Utiliser un compte administrateur délégué

Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Cette rubrique explique comment utiliser le compte administrateur délégué du service géré pour Microsoft Active Directory et gérer ses identifiants.

Présentation

Lorsque vous créez un domaine Microsoft AD géré, le service Microsoft AD géré crée automatiquement un compte administrateur délégué. Vous pouvez utiliser ce compte pour gérer le domaine. Lorsque vous vous connectez à ce compte, vous pouvez:

  • Gérer des données et des objets Active Directory
  • Gérez les autres administrateurs de service.
  • Utilisez les outils Active Directory standards.

En savoir plus sur les droits accordés automatiquement au compte administrateur délégué

Obtenir le nom du compte

Par défaut, le compte administrateur délégué est nommé setupadmin. Vous pouvez également spécifier un nom d'utilisateur personnalisé lorsque vous créez un domaine. Après la création du domaine, vous ne pouvez plus modifier le nom d'utilisateur.

Pour récupérer le nom du compte administrateur délégué :

Console

  1. Accédez à la page Service Microsoft AD géré dans Google Cloud Console.
    Accéder au service Microsoft AD géré
  2. Sous Nom de domaine complet, sélectionnez le domaine pour lequel vous souhaitez obtenir le nom du compte administrateur délégué.
  3. Le nom du compte apparaît sous Nom de l'administrateur.

gcloud

Exécutez la commande suivante :

gcloud active-directory domains describe DOMAIN_NAME

La réponse est un code YAML contenant des informations sur le domaine. Le nom du compte administrateur délégué apparaît sous le champ managedIdentitiesAdminName :

managedIdentitiesAdminName: setupadmin

Réinitialiser le mot de passe

Si vous oubliez le mot de passe du compte administrateur délégué, vous ne pourrez pas le récupérer. Vous pouvez toutefois le réinitialiser.

Pour réinitialiser le mot de passe du compte administrateur délégué, vous devez disposer de l'un des rôles IAM suivants:

  • Administrateur Google Cloud Managed Identities (roles/managedidentities.admin)
  • Administrateur de domaine Google Cloud Managed Identities (roles/managedidentities.domainAdmin)

Pour en savoir plus, consultez la section Rôles Cloud Managed Identities.

Console

  1. Accédez à la page Service Microsoft AD géré dans Google Cloud Console.
    Accéder au service Microsoft AD géré

  2. Sous Nom de domaine complet, sélectionnez le domaine pour lequel vous souhaitez réinitialiser le mot de passe du compte administrateur délégué.

  3. Sur la page Détails du domaine, sélectionnez Définir le mot de passe.

  4. Dans la boîte de dialogue Définir le mot de passe, cliquez sur Confirmer.

  5. Le nouveau mot de passe s'affiche dans la boîte de dialogue Nouveau mot de passe.

gcloud

Exécutez la commande suivante :

gcloud active-directory domains reset-admin-password DOMAIN_NAME

Cette opération peut prendre jusqu'à 60 secondes, car elle réinitialise le mot de passe à l'intérieur du domaine lui-même.

Désactiver l'expiration du mot de passe

Par défaut, le mot de passe du compte administrateur délégué expire au bout de 42 jours.

Vous pouvez utiliser des règles précises relatives aux mots de passe pour désactiver l'expiration du mot de passe pour le compte administrateur délégué. À l'aide de FGPP, vous pouvez définir la valeur du paramètre de règle Maximum password age dans les objets de paramètres de mot de passe requis sur "0" et appliquer la règle de mot de passe au compte administrateur délégué.

Pour désactiver l'expiration du mot de passe de votre compte administrateur délégué, vous devez être membre du groupe Administrateurs de règles de mot de passe détaillées Cloud Service.

  1. Pour ajouter un utilisateur à ce groupe, exécutez la commande suivante dans PowerShell:

    Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' 
    -Members USER
    Remplacez USER par le nom de l'utilisateur que vous souhaitez ajouter au groupe d'administrateurs de règles de mot de passe détaillées Cloud Service.

    Pour en savoir plus, consultez Déléguer des autorisations pour gérer des règles.

  2. Déconnectez-vous du compte administrateur délégué.

Pour désactiver l'expiration du mot de passe de votre compte administrateur délégué:

  1. Connectez-vous en tant que membre du groupe Administrateurs de règles relatives aux mots de passe détaillées Cloud Service.

  2. Exécutez la commande suivante dans PowerShell pour définir la valeur de la propriété MaxPasswordAge sur "0":

    Set-ADFineGrainedPasswordPolicy -Identity PSO -MaxPasswordAge 0
    
    Remplacez PSO par le nom du PSO pour lequel vous souhaitez désactiver la règle d'expiration du mot de passe à l'aide du programme FGPP. Par exemple, PSO-10.

    Pour en savoir plus sur le cmdlet Set-ADFineGrainedPasswordPolicy, consultez Modifier la règle de mot de passe créée à l'avance.

  3. Exécutez la commande suivante dans PowerShell pour appliquer la règle de mot de passe à votre compte administrateur délégué:

    Add-ADFineGrainedPasswordPolicySubject PSO -Subjects DELEGATED_ADMINISTRATOR_ACCOUNT
    
    Remplacez les éléments suivants :

    • PSO : nom du PSO pour lequel vous avez désactivé la règle d'expiration du mot de passe. Par exemple, PSO-10.
    • DELEGATED_ADMINISTRATOR_ACCOUNT: nom du compte administrateur délégué pour lequel vous souhaitez désactiver l'expiration du mot de passe. Par exemple, setupadmin.

    Pour en savoir plus sur le cmdlet Add-ADFineGrainedPasswordPolicySubject, consultez Ajouter un utilisateur ou un groupe à une règle de mot de passe.

Utiliser les outils des services de domaine Active Directory

Pour accéder aux outils des services de domaine Active Directory (AD DS), vous devez utiliser le compte administrateur délégué. Lorsque vous vous connectez à l'instance de VM, veillez à vous connecter à l'aide du compte administrateur délégué. Une fois connecté à la VM, vous ne pouvez pas changer de compte ou fournir des identifiants supplémentaires. Après vous être connecté à la VM, vous pouvez utiliser l'Assistant Ajout de rôles et de fonctionnalités afin d'activer les outils AD DS. En savoir plus sur l'activation des outils AD DS.

Créer un suffixe UPN

Les noms du domaine actuel et du domaine racine sont les suffixes de nom d'utilisateur principal (UPN) par défaut. L'ajout de noms de domaine alternatifs offre une sécurité supplémentaire et simplifie les noms de connexion des utilisateurs.

Pour créer un suffixe UPN, procédez comme suit :

  1. Connectez-vous à l'instance de VM à l'aide du compte administrateur délégué.
  2. Ouvrez le Gestionnaire de serveurs.
  3. Dans Outils, sélectionnez Domaines et approbations Active Directory.
  4. Dans la console de gestion Domaines et approbations Active Directory, effectuez un clic droit sur Domaines et approbations Active Directory dans le volet de gauche, puis sélectionnez Propriétés.
  5. Dans la boîte de dialogue, dans la zone Suffixes UPN alternatifs, saisissez le nom du nouveau suffixe UPN.
  6. Cliquez sur Ajouter, puis sur OK.

Lorsque vous ajoutez un nouveau compte utilisateur dans Active Directory, vous devez voir le nouveau suffixe UPN apparaître dans la liste lors de la définition du nom d'utilisateur.