Objets Active Directory par défaut dans le service Microsoft AD géré

Lorsque vous créez un domaine avec le service géré pour Microsoft Active Directory, certains objets Active Directory sont automatiquement créés pour vous. Cela vous aide à administrer votre domaine AD et facilite la gestion des tâches AD généralement déléguées à d'autres utilisateurs ou groupes.

Le diagramme suivant présente une vue d'ensemble. Reportez-vous aux tableaux ci-dessous pour obtenir la liste complète et la description de chaque objet.

Groupe AD

Unités organisationnelles

Le tableau 1 montre les unités organisationnelles (OU) créées pour vous.

Tableau 1. Unités organisationnelles
Nom Description
Cloud Héberge tous vos objets AD. Vous avez un contrôle total à l'intérieur de cette UO.
Cloud Service Objects Héberge les objets AD créés et gérés par le service Microsoft AD géré. Seul Google Cloud peut créer des objets sous cette UO, mais vous pouvez mettre à jour certains attributs sur les objets pré-créés.

Groupes

Les groupes suivants sont créés sous l'UO Cloud Service Objects.

Tableau 2. Groupes dans l'UO Cloud Service Objects
Nom Type Description
Cloud Service Administrators Monde Les membres sont administrateurs du service Cloud Microsoft AD géré.
Cloud Service All Administrators Domaine local Les membres sont administrateurs du service Cloud Microsoft AD géré. Il peut s'agir de membres provenant de domaines de confiance.
Cloud Service Computer Administrators Domaine local Les membres sont des administrateurs sur des machines associées au domaine.
Cloud Service DNS Administrators Domaine local Les membres peuvent ajouter, supprimer et modifier des entrées DNS dans les zones DNS intégrées à Active Directory.
Cloud Service Managed Service Account Administrators Domaine local Les membres peuvent administrer les comptes de service gérés.
Cloud Service Computer Remote Desktop Users Domaine local Les membres disposent de droits de bureau à distance sur les machines associées au domaine.
Cloud Service Site Administrators Domaine local Les membres peuvent renommer des sites Active Directory.
Cloud Service Protected Users Mondial Les protections issues du groupe Utilisateurs protégés sont appliquées aux membres.
Cloud Service Group Policy Creator Owners Domaine local Les membres peuvent créer des objets de stratégie de groupe (GPO). Les GPO ne peuvent être associés qu'à l'UO Cloud et aux objets qu'elle contient.
Cloud Service Domain Join Accounts Domaine local Les membres peuvent joindre les ordinateurs au domaine.
Cloud Service Fine Grained Password Policy Administrators Domaine local Les membres peuvent modifier et attribuer des règles de mots de passe aux utilisateurs et aux groupes.

Le service Microsoft AD géré ne permet pas d'attribuer aux utilisateurs des membres de groupe à durée limitée à l'aide de la gestion des accès privilégiés pour les services de domaine Active Directory.

Objets de stratégie de groupe

Le service Microsoft AD géré crée automatiquement des objets de stratégie de groupe (GPO) pour prendre en charge certaines fonctionnalités de stratégie de groupe.

Tableau 3. Objets de stratégie de groupe
Nom Description
Cloud Service Default Computer Policy Lié à l'UO Cloud. Accorde à Cloud Service Computer Administrators les droits d'administrateur local et à Cloud Service Computer Remote Desktop Users les privilèges Bureau à distance (RDP) sur l'UO Cloud.

Vous pouvez créer des GPO personnalisés et les lier à l'UO Cloud ou à l'une des UO enfants de l'UO Cloud. Pour en savoir plus sur l'association d'un GPO à une UO, consultez la section Associer le GPO au domaine.

Objets de paramètres de mot de passe

Le service Microsoft AD géré crée automatiquement 10 objets de paramètres de mot de passe (PSO). Vous ne pouvez pas modifier le nom ni la priorité de ces PSO. Le tableau 4 présente les noms et les priorités de ces PSO.

Tableau 4. Objets de paramètres de règle
Nom Priorité
PSO-10 10
PSO-20 20
PSO-30 30
PSO-40 40
PSO-50 50
PSO-60 60
PSO-70 70
PSO-80 80
PSO-90 90
PSO-100 100

Les valeurs par défaut sont attribuées aux paramètres des règles de mots de passe pour chaque PSO. Vous pouvez modifier ces valeurs. Le tableau 5 indique ces paramètres par défaut.

Tableau 5. Paramètres PSO par défaut
Règle Paramètre
Complexité activée Vrai
Durée du verrouillage 30 minutes
Période d'observation du verrouillage 30 minutes
Seuil de verrouillage 0
Durée de vie maximale du mot de passe 42 jours
Durée de vie minimale du mot de passe 1 jour
Longueur minimale du mot de passe 7
Décompte de l'historique des mots de passe 24
Chiffrement réversible activé Faux

Utilisateurs

Le service Microsoft AD géré crée automatiquement les utilisateurs indiqués dans le tableau 6.

