Managed Microsoft AD のデフォルトの Active Directory オブジェクト

Microsoft Active Directory 用のマネージド サービスを使用して新しいドメインを作成すると、一部の Active Directory オブジェクトが自動的に作成されます。これらは、AD ドメインの管理に役立ち、通常は他のユーザーまたはグループに委任された AD タスクの管理をより簡単にします。

次の図に概要を示します。各オブジェクトの詳細なリストと説明については、次の表をご覧ください。

AD グループ

組織部門

表 1 は、作成された組織部門(OU)を示しています。

表 1.組織部門
名前 説明
Cloud すべての AD オブジェクトをホストします。この OU 内での完全なアクセス権があります。
Cloud Service Objects Managed Microsoft AD によって作成および管理される AD オブジェクトをホストします。この組織部門でオブジェクトを作成できるのは Google Cloud だけですが、作成済みオブジェクトの一部の属性は更新できます。

グループ

次のグループは、Cloud Service Objects OU の下に作成されます。

表 2.Cloud Service Objects OU のグループ
名前 説明
Cloud Service Administrators グローバル メンバーは、マネージド Microsoft AD クラウド サービスの管理者です。
Cloud Service All Administrators ドメイン ローカル メンバーは、マネージド Microsoft AD クラウド サービスの管理者です。 これには、信頼できるドメインのメンバーが含まれる場合があります。
Cloud Service Computer Administrators ドメイン ローカル メンバーは、ドメインに参加しているマシンの管理者です。
Cloud Service DNS Administrators ドメイン ローカル メンバーは、Active Directory が統合されている DNS ゾーン内の DNS エントリを追加、削除、および変更できます。
Cloud Service Managed Service Account Administrators ドメイン ローカル メンバーは管理サービス アカウントを管理できます。
Cloud Service Computer Remote Desktop Users ドメイン ローカル メンバーは、ドメインに参加しているマシンのリモート デスクトップ権限を持っています。
Cloud Service Site Administrators ドメイン ローカル メンバーは Active Directory サイトの名前を変更できます。
Cloud Service Protected Users グローバル 保護されたユーザーのグループからの保護は、メンバーに適用されます。
Cloud Service Group Policy Creator Owners ドメイン ローカル メンバーはグループ ポリシー オブジェクト(GPO)を作成できます。GPO は Cloud の OU とその中のオブジェクトとのみリンクできます。
Cloud Service Domain Join Accounts ドメイン ローカル メンバーはコンピュータをドメインに参加させることができます。
Cloud Service Fine Grained Password Policy Administrators ドメイン ローカル メンバーは、ユーザーとグループに対してパスワード ポリシーを変更して割り当てることができます。

Managed Microsoft AD は、Active Directory ドメイン サービス用の特権アクセス管理を使用して、ユーザーに期間限定のグループ メンバーシップを提供することはサポートしていません。

グループ ポリシー オブジェクト

マネージド Microsoft AD は、いくつかのグループ ポリシーオブジェクト(GPO)を自動的に作成して、特定のグループポリシー機能をサポートします。

表 3.グループ ポリシー オブジェクト
名前 説明
Cloud Service Default Computer Policy Cloud OU にリンクされています。Cloud OUに対する Cloud Service Computer Administrators ローカル管理者権限と Cloud Service Computer Remote Desktop Users リモート デスクトップ(RDP)権限を付与します。

カスタム GPO を作成して、Cloud OU または Cloud OU 内の任意の子 OU にリンクできます。GPO を OU にリンクする方法については、GPO をドメインにリンクするをご覧ください。

パスワード設定オブジェクト

マネージド Microsoft AD は、10 個のパスワード設定オブジェクト(PSO)を自動的に作成します。これらの PSO の名前または優先順位は変更できません。表 4 に、これらの PSO の名前と優先順位を示します。

表 4.ポリシー設定オブジェクト
名前 優先順位
PSO-10 10
PSO-20 20
PSO-30 30
PSO-40 40
PSO-50 50
PSO-60 60
PSO-70 70
PSO-80 80
PSO-90 90
PSO-100 100

デフォルト値は、各 PSO のパスワード ポリシー設定に割り当てられます。これらの値は変更できます。表 5 は、これらのデフォルト設定を示しています。

表 5.デフォルトの PSO 設定
ポリシー 設定
複雑さの有効化 True
ロックアウト期間 30分
ロックアウトの観察期間 30分
ロックアウトのしきい値 0
パスワードの最長期間 42 日
パスワードの最短期間 1 日
最小パスワード長 7
パスワード履歴の数 24
復元可能な暗号化が有効

