Cette page explique comment gérer les objets Active Directory dans votre domaine de service géré pour Microsoft Active Directory.
Avant de commencer
Avant de gérer vos objets Active Directory, vous devez effectuer les étapes suivantes :
- Créez un domaine Microsoft AD géré.
- Joignez votre VM Windows au domaine.
- Installer les outils d'administration de serveur distant (RSAT, Remote Server Administration Tools).
Installer RSAT
Pour gérer les objets Active Directory, vous ne devez installer RSAT qu'une seule fois sur chaque domaine Microsoft AD géré.
Pour installer RSAT, procédez comme suit:
Sur la VM Windows, ouvrez l'assistant d'ajout de rôles et de fonctionnalités.
Dans l'Assistant Ajout de rôles et de fonctionnalités, accédez à la page Sélectionner des fonctionnalités. Vous pouvez sélectionner Features (Caractéristiques) dans le menu de la barre latérale ou cliquer sur Next (Suivant) jusqu'à afficher la page Select features (Sélectionner des fonctionnalités).
Sur la page Sélectionner des fonctionnalités, développez Outils d'administration du serveur distant dans la liste Fonctionnalités, puis développez Outils d'administration des rôles.
Sous Outils d'administration des rôles, sélectionnez Outils AD DS et AD LDS. Cela permet d'activer les fonctionnalités suivantes :
- Module Active Directory pour Windows PowerShell
- Composants logiciels enfichables AD DS et outils de ligne de commande
- Centre d'administration Active Directory
- Composants logiciels enfichables AD DS et outils de ligne de commande
Facultatif: Si vous le souhaitez, vous pouvez également activer les fonctionnalités suivantes:
- Gestion des stratégies de groupe
- Outils de serveur DNS (sous Outils d'administration des rôles)
Cliquez sur Suivant.
Sur la page Confirmation, cliquez sur Installer.
Sur la page Résultats, cliquez sur Fermer.
Gérer des objets
Pour des raisons de sécurité, vous ne pouvez pas accéder directement au contrôleur de domaine à l'aide du protocole RDP (Remote Desktop Protocol) ou d'un autre outil. À la place, vous pouvez vous connecter à une VM associée à un domaine à l'aide de RDP et utiliser les outils AD standards pour travailler à distance avec les objets Active Directory de votre domaine.
Pour gérer vos objets Active Directory, procédez comme suit:
Connectez-vous à la VM Windows que vous avez jointe au domaine Microsoft AD géré. Pour en savoir plus, consultez la section Se connecter à des VM Windows à l'aide du protocole RDP.
Ouvrez la console Utilisateurs et ordinateurs Active Directory (
dsa.msc
).Sélectionnez le nom de domaine Active Directory, puis développez l'élément.
Pour gérer vos objets Active Directory, utilisez les unités organisationnelles (UO) fournies par le service Microsoft AD géré. Bien que vous ayez un contrôle total sur les objets de l'UO
Cloud
, vous ne pouvez mettre à jour que certains attributs des objets de l'UOCloud Service Objects
.
Vous devez disposer des autorisations nécessaires pour gérer vos objets Active Directory. Pour plus d'informations sur les utilisateurs disposant d'autorisations sur certains objets Active Directory, consultez la section Objets Active Directory par défaut.
Vous ne pouvez effectuer que quelques tâches d'administration Active Directory sur votre domaine, par exemple créer une approbation, étendre le schéma et désactiver le filtrage des SID. Pour effectuer ces tâches, vous devez utiliser la console Google Cloud, gcloud CLI ou les API, et non les outils AD standards.
Unités organisationnelles
Le service Microsoft AD géré fournit deux UO, Cloud
et Cloud Service Objects
.
Le service Microsoft AD géré crée Cloud
dans votre domaine Microsoft AD géré pour héberger tous vos objets AD. Vous disposez d'un accès administrateur complet à cette unité organisationnelle. Vous pouvez utiliser l'UO Cloud
pour créer des utilisateurs, des groupes, des ordinateurs ou d'autres sous-UO.
L'UO Cloud Service Objects
héberge les objets AD créés et gérés par le service Microsoft AD géré. Seul Google Cloud peut créer des objets sous cette UO, mais vous pouvez mettre à jour certains de leurs attributs.
Pour en savoir plus sur les groupes de l'UO Cloud Service Objects
, consultez Groupes.
Vous ne pouvez gérer que les UO Cloud
et Cloud Service Objects
.
Le service Microsoft AD géré réserve la création d'objets Active Directory pour les autres UO.
Cela offre l'avantage supplémentaire d'accroître la sécurité et vous aide à administrer les stratégies AD qui s'appliquent aux UO.