Tableau 6. Utilisateurs
Nom Description
setupadmin (par défaut)

Compte administrateur délégué vous permettant de gérer votre domaine. Le nom par défaut est setupadmin. Vous pouvez spécifier un nom différent lors de la création du domaine.

La réinitialisation du mot de passe d'un domaine définit le mot de passe de ce compte.

cloudsvcadmin Compte de service utilisé par le service Microsoft AD géré pour gérer le domaine. Ce compte est destiné à être utilisé par le système et ne doit pas être directement utilisé, modifié ou supprimé.

Administrateur délégué

Le tableau 7 indique les droits Active Directory automatiquement accordés au compte administrateur délégué lorsque vous provisionnez le domaine. Ces droits sont accordés par les adhésions aux groupes du compte. Par conséquent, si vous supprimez le compte de l'un de ces groupes, cela peut affecter ses droits et les actions disponibles. Ce compte est nommé setupadmin par défaut. Si vous avez modifié le nom du compte, mais que vous ne vous rappelez pas la valeur, vous pouvez le récupérer. Pour en savoir plus, consultez la page Utiliser un compte administrateur délégué.

Le compte administrateur délégué ne dispose pas des autorisations Domain Admins, Enterprise Admins et BUILTIN\Administrators, car le service Microsoft AD géré est un service géré, et Google se réserve le droit de les utiliser. Vous ne pouvez donc pas utiliser les fonctionnalités Active Directory qui nécessitent ces autorisations dans le service Microsoft AD géré, telles que le système de fichiers distribué (DFS), le DHCP, la configuration des GPO au niveau du domaine, la réplication des modifications de répertoire, l'augmentation des niveaux fonctionnels de la forêt et d'autres modifications à l'échelle de la forêt.

Tableau 7. Droits de compte d'administrateur délégué
Objet Active Directory Nom distinctif Actions du compte administrateur délégué autorisées sur l'objet
Cloud OU=Cloud,DC=<domain-name>

Peut effectuer des opérations CRUD pour tout type d'objet sous l'UO Cloud

Peut lier des GPO à cette UO et à ses sous-UO

Impossible de supprimer ou de renommer l'UO

Conteneur de compte de service géré CN=Managed Service Accounts, DC=<domain-name> Peut créer, mettre à jour et supprimer des comptes de service gérés de groupes, ainsi que toutes les tâches de gestion associées
Conteneur MicrosoftDNS CN=MicrosoftDNS,CN=System, DC=<domain-name> Peut se connecter au serveur DNS intégré à AD à l'aide du gestionnaire DNS.
Dossier DomainDNSZones CN=MicrosoftDNS, DC=DomainDNSZones,DC=<domain-name> Peut créer des redirecteurs conditionnels, des enregistrements A, des enregistrements CNAME, une délégation DNS, des zones de recherche directe et des zones de recherche inversée
Dossier ForestDNSZones CN=MicrosoftDNS, DC=ForestDNSZones,DC=<domain-name> Peut créer des redirecteurs conditionnels, des enregistrements A, des enregistrements CNAME, une délégation DNS, des zones de recherche directe et des zones de recherche inversée

Compte administrateur délégué

(nom par défaut : setupadmin)

CN=<delegated-admin-name>, OU=Cloud Service Objects,DC=<domain-name>

Peut modifier le mot de passe du compte d'administrateur délégué, qui est créé automatiquement lors de l'approvisionnement du domaine

Découvrez comment obtenir ce nom de compte et comment réinitialiser son mot de passe.

Administrateurs de services cloud CN=Cloud Service Administrators, OU=Cloud Service Objects, DC=<domain-name>

Peut ajouter ou supprimer des objets AD sur le groupe géré Cloud Service Administrators

Tous les comptes ajoutés à ce groupe bénéficient du même ensemble d'autorisations accordées au compte administrateur délégué.

Tous les sites Tous les sites sous: CN=Sites,CN=Configuration, DC=<domain-name> Peut changer le nom du site Active Directory
Tous les groupes gérés Tous les groupes Cloud gérés sous: OU=Cloud Service Objects, DC=<domain-name>

Peut ajouter et supprimer des objets AD des groupes gérés Cloud pré-créés

Ne s'applique pas aux groupes Active Directory intégrés, qui sont créés lors de l'installation d'AD

Conteneur des règles CN=Policies, CN=System,DC=<domain-name>

Peut créer, mettre à jour et supprimer des objets de stratégie de groupe

Impossible de modifier ou de supprimer les objets de stratégie des contrôleurs de domaine par défaut ou des domaines par défaut

Conteneur de partitionnement (suffixes UUID) CN=Partitions,CN=Configuration, DC=<domain-name> Peut modifier les suffixes UPN
Serveur de licences Terminal Services CN=Terminal Server License Servers,CN=Builtin, DC=<domain-name> Peut ajouter des serveurs Windows avec le rôle de serveur de licences Terminal Services au groupe intégré du serveur de licences Terminal Services

Étapes suivantes