Active Directory-Objekte verwalten

Auf dieser Seite wird beschrieben, wie Sie die Active Directory-Objekte in Ihrer Managed Service for Microsoft Active Directory-Domain verwalten.

Hinweise

Bevor Sie Ihre Active Directory-Objekte verwalten, führen Sie die folgenden Schritte aus:

RSAT installieren

Sie müssen RSAT nur einmal in jeder verwalteten Microsoft AD-Domain installieren, um die Active Directory-Objekte zu verwalten.

So installieren Sie RSAT:

  1. Stellen Sie eine Verbindung zur Windows-VM her.

  2. Öffnen Sie auf der Windows-VM den Assistenten zum Hinzufügen von Rollen und Features.

  3. Rufen Sie im Assistenten zum Hinzufügen von Rollen und Features die Seite Features auswählen auf. Sie können entweder im Seitenleistenmenü Features auswählen oder auf Weiter klicken, bis die Seite Features auswählen angezeigt wird.

  4. Maximieren Sie auf der Seite Features auswählen in der Liste Features den Eintrag Remote-Server-Verwaltungstools und maximieren Sie dann Rollenverwaltungstools.

  5. Wählen Sie unter Rollenverwaltungstools die Option AD DS- und AD LDS-Tools aus. Dadurch werden die folgenden Funktionen aktiviert:

    • Active Directory-Modul für Windows PowerShell
    • AD LDS-Snap-ins und Befehlszeilentools
    • Active Directory-Verwaltungszentrum
    • AD DS-Snap-ins und Befehlszeilentools

  6. Optional: Wenn Sie möchten, können Sie auch die folgenden Funktionen aktivieren:

    • Gruppenrichtlinien-Verwaltung
    • DNS-Servertools (unter Rollenverwaltungstools)

  7. Klicken Sie auf Next (Weiter).

  8. Klicken Sie auf der Seite Bestätigung auf Installieren.

  9. Klicken Sie auf der Seite Ergebnisse auf Schließen.

Objekte verwalten

Aus Sicherheitsgründen können Sie weder mit Remote Desktop Protocol (RDP) noch mit anderen Tools direkt auf den Domaincontroller zugreifen. Stattdessen können Sie über RDP eine Verbindung zu einer in die Domain eingebundenen VM herstellen und die Standard-AD-Tools verwenden, um remote mit den Active Directory-Objekten in Ihrer Domain zu arbeiten.

So verwalten Sie Ihre Active Directory-Objekte:

  1. Stellen Sie eine Verbindung zur Windows-VM her, die Sie mit der verwalteten Microsoft AD-Domain verbunden haben. Weitere Informationen finden Sie unter Verbindung zu Windows-VMs über RDP herstellen.

  2. Öffnen Sie die Konsole Active Directory-Nutzer und -Computer (dsa.msc).

  3. Wählen Sie den Active Directory-Domainnamen aus und maximieren Sie das Element.

  4. Verwenden Sie zum Verwalten Ihrer Active Directory-Objekte die Organisationseinheiten (OE) von Managed Microsoft AD. Sie haben zwar die vollständige Kontrolle über die Objekte in der Organisationseinheit Cloud, aber Sie können nur einige Attribute der Objekte in der Organisationseinheit Cloud Service Objects aktualisieren.

Sie benötigen die erforderlichen Berechtigungen zum Verwalten Ihrer Active Directory-Objekte. Informationen darüber, welche Nutzer Berechtigungen für welche Active Directory-Objekte haben, finden Sie unter Standard-Active Directory-Objekte.

Sie können nur wenige Active Directory-Verwaltungsaufgaben auf Ihrer Domain ausführen, z. B. die Vertrauensstellung erstellen, das Schema erweitern und die SID-Filterung deaktivieren. Sie müssen die Google Cloud Console, die gcloud CLI oder APIs verwenden, um diese Aufgaben auszuführen, und nicht die Standard-AD-Tools.

Organisationseinheiten

Managed Microsoft AD bietet zwei OEs: Cloud und Cloud Service Objects.

Managed Microsoft AD erstellt Cloud in Ihrer Managed Microsoft AD-Domain, um alle Ihre AD-Objekte zu hosten. Sie haben uneingeschränkten Administratorzugriff auf diese Organisationseinheit. Mit der Organisationseinheit Cloud können Sie Nutzer, Gruppen, Computer oder weitere untergeordnete OEs erstellen.

Die OE Cloud Service Objects hostet AD-Objekte, die von Managed Microsoft AD erstellt und verwaltet werden. Nur Google Cloud kann Objekte in dieser Organisationseinheit erstellen. Sie können jedoch einige der Attribute aktualisieren.

Weitere Informationen zu den Gruppen in der Organisationseinheit Cloud Service Objects finden Sie unter Gruppen.

Sie können nur die Organisationseinheiten Cloud und Cloud Service Objects verwalten. Mit Managed Microsoft AD wird die Erstellung von Active Directory-Objekten für andere OEs reserviert. Dies bietet den zusätzlichen Vorteil erhöhter Sicherheit und hilft Ihnen bei der Verwaltung von AD-Richtlinien, die für OEs gelten.