Quando você cria um novo domínio com o Serviço Gerenciado para Microsoft Active Directory, alguns objetos do Active Directory são criados automaticamente para você. Isso ajuda a administrar seu domínio do AD e facilita o gerenciamento de tarefas do AD normalmente delegadas a outros usuários ou grupos.
O diagrama a seguir fornece uma visão geral. Consulte as tabelas abaixo para obter uma lista completa e a descrição de cada objeto.
Unidades organizacionais
A Tabela 1 mostra as unidades organizacionais (UO) criadas para você.
| Nome | Descrição |
|---|---|
Cloud |
Hospeda todos os seus objetos do AD. Você tem controle total dentro desta UO. |
Cloud Service Objects |
Hospeda objetos do AD criados e gerenciados pelo Managed Microsoft AD. Somente o Google Cloud pode criar objetos nessa UO, embora você possa atualizar alguns atributos nos objetos pré-criados. |
Grupos
Os seguintes grupos são criados na UO Cloud Service Objects.
| Nome | Tipo | Descrição | |
|---|---|---|---|
Cloud Service Administrators |
Global | Os membros são administradores do serviço de nuvem Managed Microsoft AD. | |
Cloud Service All Administrators |
Local do domínio | Os membros são administradores do serviço de nuvem Managed Microsoft AD. Isso pode incluir membros de domínios confiáveis. | |
Cloud Service Computer Administrators |
Local do domínio | Os membros são administradores em máquinas ingressadas no domínio. | |
Cloud Service DNS Administrators |
Local do domínio | Os membros podem adicionar, remover e modificar entradas DNS nas zonas DNS integradas ao Active Directory. | |
Cloud Service Managed Service Account Administrators |
Local do domínio | Os membros podem administrar contas de serviço gerenciado. | |
Cloud Service Computer Remote Desktop Users |
Local do domínio | Os membros têm direitos de área de trabalho remota em máquinas ingressadas no domínio. | |
Cloud Service Site Administrators |
Local do domínio | Os membros podem renomear sites do Active Directory. | |
Cloud Service Protected Users |
Global | As proteções do grupo Usuários protegidos são aplicadas aos membros. | |
Cloud Service Group Policy Creator Owners |
Local do domínio |
Os membros podem criar GPOs (Objetos de Política de Grupo). Os GPOs só podem ser vinculados à UO Cloud e aos objetos dentro dela.
|
|
Cloud Service Domain Join Accounts |
Local do domínio | Os membros podem associar computadores ao domínio. | |
Cloud Service Fine Grained Password Policy Administrators |
Local do domínio | Os participantes podem modificar e atribuir políticas de senha a usuários e grupos. |
O Microsoft AD gerenciado não é compatível com o fornecimento de associações a grupos por tempo limitado para usuários usando o Gerenciamento de acesso privilegiado para os Serviços de Domínio do Active Directory.
Objetos de Política de Grupo
O Managed Microsoft AD cria automaticamente alguns GPOs (Objetos de Política de Grupo) para oferecer suporte a determinados recursos de Política de Grupo.
| Nome | Descrição |
|---|---|
Cloud Service Default Computer Policy |
Vinculado à UO Cloud. Concede a Cloud Service Computer Administrators direitos de administrador local e a Cloud Service Computer Remote Desktop Users privilégios de Área de Trabalho Remota (RDP) na UO Cloud.
|
É possível criar GPOs
personalizados
e vinculá-los à UO Cloud ou a qualquer uma das UOs filhas na
UO Cloud. Para informações sobre como vincular um GPO a uma unidade organizacional, consulte Vincular o GPO ao
domínio.
Objetos de configurações de senha
O Microsoft AD gerenciado cria automaticamente dez objetos de configuração de senha (PSO, na sigla em inglês). Não é possível alterar o nome ou a precedência dessas PSOs. A Tabela 4 mostra os nomes e as precedências desses PSOs.
| Nome | Precedência |
|---|---|
| PSO-10 | 10 |
| PSO-20 | 20 |
| PSO-30 | 30 |
| PSO-40 | 40 |
| PSO-50 | 50 |
| PSO-60 | 60 |
| PSO-70 | 70 |
| PSO-80 | 80 |
| PSO-90 | 90 |
| PSO-100 | 100 |
Os valores padrão são atribuídos às configurações de política de senha de cada PSO. Esses valores podem ser alterados. A Tabela 5 mostra as configurações padrão.
| Política | Configuração |
|---|---|
| Complexidade ativada | Verdadeiro |
| Duração do bloqueio | 30 minutos |
| Janela de observação do bloqueio | 30 minutos |
| Limite do bloqueio | 0 |
| Idade máxima da senha | 42 dias |
| Idade mínima da senha | 1 dia |
| Comprimento mínimo da senha | 7 |
| Contagem do histórico de senhas | 24 |
| Criptografia reversível ativada | Falso |
Usuários
O Microsoft AD gerenciado cria automaticamente os usuários mostrados na tabela 4.
| Nome | Descrição |
|---|---|
setupadmin (padrão) |
Conta de administrador delegada para você gerenciar seu domínio.
