Saat Anda membuat domain baru dengan Layanan Terkelola untuk Microsoft Active Directory, beberapa objek Active Directory akan otomatis dibuat untuk Anda. Hal ini membantu Anda mengelola domain AD, dan memudahkan pengelolaan tugas AD yang biasanya didelegasikan kepada pengguna atau grup lain.
Diagram berikut memberikan ringkasan. Lihat tabel di bawah untuk daftar lengkap dan deskripsi setiap objek.
Unit organisasi
Tabel 1 menunjukkan unit organisasi (OU) yang dibuat untuk Anda.
| Nama | Deskripsi |
|---|---|
Cloud |
Menghosting semua objek AD Anda. Anda memiliki kontrol penuh di dalam OU ini. |
Cloud Service Objects |
Menghosting objek AD yang dibuat dan dikelola oleh Microsoft AD Terkelola. Hanya Google Cloud yang dapat membuat objek di OU ini, meskipun Anda dapat memperbarui beberapa atribut pada objek yang telah dibuat sebelumnya. |
Grup
Grup berikut dibuat di OU Cloud Service Objects.
| Nama | Jenis | Deskripsi | |
|---|---|---|---|
Cloud Service Administrators |
Global | Anggota adalah administrator layanan cloud Managed Microsoft AD. | |
Cloud Service All Administrators |
Domain Lokal | Anggota adalah administrator layanan cloud Managed Microsoft AD. Hal ini dapat mencakup anggota dari domain tepercaya. | |
Cloud Service Computer Administrators |
Domain Lokal | Anggota adalah administrator di komputer yang bergabung ke domain. | |
Cloud Service DNS Administrators |
Domain Lokal | Anggota dapat menambahkan, menghapus, dan mengubah entri DNS di dalam zona DNS yang terintegrasi dengan Active Directory. | |
Cloud Service Managed Service Account Administrators |
Domain Lokal | Anggota dapat mengelola Akun Layanan Terkelola. | |
Cloud Service Computer Remote Desktop Users |
Domain Lokal | Anggota memiliki hak desktop jarak jauh di komputer yang tergabung ke domain. | |
Cloud Service Site Administrators |
Domain Lokal | Anggota dapat mengganti nama situs Active Directory. | |
Cloud Service Protected Users |
Global | Perlindungan dari grup Protected Users diterapkan kepada anggota. | |
Cloud Service Group Policy Creator Owners |
Domain Lokal |
Anggota dapat membuat Group Policy Object (GPO). GPO hanya dapat ditautkan
di OU Cloud dan objek di dalamnya.
|
|
Cloud Service Domain Join Accounts |
Domain Lokal | Anggota dapat bergabung dengan komputer ke domain. | |
Cloud Service Fine Grained Password Policy Administrators |
Domain Lokal | Anggota dapat mengubah dan menetapkan kebijakan sandi kepada pengguna dan grup. |
Microsoft AD Terkelola tidak mendukung penyediaan keanggotaan grup berbatas waktu kepada pengguna menggunakan Privileged Access Management for Active Directory Domain Services.
Objek Kebijakan Grup
Managed Microsoft AD secara otomatis membuat beberapa Group Policy Object (GPO) untuk mendukung fitur Group Policy tertentu.
| Nama | Deskripsi |
|---|---|
Cloud Service Default Computer Policy |
Ditautkan ke OU Cloud. Memberikan
hak administrator lokal
Cloud Service Computer Administrators dan hak istimewa Desktop Jarak Jauh (RDP)
Cloud Service Computer Remote Desktop Users di OU Cloud.
|
Anda dapat membuat GPO kustom dan menautkannya ke OU Cloud atau ke OU turunan dalam OU Cloud. Untuk informasi tentang cara menautkan GPO ke OU, lihat Menautkan GPO ke Domain.
Objek Setelan Sandi
Managed Microsoft AD secara otomatis membuat sepuluh objek setelan sandi (PSO). Anda tidak dapat mengubah nama atau prioritas PSO ini. Tabel 4 menunjukkan nama dan prioritas PSO ini.
| Nama | Prioritas |
|---|---|
| PSO-10 | 10 |
| PSO-20 | 20 |
| PSO-30 | 30 |
| PSO-40 | 40 |
| PSO-50 | 50 |
| PSO-60 | 60 |
| PSO-70 | 70 |
| PSO-80 | 80 |
| PSO-90 | 90 |
| PSO-100 | 100 |
Nilai default ditetapkan ke setelan kebijakan sandi untuk setiap PSO. Anda dapat mengubah nilai ini. Tabel 5 menunjukkan setelan default ini.
| Kebijakan | Setelan |
|---|---|
| Kompleksitas diaktifkan | Benar |
| Durasi penguncian | 30 menit |
| Periode observasi penguncian | 30 menit |
| Nilai minimum penguncian | 0 |
| Usia sandi maksimum | 42 hari |
| Usia sandi minimum | 1 hari |
| Panjang sandi minimal | 7 |
| Jumlah histori sandi | 24 |
| Enkripsi yang dapat dikembalikan diaktifkan | Salah |
Pengguna
Microsoft AD Terkelola otomatis membuat pengguna yang ditampilkan dalam tabel 6.
| Nama | Deskripsi |
|---|---|
setupadmin (default) |
Akun administrator yang didelegasikan agar Anda dapat mengelola domain.
