Utiliser le compte administrateur délégué

Cette rubrique explique comment utiliser le compte administrateur délégué délégué Managed Service pour Microsoft Active Directory et gérer ses identifiants.

Présentation

Lorsque vous créez un domaine Microsoft AD géré, le service Microsoft AD géré crée automatiquement un compte administrateur délégué. Vous pouvez utiliser ce compte pour gérer le domaine. Lorsque vous vous connectez à ce compte, vous pouvez effectuer les opérations suivantes:

  • Gérez les données et les objets Active Directory.
  • gérer les autres administrateurs de service ;
  • Utilisez les outils Active Directory standards.

En savoir plus sur les droits accordés automatiquement au compte administrateur délégué

Obtenir le nom du compte

Par défaut, le compte administrateur délégué est nommé setupadmin. Vous pouvez également spécifier un nom d'utilisateur personnalisé lorsque vous créez un domaine. Après avoir créé le domaine, vous ne pouvez pas modifier le nom d'utilisateur.

Pour récupérer le nom du compte administrateur délégué :

Console

  1. Accédez à la page Microsoft AD géré dans Cloud Console.
    Accéder à Microsoft AD géré
  2. Sous Nom de domaine complet, sélectionnez le domaine pour lequel vous souhaitez obtenir le nom du compte administrateur délégué.
  3. Le nom du compte apparaît sous Nom de l'administrateur.

gcloud

Exécutez la commande suivante :

gcloud active-directory domains describe DOMAIN_NAME

La réponse est un code YAML contenant des informations sur le domaine. Le nom du compte administrateur délégué apparaît sous le champ managedIdentitiesAdminName :

managedIdentitiesAdminName: setupadmin

Réinitialiser le mot de passe

Si vous avez oublié le mot de passe du compte administrateur délégué, vous ne pouvez pas le récupérer. Vous pouvez toutefois réinitialiser celui-ci.

Pour réinitialiser le mot de passe du compte administrateur délégué, vous devez disposer de l'un des rôles IAM suivants:

  • Administrateur Google Cloud Managed Identities (roles/managedidentities.admin)
  • Administrateur de domaine Google Cloud Managed Identities (roles/managedidentities.domainAdmin)

Pour en savoir plus, consultez la page Rôles Cloud Managed Identities.

Console

  1. Accédez à la page Microsoft AD géré dans Cloud Console.
    Accéder à Microsoft AD géré

  2. Sous Nom de domaine complet, sélectionnez le domaine pour lequel vous souhaitez réinitialiser le mot de passe du compte administrateur délégué.

  3. Sur la page Détails du domaine, sélectionnez Définir le mot de passe.

  4. Dans la boîte de dialogue Définir le mot de passe, cliquez sur Confirmer.

  5. Le nouveau mot de passe s'affiche dans la boîte de dialogue Nouveau mot de passe.

gcloud

Exécutez la commande suivante :

gcloud active-directory domains reset-admin-password DOMAIN_NAME

Cette opération peut prendre jusqu'à 60 secondes, car elle réinitialise le mot de passe à l'intérieur du domaine lui-même.

Désactiver l'expiration du mot de passe

Par défaut, le mot de passe du compte administrateur délégué expire au bout de 42 jours.

Vous pouvez utiliser des règles de mots de passe précis pour désactiver l'expiration du mot de passe du compte administrateur délégué. Avec FGPP, vous pouvez définir la valeur du paramètre de règle Maximum password age dans les objets des paramètres de mots de passe requis sur "0", et appliquer la règle de mot de passe au compte administrateur délégué.

Pour désactiver l'expiration du mot de passe pour votre compte administrateur délégué, vous devez être membre du groupe Administrateurs de règles relatives aux mots de passe précis Cloud Service.

  1. Pour ajouter un utilisateur à ce groupe, exécutez la commande suivante dans PowerShell:

    Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' 
    -Members USER
    Remplacez USER par le nom de l'utilisateur que vous souhaitez ajouter au groupe d'administrateurs de règles de mots de passe précis Cloud Service.

    Pour en savoir plus, consultez Déléguer des autorisations pour gérer les règles.

  2. Déconnectez-vous du compte administrateur délégué.

Pour désactiver l'expiration du mot de passe pour votre compte administrateur délégué, procédez comme suit:

  1. Connectez-vous au groupe Administrateurs de règles de mots de passe précis Cloud Service en tant que membre.

  2. Exécutez la commande suivante dans PowerShell pour remplacer la valeur de la propriété MaxPasswordAge par &0t;

    Set-ADFineGrainedPasswordPolicy -Identity PSO -MaxPasswordAge 0
    
    Remplacez PSO par le nom du PSO pour lequel vous souhaitez désactiver la règle d'expiration du mot de passe à l'aide du FGPP. Exemple : PSO-10.

    Pour en savoir plus sur le cmdlet Set-ADFineGrainedPasswordPolicy, consultez la section Modifier la règle de mot de passe pré-créée.

  3. Exécutez la commande suivante dans PowerShell pour appliquer la règle relative aux mots de passe à votre compte administrateur délégué:

    Add-ADFineGrainedPasswordPolicySubject PSO -Subjects DELEGATED_ADMINISTRATOR_ACCOUNT
    
    Remplacez les éléments suivants :

    • PSO : nom de l'authentification unique pour laquelle vous avez désactivé la règle d'expiration du mot de passe. Exemple : PSO-10.
    • DELEGATED_ADMINISTRATOR_ACCOUNT : nom du compte administrateur délégué pour lequel vous souhaitez désactiver l'expiration du mot de passe. Exemple : setupadmin.

    Pour en savoir plus sur le cmdlet Add-ADFineGrainedPasswordPolicySubject, consultez la section Ajouter un utilisateur ou un groupe à une règle de mot de passe.

Utiliser les outils des services de domaine Active Directory

Pour accéder aux outils des services de domaine Active Directory (AD DS), vous devez utiliser le compte administrateur délégué. Lorsque vous vous connectez à l'instance de VM, veillez à vous connecter à l'aide du compte administrateur délégué. Une fois connecté à la VM, vous ne pouvez pas changer de compte ou fournir des identifiants supplémentaires. Après vous être connecté à la VM, vous pouvez utiliser l'Assistant Ajout de rôles et de fonctionnalités afin d'activer les outils AD DS. En savoir plus sur l'activation des outils AD DS.

Créer un suffixe UPN

Les noms du domaine actuel et du domaine racine sont les suffixes de nom d'utilisateur principal (UPN) par défaut. L'ajout de noms de domaine alternatifs offre une sécurité supplémentaire et simplifie les noms de connexion des utilisateurs.

Pour créer un suffixe UPN, procédez comme suit :

  1. Connectez-vous à l'instance de VM à l'aide du compte administrateur délégué.
  2. Ouvrez le Gestionnaire de serveurs.
  3. Dans Outils, sélectionnez Domaines et approbations Active Directory.
  4. Dans la console de gestion Domaines et approbations Active Directory, effectuez un clic droit sur Domaines et approbations Active Directory dans le volet de gauche, puis sélectionnez Propriétés.
  5. Dans la boîte de dialogue, dans la zone Suffixes UPN alternatifs, saisissez le nom du nouveau suffixe UPN.
  6. Cliquez sur Ajouter, puis sur OK.

Lorsque vous ajoutez un nouveau compte utilisateur dans Active Directory, vous devez voir le nouveau suffixe UPN apparaître dans la liste lors de la définition du nom d'utilisateur.