Utiliser le compte administrateur délégué

Cette rubrique décrit comment utiliser le compte administrateur délégué du service géré pour Microsoft Active Directory et comment gérer ses identifiants.

Aperçu

Lorsque vous créez un service géré pour le domaine Microsoft Active Directory, un compte administrateur délégué est créé automatiquement pour vous. Vous pouvez utiliser ce compte pour gérer le domaine. Lorsque vous êtes connecté avec ce compte, vous pouvez :

• gérer les données et objets Active Directory ;
• gérer d'autres administrateurs de services ;
• utiliser les outils Active Directory standards.

En savoir plus sur les droits accordés automatiquement au compte administrateur délégué.

Obtenir le nom du compte

Par défaut, le compte administrateur délégué est nommé setupadmin. Vous pouvez également spécifier un nom d'utilisateur personnalisé lors de la création d'un domaine. Une fois le domaine créé, le nom d'utilisateur ne peut plus être modifié.

Pour récupérer le nom du compte administrateur délégué :

gcloud active-directory domains describe domain-name

managedIdentitiesAdminName: setupadmin

Réinitialiser le mot de passe

Si vous avez oublié le mot de passe du compte administrateur délégué, vous pouvez le réinitialiser. Il n'existe aucune méthode permettant de récupérer un mot de passe existant.

Pour réinitialiser le mot de passe administrateur délégué, un utilisateur doit se voir accorder le rôle Cloud IAM roles/managedidentities.admin ou roles/managedidentities.domainAdmin, ou un autre rôle accordant l'autorisation managedidentities.domains.resetpassword. Pour obtenir des instructions détaillées, consultez la page Accorder, modifier et révoquer les accès.

gcloud active-directory domains reset-admin-password domain-name

Cette opération peut prendre jusqu'à 60 secondes, car elle réinitialise le mot de passe à l'intérieur du domaine lui-même.

Désactiver l'expiration du mot de passe

Par défaut, le mot de passe du compte administrateur délégué expire au bout de 42 jours.

Pour désactiver l'expiration du mot de passe du compte, vous pouvez utiliser la commande cmdlet PowerShell Set-ADUser avec le paramètre -PasswordNeverExpires défini. Obtenez plus d'informations sur la commande cmdlet Set-ADUser.

Utiliser les outils des services de domaine Active Directory

Pour accéder aux outils des services de domaine Active Directory (AD DS), vous devez utiliser le compte administrateur délégué. Lorsque vous vous connectez à l'instance de VM, veillez à vous connecter à l'aide du compte administrateur délégué. Une fois connecté à la VM, vous ne pouvez pas changer de compte ou fournir des identifiants supplémentaires. Après vous être connecté à la VM, vous pouvez utiliser l'Assistant Ajout de rôles et de fonctionnalités afin d'activer les outils AD DS. En savoir plus sur l'activation des outils AD DS.

Créer un suffixe UPN

Les noms du domaine actuel et du domaine racine sont les suffixes de nom d'utilisateur principal (UPN) par défaut. L'ajout de noms de domaine alternatifs offre une sécurité supplémentaire et simplifie les noms de connexion des utilisateurs.

Pour créer un suffixe UPN, procédez comme suit :

1. Connectez-vous à l'instance de VM à l'aide du compte administrateur délégué.
2. Ouvrez le Gestionnaire de serveurs.
3. Dans Outils, sélectionnez Domaines et approbations Active Directory.
4. Dans la console de gestion Domaines et approbations Active Directory, effectuez un clic droit sur Domaines et approbations Active Directory dans le volet de gauche, puis sélectionnez Propriétés.
5. Dans la boîte de dialogue, dans la zone Suffixes UPN alternatifs, saisissez le nom du nouveau suffixe UPN.
6. Cliquez sur Ajouter, puis sur OK.

Lorsque vous ajoutez un nouveau compte utilisateur dans Active Directory, vous devez voir le nouveau suffixe UPN apparaître dans la liste lors de la définition du nom d'utilisateur.