Lorsque vous créez un domaine avec le service géré pour Microsoft Active Directory, certains objets Active Directory sont automatiquement créés pour vous. Cela vous aide à administrer votre domaine AD et facilite la gestion des tâches AD généralement déléguées à d'autres utilisateurs ou groupes.
Le diagramme suivant présente une vue d'ensemble. Reportez-vous aux tableaux ci-dessous pour obtenir la liste complète et la description de chaque objet.
Unités organisationnelles
Le tableau 1 montre les unités organisationnelles (OU) créées pour vous.
| Nom | Description |
|---|---|
Cloud |
Héberge tous vos objets AD. Vous avez un contrôle total à l'intérieur de cette UO. |
Cloud Service Objects |
Héberge les objets AD créés et gérés par le service Microsoft AD géré. Seul Google Cloud peut créer des objets sous cette UO, mais vous pouvez mettre à jour certains attributs sur les objets pré-créés. |
Groupes
Les groupes suivants sont créés sous l'UO Cloud Service Objects.
| Nom | Type | Description | |
|---|---|---|---|
Cloud Service Administrators |
Monde | Les membres sont administrateurs du service Cloud Microsoft AD géré. | |
Cloud Service All Administrators |
Domaine local | Les membres sont administrateurs du service Cloud Microsoft AD géré. Il peut s'agir de membres provenant de domaines de confiance. | |
Cloud Service Computer Administrators |
Domaine local | Les membres sont des administrateurs sur des machines associées au domaine. | |
Cloud Service DNS Administrators |
Domaine local | Les membres peuvent ajouter, supprimer et modifier des entrées DNS dans les zones DNS intégrées à Active Directory. | |
Cloud Service Managed Service Account Administrators |
Domaine local | Les membres peuvent administrer les comptes de service gérés. | |
Cloud Service Computer Remote Desktop Users |
Domaine local | Les membres disposent de droits de bureau à distance sur les machines associées au domaine. | |
Cloud Service Site Administrators |
Domaine local | Les membres peuvent renommer des sites Active Directory. | |
Cloud Service Protected Users |
Mondial | Les protections issues du groupe Utilisateurs protégés sont appliquées aux membres. | |
Cloud Service Group Policy Creator Owners |
Domaine local |
Les membres peuvent créer des objets de stratégie de groupe (GPO). Les GPO ne peuvent être associés qu'à l'UO Cloud et aux objets qu'elle contient.
|
|
Cloud Service Domain Join Accounts |
Domaine local | Les membres peuvent joindre les ordinateurs au domaine. | |
Cloud Service Fine Grained Password Policy Administrators |
Domaine local | Les membres peuvent modifier et attribuer des règles de mots de passe aux utilisateurs et aux groupes. |
Le service Microsoft AD géré ne permet pas d'attribuer aux utilisateurs des membres de groupe à durée limitée à l'aide de la gestion des accès privilégiés pour les services de domaine Active Directory.
Objets de stratégie de groupe
Le service Microsoft AD géré crée automatiquement des objets de stratégie de groupe (GPO) pour prendre en charge certaines fonctionnalités de stratégie de groupe.
| Nom | Description |
|---|---|
Cloud Service Default Computer Policy |
Lié à l'UO Cloud. Accorde à Cloud Service Computer Administrators les droits d'administrateur local et à Cloud Service Computer Remote Desktop Users les privilèges Bureau à distance (RDP) sur l'UO Cloud.
|
Vous pouvez créer des GPO personnalisés et les lier à l'UO Cloud ou à l'une des UO enfants de l'UO Cloud. Pour en savoir plus sur l'association d'un GPO à une UO, consultez la section Associer le GPO au domaine.
Objets de paramètres de mot de passe
Le service Microsoft AD géré crée automatiquement 10 objets de paramètres de mot de passe (PSO). Vous ne pouvez pas modifier le nom ni la priorité de ces PSO. Le tableau 4 présente les noms et les priorités de ces PSO.
| Nom | Priorité |
|---|---|
| PSO-10 | 10 |
| PSO-20 | 20 |
| PSO-30 | 30 |
| PSO-40 | 40 |
| PSO-50 | 50 |
| PSO-60 | 60 |
| PSO-70 | 70 |
| PSO-80 | 80 |
| PSO-90 | 90 |
| PSO-100 | 100 |
Les valeurs par défaut sont attribuées aux paramètres des règles de mots de passe pour chaque PSO. Vous pouvez modifier ces valeurs. Le tableau 5 indique ces paramètres par défaut.
| Règle | Paramètre |
|---|---|
| Complexité activée | Vrai |
| Durée du verrouillage | 30 minutes |
| Période d'observation du verrouillage | 30 minutes |
| Seuil de verrouillage | 0 |
| Durée de vie maximale du mot de passe | 42 jours |
| Durée de vie minimale du mot de passe | 1 jour |
| Longueur minimale du mot de passe | 7 |
| Décompte de l'historique des mots de passe | 24 |
| Chiffrement réversible activé | Faux |
Utilisateurs
Le service Microsoft AD géré crée automatiquement les utilisateurs indiqués dans le tableau 6.
| Nom | Description |
|---|---|
setupadmin (par défaut) |
Compte administrateur délégué vous permettant de gérer votre domaine.
