Cuando creas un dominio con el servicio gestionado para Microsoft Active Directory, se crean automáticamente algunos objetos de Active Directory. Te ayudan a administrar tu dominio de AD y facilitan la gestión de las tareas de AD que normalmente se delegan en otros usuarios o grupos.
En el siguiente diagrama se muestra un resumen. Consulta las tablas que se muestran a continuación para ver una lista completa y una descripción de cada objeto.
Unidades organizativas
En la tabla 1 se muestran las unidades organizativas (UO) que se han creado para ti.
| Nombre | Descripción |
|---|---|
Cloud |
Aloja todos tus objetos de AD. Tienes control total en esta unidad organizativa. |
Cloud Service Objects |
Aloja objetos de AD creados y gestionados por Microsoft AD gestionado. Solo Google Cloud puede crear objetos en esta unidad organizativa, aunque puede actualizar algunos atributos de los objetos creados previamente. |
Grupos
Los siguientes grupos se crean en la unidad organizativa Cloud Service Objects.
| Nombre | Tipo | Descripción | |
|---|---|---|---|
Cloud Service Administrators |
Global | Los miembros son administradores del servicio en la nube de Microsoft AD gestionado. | |
Cloud Service All Administrators |
Local de dominio | Los miembros son administradores del servicio en la nube de Microsoft AD gestionado. Esto puede incluir a miembros de dominios de confianza. | |
Cloud Service Computer Administrators |
Local de dominio | Los miembros son administradores en los ordenadores unidos al dominio. | |
Cloud Service DNS Administrators |
Local de dominio | Los miembros pueden añadir, quitar y modificar entradas DNS en las zonas DNS integradas en Active Directory. | |
Cloud Service Managed Service Account Administrators |
Local de dominio | Los miembros pueden administrar cuentas de servicio gestionadas. | |
Cloud Service Computer Remote Desktop Users |
Local de dominio | Los miembros tienen derechos de escritorio remoto en los equipos unidos al dominio. | |
Cloud Service Site Administrators |
Local de dominio | Los miembros pueden cambiar el nombre de los sitios de Active Directory. | |
Cloud Service Protected Users |
Global | Las protecciones del grupo Usuarios protegidos se aplican a los miembros. | |
Cloud Service Group Policy Creator Owners |
Local de dominio |
Los miembros pueden crear objetos de directiva de grupo (GPOs). Los GPOs solo se pueden vincular a Cloud unidades organizativas y a los objetos que contenga.
|
|
Cloud Service Domain Join Accounts |
Local de dominio | Los miembros pueden unir ordenadores al dominio. | |
Cloud Service Fine Grained Password Policy Administrators |
Local de dominio | Los miembros pueden modificar y asignar políticas de contraseñas a usuarios y grupos. |
Managed Microsoft AD no admite la opción de proporcionar a los usuarios membresías de grupo con límite de tiempo mediante Gestión de acceso privilegiado para servicios de dominio de Active Directory.
Objetos de directiva de grupo
Microsoft AD gestionado crea automáticamente algunos objetos de directivas de grupo (GPO) para admitir determinadas funciones de directivas de grupo.
| Nombre | Descripción |
|---|---|
Cloud Service Default Computer Policy |
Vinculado a la unidad organizativa Cloud. Concede
Cloud Service Computer Administrators derechos de administrador local
y Cloud Service Computer Remote Desktop Users
privilegios de Escritorio remoto (RDP) en la Cloud unidad organizativa.
|
Puedes crear GPOs personalizados y vincularlos a la UO Cloud o a cualquiera de las UOs secundarias de la UO Cloud. Para obtener información sobre cómo vincular una GPO a una unidad organizativa, consulta Vincular la GPO al dominio.
Objetos de configuración de contraseñas
Microsoft AD gestionado crea automáticamente diez objetos de configuración de contraseñas (PSO). No puedes cambiar el nombre ni la precedencia de estos PSOs. En la tabla 4 se muestran los nombres y la precedencia de estos PSOs.
| Nombre | Prioridad |
|---|---|
| PSO-10 | 10 |
| PSO-20 | 20 |
| PSO-30 | 30 |
| PSO-40 | 40 |
| PSO-50 | 50 |
| PSO-60 | 60 |
| PSO-70 | 70 |
| PSO-80 | 80 |
| PSO-90 | 90 |
| PSO-100 | 100 |
Se asignan valores predeterminados a la configuración de la política de contraseñas de cada objeto de configuración de contraseñas. Puedes cambiar estos valores. En la tabla 5 se muestran estos ajustes predeterminados.
| Política | Ajuste |
|---|---|
| Complejidad habilitada | Verdadero |
| Duración del bloqueo | 30 minutos |
| Ventana de observación de bloqueo | 30 minutos |
| Umbral de bloqueo | 0 |
| Antigüedad máxima de la contraseña | 42 días |
| Edad mínima de la contraseña | 1 día |
| Longitud mínima de la contraseña | 7 |
| Número de contraseñas del historial | 24 |
| Cifrado reversible habilitado | Falso |
Usuarios
Microsoft AD gestionado crea automáticamente los usuarios que se muestran en la tabla 6.
| Nombre | Descripción |
|---|---|
setupadmin (predeterminado) |
Una cuenta de administrador delegado para que puedas gestionar tu dominio.
