Microsoft Active Directory 用のマネージド サービスを使用して新しいドメインを作成すると、一部の Active Directory オブジェクトが自動的に作成されます。これらは、AD ドメインの管理に役立ち、通常は他のユーザーまたはグループに委任された AD タスクの管理をより簡単にします。
次の図に概要を示します。各オブジェクトの詳細なリストと説明については、次の表をご覧ください。
組織部門
表 1 は、作成された組織部門(OU)を示しています。
名前 | 説明 |
---|---|
Cloud |
すべての AD オブジェクトをホストします。この OU 内での完全なアクセス権があります。 |
Cloud Service Objects |
Managed Microsoft AD によって作成および管理される AD オブジェクトをホストします。この組織部門でオブジェクトを作成できるのは Google Cloud だけですが、作成済みオブジェクトの一部の属性は更新できます。 |
グループ
次のグループは、Cloud Service Objects
OU の下に作成されます。
名前 | 型 | 説明 | |
---|---|---|---|
Cloud Service Administrators |
グローバル | メンバーは、マネージド Microsoft AD クラウド サービスの管理者です。 | |
Cloud Service All Administrators |
ドメイン ローカル | メンバーは、マネージド Microsoft AD クラウド サービスの管理者です。 これには、信頼できるドメインのメンバーが含まれる場合があります。 | |
Cloud Service Computer Administrators |
ドメイン ローカル | メンバーは、ドメインに参加しているマシンの管理者です。 | |
Cloud Service DNS Administrators |
ドメイン ローカル | メンバーは、Active Directory が統合されている DNS ゾーン内の DNS エントリを追加、削除、および変更できます。 | |
Cloud Service Managed Service Account Administrators |
ドメイン ローカル | メンバーは管理サービス アカウントを管理できます。 | |
Cloud Service Computer Remote Desktop Users |
ドメイン ローカル | メンバーは、ドメインに参加しているマシンのリモート デスクトップ権限を持っています。 | |
Cloud Service Site Administrators |
ドメイン ローカル | メンバーは Active Directory サイトの名前を変更できます。 | |
Cloud Service Protected Users |
グローバル | 保護されたユーザーのグループからの保護は、メンバーに適用されます。 | |
Cloud Service Group Policy Creator Owners |
ドメイン ローカル |
メンバーはグループ ポリシー オブジェクト(GPO)を作成できます。GPO は Cloud の OU とその中のオブジェクトとのみリンクできます。 |
|
Cloud Service Domain Join Accounts |
ドメイン ローカル | メンバーはコンピュータをドメインに参加させることができます。 | |
Cloud Service Fine Grained Password Policy Administrators |
ドメイン ローカル | メンバーは、ユーザーとグループに対してパスワード ポリシーを変更して割り当てることができます。 |
Managed Microsoft AD は、Active Directory ドメイン サービス用の特権アクセス管理を使用して、ユーザーに期間限定のグループ メンバーシップを提供することはサポートしていません。
グループ ポリシー オブジェクト
マネージド Microsoft AD は、いくつかのグループ ポリシーオブジェクト(GPO)を自動的に作成して、特定のグループポリシー機能をサポートします。
名前 | 説明 |
---|---|
Cloud Service Default Computer Policy |
Cloud OU にリンクされています。Cloud OUに対する Cloud Service Computer Administrators ローカル管理者権限と Cloud Service Computer Remote Desktop Users リモート デスクトップ(RDP)権限を付与します。 |
カスタム GPO を作成して、Cloud
OU または Cloud
OU 内の任意の子 OU にリンクできます。GPO を OU にリンクする方法については、GPO をドメインにリンクするをご覧ください。
パスワード設定オブジェクト
マネージド Microsoft AD は、10 個のパスワード設定オブジェクト(PSO)を自動的に作成します。これらの PSO の名前または優先順位は変更できません。表 4 に、これらの PSO の名前と優先順位を示します。
名前 | 優先順位 |
---|---|
PSO-10 | 10 |
PSO-20 | 20 |
PSO-30 | 30 |
PSO-40 | 40 |
PSO-50 | 50 |
PSO-60 | 60 |
PSO-70 | 70 |
PSO-80 | 80 |
PSO-90 | 90 |
PSO-100 | 100 |
