Utilizza account amministratore con delega

Questa pagina mostra come utilizzare l'account amministratore delegato e gestire le relative credenziali in Managed Service for Microsoft Active Directory.

Panoramica

Quando crei un dominio Microsoft AD gestito, questo crea automaticamente un account amministratore con delega. Puoi utilizzare questo account per gestire il dominio. Dopo aver eseguito l'accesso a questo account, puoi eseguire le seguenti attività:

• Gestire i dati e gli oggetti Active Directory.
• Gestire altri amministratori del servizio.
• Utilizza gli strumenti standard di Active Directory.

Scopri di più su i diritti che vengono concessi automaticamente all'account di amministratore con delega.

Recupera nome account

Per impostazione predefinita, l'account utente con delega di amministratore si chiama setupadmin. Dopo il dominio non puoi modificarlo. Puoi specificare un nome utente personalizzato solo quando crea un dominio. Se specifichi un nome utente personalizzato, assicurati di rispettare le convenzioni di denominazione dell'attributo SAM-Account-Name.

Per recuperare il nome dell'account amministratore delegato:

gcloud active-directory domains describe DOMAIN_NAME

managedIdentitiesAdminName: setupadmin

Reimpostare la password

Se dimentichi la password dell'account amministratore con delega, non puoi recuperare la password esistente. Tuttavia, puoi reimpostare la password.

Per reimpostare la password dell'account amministratore delegato, devi disporre di uno dei seguenti ruoli IAM:

• Amministratore identità gestite da Google Cloud (roles/managedidentities.admin)
• Amministratore domini delle identità gestite da Google Cloud (roles/managedidentities.domainAdmin)

Per ulteriori informazioni, vedi Ruoli delle identità gestite nel cloud.

gcloud active-directory domains reset-admin-password DOMAIN_NAME

Il completamento dell'operazione può richiedere fino a 60 secondi.

Disattiva scadenza della password

Per impostazione predefinita, la password dell'account di amministratore con delega scade dopo il giorno 42 giorni. Assicurati di cambiare la password prima della scadenza.

Puoi utilizzare criteri relativi alle password granulari per disabilitare la scadenza della password per l'account di amministratore con delega. Con FGPP, puoi impostare il valore dell'impostazione del criterio Maximum password age negli oggetti di impostazioni delle password (PSO) richiesti su "0" e applicare il criterio della password all'account amministratore delegato.

Per disattivare la scadenza della password per il tuo account amministratore delegato, devi essere membro del gruppo Cloud Service Fine Grained Password Policy Administrators.

1. Per aggiungere un utente a questo gruppo, esegui il seguente comando in PowerShell:

   Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' 
   
    -Members USER
   

   Sostituisci USER con il nome dell'utente che vuoi aggiungere al gruppo Cloud Service Fine Grained Password Policy Administrators.

   Per saperne di più, consulta Delegare le autorizzazioni per la gestione dei criteri.

2. Esci dall'account amministratore con delega.

Per disattivare la scadenza della password per il tuo account amministratore delegato:

1. Accedi come membro del gruppo Cloud Service Fine Grained Password Policy Administrators.

2. Per modificare il valore della proprietà MaxPasswordAge in "0", esegui questo comando in PowerShell:

   Set-ADFineGrainedPasswordPolicy -Identity PSO -MaxPasswordAge 0
   

   Sostituisci PSO con il nome del PSO in cui vuoi disattivare il criterio di scadenza della password utilizzando FGPP. Ad esempio: PSO-10.

   Per ulteriori informazioni sul cmdlet Set-ADFineGrainedPasswordPolicy, consulta Modificare un criterio per le password creato in precedenza.

3. Per applicare i criteri relativi alle password all’account di amministratore delegato, esegui il comando seguente in PowerShell:

   Add-ADFineGrainedPasswordPolicySubject PSO -Subjects DELEGATED_ADMINISTRATOR_ACCOUNT
   

   Sostituisci quanto segue:
   • PSO: il nome del PSO in cui hai disattivato il criterio di scadenza della password. Ad esempio, PSO-10.
   • DELEGATED_ADMINISTRATOR_ACCOUNT: il nome dell'account amministratore con delega per cui vuoi disattivare la scadenza della password. Ad esempio, setupadmin.

   Per ulteriori informazioni sul cmdlet Add-ADFineGrainedPasswordPolicySubject, vedi Aggiungere un utente o un gruppo a un criterio per le password.

Utilizzo degli strumenti Active Directory Domain Services

Per accedere agli strumenti Active Directory Domain Services (AD DS), devi utilizzare la con delega di amministratore. Quando ti connetti all'istanza VM, assicurati di accedere con l'account amministratore delegato. Non puoi cambiare account dopo la connessione alla VM o fornire credenziali aggiuntive. Dopo aver eseguito la connessione alla VM, puoi utilizzare la Procedura guidata Aggiungi ruoli e funzionalità per attivare gli strumenti AD DS. Scopri di più su come attivare gli strumenti AD DS.

Crea un suffisso UPN

I nomi del dominio corrente e del dominio principale sono l'utente predefinito sui suffissi del nome entità (UPN). L'aggiunta di nomi di dominio alternativi fornisce maggiore sicurezza e semplifica l'accesso ai nomi utente.

Per creare un suffisso UPN, completa i seguenti passaggi:

1. Connettiti all'istanza VM con l'account amministratore con delega.
2. Apri Server Manager.
3. In Strumenti, seleziona Domini e attendibilità Active Directory.
4. Nella console di gestione Domini e attendibilità Active Directory, fai clic con il tasto destro del mouse su Domini e attendibilità Active Directory nel riquadro a sinistra e poi seleziona Proprietà.
5. Nella finestra di dialogo, nella casella Suffissi UPN alternativi, digita il nome del nuovo suffisso UPN.
6. Fai clic su Aggiungi e poi su OK.

Quando aggiungi un nuovo account utente ad Active Directory, dovresti vedere il nuovo suffisso UPN disponibile nell'elenco durante l'impostazione del nome utente.