Nama defaultnya adalah Mereset sandi untuk domain akan menetapkan sandi untuk akun ini. |
cloudsvcadmin |
Akun layanan yang digunakan oleh Managed Microsoft AD untuk mengelola domain. Akun ini ditujukan untuk digunakan oleh sistem dan tidak boleh langsung digunakan, diubah, atau dihapus. |
Administrator delegasi
Tabel 7 menunjukkan hak Active Directory yang otomatis diberikan ke akun administrator yang didelegasikan saat Anda menyediakan domain. Hak ini
diberikan oleh keanggotaan grup akun, jadi jika Anda menghapus akun
dari salah satu grup tersebut, hal itu dapat memengaruhi hak dan tindakan yang tersedia. Akun
ini memiliki nama default setupadmin. Jika Anda mengubah nama akun, tetapi tidak mengingat nilainya, Anda dapat mengambilnya. Untuk informasi selengkapnya, lihat
Menggunakan akun administrator yang didelegasikan.
Akun administrator yang didelegasikan tidak memiliki izin Domain Admins,
Enterprise Admins, dan BUILTIN\Administrators karena
Microsoft AD Terkelola adalah layanan terkelola dan Google berhak untuk
menggunakan izin ini. Jadi, Anda tidak dapat menggunakan fitur Active Directory yang memerlukan izin ini di Managed Microsoft AD, seperti Distributed File System (DFS), DHCP, mengonfigurasi GPO di tingkat domain, mereplikasi perubahan direktori, menaikkan tingkat fungsional hutan, dan perubahan lainnya di seluruh hutan.
| Objek Active Directory | Nama yang Dibedakan | Tindakan akun administrator yang didelegasikan diizinkan pada objek |
|---|---|---|
| Cloud |
OU=Cloud,
|
Dapat melakukan operasi CRUD untuk jenis objek apa pun di
OU Dapat menautkan GPO ke OU ini dan sub-OU-nya Tidak dapat menghapus atau mengganti nama OU |
| Penampung Akun Layanan Terkelola |
CN=Managed Service Accounts,
|
Dapat membuat, memperbarui, dan menghapus Akun Layanan Terkelola grup serta semua pengelolaan terkait |
| Penampung MicrosoftDNS |
CN=MicrosoftDNS,
|
Dapat terhubung ke Server DNS yang terintegrasi dengan AD menggunakan pengelola DNS. |
| Folder DomainDNSZones | CN=MicrosoftDNS,
|
Dapat membuat penerusan bersyarat, data A, data CNAME, delegasi DNS, zona pencarian maju, dan zona pencarian balik |
| Folder ForestDNSZones | CN=MicrosoftDNS,
|
Dapat membuat penerusan bersyarat, data A, data CNAME, delegasi DNS, zona pencarian maju, dan zona pencarian balik |
Akun administrator yang didelegasikan (nama default: |
CN=<delegated-admin-name>,
|
Dapat mengubah sandi akun administrator yang didelegasikan yang dibuat secara otomatis selama penyediaan domain Pelajari lebih lanjut cara mendapatkan nama akun ini dan mereset sandinya. |
| Cloud Service Administrators |
CN=Cloud Service Administrators,
|
Dapat menambahkan atau menghapus objek AD ke grup yang dikelola Setiap akun yang ditambahkan ke grup ini akan diberi kumpulan izin yang sama dengan yang diberikan ke akun administrator yang didelegasikan. |
| Semua situs |
Semua situs di bawah: CN=Sites,
|
Dapat mengubah nama situs Active Directory |
| Semua grup terkelola |
Semua grup yang dikelola Cloud di bagian: OU=Cloud Service Objects,
|
Dapat menambahkan dan menghapus objek AD dari grup yang dikelola Cloud yang telah dibuat sebelumnya Tidak berlaku untuk grup Active Directory bawaan yang dibuat selama penginstalan AD |
| Penampung Kebijakan |
CN=Policies,
|
Dapat membuat, memperbarui, dan menghapus Objek Group Policy Tidak dapat mengedit atau menghapus GPO Default Domain Controller atau Default Domain Policy |
| Penampung Partisi (akhiran UPN) |
CN=Partitions,
|
Dapat mengubah akhiran UPN |
| Server Lisensi Layanan Terminal |
CN=Terminal Server License Servers,
|
Dapat menambahkan Server Windows dengan peran Server Lisensi Terminal ke grup bawaan Server Lisensi Layanan Terminal |