Esta página se ha traducido con Cloud Translation API.

Gestionar objetos de Active Directory

En esta página se describe cómo gestionar los objetos de Active Directory en tu dominio de servicio gestionado para Microsoft Active Directory.

Antes de empezar

Antes de gestionar los objetos de Active Directory, debes completar los siguientes pasos:

Crea un dominio de Microsoft AD gestionado.
Une tu máquina virtual Windows al dominio.
Instala las herramientas de administración remota del servidor (RSAT).

Instalar RSAT

Para gestionar los objetos de Active Directory, debes instalar RSAT una sola vez en cada dominio de Microsoft AD gestionado.

Para instalar RSAT, sigue estos pasos:

Conéctate a la VM de Windows.
En la VM de Windows, abre el asistente para agregar roles y características.
En el Asistente para agregar roles y características, vaya a la página Seleccionar características. Puedes seleccionar Funciones en el menú de la barra lateral o hacer clic en Siguiente hasta que veas la página Seleccionar funciones.
En la página Seleccionar características, expanda Herramientas de administración de servidores remotos en la lista Características y, a continuación, expanda Herramientas de administración de roles.
En Herramientas de administración de roles, selecciona Herramientas de AD DS y AD LDS. Esto permite las siguientes funciones:
- Módulo de Active Directory para Windows PowerShell
- Complementos y herramientas de línea de comandos de AD LDS
- Centro de administración de Active Directory
- Complementos y herramientas de línea de comandos de AD DS
Nota: Managed Microsoft AD no admite la función Papelera de reciclaje de Active Directory.
Opcional: Si quieres, también puedes habilitar las siguientes funciones:
- Gestión de directivas de grupo
- Herramientas de servidor DNS (en Herramientas de administración de roles)
Haz clic en Siguiente.
En la página Confirmación, haz clic en Instalar.
En la página Resultados, haz clic en Cerrar.

Gestionar objetos

Por motivos de seguridad, no puedes acceder directamente al controlador de dominio mediante el protocolo de escritorio remoto (RDP) ni ninguna otra herramienta. En su lugar, puedes conectarte a una máquina virtual unida a un dominio mediante RDP y usar las herramientas estándar de AD para trabajar de forma remota con los objetos de Active Directory de tu dominio.

Para gestionar los objetos de Active Directory, sigue estos pasos:

Conéctate a la VM de Windows que has unido al dominio de Microsoft AD gestionado. Para obtener más información, consulta Conectarse a VMs Windows mediante RDP.
Abre la consola Usuarios y equipos de Active Directory (dsa.msc).
Selecciona el nombre del dominio de Active Directory y despliega el elemento.
Para gestionar tus objetos de Active Directory, usa las unidades organizativas (UOs) que proporciona Microsoft AD gestionado. Aunque tienes control total sobre los objetos de la unidad organizativa Cloud, solo puedes actualizar algunos atributos de los objetos de la unidad organizativa Cloud Service Objects.

Debes tener los permisos necesarios para gestionar tus objetos de Active Directory. Para obtener información sobre qué usuarios tienen permisos en qué objetos de Active Directory, consulta Objetos predeterminados de Active Directory.

Solo puedes realizar algunas tareas administrativas de Active Directory en tu dominio, como crear una relación de confianza, ampliar el esquema e inhabilitar el filtrado de SID. Para llevar a cabo estas tareas, debes usar la Google Cloud consola, la CLI de gcloud o las APIs, no las herramientas estándar de AD.

Unidades organizativas

Managed Microsoft AD proporciona dos UOs: Cloud y Cloud Service Objects.

Microsoft AD gestionado crea Cloud en tu dominio de Microsoft AD gestionado para alojar todos tus objetos de AD. Tienes acceso administrativo completo a esta unidad organizativa. Puedes usar la unidad organizativa Cloud para crear usuarios, grupos, ordenadores o más subunidades organizativas.

La unidad organizativa Cloud Service Objects aloja objetos de AD que Managed Microsoft AD crea y gestiona. Solo Google Cloud puede crear objetos en esta unidad organizativa, pero tú puedes actualizar algunos de sus atributos.

Para obtener más información sobre los grupos de la unidad organizativa Cloud Service Objects, consulta Grupos.

Solo puedes gestionar las UOs Cloud y Cloud Service Objects. Managed Microsoft AD reserva la creación de objetos de Active Directory para otras unidades organizativas. Esto ofrece la ventaja adicional de aumentar la seguridad y te ayuda a administrar las políticas de AD que se aplican a las unidades organizativas.