ユーザー

マネージド Microsoft AD は、表 6 に示すユーザーを自動的に作成します。

表 6.ユーザー
名前 説明
setupadmin(デフォルト)

ドメインを管理するために委任された管理者アカウント。名前のデフォルトは setupadmin です。ドメインの作成時に別の名前を指定できます。

ドメインのパスワードをリセットすると、このアカウントのパスワードが設定されます。

cloudsvcadmin マネージド Microsoft AD がドメインを管理するために使用するサービス アカウント。このアカウントはシステムでの使用を目的としているため、直接使用、変更、または削除しないでください。

代理管理者

表 7 は、ドメインのプロビジョニング時に委任された管理者アカウントに自動的に付与される Active Directory 権限を示しています。こうした権限は、アカウントのグループ メンバーシップによって付与されます。グループのいずれかからアカウントを削除すると、権限および利用可能なアクションが影響されることがあります。このアカウントのデフォルト名は setupadmin です。アカウント名を変更したが値を覚えていない場合には、値を取得できます。詳細は、委任された管理者アカウントを使用するをご覧ください。

委任された管理者アカウントには、Domain AdminsEnterprise AdminsBUILTIN\Administrators の権限がありません。これは、Managed Microsoft AD がマネージド サービスであり、Google がこれらの権限を使用する権限を有しているためです。したがって、ドメインレベルで GPO を構成し、ディレクトリ変更を複製し、フォレストの機能レベルを上げて、フォレスト全体の他の変更を行って、分散ファイル システム(DFS)DHCP など、マネージド Microsoft AD でこれらの権限を必要とする Active Directory 機能を使用できません。

表 7. 委任された管理者アカウントの権限
Active Directory オブジェクト 識別名 オブジェクトで許可された委任管理者アカウント アクション
クラウド OU=Cloud,DC=<domain-name>

Cloud OU の下の任意のオブジェクト タイプに対して CRUD 操作を実行できます。

GPO をこの OU とそのサブ OU にリンクできます。

OU を削除または名前変更することはできません。

マネージド サービス アカウント コンテナ CN=Managed Service Accounts, DC=<domain-name> グループのマネージド サービス アカウントと関連するすべての管理を作成、更新、削除できます。
MicrosoftDNS コンテナ CN=MicrosoftDNS,CN=System, DC=<domain-name> DNS マネージャーを使用して、AD 統合された DNS サーバーに接続できます。
DomainDNSZones フォルダ CN=MicrosoftDNS, DC=DomainDNSZones,DC=<domain-name> 条件付きフォワーダー、A レコード、CNAME レコード、DNS 委任、前方参照ゾーン、および逆引き参照ゾーンを作成できます。
ForestDNSZones フォルダ CN=MicrosoftDNS, DC=ForestDNSZones,DC=<domain-name> 条件付きフォワーダー、A レコード、CNAME レコード、DNS 委任、前方参照ゾーン、および逆引き参照ゾーンを作成できます。

委任された管理者アカウント

(デフォルトの名前: setupadmin

CN=<delegated-admin-name>, OU=Cloud Service Objects,DC=<domain-name>

ドメインのプロビジョニング中に自動的に作成された委任された管理者アカウントのパスワードを変更できます。

詳しくは、このアカウント名を取得パスワードをリセットをご覧ください。

クラウド サービス管理者 CN=Cloud Service Administrators, OU=Cloud Service Objects, DC=<domain-name>

AD オブジェクトを Cloud Service Administrators マネージド.グループに追加または削除できます

このグループに追加されたアカウントには、委任された管理者アカウントに付与されているものと同じ権限セットが付与されます。

すべてのサイト すべてのサイト: CN=Sites,CN=Configuration, DC=<domain-name> Active Directory サイト名を変更できます。
すべての管理対象グループ クラウドが管理するすべてのグループ: OU=Cloud Service Objects, DC=<domain-name>

事前に作成されたクラウド管理グループから AD オブジェクトを追加および削除できます。

AD のインストール中に作成された組み込みの Active Directory グループには適用されません。

ポリシー コンテナ CN=Policies, CN=System,DC=<domain-name>

グループ ポリシー オブジェクトを作成、更新、削除できます。

デフォルトのドメイン コントローラーまたはデフォルトのドメイン ポリシー GPO を編集または削除することはできません。

パーティション コンテナ(UPN サフィックス) CN=Partitions,CN=Configuration, DC=<domain-name> UPN サフィックスを変更できます。
ターミナル サービス ライセンスサーバー CN=Terminal Server License Servers,CN=Builtin, DC=<domain-name> ターミナル ライセンス サーバーの役割を持つ Windows サーバーを、ターミナル サービス ライセンス サーバーの組み込みグループに追加できます。

次のステップ