El nombre predeterminado es Cambiar la contraseña de un dominio establece la contraseña de esta cuenta. |
cloudsvcadmin |
Cuenta de servicio que usa Managed Microsoft AD para gestionar el dominio. Esta cuenta está pensada para que la use el sistema y no se debe usar, modificar ni eliminar directamente. |
Administrador delegado
En la tabla 7 se muestran los derechos de Active Directory que se conceden automáticamente a la cuenta de administrador delegado cuando aprovisionas el dominio. Estos derechos se conceden en función de los grupos a los que pertenece la cuenta, por lo que, si la quitas de uno de esos grupos, puede que se vean afectados sus derechos y las acciones que puede realizar. Esta cuenta tiene el nombre predeterminado setupadmin. Si has cambiado el nombre de la cuenta, pero no recuerdas el valor, puedes recuperarlo. Para obtener más información, consulta el artículo Usar una cuenta de administrador delegado.
La cuenta de administrador delegado no tiene los permisos Domain Admins,
Enterprise Admins y BUILTIN\Administrators porque
Managed Microsoft AD es un servicio gestionado y Google se reserva el derecho a
usar estos permisos. Por lo tanto, no puedes usar las funciones de Active Directory que requieren estos permisos en Managed Microsoft AD, como Sistema de archivos distribuido (DFS), DHCP, configurar objetos de política de grupo a nivel de dominio, replicar cambios en el directorio, aumentar los niveles funcionales del bosque y otros cambios en todo el bosque.
| Objeto de Active Directory | Nombre distintivo | Acciones de cuenta de administrador delegado permitidas en el objeto |
|---|---|---|
| Nube |
OU=Cloud,
|
Puede realizar operaciones CRUD en cualquier tipo de objeto de la unidad organizativa Puede vincular GPOs a esta unidad organizativa y a sus subunidades organizativas No se puede eliminar ni cambiar el nombre de la unidad organizativa |
| Contenedor de cuentas de servicio gestionadas |
CN=Managed Service Accounts,
|
Puede crear, actualizar y eliminar cuentas de servicio gestionadas grupales y toda la gestión relacionada. |
| Contenedor MicrosoftDNS |
CN=MicrosoftDNS,
|
Puede conectarse al servidor DNS integrado en AD mediante el administrador de DNS. |
| Carpeta DomainDNSZones | CN=MicrosoftDNS,
|
Puede crear reenviadores condicionales, registros A, registros CNAME, delegación de DNS, zonas de búsqueda directa y zonas de búsqueda inversa. |
| Carpeta ForestDNSZones | CN=MicrosoftDNS,
|
Puede crear reenviadores condicionales, registros A, registros CNAME, delegación de DNS, zonas de búsqueda directa y zonas de búsqueda inversa. |
Cuenta de administrador delegado (nombre predeterminado: |
CN=<delegated-admin-name>,
|
Puede cambiar la contraseña de la cuenta de administrador delegado que se crea automáticamente durante el aprovisionamiento del dominio. Consulta más información sobre cómo obtener el nombre de esta cuenta y restablecer su contraseña. |
| Administradores de servicios de Cloud |
CN=Cloud Service Administrators,
|
Puede añadir o quitar objetos de AD a un grupo Las cuentas que se añadan a este grupo tendrán el mismo conjunto de permisos que la cuenta de administrador delegado. |
| Todos los sitios web |
Todos los sitios de: CN=Sites,
|
Puede cambiar el nombre del sitio de Active Directory |
| Todos los grupos gestionados |
Todos los grupos gestionados en la nube de: OU=Cloud Service Objects,
|
Puede añadir y quitar objetos de AD de los grupos gestionados en la nube creados previamente. No se aplica a los grupos de Active Directory integrados que se crean durante la instalación de AD |
| Contenedor de políticas |
CN=Policies,
|
Puede crear, actualizar y eliminar objetos de directiva de grupo No se pueden editar ni eliminar los GPOs de política de controlador de dominio predeterminado o de dominio predeterminado |
| Contenedor de partición (sufijos de UPN) |
CN=Partitions,
|
Puede cambiar los sufijos de UPN |
| Servidor de licencias de Servicios de Terminal Server |
CN=Terminal Server License Servers,
|
Puede añadir servidores Windows con el rol de servidor de licencias de Terminal Server al grupo integrado Servidor de licencias de Terminal Server. |