Cuando creas un dominio nuevo con el Servicio administrado para Microsoft Active Directory, se crean algunos objetos de Active Directory de forma automática. Estos te ayudan a administrar tu dominio de AD y facilitar la administración de las tareas de AD que se suelen delegar a otros usuarios o grupos.
En el siguiente diagrama, se proporciona una descripción general. Consulta las tablas a continuación para obtener una lista completa y una descripción de cada objeto.
Unidades organizativas
La Tabla 1 muestra las unidades organizativas (UO) creadas para usted.
Nombre | Descripción |
---|---|
Cloud |
Aloja todos sus objetos de AD. Tienes control total dentro de esta UO. |
Cloud Service Objects |
Aloja objetos de AD creados y administrados por Microsoft AD administrado. Solo Google Cloud puede crear objetos en esta unidad organizativa, aunque puedes actualizar algunos atributos en los objetos creados previamente. |
Grupos
Los siguientes grupos se crean en la UO Cloud Service Objects
.
Nombre | Tipo | Descripción | |
---|---|---|---|
Cloud Service Administrators |
Global | Los miembros son administradores del servicio en la nube de Microsoft AD administrado. | |
Cloud Service All Administrators |
Dominio local | Los miembros son administradores del servicio en la nube de Microsoft AD administrado. Pueden incluirse miembros de dominios de confianza. | |
Cloud Service Computer Administrators |
Dominio local | Los miembros son administradores en máquinas que se unen al dominio. | |
Cloud Service DNS Administrators |
Dominio local | Los miembros pueden agregar, eliminar y modificar entradas de DNS dentro de las zonas de DNS integradas en Active Directory. | |
Cloud Service Managed Service Account Administrators |
Dominio local | Los miembros pueden administrar cuentas de servicio administradas. | |
Cloud Service Computer Remote Desktop Users |
Dominio local | Los miembros tienen derechos de escritorio remoto en las máquinas que están unidas al dominio. | |
Cloud Service Site Administrators |
Dominio local | Los miembros pueden cambiar el nombre de los sitios de Active Directory. | |
Cloud Service Protected Users |
Global | Las protecciones del grupo Usuarios protegidos se aplican a los miembros. | |
Cloud Service Group Policy Creator Owners |
Dominio local |
Los miembros pueden crear objetos de política de grupo (GPO). Los GPO solo se pueden vincular en UO Cloud y objetos dentro de esta.
|
|
Cloud Service Domain Join Accounts |
Dominio local | Los miembros pueden unir computadoras al dominio. | |
Cloud Service Fine Grained Password Policy Administrators |
Dominio local | Los miembros pueden modificar y asignar políticas de contraseñas a los usuarios y los grupos. |
Microsoft AD administrado no admite la prestación de membresías de grupo con tiempo limitado a los usuarios mediante la Administración de acceso con privilegios para los servicios de dominio de Active Directory.
Objetos de política de grupo
Microsoft AD administrado crea automáticamente algunos objetos de política de grupo (GPO) para admitir ciertas características de política de grupo.
Nombre | Descripción |
---|---|
Cloud Service Default Computer Policy |
Vinculado a la UO Cloud . Otorga derechos de administrador locales a Cloud Service Computer Administrators y privilegios de escritorio remoto (RDP) a Cloud Service Computer Remote Desktop Users en la UO Cloud .
|
Puedes crear GPOs personalizados y vincularlos a la UO Cloud
o a cualquiera de las UO secundarias dentro de la UO Cloud
. Para obtener información sobre cómo vincular un GPO a una UO, consulta Vincula el GPO al dominio.
Objetos de configuración de contraseñas
Microsoft AD administrado crea automáticamente diez objetos de configuración de contraseña (PSO). No puedes cambiar el nombre o la prioridad de estas PSO. En la tabla 4, se muestran los nombres y las prioridades de estas PSO.
Nombre | Prioridad |
---|---|
PSO-10 | 10 |
PSO-20 | 20 |
PSO-30 | 30 |
PSO-40 | 40 |
PSO-50 | 50 |
PSO-60 | 60 |
PSO-70 | 70 |
PSO-80 | 80 |
PSO-90 | 90 |
PSO-100 | 100 |
Los valores predeterminados se asignan a la configuración de la política de contraseñas de cada PSO. Puedes cambiar estos valores. En la tabla 5, se muestra esta configuración predeterminada.
Política | Configuración |
---|---|
Complejidad habilitada | True |
Duración del bloqueo | 30 minutos |
Ventana de observación de bloqueo | 30 minutos |
Umbral de bloqueo | 0 |
Antigüedad máxima de la contraseña | 42 días |
Antigüedad mínima de la contraseña | 1 day |
Longitud mínima de la contraseña | 7 |
Recuento del historial de contraseñas | 24 |
Encriptación reversible habilitada | Falso |
Users
Microsoft AD administrado crea automáticamente los usuarios que aparecen en la tabla 6.
