En esta página, se describe cómo administrar los objetos de Active Directory en el dominio del servicio administrado para Microsoft Active Directory.
Antes de comenzar
Antes de administrar tus objetos de Active Directory, debes completar los siguientes pasos:
- Cree un dominio de Managed Microsoft AD.
- Une la VM de Windows al dominio.
- Instalar las Herramientas de administración remota del servidor (RSAT)
Instalar RSAT
Para administrar los objetos de Active Directory, debes instalar RSAT solo una vez en cada dominio de Microsoft AD administrado.
Para instalar RSAT, completa los siguientes pasos:
En la VM de Windows, abre el asistente para agregar funciones y características.
En el Asistente para agregar roles y características, navega a la página Seleccionar características. Puedes seleccionar Características en el menú de la barra lateral o hacer clic en Siguiente hasta que veas la página Seleccionar características.
En la página Seleccionar características, expande Herramientas de administración remota del servidor de la lista Funciones y, luego, expande Herramientas de administración de funciones.
En Herramientas de administración de funciones, selecciona Herramientas de AD DS y AD LDS. Esto habilita las siguientes funciones:
- Módulo de Active Directory para Windows PowerShell
- Complementos de AD LDS y herramientas de línea de comandos
- Centro administrativo de Active Directory
- Complementos de AD DS y herramientas de línea de comandos
Opcional: Si lo deseas, también puedes habilitar las siguientes funciones:
- Administración de políticas de grupo
- Herramientas del servidor DNS (en Herramientas de administración de funciones)
Haz clic en Siguiente.
En la página Confirmación, haz clic en Instalar.
En la página Resultados, haz clic en Cerrar.
Administrar objetos
Por motivos de seguridad, no puedes acceder directamente al controlador de dominio mediante el protocolo de escritorio remoto (RDP) ni ninguna otra herramienta. En su lugar, puedes conectarte a una VM unida al dominio mediante RDP y usar las herramientas estándar de AD para trabajar de forma remota con los objetos de Active Directory en tu dominio.
Para administrar tus objetos de Active Directory, completa los siguientes pasos:
Conéctate a la VM de Windows que te uniste con el dominio administrado de Microsoft AD. Para obtener más información, consulta Conéctate a VM de Windows mediante RDP.
Abre la consola Usuarios y computadoras de Active Directory (
dsa.msc
).Selecciona el nombre de dominio de Active Directory y expande el elemento.
Para administrar tus objetos de Active Directory, usa las unidades organizativas (UO) que proporciona Microsoft AD administrado. Aunque tienes control total de los objetos en la UO
Cloud
, solo puedes actualizar algunos atributos de los objetos en la UOCloud Service Objects
.
Debes tener los permisos necesarios para administrar tus objetos de Active Directory. Si deseas obtener información sobre qué usuarios tienen permisos y en qué objetos de Active Directory, consulta Objetos de Active Directory predeterminados.
Solo puedes realizar unas pocas tareas administrativas de Active Directory en tu dominio, como crear confianza, inhabilitar el filtrado de SID y extender el esquema. Debes usar la consola de Google Cloud,gcloud CLId o las APIs para realizar estas tareas, y no las herramientas de AD estándar.
Unidades organizativas
Microsoft AD administrado proporciona dos UO, Cloud
y Cloud Service Objects
.
Microsoft AD administrado crea Cloud
en tu dominio de Microsoft AD administrado para alojar todos tus objetos de AD. Tienes acceso de administrador completo a esta UO. Puedes usar la UO Cloud
para crear usuarios, grupos, computadoras o varias UO secundarias.
La UO Cloud Service Objects
aloja objetos de AD que Microsoft AD administrado crea y administra. Solo Google Cloud puede crear objetos en esta UO, pero puedes actualizar algunos de sus atributos.
Para obtener más información sobre los grupos de la UO Cloud Service Objects
, consulta Grupos.
Solo puedes administrar las UO Cloud
y Cloud Service Objects
.
Microsoft AD administrado reserva la creación de objetos de Active Directory para otras UO.
Esto proporciona el beneficio adicional de mayor seguridad y te ayuda a administrar las políticas de AD que se aplican a las UO.