleccione el dominio del que desea restablecer la contraseña de administrador delegada.
En la página Detalles del dominio, selecciona la opción Establecer contraseña.
En el cuadro de diálogo Establecer contraseña, haz clic en Confirmar.
La nueva contraseña se mostrará en el cuadro de diálogo Contraseña nueva.

gcloud

Ejecuta el siguiente comando:

gcloud active-directory domains reset-admin-password DOMAIN_NAME

Esta operación puede tardar hasta 60 segundos en completarse, ya que restablece la contraseña dentro del dominio.

Cómo inhabilitar el vencimiento de contraseña

Según la configuración predeterminada, la contraseña de la cuenta de administrador delegada vence en un plazo de 42 días.

Puede usar políticas de contraseñas detalladas (FGPP) a fin de inhabilitar el vencimiento de las contraseñas para la cuenta de administrador delegada. Con la FGPP, puedes establecer el valor de la política Maximum password age en los objetos de configuración de contraseña (PSO) requeridos como "0" y aplicar la política para contraseñas en la cuenta de administrador delegada.

Para inhabilitar el vencimiento de la contraseña de tu cuenta de administrador delegado, debes ser miembro del grupo de administradores de la Política de contraseñas detalladas de servicio de Cloud.

Para agregar un usuario a este grupo, ejecuta el siguiente comando en PowerShell:
```
Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' 

 -Members USER
```
Reemplaza USER por el nombre del usuario que deseas agregar al grupo de administradores de la Política de contraseñas detalladas de servicios de Cloud.

Si deseas obtener más información, consulta Delega permisos para administrar políticas.
Salga de la cuenta de administrador delegado.

Nota: Si agregas setupadmin al grupo de administradores de políticas de contraseñas detalladas de Cloud Service, debes reiniciar la VM en lugar de salir de la cuenta.

Para inhabilitar el vencimiento de la contraseña de la cuenta de administrador delegado, haz lo siguiente:

Accede como miembro del grupo de administradores de políticas de contraseñas detalladas del servicio de Cloud.
Ejecuta el siguiente comando en PowerShell para modificar el valor de la propiedad MaxPasswordAge a "0":
```
Set-ADFineGrainedPasswordPolicy -Identity PSO -MaxPasswordAge 0
```
Reemplaza PSO por el nombre de la PSO en la que deseas inhabilitar la política de vencimiento de la contraseña mediante FGPP. Por ejemplo, PSO-10

Para obtener más información sobre el cmdlet Set-ADFineGrainedPasswordPolicy, consulta Modifica la política de contraseñas creadas con anterioridad.
Ejecute el siguiente comando en PowerShell para aplicar la política de contraseñas a su cuenta de administrador delegada:
```
Add-ADFineGrainedPasswordPolicySubject PSO -Subjects DELEGATED_ADMINISTRATOR_ACCOUNT
```
Reemplaza lo siguiente:
- PSO: Es el nombre de la PSO en la que inhabilitaste la política de vencimiento de la contraseña. Por ejemplo, PSO-10
- DELEGATED_ADMINISTRATOR_ACCOUNT: El nombre de la cuenta de administrador delegada para la que deseas inhabilitar la caducidad de la contraseña. Por ejemplo, setupadmin
Para obtener más información sobre el cmdlet Add-ADFineGrainedPasswordPolicySubject, consulta Agrega un usuario o grupo a una política de contraseñas.

Usa las herramientas de los servicios de dominio de Active Directory

Para acceder a las herramientas de Servicios de dominio de Active Directory (AD DS), debes usar la cuenta de administrador delegada. Cuando te conectes a la instancia de VM, asegúrate de acceder con la cuenta de administrador delegada. No puedes cambiar de cuenta después de conectarte a la VM o proporcionar credenciales adicionales. Después de conectarte a la VM, puedes usar el Asistente para agregar funciones y características para habilitar las herramientas de AD DS. Obtén más información sobre cómo habilitar las herramientas de AD DS.

Crea un sufijo UPN

Los nombres del dominio actual y del dominio raíz son los sufijos principales del nombre de usuario (UPN) predeterminado. Agregar nombres de dominio alternativos proporciona seguridad adicional y simplifica los nombres de acceso de los usuarios.

Para crear un sufijo UPN, sigue estos pasos:

Conéctate a la instancia de VM con la cuenta de administrador delegada.
Abre Administrador del servidor.
Desde Herramientas, seleccione Dominios y confianzas de Active Directory.
En la consola de administración Dominios y confianzas de Active Directory, haga clic con el botón derecho en Dominios y confianzas de Active Directory en el panel izquierdo y luego seleccione Propiedades.
En el cuadro de diálogo Parámetros de UPN alternativos, escribe el nombre del nuevo sufijo UPN.
Haz clic en Agregar y, luego, en Aceptar.

Cuando agregas una cuenta de usuario nueva a Active Directory, debes ver el nuevo sufijo UPN disponible en la lista cuando configuras el nombre de usuario.