管理 Active Directory 对象

本页面介绍如何管理 Managed Service for Microsoft Active Directory 网域中的 Active Directory 对象。

准备工作

在管理 Active Directory 对象之前，您应完成以下步骤：

• 创建托管式 Microsoft AD 网域。
• 将 Windows 虚拟机加入网域。
• 安装远程服务器管理工具 (RSAT)。

安装 RSAT

如需管理 Active Directory 对象，您只需在每个 Managed Microsoft AD 网域上安装一次 RSAT 即可。

如需安装 RSAT，请完成以下步骤：

1. 连接到 Windows 虚拟机。

2. 在 Windows 虚拟机上，打开添加角色和功能向导。

3. 在添加角色和功能向导中，导航到选择功能页面。您可以从边栏菜单中选择特性，也可以点击下一步，直到看到选择特性页面。

4. 在选择功能页面上，从功能列表中展开远程服务器管理工具，然后展开角色管理工具。

5. 在角色管理工具下，选择 AD DS 和 AD LDS 工具。这将启用以下功能：

   • Active Directory module for Windows PowerShell
   • AD LDS Snap-Ins and Command-Line Tools
   • Active Directory Administrative Center
   • AD DS Snap-Ins and Command-Line Tools

6. 可选：如果需要，您还可以启用以下功能：

   • 群组政策管理
   • DNS 服务器工具（在角色管理工具下）

7. 点击下一步。

8. 在确认页面上，点击安装。

9. 在结果页面上，点击关闭。

管理对象

出于安全考虑，您无法使用远程桌面协议 (RDP) 或任何其他工具直接访问网域控制器。您可以使用 RDP 连接到加入网域的虚拟机，并使用标准 AD 工具远程处理您网域中的 Active Directory 对象。

如需管理 Active Directory 对象，请完成以下步骤：

1. 连接到已加入代管式 Microsoft AD 网域的 Windows 虚拟机。如需了解详情，请参阅使用 RDP 连接到 Windows 虚拟机。

2. 打开 Active Directory 用户和计算机控制台 (dsa.msc)。

3. 选择 Active Directory 域名，然后展开该项。

4. 如需管理 Active Directory 对象，请使用代管式 Microsoft AD 提供的组织单元 (OU)。虽然您可以完全控制 Cloud 组织单元中的对象，但您只能更新 Cloud Service Objects 组织单元中对象的部分属性。

您必须拥有管理 Active Directory 对象所需的权限。如需了解哪些用户对哪些 Active Directory 对象拥有权限，请参阅默认 Active Directory 对象。

您只能在您的网域上执行一些 Active Directory 管理任务，例如创建信任、扩展架构和停用 SID 过滤。您需要使用 Google Cloud 控制台、gcloud CLI 或 API 来执行这些任务，而不是使用标准 AD 工具。

组织部门

Managed Microsoft AD 提供两个组织部门：Cloud 和 Cloud Service Objects。

Managed Microsoft AD 会在代管式 Microsoft AD 网域中创建 Cloud 以托管您的所有 AD 对象。您拥有此组织部门的完整管理员权限。您可以使用 Cloud 组织单元创建用户、群组、计算机或其他子组织部门。

Cloud Service Objects 组织单元托管由 Managed Microsoft AD 创建和管理的 AD 对象。只有 Google Cloud 可以在此组织部门下创建对象，但您可以更新其某些属性。

如需详细了解 Cloud Service Objects 组织单元下的群组，请参阅群组。

您只能管理Cloud和Cloud Service Objects组织部门。 Managed Microsoft AD 会为其他组织部门预留 Active Directory 对象创建功能。这带来了更高的安全性，并且有助于您管理应用于组织部门的广告政策。