Objetos de Active Directory predeterminados en Microsoft AD administrado

Cuando creas un dominio nuevo con el Servicio administrado para Microsoft Active Directory, se crean algunos objetos de Active Directory de forma automática. Estos te ayudan a administrar tu dominio de AD y facilitar la administración de las tareas de AD que se suelen delegar a otros usuarios o grupos.

En el siguiente diagrama, se proporciona una descripción general. Consulta las tablas a continuación para obtener una lista completa y una descripción de cada objeto.

Grupos de AD

Unidades organizativas

La Tabla 1 muestra las unidades organizativas (UO) creadas para usted.

Tabla 1. Unidades organizacionales
Nombre Descripción
Cloud Aloja todos sus objetos de AD. Tienes control total dentro de esta UO.
Cloud Service Objects Aloja objetos de AD creados y administrados por Microsoft AD administrado. Solo Google Cloud puede crear objetos en esta unidad organizativa, aunque puedes actualizar algunos atributos en los objetos creados previamente.

Grupos

Los siguientes grupos se crean en la UO Cloud Service Objects.

Tabla 2. Grupos en Cloud Service Objects UO
Nombre Tipo Descripción
Cloud Service Administrators Global Los miembros son administradores del servicio en la nube de Microsoft AD administrado.
Cloud Service All Administrators Dominio local Los miembros son administradores del servicio en la nube de Microsoft AD administrado. Pueden incluirse miembros de dominios de confianza.
Cloud Service Computer Administrators Dominio local Los miembros son administradores en máquinas que se unen al dominio.
Cloud Service DNS Administrators Dominio local Los miembros pueden agregar, eliminar y modificar entradas de DNS dentro de las zonas de DNS integradas en Active Directory.
Cloud Service Managed Service Account Administrators Dominio local Los miembros pueden administrar cuentas de servicio administradas.
Cloud Service Computer Remote Desktop Users Dominio local Los miembros tienen derechos de escritorio remoto en las máquinas que están unidas al dominio.
Cloud Service Site Administrators Dominio local Los miembros pueden cambiar el nombre de los sitios de Active Directory.
Cloud Service Protected Users Global Las protecciones del grupo Usuarios protegidos se aplican a los miembros.
Cloud Service Group Policy Creator Owners Dominio local Los miembros pueden crear objetos de política de grupo (GPO). Los GPO solo se pueden vincular en UO Cloud y objetos dentro de esta.
Cloud Service Domain Join Accounts Dominio local Los miembros pueden unir computadoras al dominio.
Cloud Service Fine Grained Password Policy Administrators Dominio local Los miembros pueden modificar las políticas de contraseñas y asignarlas a usuarios y grupos.

Microsoft AD administrado no admite proporcionar membresías de grupo por tiempo limitado a los usuarios a través de la Administración de accesos privilegiados para los servicios de dominio de Active Directory.

Objetos de política de grupo

Microsoft AD administrado crea automáticamente algunos objetos de política de grupo (GPO) para admitir ciertas características de política de grupo.

Tabla 3. Objetos de política de grupo
Nombre Descripción
Cloud Service Default Computer Policy Vinculado a la UO Cloud. Otorga derechos de administrador locales a Cloud Service Computer Administrators y privilegios de escritorio remoto (RDP) a Cloud Service Computer Remote Desktop Users en la UO Cloud.

Puedes crear GPO personalizados y vincularlos a la UO Cloud o a cualquiera de las UO secundarias dentro de la UO Cloud. Si deseas obtener información para vincular un GPO a una UO, consulta Vincula el GPO al dominio.

Objetos de configuración de contraseñas

Microsoft AD administrado crea automáticamente diez objetos de configuración de contraseña (PSO). No puedes cambiar el nombre o la prioridad de estas PSO. En la tabla 4, se muestran los nombres y las prioridades de estas PSO.

Tabla 4. Objetos de configuración de políticas
Nombre Prioridad
PSO-10 10
PSO-20 20
PSO-30 30
PSO-40 40
PSO-50 50
PSO-60 60
PSO-70 70
PSO-80 80
PSO-90 90
PSO-100 100

Los valores predeterminados se asignan a la configuración de la política de contraseñas de cada PSO. Puedes cambiar estos valores. En la tabla 5, se muestra esta configuración predeterminada.

Tabla 5. Configuración predeterminada de la PSO
Política Configuración
Complejidad habilitada True
Duración del bloqueo 30 minutos
Ventana de observación de bloqueo 30 minutos
Umbral de bloqueo 0
Antigüedad máxima de la contraseña 42 días
Antigüedad mínima de la contraseña 1 day
Longitud mínima de la contraseña 7
Recuento del historial de contraseñas 24
Encriptación reversible habilitada Falso

Usuarios

Microsoft AD administrado crea automáticamente los usuarios que aparecen en la tabla 6.

