Usar a conta de administrador delegada

Este tópico mostra como usar a conta de administrador delegada do serviço gerenciado para o Microsoft Active Directory e gerenciar as credenciais.

Visão geral

Quando você cria um domínio gerenciado do Microsoft AD, o Microsoft AD gerenciado cria automaticamente uma conta de administrador delegada. Essa conta pode ser usada para gerenciar o domínio. Ao fazer login nessa conta, você pode:

• Gerencie dados e objetos do Active Directory.
• Gerenciar outros administradores de serviços
• Usar as ferramentas padrão do Active Directory.

Saiba mais sobre os direitos que são concedidos automaticamente à conta de administrador delegado.

Como obter o nome da conta

Por padrão, a conta de administrador delegada é nomeada setupadmin. Também é possível especificar um nome de usuário personalizado ao criar um domínio. Após a criação do domínio, não será possível alterar o nome de usuário.

Para recuperar o nome da conta de administrador delegada:

gcloud active-directory domains describe DOMAIN_NAME

managedIdentitiesAdminName: setupadmin

Como redefinir a senha

Se você esquecer a senha da conta de administrador delegada, não será possível recuperar a senha atual. No entanto, você pode redefinir a senha.

Para redefinir a senha da conta de administrador delegada, você precisa ter um dos seguintes papéis de IAM:

• Administrador de identidades gerenciadas do Google Cloud (roles/managedidentities.admin)
• Administrador de domínio de identidades gerenciadas do Google Cloud (roles/managedidentities.domainAdmin)

Para mais informações, consulte Papéis de identidades gerenciadas do Cloud.

gcloud active-directory domains reset-admin-password DOMAIN_NAME

Essa operação pode levar até 60 segundos para ser concluída, porque redefine a senha dentro do próprio domínio.

Como desativar a expiração da senha

Por padrão, a senha da conta de administrador delegada expira após 42 dias.

Você pode usar políticas detalhadas de senha (FGPP, na sigla em inglês) para desativar a validade de senhas da conta de administrador delegada. Com o FGPP, você pode definir o valor da configuração da política Maximum password age nos objetos de configurações de senha (PSO) necessários para "quot;0"" e aplicar a política de senha na conta de administrador delegada.

Para desativar a expiração de senhas de sua conta de administrador delegado, você deve ser membro do grupo de administradores de políticas de senha de acesso refinado do Cloud Service.

1. Para adicionar um usuário a este grupo, execute o seguinte comando no PowerShell:

   Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' 
   
    -Members USER
   

   Substitua USER pelo nome do usuário que você quer adicionar ao grupo de administradores de políticas de senha de acesso refinado do Cloud Service.

   Veja mais informações em Delegar permissões para gerenciar políticas.

2. Saia da conta de administrador delegado.

Para desativar a expiração de senhas de sua conta de administrador delegada, faça o seguinte:

1. Faça login como membro do grupo de administradores de políticas de senha de serviço refinado do Cloud Service.

2. Execute o comando a seguir no PowerShell para modificar o valor da propriedade MaxPasswordAge para "0"

   Set-ADFineGrainedPasswordPolicy -Identity PSO -MaxPasswordAge 0
   

   Substitua PSO pelo nome da PSO em que você quer desativar a política de expiração de senha usando o FGPP. Por exemplo, PSO-10.

   Para saber mais sobre o Set-ADFineGrainedPasswordPolicy, consulte Como modificar a política de senha pré-criada.

3. Execute o seguinte comando no PowerShell para aplicar a política de senha à sua conta de administrador delegada:

   Add-ADFineGrainedPasswordPolicySubject PSO -Subjects DELEGATED_ADMINISTRATOR_ACCOUNT
   

   Substitua:
   • PSO: nome da PSO em que você desativou a política de expiração de senha. Por exemplo, PSO-10.
   • DELEGATED_ADMINISTRATOR_ACCOUNT: nome da conta de administrador delegada da qual você quer desativar a expiração da senha. Por exemplo, setupadmin.

   Para mais informações sobre o Add-ADFineGrainedPasswordPolicySubject, consulte Como adicionar um usuário ou grupo a uma política de senha.

Como usar ferramentas de serviços de domínio do Active Directory

Para acessar as ferramentas do Active Directory Domain Services (AD DS), use a conta de administrador delegada. Ao conectar-se à instância de VM, faça login com a conta de administrador delegada. Não é possível alternar entre contas depois de se conectar à VM ou fornecer credenciais adicionais. Depois de se conectar à VM, é possível usar o Assistente Adicionar papéis e recursos para ativar as ferramentas do AD DS. Saiba mais sobre como ativar as ferramentas do AD DS.

Como criar um sufixo UPN

Os nomes do domínio atual e do domínio raiz são os sufixos do nome de usuário principal (UPN, na sigla em inglês) padrão. A adição de nomes de domínio alternativos fornece mais segurança e simplifica os nomes de login do usuário.

Para criar um sufixo de UPN:

1. Conecte-se à instância de VM com a conta de administrador delegada.
2. Abra o Gerenciador do servidor.
3. Em Ferramentas, selecione Domínios e confianças do Active Directory.
4. No console de gerenciamento de Domínios e confianças do Active Directory, clique com o botão direito do mouse em Domínios e confianças do Active Directory no painel esquerdo e selecione Propriedades.
5. Na caixa de diálogo, na caixa Sufixos de UPN alternativos, digite o nome do novo sufixo de UPN.
6. Clique em Adicionar e em OK.

Ao adicionar uma nova conta de usuário ao Active Directory, você verá o novo sufixo de UPN disponível na lista ao definir o nome de usuário.