委任された管理者アカウントの使用

このトピックでは、Managed Service for Microsoft Active Directory が委任した管理者アカウントのを使用して、その認証情報を管理する方法について説明します。

概要

Managed Service for Microsoft Active Directory ドメインを作成すると、委任された管理者アカウントが自動的に作成されます。このアカウントを使用してドメインを管理できます。 このアカウントにログインすると、次のことができるようになります。

  • データ オブジェクトと Active Directory オブジェクトを管理する
  • 他のサービス管理者を管理する
  • 標準の Active Directory ツールを使用する

詳細については、委任された管理者アカウントに自動的に付与される権限をご覧ください。

アカウント名を取得する

デフォルトでは、委任された管理者アカウントの名前は setupadmin です。ドメインの作成時にカスタムのユーザー名を指定することもできます。ドメインを作成した後にユーザー名を変更することはできません。

委任された管理者アカウントの名前を取得するには:

コンソール

  1. Cloud Console の Managed Microsoft AD ページに移動します。
    [Managed Microsoft AD] ページに移動
  2. [FQDN] から、委任された管理者アカウント名を取得するドメインを選択します。
  3. アカウント名は [管理者名] の下に表示されています。

gcloud

次のコマンドを実行します。

gcloud active-directory domains describe domain-name

レスポンスは、ドメインに関する情報を含む YAML です。委任された管理者アカウント名は、managedIdentitiesAdminName フィールドの下に表示されています。

managedIdentitiesAdminName: setupadmin

パスワードをリセットする

委任された管理者アカウントのパスワードを忘れた場合に、パスワードをリセットできます。既存のパスワードを取得する方法はありません。

委任された管理者パスワードをリセットするには、roles/managedidentities.admin または roles/managedidentities.domainAdmin の IAM ロール、もしくは managedidentities.domains.resetpassword 権限を付与する別のロールがユーザーに付与されている必要があります。詳細については、アクセスの許可、変更、取り消しをご覧ください。

コンソール

  1. Cloud Console の Managed Microsoft AD ページに移動します。
    [Managed Microsoft AD] ページに移動

  2. [FQDN] から、委任された管理者のパスワードをリセットするドメインを選択します。

  3. [ドメインの詳細] ページで、[パスワードを設定] を選択します。

  4. [パスワードを設定] ダイアログで、[確認] をクリックします。

  5. 新しいパスワードが [新しいパスワード] ダイアログに表示されます。

gcloud

次のコマンドを実行します。

gcloud active-directory domains reset-admin-password domain-name

この操作はドメイン自体の内部でパスワードをリセットするため、完了までに最大 60 秒ほどかかることがあります。

パスワードの有効期限を無効にする

デフォルトでは、委任された管理者アカウントのパスワードは 42 日後に期限切れになります。

アカウントのパスワードの有効期限を無効にするには、-PasswordNeverExpires パラメータを指定して Set-ADUser PowerShell コマンドレットを使用します。詳細については、Set-ADUser コマンドレットをご覧ください。

Active Directory Domain Services ツールの使用

Active Directory ドメイン サービス(AD DS)ツールにアクセスするには、委任された管理者アカウントを使用する必要があります。VM インスタンスに接続するときには、委任された管理者アカウントでログインしてください。VM への接続後にアカウントを切り替えたり、追加の認証情報を提供したりすることはできません。VM に接続したら、ロールと機能の追加ウィザードを使用して AD DS ツールを有効にできます。詳しくは、AD DS ツールの有効化をご覧ください。

UPN サフィックスを作成する

現在のドメインとルートドメインの名前は、デフォルトのユーザー プリンシパル名(UPN)サフィックスです。代替のドメイン名を追加すると、セキュリティが強化され、ユーザーのログイン名が簡略化されます。

UPN サフィックスを作成するには:

  1. 委任された管理者アカウントで VM インスタンスに接続します。
  2. [サーバー マネージャー] を開きます。
  3. [ツール] から、[Active Directory Domains and Trusts] を選択します。
  4. [Active Directory Domains and Trusts] 管理コンソールで、左側のペインで [Active Directory Domains and Trusts] を右クリックし、[プロパティ] を選択します。
  5. ダイアログ ボックスの [Alternate UPN suffixes] ボックスに、新しい UPN サフィックスの名前を入力します。
  6. [追加] をクリックして、[OK] をクリックします。

Active Directory に新しいユーザー アカウントを追加すると、ユーザー名を設定するときに、リストに利用可能な新しい UPN サフィックスが表示されます。