Tabla 6. Usuarios
Nombre Descripción
setupadmin (predeterminada)

Cuenta de administrador delegada que le permite administrar tu dominio. El nombre predeterminado es setupadmin; puedes especificar un nombre diferente durante la creación del dominio.

Al restablecer la contraseña de un dominio, se establece la contraseña para esta cuenta.

cloudsvcadmin Cuenta de servicio que usa Microsoft AD administrado para administrar el dominio. Esta cuenta está diseñada para que la use el sistema y no se debe usar, modificar ni borrar directamente.

Administrador delegado

En la tabla 7, se muestran los derechos de Active Directory que se otorgan automáticamente a la cuenta de administrador delegada cuando aprovisionas el dominio. Las suscripciones del grupo de la cuenta otorgan estos derechos, por lo que si quitas la cuenta de uno de esos grupos, eso podría afectar sus derechos y acciones disponibles. Esta cuenta tiene el nombre predeterminado setupadmin. Si cambiaste el nombre de la cuenta, pero no recuerdas el valor, puedes recuperarlo. Para obtener más información, consulta Usa la cuenta de administrador delegada.

La cuenta de administrador delegada no tiene los permisos Domain Admins, Enterprise Admins ni BUILTIN\Administrators porque Microsoft AD administrado es un servicio administrado y Google se reserva el derecho de usar estos permisos. Por lo tanto, no puedes usar las funciones de Active Directory que requieren estos permisos en Microsoft AD administrado, como el sistema de archivos distribuido (DFS), DHCP, la configuración de GPO a nivel del dominio, la replicación de los cambios en el directorio, la generación de los niveles funcionales del bosque y otros cambios en todo el bosque.

Tabla 7. Derechos de cuenta de administrador delegada
Objeto de Active Directory Nombre distinguido Se permiten acciones de la cuenta de administrador delegada en el objeto
Nube OU=Cloud,DC=<domain-name>

Puede realizar operaciones CRUD para cualquier tipo de objeto en la UO Cloud.

Puede vincular los GPO a esta UO y a sus UO secundaria.

No se puede borrar ni cambiar el nombre de la UO.

Contenedor de cuenta de servicio administrado CN=Managed Service Accounts, DC=<domain-name> Puede crear, actualizar y eliminar cuentas de servicio administrado grupales y toda la administración relacionada
Contenedor de MicrosoftDNS CN=MicrosoftDNS,CN=System, DC=<domain-name> Puede conectarse con el servidor DNS integrado con AD mediante el administrador de DNS.
Carpeta DomainDNSZones CN=MicrosoftDNS, DC=DomainDNSZones,DC=<domain-name> Puede crear reenvíos condicionales, registros A, registros CNAME, delegación de DNS, zonas de búsqueda directa y zonas de búsqueda inversa.
Carpeta ForestDNSZones CN=MicrosoftDNS, DC=ForestDNSZones,DC=<domain-name> Puede crear reenvíos condicionales, registros A, registros CNAME, delegación de DNS, zonas de búsqueda directa y zonas de búsqueda inversa.

Cuenta de administrador delegada

(nombre predeterminado: setupadmin)

CN=<delegated-admin-name>, OU=Cloud Service Objects,DC=<domain-name>

Puedes cambiar la contraseña de la cuenta de administrador delegada que se crea automáticamente durante el aprovisionamiento de dominios.

Obtén más información sobre cómo obtener el nombre de esta cuenta y restablecer su contraseña.

Administradores de servicios de Cloud CN=Cloud Service Administrators, OU=Cloud Service Objects, DC=<domain-name>

Puede eliminar o agregar objetos de AD al grupo administrado Cloud Service Administrators

A las cuentas agregadas a este grupo se les otorga el mismo conjunto de permisos que se otorgan a la cuenta de administrador delegada.

Todos los sitios Todos los sitios de CN=Sites,CN=Configuration, DC=<domain-name> Pueden cambiar el nombre del sitio de Active Directory
Todos los grupos administrados Todos los grupos administrados por Cloud en: OU=Cloud Service Objects, DC=<domain-name>

Puede agregar y eliminar objetos de AD de los grupos administrados en la nube creados previamente

No se aplica a los grupos integrados de Active Directory que se crean durante la instalación de AD.

Contenedor de políticas CN=Policies, CN=System,DC=<domain-name>

Puede crear, actualizar y eliminar objetos de política de grupo

No se puede editar o eliminar el controlador de dominio predeterminado o los GPO de la política de dominio predeterminados

Contenedor de partición (sufijos de UPN) CN=Partitions,CN=Configuration, DC=<domain-name> Puede cambiar los sufijos UPN
Servidor de licencias de servicios de terminal CN=Terminal Server License Servers,CN=Builtin, DC=<domain-name> Puede agregar servidores de Windows con la función del servidor de licencias de terminal al grupo integrado del servidor de licencias de servicios de terminal.

¿Qué sigue?