Neste tópico, mostramos como usar a conta de administrador delegada do serviço gerenciado para o Microsoft Active Directory e gerenciar as credenciais.
Informações gerais
Quando você cria um domínio do Microsoft AD gerenciado, ele cria automaticamente uma conta de administrador delegada. Essa conta pode ser usada para gerenciar o domínio. Ao fazer login nessa conta, você pode:
- Gerencie dados e objetos do Active Directory.
- Gerenciar outros administradores de serviço.
- Use ferramentas padrão do Active Directory.
Saiba mais sobre os direitos concedidos automaticamente à conta de administrador delegada.
Como obter o nome da conta
Por padrão, a conta de administrador delegada é nomeada setupadmin
. Também é possível especificar um nome de usuário personalizado ao criar um domínio. Após a criação do domínio, não será possível alterar o nome de usuário.
Para recuperar o nome da conta de administrador delegada:
Console
- Acesse a página Microsoft AD gerenciado
no Console do Google Cloud.
Acessar o Microsoft AD gerenciado - Em FQDN, selecione o domínio para o qual quer acessar o nome da conta de administrador delegada.
- O nome da conta está listado em Nome do administrador.
gcloud
Execute este comando:
gcloud active-directory domains describe DOMAIN_NAME
A resposta é YAML, que contém informações sobre o domínio. O nome
da conta de administrador delegada está listado no campo
managedIdentitiesAdminName
:
managedIdentitiesAdminName: setupadmin
Como redefinir a senha
Se você esquecer a senha da conta de administrador delegada, não será possível recuperar a senha existente. No entanto, é possível redefinir a senha.
Para redefinir a senha da conta de administrador delegada, você precisa ter uma das seguintes funções do IAM:
- Administrador de identidades gerenciadas do Google Cloud (
roles/managedidentities.admin
) - Administrador de domínio das identidades gerenciadas do Google Cloud (
roles/managedidentities.domainAdmin
)
Para mais informações, consulte Papéis do Cloud Managed Identities.
Console
Acesse a página Microsoft AD gerenciado no Console do Google Cloud.
Acessar o Microsoft AD gerenciadoEm FQDN, selecione o domínio para o qual redefinir a senha de administrador delegada.
Na página Detalhes do domínio, selecione Definir senha.
Na caixa de diálogo Definir senha, clique em Confirmar.
A nova senha é exibida na caixa de diálogo Nova senha.
gcloud
Execute este comando:
gcloud active-directory domains reset-admin-password DOMAIN_NAME
Essa operação pode levar até 60 segundos para ser concluída, porque redefine a senha dentro do próprio domínio.
Como desativar a expiração da senha
Por padrão, a senha da conta de administrador delegada expira após 42 dias.
Você pode usar políticas de senha detalhadas (FGPP, na sigla em inglês) para desativar a validade da senha na conta de administrador delegada. Com o FGPP, você pode definir o valor da configuração da política Maximum password age
nos objetos de configuração de senha (PSO) obrigatórios como "0" e aplicar a política de senha à conta de administrador delegada.
Para desativar a expiração de senha da sua conta de administrador delegada, você precisa ser membro do grupo "Administradores de políticas de senha de controle detalhado" do Cloud Service.
Para adicionar um usuário a este grupo, execute o seguinte comando no PowerShell:
Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators'
Substitua USER pelo nome do usuário que você quer adicionar ao grupo de administradores de políticas de senha detalhadas do Cloud Service.
-Members USERPara mais informações, consulte Delegar permissões para gerenciar políticas.
Saia da conta de administrador delegada.
Para desativar a validade da senha de sua conta de administrador delegada, faça o seguinte:
Faça login como membro do grupo de administradores de políticas de senha de serviço refinado do Cloud.
Execute o seguinte comando no PowerShell para modificar o valor da propriedade
MaxPasswordAge
para "0":Set-ADFineGrainedPasswordPolicy -Identity PSO -MaxPasswordAge 0
Substitua PSO pelo nome do PSO em que você quer desativar a política de expiração de senha usando o FGPP. Por exemplo,PSO-10
.Para mais informações sobre o cmdlet
Set-ADFineGrainedPasswordPolicy
, consulte Como modificar a política de senha pré-criada.Execute o seguinte comando no PowerShell para aplicar a política de senha à sua conta de administrador delegada:
Add-ADFineGrainedPasswordPolicySubject PSO -Subjects DELEGATED_ADMINISTRATOR_ACCOUNT
Substitua:- PSO: nome do PSO em que você desativou a política de expiração de senha. Por exemplo,
PSO-10
. - DELEGATED_ADMINISTRATOR_ACCOUNT: nome da conta de administrador delegada da qual você quer desativar a expiração da senha. Por exemplo,
setupadmin
.
Para mais informações sobre o cmdlet
Add-ADFineGrainedPasswordPolicySubject
, consulte Como adicionar um usuário ou grupo a uma política de senha.- PSO: nome do PSO em que você desativou a política de expiração de senha. Por exemplo,
Como usar ferramentas de serviços de domínio do Active Directory
Para acessar as ferramentas do Active Directory Domain Services (AD DS), use a conta de administrador delegada. Ao conectar-se à instância de VM, faça login com a conta de administrador delegada. Não é possível alternar entre contas depois de se conectar à VM ou fornecer credenciais adicionais. Depois de se conectar à VM, é possível usar o Assistente Adicionar papéis e recursos para ativar as ferramentas do AD DS. Saiba mais sobre como ativar as ferramentas do AD DS.
Como criar um sufixo UPN
Os nomes do domínio atual e do domínio raiz são os sufixos do nome de usuário principal (UPN, na sigla em inglês) padrão. A adição de nomes de domínio alternativos fornece mais segurança e simplifica os nomes de login do usuário.
Para criar um sufixo de UPN:
- Conecte-se à instância de VM com a conta de administrador delegada.
- Abra o Gerenciador do servidor.
- Em Ferramentas, selecione Domínios e confianças do Active Directory.
- No console de gerenciamento de Domínios e confianças do Active Directory, clique com o botão direito do mouse em Domínios e confianças do Active Directory no painel esquerdo e selecione Propriedades.
- Na caixa de diálogo, na caixa Sufixos de UPN alternativos, digite o nome do novo sufixo de UPN.
- Clique em Adicionar e em OK.
Ao adicionar uma nova conta de usuário ao Active Directory, você verá o novo sufixo de UPN disponível na lista ao definir o nome de usuário.