Cette rubrique explique comment utiliser le compte administrateur délégué délégué Managed Service pour Microsoft Active Directory et gérer ses identifiants.
Présentation
Lorsque vous créez un domaine Microsoft AD géré, le service Microsoft AD géré crée automatiquement un compte administrateur délégué. Vous pouvez utiliser ce compte pour gérer le domaine. Lorsque vous vous connectez à ce compte, vous pouvez effectuer les opérations suivantes:
- Gérez les données et les objets Active Directory.
- gérer les autres administrateurs de service ;
- Utilisez les outils Active Directory standards.
En savoir plus sur les droits accordés automatiquement au compte administrateur délégué
Obtenir le nom du compte
Par défaut, le compte administrateur délégué est nommé setupadmin
. Vous pouvez également spécifier un nom d'utilisateur personnalisé lorsque vous créez un domaine. Après avoir créé le domaine, vous ne pouvez pas modifier le nom d'utilisateur.
Pour récupérer le nom du compte administrateur délégué :
Console
- Accédez à la page Microsoft AD géré dans Cloud Console.
Accéder à Microsoft AD géré - Sous Nom de domaine complet, sélectionnez le domaine pour lequel vous souhaitez obtenir le nom du compte administrateur délégué.
- Le nom du compte apparaît sous Nom de l'administrateur.
gcloud
Exécutez la commande suivante :
gcloud active-directory domains describe DOMAIN_NAME
La réponse est un code YAML contenant des informations sur le domaine. Le nom du compte administrateur délégué apparaît sous le champ managedIdentitiesAdminName
:
managedIdentitiesAdminName: setupadmin
Réinitialiser le mot de passe
Si vous avez oublié le mot de passe du compte administrateur délégué, vous ne pouvez pas le récupérer. Vous pouvez toutefois réinitialiser celui-ci.
Pour réinitialiser le mot de passe du compte administrateur délégué, vous devez disposer de l'un des rôles IAM suivants:
- Administrateur Google Cloud Managed Identities (
roles/managedidentities.admin
) - Administrateur de domaine Google Cloud Managed Identities (
roles/managedidentities.domainAdmin
)
Pour en savoir plus, consultez la page Rôles Cloud Managed Identities.
Console
Accédez à la page Microsoft AD géré dans Cloud Console.
Accéder à Microsoft AD géréSous Nom de domaine complet, sélectionnez le domaine pour lequel vous souhaitez réinitialiser le mot de passe du compte administrateur délégué.
Sur la page Détails du domaine, sélectionnez Définir le mot de passe.
Dans la boîte de dialogue Définir le mot de passe, cliquez sur Confirmer.
Le nouveau mot de passe s'affiche dans la boîte de dialogue Nouveau mot de passe.
gcloud
Exécutez la commande suivante :
gcloud active-directory domains reset-admin-password DOMAIN_NAME
Cette opération peut prendre jusqu'à 60 secondes, car elle réinitialise le mot de passe à l'intérieur du domaine lui-même.
Désactiver l'expiration du mot de passe
Par défaut, le mot de passe du compte administrateur délégué expire au bout de 42 jours.
Vous pouvez utiliser des règles de mots de passe précis pour désactiver l'expiration du mot de passe du compte administrateur délégué. Avec FGPP, vous pouvez définir la valeur du paramètre de règle Maximum password age
dans les objets des paramètres de mots de passe requis sur "0", et appliquer la règle de mot de passe au compte administrateur délégué.
Pour désactiver l'expiration du mot de passe pour votre compte administrateur délégué, vous devez être membre du groupe Administrateurs de règles relatives aux mots de passe précis Cloud Service.
Pour ajouter un utilisateur à ce groupe, exécutez la commande suivante dans PowerShell:
Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators'
Remplacez USER par le nom de l'utilisateur que vous souhaitez ajouter au groupe d'administrateurs de règles de mots de passe précis Cloud Service.
-Members USERPour en savoir plus, consultez Déléguer des autorisations pour gérer les règles.
Déconnectez-vous du compte administrateur délégué.
Pour désactiver l'expiration du mot de passe pour votre compte administrateur délégué, procédez comme suit:
Connectez-vous au groupe Administrateurs de règles de mots de passe précis Cloud Service en tant que membre.
Exécutez la commande suivante dans PowerShell pour remplacer la valeur de la propriété
MaxPasswordAge
par &0t;Set-ADFineGrainedPasswordPolicy -Identity PSO -MaxPasswordAge 0
Remplacez PSO par le nom du PSO pour lequel vous souhaitez désactiver la règle d'expiration du mot de passe à l'aide du FGPP. Exemple :PSO-10
.Pour en savoir plus sur le cmdlet
Set-ADFineGrainedPasswordPolicy
, consultez la section Modifier la règle de mot de passe pré-créée.Exécutez la commande suivante dans PowerShell pour appliquer la règle relative aux mots de passe à votre compte administrateur délégué:
Add-ADFineGrainedPasswordPolicySubject PSO -Subjects DELEGATED_ADMINISTRATOR_ACCOUNT
Remplacez les éléments suivants :- PSO : nom de l'authentification unique pour laquelle vous avez désactivé la règle d'expiration du mot de passe. Exemple :
PSO-10
. - DELEGATED_ADMINISTRATOR_ACCOUNT : nom du compte administrateur délégué pour lequel vous souhaitez désactiver l'expiration du mot de passe. Exemple :
setupadmin
.
Pour en savoir plus sur le cmdlet
Add-ADFineGrainedPasswordPolicySubject
, consultez la section Ajouter un utilisateur ou un groupe à une règle de mot de passe.- PSO : nom de l'authentification unique pour laquelle vous avez désactivé la règle d'expiration du mot de passe. Exemple :
Utiliser les outils des services de domaine Active Directory
Pour accéder aux outils des services de domaine Active Directory (AD DS), vous devez utiliser le compte administrateur délégué. Lorsque vous vous connectez à l'instance de VM, veillez à vous connecter à l'aide du compte administrateur délégué. Une fois connecté à la VM, vous ne pouvez pas changer de compte ou fournir des identifiants supplémentaires. Après vous être connecté à la VM, vous pouvez utiliser l'Assistant Ajout de rôles et de fonctionnalités afin d'activer les outils AD DS. En savoir plus sur l'activation des outils AD DS.
Créer un suffixe UPN
Les noms du domaine actuel et du domaine racine sont les suffixes de nom d'utilisateur principal (UPN) par défaut. L'ajout de noms de domaine alternatifs offre une sécurité supplémentaire et simplifie les noms de connexion des utilisateurs.
Pour créer un suffixe UPN, procédez comme suit :
- Connectez-vous à l'instance de VM à l'aide du compte administrateur délégué.
- Ouvrez le Gestionnaire de serveurs.
- Dans Outils, sélectionnez Domaines et approbations Active Directory.
- Dans la console de gestion Domaines et approbations Active Directory, effectuez un clic droit sur Domaines et approbations Active Directory dans le volet de gauche, puis sélectionnez Propriétés.
- Dans la boîte de dialogue, dans la zone Suffixes UPN alternatifs, saisissez le nom du nouveau suffixe UPN.
- Cliquez sur Ajouter, puis sur OK.
Lorsque vous ajoutez un nouveau compte utilisateur dans Active Directory, vous devez voir le nouveau suffixe UPN apparaître dans la liste lors de la définition du nom d'utilisateur.