Nesta página, descrevemos como gerenciar os objetos do Active Directory no domínio do Serviço gerenciado para Microsoft Active Directory.
Antes de começar
Antes de gerenciar os objetos do Active Directory, conclua as etapas a seguir:
- Crie um domínio do Managed Microsoft AD.
- Mescle sua VM do Windows ao domínio.
- Instale as Ferramentas de Administração de Servidor Remoto (RSAT).
Instalar o RSAT
Para gerenciar os objetos do Active Directory, é necessário instalar o RSAT apenas uma vez em cada domínio do Microsoft AD gerenciado.
Para instalar o RSAT, siga estas etapas:
Na VM do Windows, abra o Assistente para adicionar papéis e recursos.
No assistente Adicionar papéis e recursos, navegue até a página Selecionar recursos. Você pode selecionar Recursos no menu da barra lateral ou clicar em Próxima até ver a página Selecionar recursos.
Na página Selecionar recursos, expanda Ferramentas de administração de servidor remoto na lista Recursos e, em seguida, expanda Ferramentas de administração de papéis.
Em Ferramentas de administração de papéis, selecione Ferramentas do AD e do AD LDS. Isso ativa os seguintes recursos:
- Módulo do Active Directory para Windows PowerShell
- Snap-ins do AD LDS e ferramentas de linha de comando
- Centro Administrativo do Active Directory
- Snap-ins do AD DS e ferramentas de linha de comando
Opcional: se quiser, você também pode ativar os seguintes recursos:
- Gerenciamento de políticas de grupo
- Ferramentas do servidor DNS (em Ferramentas de administração de papéis)
Clique em Próxima.
Na página Confirmação, clique em Instalar.
Na página Resultados, clique em Fechar.
Gerenciamento de objetos
Por motivos de segurança, não é possível acessar diretamente o controlador de domínio usando o protocolo de desktop remoto (RDP, na sigla em inglês) ou qualquer outra ferramenta. Em vez disso, é possível se conectar a uma VM associada ao domínio usando RDP e usar as ferramentas padrão do AD para trabalhar remotamente com os objetos do Active Directory no domínio.
Para gerenciar os objetos do Active Directory, siga estas etapas:
Conecte-se à VM do Windows que você mesclou com o domínio gerenciado do Microsoft AD. Para mais informações, consulte Conectar-se a VMs do Windows usando RDP.
Abra o console de Usuários e computadores do Active Directory (
dsa.msc
).Selecione o nome de domínio do Active Directory e expanda o item.
Para gerenciar os objetos do Active Directory, use as unidades organizacionais (UOs) fornecidas pelo Microsoft AD gerenciado. Embora você tenha controle total dos objetos na UO
Cloud
, só é possível atualizar alguns atributos dos objetos na UOCloud Service Objects
.
Você precisa ter as permissões necessárias para gerenciar seus objetos do Active Directory. Para informações sobre quais usuários têm permissões em quais objetos do Active Directory, consulte Objetos padrão do Active Directory.
É possível executar apenas algumas tarefas administrativas do Active Directory no seu domínio, como criar confiança, estender o esquema e desativar a filtragem de SID. Você precisa usar o console do Google Cloud, a CLI gcloud ou as APIs para realizar essas tarefas, e não as ferramentas padrão do AD.
Unidades organizacionais
O Microsoft AD gerenciado fornece duas UOs: Cloud
e Cloud Service Objects
.
O Microsoft AD gerenciado cria Cloud
no domínio do Microsoft AD gerenciado para hospedar todos os objetos do AD. Você tem acesso administrativo total a esta UO. É
possível usar a UO Cloud
para criar usuários, grupos, computadores ou outras subUOs.
A UO Cloud Service Objects
hospeda objetos do AD que o Microsoft AD gerenciado
cria e gerencia. Somente o Google Cloud pode criar objetos sob essa
UO, mas é possível atualizar alguns dos atributos deles.
Para mais informações sobre os grupos na UO Cloud Service Objects
, consulte
Grupos.
Só é possível gerenciar as UOs Cloud
e Cloud Service Objects
.
O Microsoft AD gerenciado reserva a criação de objetos do Active Directory para outras UOs.
Isso fornece o benefício extra de maior segurança e ajuda você
a administrar políticas do AD que se aplicam às UOs.