Nombre | Descripción |
---|---|
setupadmin (predeterminada) |
Cuenta de administrador delegada que le permite administrar tu dominio.
El nombre predeterminado es Si restableces la contraseña de un dominio, se establece la contraseña de esta cuenta. |
cloudsvcadmin |
Cuenta de servicio que usa Microsoft AD administrado para administrar el dominio. Esta cuenta está diseñada para que la use el sistema y no se debe usar, modificar ni borrar directamente. |
Administrador delegado
En la tabla 7, se muestran los derechos de Active Directory que se otorgan automáticamente a la cuenta de administrador delegada cuando aprovisionas el dominio. Las suscripciones del grupo de la cuenta otorgan estos derechos, por lo que si quitas la cuenta de uno de esos grupos, eso podría afectar sus derechos y acciones disponibles. Esta cuenta tiene el nombre predeterminado setupadmin
. Si cambiaste el nombre de la cuenta, pero no recuerdas el valor, puedes recuperarlo. Para obtener más información, consulta Cómo usar la cuenta de administrador delegada.
La cuenta de administrador delegada no tiene los permisos Domain Admins
, Enterprise Admins
ni BUILTIN\Administrators
porque Microsoft AD administrado es un servicio administrado y Google se reserva el derecho de usar estos permisos. Por lo tanto, no puedes usar las funciones de Active Directory que requieren estos permisos en Microsoft AD administrado, como el sistema de archivos distribuidos (DFS), DHCP, la configuración de GPO a nivel del dominio, la replicación de cambios de directorio, el aumento de niveles funcionales del bosque y otros cambios en todo el bosque.
Objeto de Active Directory | Nombre distinguido | Se permiten acciones de la cuenta de administrador delegada en el objeto |
---|---|---|
Nube |
OU=Cloud,
|
Puede realizar operaciones CRUD para cualquier tipo de objeto en la UO Puede vincular los GPO a esta UO y a sus UO secundaria. No se puede borrar ni cambiar el nombre de la UO. |
Contenedor de cuenta de servicio administrado |
CN=Managed Service Accounts,
|
Puede crear, actualizar y eliminar cuentas de servicio administrado grupales y toda la administración relacionada |
Contenedor de MicrosoftDNS |
CN=MicrosoftDNS,
|
Puede conectarse con el servidor DNS integrado con AD mediante el administrador de DNS. |
Carpeta DomainDNSZones | CN=MicrosoftDNS,
|
Puede crear reenvíos condicionales, registros A, registros CNAME, delegación de DNS, zonas de búsqueda directa y zonas de búsqueda inversa. |
Carpeta ForestDNSZones | CN=MicrosoftDNS,
|
Puede crear reenvíos condicionales, registros A, registros CNAME, delegación de DNS, zonas de búsqueda directa y zonas de búsqueda inversa. |
Cuenta de administrador delegada (nombre predeterminado: |
CN=<delegated-admin-name>,
|
Puedes cambiar la contraseña de la cuenta de administrador delegada que se crea automáticamente durante el aprovisionamiento de dominios. Obtén más información sobre cómo obtener el nombre de esta cuenta y restablecer su contraseña. |
Administradores de servicios de Cloud |
CN=Cloud Service Administrators,
|
Puede eliminar o agregar objetos de AD al grupo administrado A las cuentas agregadas a este grupo se les otorga el mismo conjunto de permisos que se otorgan a la cuenta de administrador delegada. |
Todos los sitios |
Todos los sitios en: CN=Sites,
|
Pueden cambiar el nombre del sitio de Active Directory |
Todos los grupos administrados |
Todos los grupos administrados en la nube en: OU=Cloud Service Objects,
|
Puede agregar y eliminar objetos de AD de los grupos administrados en la nube creados previamente No se aplica a los grupos integrados de Active Directory que se crean durante la instalación de AD. |
Contenedor de políticas |
CN=Policies,
|
Puede crear, actualizar y eliminar objetos de política de grupo No se puede editar o eliminar el controlador de dominio predeterminado o los GPO de la política de dominio predeterminados |
Contenedor de partición (sufijos de UPN) |
CN=Partitions,
|
Puede cambiar los sufijos UPN |
Servidor de licencias de servicios de terminal |
CN=Terminal Server License Servers,
|
Puede agregar servidores de Windows con la función del servidor de licencias de terminal al grupo integrado del servidor de licencias de servicios de terminal. |