Se usó la API de Cloud Translation para traducir esta página.

Usar cuenta de administrador delegada

En esta página, se muestra cómo usar la cuenta de administrador delegada y administrar sus credenciales en el servicio administrado para Microsoft Active Directory.

Descripción general

Cuando creas un dominio de Microsoft AD administrado, Microsoft AD administrado crea automáticamente una cuenta de administrador delegada. Puedes usarla para administrar el dominio. Después de acceder a esta cuenta, puedes realizar las siguientes tareas:

Administrar datos y objetos de Active Directory
Administrar otros administradores de servicios.
Usa las herramientas estándar de Active Directory.

Obtén más información sobre los derechos que se otorgan automáticamente a la cuenta de administrador delegada.

Obtén el nombre de la cuenta

De forma predeterminada, la cuenta de administrador delegada se llama setupadmin. Después de la creación del dominio, no puedes cambiar el nombre de usuario. Solo puedes especificar un nombre de usuario personalizado cuando creas un dominio. Si especificas un nombre de usuario personalizado, asegúrate de seguir las convenciones de nombres del atributo SAM-Account-Name.

Para recuperar el nombre de la cuenta de administrador delegada, completa los siguientes pasos:

Console

En la consola de Google Cloud, ve a la página Microsoft AD administrado.
Ir a Microsoft AD administrado
En FQDN, seleccione el dominio para el que desea obtener el nombre de la cuenta de administrador delegada.
El nombre de la cuenta aparece en Nombre del administrador.

gcloud

Ejecuta el siguiente comando:

gcloud active-directory domains describe DOMAIN_NAME

La respuesta es YAML con información sobre el dominio. El nombre de la cuenta de administrador delegada aparece en el campo managedIdentitiesAdminName:

managedIdentitiesAdminName: setupadmin

Restablecer la contraseña

Si olvidas la contraseña de la cuenta de administrador delegada, no puedes recuperar la contraseña existente. Sin embargo, puedes restablecer la contraseña.

Para restablecer la contraseña de la cuenta de administrador delegada, debes tener alguno de los siguientes roles de IAM:

Administrador de identidades administradas de Google Cloud (roles/managedidentities.admin)
Administrador de dominios de identidades administradas de Google Cloud (roles/managedidentities.domainAdmin)

Para obtener más información, consulta Funciones de identidades administradas de Cloud.

Console

En la consola de Google Cloud, ve a la página Microsoft AD administrado.
Ir a Microsoft AD administrado
En FQDN, seleccione el dominio del que desea restablecer la contraseña de administrador delegada.
En la página Detalles del dominio, selecciona la opción Establecer contraseña.
En el cuadro de diálogo Establecer contraseña, haz clic en Confirmar.
La nueva contraseña se mostrará en el cuadro de diálogo Contraseña nueva.

gcloud

Ejecuta el siguiente comando:

gcloud active-directory domains reset-admin-password DOMAIN_NAME

Esta operación puede tardar hasta 60 segundos en completarse.

Inhabilitar el vencimiento de la contraseña

Según la configuración predeterminada, la contraseña de la cuenta de administrador delegada vence en un plazo de 42 días. Asegúrate de cambiarla antes de que venza.

Puedes usar políticas de contraseñas detalladas (FGPP) para inhabilitar el vencimiento de las contraseñas para la cuenta de administrador delegado. Al usar FGPP, puedes establecer en "0" el valor de la configuración de la política Maximum password age en los objetos de configuración de contraseñas (PSO) requeridos y aplicar la política de contraseñas en la cuenta de administrador delegada.

Para inhabilitar el vencimiento de las contraseñas de tu cuenta de administrador delegada, debes ser miembro del grupo Cloud Service Fine Grained Password Policy Administrators.

Para agregar un usuario a este grupo, ejecuta el siguiente comando en PowerShell:
```
Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' 

 -Members USER
```
Reemplaza USER por el nombre del usuario que deseas agregar al grupo Cloud Service Fine Grained Password Policy Administrators.

Si deseas obtener más información, consulta Delegar permisos para administrar políticas.
Sal de la cuenta de administrador delegada.

Nota: Si agregas setupadmin al grupo Cloud Service Fine Grained Password Policy Administrators, debes reiniciar la VM en lugar de salir de la cuenta.

Para inhabilitar el vencimiento de las contraseñas de tu cuenta de administrador delegada, haz lo siguiente:

Accede como miembro del grupo Cloud Service Fine Grained Password Policy Administrators.
Para modificar el valor de la propiedad MaxPasswordAge a "0", ejecuta el siguiente comando en PowerShell:
```
Set-ADFineGrainedPasswordPolicy -Identity PSO -MaxPasswordAge 0
```
Reemplaza PSO por el nombre de la PSO en la que deseas inhabilitar la política de vencimiento de contraseñas mediante FGPP. Por ejemplo, PSO-10

Para obtener más información sobre el cmdlet Set-ADFineGrainedPasswordPolicy, consulta Modifica una política de contraseñas creada previamente.
Para aplicar la política de contraseñas a tu cuenta de administrador delegada, ejecuta el siguiente comando en PowerShell:
```
Add-ADFineGrainedPasswordPolicySubject PSO -Subjects DELEGATED_ADMINISTRATOR_ACCOUNT
```
Reemplaza lo siguiente:
- PSO: Es el nombre de la PSO en la que inhabilitaste la política de vencimiento de contraseñas. Por ejemplo, PSO-10
- DELEGATED_ADMINISTRATOR_ACCOUNT: El nombre de la cuenta de administrador delegada para la que deseas inhabilitar el vencimiento de la contraseña. Por ejemplo, setupadmin
Para obtener más información sobre el cmdlet Add-ADFineGrainedPasswordPolicySubject, consulta Agrega un usuario o grupo a una política de contraseñas.

Usa las herramientas de servicios de dominio de Active Directory

Para acceder a las herramientas de Servicios de dominio de Active Directory (AD DS), debes usar la cuenta de administrador delegada. Cuando te conectes a la instancia de VM, asegúrate de acceder con la cuenta de administrador delegada. No puedes cambiar de cuenta después de conectarte a la VM o proporcionar credenciales adicionales. Después de conectarte a la VM, puedes usar el Asistente para agregar funciones y características para habilitar las herramientas de AD DS. Obtén más información sobre cómo habilitar las herramientas de AD DS.

Crea un sufijo UPN

Los nombres del dominio actual y del dominio raíz son los sufijos principales del nombre de usuario (UPN) predeterminado. Agregar nombres de dominio alternativos proporciona seguridad adicional y simplifica los nombres de acceso de los usuarios.

Para crear un sufijo UPN, completa los siguientes pasos:

Conéctate a la instancia de VM con la cuenta de administrador delegada.
Abre Administrador del servidor.
Desde Herramientas, seleccione Dominios y confianzas de Active Directory.
En la consola de administración Dominios y confianzas de Active Directory, haga clic con el botón derecho en Dominios y confianzas de Active Directory en el panel izquierdo y luego seleccione Propiedades.
En el cuadro de diálogo Parámetros de UPN alternativos, escribe el nombre del nuevo sufijo UPN.
Haz clic en Agregar y, luego, en Aceptar.

Cuando agregas una cuenta de usuario nueva a Active Directory, debes ver el nuevo sufijo UPN disponible en la lista cuando configuras el nombre de usuario.