Questa pagina descrive come gestire gli oggetti Active Directory nel dominio Managed Service for Microsoft Active Directory.
Prima di iniziare
Prima di gestire gli oggetti Active Directory, devi completare i seguenti passaggi:
- Crea un dominio Microsoft AD gestito.
- Unisci la VM Windows al dominio.
- Installa Remote Server Administration Tools (RSAT).
Installa RSAT
Per gestire gli oggetti Active Directory, devi installare RSAT solo una volta su ogni dominio Microsoft AD gestito.
Per installare RSAT, completa i seguenti passaggi:
Nella VM Windows, apri la procedura guidata Aggiungi ruoli e funzionalità.
Nella procedura guidata per l'aggiunta di ruoli e funzionalità, vai alla pagina Seleziona caratteristiche. Puoi selezionare Funzionalità dal menu della barra laterale o fare clic su Avanti fino a visualizzare la pagina Seleziona funzionalità.
Nella pagina Seleziona funzionalità, espandi Strumenti di amministrazione remota del server dall'elenco Funzionalità, quindi espandi Strumenti di amministrazione dei ruoli.
In Strumenti di amministrazione del ruolo, seleziona Strumenti AD DS e AD LDS. Ciò abilita le seguenti funzionalità:
- Modulo Active Directory per Windows PowerShell
- Snap-in AD LDS e strumenti a riga di comando
- Centro di amministrazione di Active Directory
- Agganciamenti AD DS e strumenti a riga di comando
(Facoltativo) Se vuoi, puoi anche attivare le seguenti funzionalità:
- Gestione Criteri di gruppo
- Strumenti server DNS (in Strumenti di amministrazione dei ruoli)
Tocca Avanti.
Nella pagina Conferma, fai clic su Installa.
Nella pagina Risultati, fai clic su Chiudi.
Gestione degli oggetti
Per motivi di sicurezza, non puoi accedere direttamente al controller di dominio utilizzando Remote Desktop Protocol (RDP) o altri strumenti. Puoi invece connetterti a una VM aggiunta a un dominio tramite RDP e utilizzare gli strumenti AD standard per lavorare da remoto con gli oggetti Active Directory nel tuo dominio.
Per gestire gli oggetti Active Directory, completa i seguenti passaggi:
Connettiti alla VM Windows che fai parte del dominio Microsoft AD gestito. Per saperne di più, consulta Connettersi alle VM Windows tramite RDP.
Apri la console Utenti e computer di Active Directory (
dsa.msc
).Seleziona il nome di dominio Active Directory ed espandi l'elemento.
Per gestire gli oggetti Active Directory, utilizza le unità organizzative (UO) fornite dalla gestione di Microsoft AD. Anche se hai il controllo completo degli oggetti nella UO
Cloud
, puoi aggiornare solo alcuni attributi degli oggetti nella UOCloud Service Objects
.
Devi disporre delle autorizzazioni necessarie per gestire gli oggetti Active Directory. Per informazioni su quali utenti dispongono delle autorizzazioni per determinati oggetti Active Directory, vedi Oggetti Active Directory predefiniti.
Puoi eseguire solo alcune attività amministrative di Active Directory nel tuo dominio, come creare attendibilità, estendere lo schema e disabilitare i filtri SID. Per eseguire queste attività devi utilizzare la console Google Cloud, gcloud CLI o le API e non gli strumenti AD standard.
Unità organizzative
Microsoft AD gestito fornisce due UO, Cloud
e Cloud Service Objects
.
Microsoft AD gestito crea Cloud
nel dominio Microsoft AD gestito per ospitare tutti gli oggetti AD. Hai accesso amministrativo completo a questa UO. Puoi
utilizzare l'UO Cloud
per creare utenti, gruppi, computer o altre unità organizzative secondarie.
L'UO Cloud Service Objects
ospita gli oggetti AD creati e gestiti da Microsoft AD gestito. Solo Google Cloud può creare oggetti in questa
UO, ma puoi aggiornarne alcuni attributi.
Per ulteriori informazioni sui gruppi nella UO Cloud Service Objects
, vedi Gruppi.
Puoi gestire solo le UO Cloud
e Cloud Service Objects
.
Microsoft AD gestito prenota la creazione di oggetti Active Directory per altre UO.
Ciò offre il vantaggio aggiuntivo di una maggiore sicurezza e ti aiuta a gestire i criteri AD che si applicano alle UO.