Quando cria um novo domínio com o Serviço gerido para Microsoft Active Directory, alguns objetos do Active Directory são criados automaticamente para si. Estes ajudam a administrar o seu domínio do AD e facilitam a gestão de tarefas do AD normalmente delegadas a outros utilizadores ou grupos.
O diagrama seguinte oferece uma vista geral. Consulte as tabelas abaixo para ver uma lista completa e uma descrição de cada objeto.
Unidades organizacionais
A Tabela 1 mostra as unidades organizacionais (UOs) criadas para si.
| Nome | Descrição |
|---|---|
Cloud |
Alojamento de todos os seus objetos do AD. Tem controlo total nesta UO. |
Cloud Service Objects |
Alojamento de objetos do AD criados e geridos pelo Microsoft AD gerido. Apenas Google Cloud pode criar objetos nesta UO, embora possa atualizar alguns atributos nos objetos criados previamente. |
Grupos
Os seguintes grupos são criados na UO Cloud Service Objects.
| Nome | Tipo | Descrição | |
|---|---|---|---|
Cloud Service Administrators |
Global | Os membros são administradores do serviço na nuvem do Microsoft AD gerido. | |
Cloud Service All Administrators |
Domínio local | Os membros são administradores do serviço na nuvem do Microsoft AD gerido. Isto pode incluir membros de domínios fidedignos. | |
Cloud Service Computer Administrators |
Domínio local | Os membros são administradores em máquinas associadas ao domínio. | |
Cloud Service DNS Administrators |
Domínio local | Os membros podem adicionar, remover e modificar entradas DNS nas zonas DNS integradas no Active Directory. | |
Cloud Service Managed Service Account Administrators |
Domínio local | Os membros podem administrar contas de serviço geridas. | |
Cloud Service Computer Remote Desktop Users |
Domínio local | Os membros têm direitos de ambiente de trabalho remoto em máquinas associadas ao domínio. | |
Cloud Service Site Administrators |
Domínio local | Os membros podem mudar o nome de sites do Active Directory. | |
Cloud Service Protected Users |
Global | As proteções do grupo Utilizadores protegidos são aplicadas aos membros. | |
Cloud Service Group Policy Creator Owners |
Domínio local |
Os membros podem criar Objetos de política de grupo (GPOs). Os GPOs só podem ser associados
na UO Cloud e nos objetos no respetivo interior.
|
|
Cloud Service Domain Join Accounts |
Domínio local | Os membros podem associar computadores ao domínio. | |
Cloud Service Fine Grained Password Policy Administrators |
Domínio local | Os membros podem modificar e atribuir políticas de palavras-passe a utilizadores e grupos. |
O Microsoft AD gerido não suporta o fornecimento de associações de grupos com limite de tempo aos utilizadores através da gestão de acesso privilegiado para serviços de domínio do Active Directory.
Objetos de política de grupo
O Microsoft AD gerido cria automaticamente alguns Objetos de política de grupo (GPOs) para suportar determinadas funcionalidades de políticas de grupo.
| Nome | Descrição |
|---|---|
Cloud Service Default Computer Policy |
Associado à UO Cloud. Concede
direitos de Cloud Service Computer Administratorsadministrador local e
privilégios de Ambiente de Trabalho Remoto (RDP) na UO Cloud.Cloud Service Computer Remote Desktop Users
|
Pode criar GPOs
personalizados
e associá-los à UO Cloud ou a qualquer uma das UOs secundárias na UO Cloud. Para ver informações sobre a associação de um GPO a uma OU, consulte o artigo Associe o GPO ao domínio.
Objetos de definições de palavras-passe
O Microsoft AD gerido cria automaticamente dez objetos de definições de palavras-passe (PSO). Não pode alterar o nome nem a precedência destas PSOs. A tabela 4 mostra os nomes e as precedências destas PSOs.
| Nome | Precedência |
|---|---|
| PSO-10 | 10 |
| PSO-20 | 20 |
| PSO-30 | 30 |
| PSO-40 | 40 |
| PSO-50 | 50 |
| PSO-60 | 60 |
| PSO-70 | 70 |
| PSO-80 | 80 |
| PSO-90 | 90 |
| PSO-100 | 100 |
Os valores predefinidos são atribuídos às definições da política de palavras-passe para cada PSO. Pode alterar estes valores. A tabela 5 mostra estas predefinições.
| Política | Definição |
|---|---|
| Complexidade ativada | True |
| Duração do bloqueio | 30 minutos |
| Período de observação de bloqueio | 30 minutos |
| Limite de bloqueio | 0 |
| Idade máxima da palavra-passe | 42 dias |
| Idade mínima da palavra-passe | 1 dia |
| Comprimento mínimo da palavra-passe | 7 |
| Contagem do histórico de palavras-passe | 24 |
| Encriptação reversível ativada | Falso |
Utilizadores
O Microsoft AD gerido cria automaticamente os utilizadores apresentados na tabela 6.
| Nome | Descrição |
|---|---|
setupadmin (predefinição) |
Conta de administrador delegado para gerir o seu domínio.