Le nom par défaut est La réinitialisation du mot de passe d'un domaine définit le mot de passe de ce compte. |
cloudsvcadmin |
Compte de service utilisé par le service Microsoft AD géré pour gérer le domaine. Ce compte est destiné à être utilisé par le système et ne doit pas être directement utilisé, modifié ou supprimé. |
Administrateur délégué
Le tableau 7 indique les droits Active Directory automatiquement accordés au compte administrateur délégué lorsque vous provisionnez le domaine. Ces droits sont accordés par les adhésions aux groupes du compte. Par conséquent, si vous supprimez le compte de l'un de ces groupes, cela peut affecter ses droits et les actions disponibles. Ce compte est nommé setupadmin par défaut. Si vous avez modifié le nom du compte, mais que vous ne vous rappelez pas la valeur, vous pouvez le récupérer. Pour en savoir plus, consultez la page Utiliser un compte administrateur délégué.
Le compte administrateur délégué ne dispose pas des autorisations Domain Admins, Enterprise Admins et BUILTIN\Administrators, car le service Microsoft AD géré est un service géré, et Google se réserve le droit de les utiliser. Vous ne pouvez donc pas utiliser les fonctionnalités Active Directory qui nécessitent ces autorisations dans le service Microsoft AD géré, telles que le système de fichiers distribué (DFS), le DHCP, la configuration des GPO au niveau du domaine, la réplication des modifications de répertoire, l'augmentation des niveaux fonctionnels de la forêt et d'autres modifications à l'échelle de la forêt.
| Objet Active Directory | Nom distinctif | Actions du compte administrateur délégué autorisées sur l'objet |
|---|---|---|
| Cloud |
OU=Cloud,
|
Peut effectuer des opérations CRUD pour tout type d'objet sous l'UO Peut lier des GPO à cette UO et à ses sous-UO Impossible de supprimer ou de renommer l'UO |
| Conteneur de compte de service géré |
CN=Managed Service Accounts,
|
Peut créer, mettre à jour et supprimer des comptes de service gérés de groupes, ainsi que toutes les tâches de gestion associées |
| Conteneur MicrosoftDNS |
CN=MicrosoftDNS,
|
Peut se connecter au serveur DNS intégré à AD à l'aide du gestionnaire DNS. |
| Dossier DomainDNSZones | CN=MicrosoftDNS,
|
Peut créer des redirecteurs conditionnels, des enregistrements A, des enregistrements CNAME, une délégation DNS, des zones de recherche directe et des zones de recherche inversée |
| Dossier ForestDNSZones | CN=MicrosoftDNS,
|
Peut créer des redirecteurs conditionnels, des enregistrements A, des enregistrements CNAME, une délégation DNS, des zones de recherche directe et des zones de recherche inversée |
Compte administrateur délégué (nom par défaut : |
CN=<delegated-admin-name>,
|
Peut modifier le mot de passe du compte d'administrateur délégué, qui est créé automatiquement lors de l'approvisionnement du domaine Découvrez comment obtenir ce nom de compte et comment réinitialiser son mot de passe. |
| Administrateurs de services cloud |
CN=Cloud Service Administrators,
|
Peut ajouter ou supprimer des objets AD sur le groupe géré Tous les comptes ajoutés à ce groupe bénéficient du même ensemble d'autorisations accordées au compte administrateur délégué. |
| Tous les sites |
Tous les sites sous: CN=Sites,
|
Peut changer le nom du site Active Directory |
| Tous les groupes gérés |
Tous les groupes Cloud gérés sous: OU=Cloud Service Objects,
|
Peut ajouter et supprimer des objets AD des groupes gérés Cloud pré-créés Ne s'applique pas aux groupes Active Directory intégrés, qui sont créés lors de l'installation d'AD |
| Conteneur des règles |
CN=Policies,
|
Peut créer, mettre à jour et supprimer des objets de stratégie de groupe Impossible de modifier ou de supprimer les objets de stratégie des contrôleurs de domaine par défaut ou des domaines par défaut |
| Conteneur de partitionnement (suffixes UUID) |
CN=Partitions,
|
Peut modifier les suffixes UPN |
| Serveur de licences Terminal Services |
CN=Terminal Server License Servers,
|
Peut ajouter des serveurs Windows avec le rôle de serveur de licences Terminal Services au groupe intégré du serveur de licences Terminal Services |