Administra objetos de Active Directory

En esta página, se describe cómo administrar los objetos de Active Directory en tu dominio del Servicio administrado para Microsoft Active Directory.

Antes de comenzar

Antes de administrar tus objetos de Active Directory, debes completar los siguientes pasos:

• Cree un dominio de Managed Microsoft AD.
• Une la VM de Windows al dominio.
• Instala las herramientas de administración remota del servidor (RSAT).

Instala RSAT

Para administrar los objetos de Active Directory, debes instalar RSAT solo una vez en cada dominio de Microsoft AD administrado.

Para instalar RSAT, completa los siguientes pasos:

1. Conéctate a la VM de Windows.

2. En la VM de Windows, abre el Asistente para agregar roles y funciones.

3. En el Asistente para agregar roles y características, navega a la página Seleccionar características. Puedes seleccionar Funciones en el menú de la barra lateral o hacer clic en Siguiente hasta que veas la página Seleccionar funciones.

4. En la página Seleccionar funciones, expande Herramientas de administración remota del servidor en la lista Funciones y, luego, expande Herramientas de administración de roles.

5. En Herramientas de administración de funciones, selecciona Herramientas de AD DS y AD LDS. Esto habilita las siguientes funciones:

   • Módulo de Active Directory para Windows PowerShell
   • Complementos de AD LDS y herramientas de línea de comandos
   • Centro administrativo de Active Directory
   • Complementos de AD DS y herramientas de línea de comandos

6. Opcional: Si lo deseas, también puedes habilitar las siguientes funciones:

   • Administración de políticas de grupo
   • Herramientas del servidor DNS (en Herramientas de administración de funciones)

7. Haz clic en Siguiente.

8. En la página Confirmación, haz clic en Instalar.

9. En la página Resultados, haz clic en Cerrar.

Administrar objetos

Por motivos de seguridad, no puedes acceder directamente al controlador de dominio con el protocolo de escritorio remoto (RDP) ni con ninguna otra herramienta. En su lugar, puedes conectarte a una VM unida a un dominio con RDP y usar las herramientas de AD estándar para trabajar de forma remota con los objetos de Active Directory de tu dominio.

Para administrar tus objetos de Active Directory, completa los siguientes pasos:

1. Conéctate a la VM de Windows a la que te uniste con el dominio de Microsoft AD administrado. Para obtener más información, consulta Conéctate a VMs de Windows con RDP.

2. Abre la consola de Usuarios y computadoras de Active Directory (dsa.msc).

3. Selecciona el nombre de dominio de Active Directory y expande el elemento.

4. Para administrar tus objetos de Active Directory, usa las unidades organizacionales (UO) que proporciona Microsoft AD administrado. Aunque tienes el control total de los objetos en la UO Cloud, solo puedes actualizar algunos atributos de los objetos en la UO Cloud Service Objects.

Debes tener los permisos necesarios para administrar tus objetos de Active Directory. Para obtener información sobre qué usuarios tienen permisos en qué objetos de Active Directory, consulta Objetos predeterminados de Active Directory.

Solo puedes realizar algunas tareas administrativas de Active Directory en tu dominio, como crear confianza, extender el esquema y deshabilitar el filtrado de SID. Debes usar la consola de Google Cloud, gcloud CLI o las APIs para realizar estas tareas, y no las herramientas de AD estándar.

Unidades organizativas

Microsoft AD administrado proporciona dos UO, Cloud y Cloud Service Objects.

Microsoft AD administrado crea Cloud en tu dominio de Microsoft AD administrado para alojar todos tus objetos de AD. Tienes acceso administrativo total a esta UO. Puedes usar la UO Cloud para crear usuarios, grupos, computadoras o UO adicionales.

La UO Cloud Service Objects aloja objetos de AD que Microsoft AD administrado crea y administra. Solo Google Cloud puede crear objetos en esta UO, pero puedes actualizar algunos de sus atributos.

Para obtener más información sobre los grupos de la UO Cloud Service Objects, consulta Grupos.

Solo puedes administrar las UO de Cloud y Cloud Service Objects. Microsoft AD administrado reserva la creación de objetos de Active Directory para otras UO. Esto proporciona el beneficio adicional de obtener una mayor seguridad y te ayuda a administrar las directivas de AD que se aplican a las UO.