O nome padrão é Redefinir a senha de um domínio define a senha da conta. |
cloudsvcadmin |
Conta de serviço usada pelo Managed Microsoft AD para gerenciar o domínio. Essa conta deve ser usada pelo sistema e não deve ser usada, modificada ou excluída diretamente. |
Administrador delegado
A Tabela 7 mostra os direitos do Active Directory que são concedidos automaticamente à
conta de administrador delegada quando você provisiona o domínio. Esses direitos são concedidos pelas participações em grupos da conta, portanto, se você remover a conta de um desses grupos, isso poderá afetar seus direitos e ações disponíveis. Esta conta tem o nome padrão setupadmin. Se você alterou o nome da conta, mas não se lembra do valor, pode recuperá-lo. Para ver mais informações, consulte
Usar uma conta de administrador delegada.
A conta de administrador delegada não tem as permissões Domain Admins,
Enterprise Admins e BUILTIN\Administrators porque
o Microsoft AD gerenciado é um serviço gerenciado e o Google se reserva o direito de
usar essas permissões. Portanto, não é possível usar os recursos do Active Directory que exigem essas permissões no Microsoft AD gerenciado, como Sistema de Arquivos Distribuído (DFS, na sigla em inglês), DHCP, configuração de GPOs no nível do domínio, replicar alterações de diretório, aumentar os níveis funcionais da floresta e outras alterações em toda a floresta.
| Objeto do Active Directory | Nome distinto | Ações de conta de administrador delegada permitidas no objeto |
|---|---|---|
| Cloud |
OU=Cloud,
|
Pode executar operações CRUD para qualquer tipo de objeto na UO Pode vincular GPOs a essa UO e a suas sub-UOs Não é possível excluir ou renomear a UO |
| Contêiner de conta de serviço gerenciado |
CN=Managed Service Accounts,
|
Pode criar, atualizar e excluir contas de serviço gerenciado de grupo e todo o gerenciamento relacionado |
| Contêiner MicrosoftDNS |
CN=MicrosoftDNS,
|
Pode se conectar ao servidor DNS integrado ao AD usando o gerenciador de DNS. |
| Pasta DomainDNSZones | CN=MicrosoftDNS,
|
Pode criar encaminhadores condicionais, registros A, registros CNAME, delegação DNS, zonas de pesquisa direta e zonas de pesquisa inversa |
| Pasta ForestDNSZones | CN=MicrosoftDNS,
|
Pode criar encaminhadores condicionais, registros A, registros CNAME, delegação DNS, zonas de pesquisa direta e zonas de pesquisa inversa |
Conta de administrador delegada (nome padrão: |
CN=<delegated-admin-name>,
|
Pode alterar a senha da conta de administrador delegada criada automaticamente durante o provisionamento de domínio Saiba mais sobre como obter o nome desta conta e como redefinir sua senha. |
| Administradores de serviços do Cloud |
CN=Cloud Service Administrators,
|
Pode adicionar ou remover objetos do AD do grupo gerenciado Todas as contas adicionadas a esse grupo recebem o mesmo conjunto de permissões concedidas à conta de administrador delegada. |
| Todos os sites |
Todos os sites em: CN=Sites,
|
Pode alterar o nome do site do Active Directory |
| Todos os grupos gerenciados |
Todos os grupos gerenciados do Cloud em: OU=Cloud Service Objects,
|
Pode adicionar e remover objetos do AD dos grupos gerenciados de nuvem pré-criados Não se aplica aos grupos internos do Active Directory criados durante a instalação do AD |
| Contêiner de políticas |
CN=Policies,
|
Pode criar, atualizar e excluir objetos de política de grupo Não é possível editar ou excluir GPOs do controlador de domínio padrão ou da política de domínio padrão |
| Contêiner de partição (sufixos nginx) |
CN=Partitions,
|
Pode alterar sufixos UPN |
| Servidor de licenças dos serviços de terminal |
CN=Terminal Server License Servers,
|
Pode adicionar servidores Windows com a função Servidor de Licenças de Terminal ao grupo interno Servidor de Licenças dos Serviços de Terminal |