Esta página foi traduzida pela API Cloud Translation.
Switch to English

Como usar a conta de administrador delegada

Neste tópico, mostramos como usar a conta de administrador delegada do Serviço Gerenciado para Microsoft Active Directory e gerenciar suas credenciais.

Visão geral

Quando você cria um serviço gerenciado para o domínio do Microsoft Active Directory, uma conta de administrador delegada é criada automaticamente para você. Essa conta pode ser usada para gerenciar o domínio. Após fazer login nesta conta, você pode:

  • Gerenciar dados e objetos do Active Directory
  • Gerenciar outros administradores de serviço
  • Usar ferramentas padrão do Active Directory

Saiba mais sobre os direitos concedidos automaticamente à conta de administrador delegada.

Como obter o nome da conta

Por padrão, a conta de administrador delegada é nomeada setupadmin. Também é possível especificar um nome de usuário personalizado ao criar um domínio. Após a criação do domínio, o nome de usuário não pode ser alterado.

Para recuperar o nome da conta de administrador delegada:

Console

  1. Vá para a página Managed Microsoft AD no Console do Cloud.
    Vá para a página "Managed Microsoft AD"
  2. Em FQDN, selecione o domínio para o qual quer acessar o nome da conta de administrador delegada.
  3. O nome da conta está listado em Nome do administrador.

gcloud

Execute este comando:

gcloud active-directory domains describe domain-name

A resposta é YAML, que contém informações sobre o domínio. O nome da conta de administrador delegada está listado no campo managedIdentitiesAdminName:

managedIdentitiesAdminName: setupadmin

Como redefinir a senha

Se você esquecer a senha da conta de administrador delegada, poderá redefini-la. Não há método para recuperar uma senha existente.

Para redefinir a senha de administrador delegada, um usuário precisa receber o papel do IAM roles/managedidentities.admin ou roles/managedidentities.domainAdmin ou outro papel que conceda a permissão managedidentities.domains.resetpassword. Consulte Como conceder, alterar e revogar o acesso para saber mais.

Console

  1. Vá para a página Managed Microsoft AD no Console do Cloud.
    Vá para a página "Managed Microsoft AD"

  2. Em FQDN, selecione o domínio para o qual redefinir a senha de administrador delegada.

  3. Na página Detalhes do domínio, selecione Definir senha.

  4. Na caixa de diálogo Definir senha, clique em Confirmar.

  5. A nova senha é exibida na caixa de diálogo Nova senha.

gcloud

Execute este comando:

gcloud active-directory domains reset-admin-password domain-name

Essa operação pode levar até 60 segundos para ser concluída, porque redefine a senha dentro do próprio domínio.

Como desativar a expiração da senha

Por padrão, a senha da conta de administrador delegada expira após 42 dias.

Para desativar a expiração da senha da conta, use o cmdlet Set-ADUser do PowerShell com o parâmetro -PasswordNeverExpires. Saiba mais sobre o cmdlet Set-ADUser.

Como usar ferramentas de serviços de domínio do Active Directory

Para acessar as ferramentas do Active Directory Domain Services (AD DS), use a conta de administrador delegada. Ao conectar-se à instância de VM, faça login com a conta de administrador delegada. Não é possível alternar entre contas depois de se conectar à VM ou fornecer credenciais adicionais. Depois de se conectar à VM, é possível usar o Assistente Adicionar papéis e recursos para ativar as ferramentas do AD DS. Saiba mais sobre como ativar as ferramentas do AD DS.

Como criar um sufixo UPN

Os nomes do domínio atual e do domínio raiz são os sufixos do nome de usuário principal (UPN, na sigla em inglês) padrão. A adição de nomes de domínio alternativos fornece mais segurança e simplifica os nomes de login do usuário.

Para criar um sufixo de UPN:

  1. Conecte-se à instância de VM com a conta de administrador delegada.
  2. Abra o Gerenciador do servidor.
  3. Em Ferramentas, selecione Domínios e confianças do Active Directory.
  4. No console de gerenciamento de Domínios e confianças do Active Directory, clique com o botão direito do mouse em Domínios e confianças do Active Directory no painel esquerdo e selecione Propriedades.
  5. Na caixa de diálogo, na caixa Sufixos de UPN alternativos, digite o nome do novo sufixo de UPN.
  6. Clique em Adicionar e em OK.

Ao adicionar uma nova conta de usuário ao Active Directory, você verá o novo sufixo de UPN disponível na lista ao definir o nome de usuário.