O nome é predefinido como Repor a palavra-passe de um domínio define a palavra-passe desta conta. |
cloudsvcadmin |
Conta de serviço usada pelo Microsoft AD gerido para gerir o domínio. Esta conta destina-se a ser usada pelo sistema e não deve ser usada, modificada nem eliminada diretamente. |
Administrador delegado
A tabela 7 mostra os direitos do Active Directory que são concedidos automaticamente à conta de administrador delegado quando aprovisiona o domínio. Estes direitos
são concedidos pelas associações a grupos da conta. Por isso, se remover a conta
de um desses grupos, isso pode afetar os respetivos direitos e ações disponíveis. Esta conta tem o nome predefinido setupadmin. Se alterou o nome da conta, mas não se lembra do valor, pode recuperá-lo. Para mais informações, consulte o artigo
Use a conta de administrador delegado.
A conta de administrador delegado não tem as autorizações Domain Admins, Enterprise Admins e BUILTIN\Administrators porque o Microsoft AD gerido é um serviço gerido e a Google reserva-se o direito de usar estas autorizações. Por isso, não pode usar funcionalidades do Active Directory que exijam estas autorizações no Microsoft AD gerido, como o Distributed File System (DFS), o DHCP, a configuração de GPOs ao nível do domínio, a replicação de alterações ao diretório, o aumento dos níveis funcionais da floresta e outras alterações ao nível da floresta.
| Objeto do Active Directory | Nome distinto | Ações de conta de administrador delegado permitidas no objeto |
|---|---|---|
| Google Cloud |
OU=Cloud,
|
Pode realizar operações CRUD para qualquer tipo de objeto no âmbito da
Pode associar GPOs a esta UO e às respetivas sub-UOs Não é possível eliminar nem mudar o nome da UO |
| Contentor de conta de serviço gerida |
CN=Managed Service Accounts,
|
Pode criar, atualizar e eliminar contas de serviços geridas de grupo e toda a gestão relacionada |
| Contentor MicrosoftDNS |
CN=MicrosoftDNS,
|
Pode estabelecer ligação ao servidor DNS integrado no AD através do gestor de DNS. |
| Pasta DomainDNSZones | CN=MicrosoftDNS,
|
Pode criar encaminhadores condicionais, registos A, registos CNAME, delegação de DNS, zonas de procura de encaminhamento e zonas de procura inversa |
| Pasta ForestDNSZones | CN=MicrosoftDNS,
|
Pode criar encaminhadores condicionais, registos A, registos CNAME, delegação de DNS, zonas de procura de encaminhamento e zonas de procura inversa |
Conta de administrador delegado (nome predefinido: |
CN=<delegated-admin-name>,
|
Pode alterar a palavra-passe da conta de administrador delegado que é criada automaticamente durante o aprovisionamento do domínio Saiba mais sobre como obter o nome desta conta e repôr a respetiva palavra-passe. |
| Administradores de serviços na nuvem |
CN=Cloud Service Administrators,
|
Pode adicionar ou remover objetos do AD do grupo gerido Todas as contas adicionadas a este grupo recebem o mesmo conjunto de autorizações concedidas à conta de administrador delegado. |
| Todos os sites |
Todos os sites em: CN=Sites,
|
Pode alterar o nome do site do Active Directory |
| Todos os grupos geridos |
Todos os grupos geridos pela nuvem em: OU=Cloud Service Objects,
|
Pode adicionar e remover objetos do AD dos grupos geridos na nuvem pré-criados Não se aplica aos grupos do Active Directory incorporados que são criados durante a instalação do AD |
| Contentor de políticas |
CN=Policies,
|
Pode criar, atualizar e eliminar objetos de política de grupo Não é possível editar nem eliminar os GPOs do controlador de domínio predefinido ou da política de domínio predefinida |
| Contentor de partição (sufixos UPN) |
CN=Partitions,
|
Pode alterar os sufixos do UPN |
| Servidor de licenças dos serviços de terminal |
CN=Terminal Server License Servers,
|
Pode adicionar servidores Windows com a função de servidor de licenças de terminal ao grupo incorporado do servidor de licenças de serviço de terminal |