デフォルト値は、各 PSO のパスワード ポリシー設定に割り当てられます。これらの値は変更できます。表 5 は、これらのデフォルト設定を示しています。
ポリシー | 設定 |
---|---|
複雑さの有効化 | True |
ロックアウト期間 | 30分 |
ロックアウトの観察期間 | 30分 |
ロックアウトのしきい値 | 0 |
パスワードの最長期間 | 42 日 |
パスワードの最短期間 | 1 日 |
最小パスワード長 | 7 |
パスワード履歴の数 | 24 |
復元可能な暗号化が有効 | 偽 |
ユーザー
マネージド Microsoft AD は、表 6 に示すユーザーを自動的に作成します。
名前 | 説明 |
---|---|
setupadmin (デフォルト) |
ドメインを管理するために委任された管理者アカウント。名前のデフォルトは ドメインのパスワードをリセットすると、このアカウントのパスワードが設定されます。 |
cloudsvcadmin |
マネージド Microsoft AD がドメインを管理するために使用するサービス アカウント。このアカウントはシステムでの使用を目的としているため、直接使用、変更、または削除しないでください。 |
代理管理者
表 7 は、ドメインのプロビジョニング時に委任された管理者アカウントに自動的に付与される Active Directory 権限を示しています。こうした権限は、アカウントのグループ メンバーシップによって付与されます。グループのいずれかからアカウントを削除すると、権限および利用可能なアクションが影響されることがあります。このアカウントのデフォルト名は setupadmin
です。アカウント名を変更したが値を覚えていない場合には、値を取得できます。詳細は、委任された管理者アカウントを使用するをご覧ください。
委任された管理者アカウントには、Domain Admins
、Enterprise Admins
、BUILTIN\Administrators
の権限がありません。これは、Managed Microsoft AD がマネージド サービスであり、Google がこれらの権限を使用する権限を有しているためです。したがって、ドメインレベルで GPO を構成し、ディレクトリ変更を複製し、フォレストの機能レベルを上げて、フォレスト全体の他の変更を行って、分散ファイル システム(DFS)、DHCP など、マネージド Microsoft AD でこれらの権限を必要とする Active Directory 機能を使用できません。
Active Directory オブジェクト | 識別名 | オブジェクトで許可された委任管理者アカウント アクション |
---|---|---|
クラウド |
OU=Cloud,
|
GPO をこの OU とそのサブ OU にリンクできます。 OU を削除または名前変更することはできません。 |
マネージド サービス アカウント コンテナ |
CN=Managed Service Accounts,
|
グループのマネージド サービス アカウントと関連するすべての管理を作成、更新、削除できます。 |
MicrosoftDNS コンテナ |
CN=MicrosoftDNS,
|
DNS マネージャーを使用して、AD 統合された DNS サーバーに接続できます。 |
DomainDNSZones フォルダ | CN=MicrosoftDNS,
|
条件付きフォワーダー、A レコード、CNAME レコード、DNS 委任、前方参照ゾーン、および逆引き参照ゾーンを作成できます。 |
ForestDNSZones フォルダ | CN=MicrosoftDNS,
|
条件付きフォワーダー、A レコード、CNAME レコード、DNS 委任、前方参照ゾーン、および逆引き参照ゾーンを作成できます。 |
委任された管理者アカウント (デフォルトの名前: |
CN=<delegated-admin-name>,
|
ドメインのプロビジョニング中に自動的に作成された委任された管理者アカウントのパスワードを変更できます。 詳しくは、このアカウント名を取得とパスワードをリセットをご覧ください。 |
クラウド サービス管理者 |
CN=Cloud Service Administrators,
|
AD オブジェクトを このグループに追加されたアカウントには、委任された管理者アカウントに付与されているものと同じ権限セットが付与されます。 |
すべてのサイト |
すべてのサイト: CN=Sites,
|
Active Directory サイト名を変更できます。 |
すべての管理対象グループ |
クラウドが管理するすべてのグループ: OU=Cloud Service Objects,
|
事前に作成されたクラウド管理グループから AD オブジェクトを追加および削除できます。 AD のインストール中に作成された組み込みの Active Directory グループには適用されません。 |
ポリシー コンテナ |
CN=Policies,
|
グループ ポリシー オブジェクトを作成、更新、削除できます。 デフォルトのドメイン コントローラーまたはデフォルトのドメイン ポリシー GPO を編集または削除することはできません。 |
パーティション コンテナ(UPN サフィックス) |
CN=Partitions,
|
UPN サフィックスを変更できます。 |
ターミナル サービス ライセンスサーバー |
CN=Terminal Server License Servers,
|
ターミナル ライセンス サーバーの役割を持つ Windows サーバーを、ターミナル サービス ライセンス サーバーの組み込みグループに追加できます。 |