Saat membuat domain baru dengan Layanan Terkelola untuk Microsoft Active Directory, beberapa objek Active Directory akan otomatis dibuat untuk Anda. Hal ini membantu Anda mengelola domain AD, dan mempermudah pengelolaan tugas AD yang biasanya didelegasikan kepada pengguna atau grup lain.
Diagram berikut memberikan ringkasan. Lihat tabel di bawah ini untuk daftar lengkap dan deskripsi setiap objek.
Unit organisasi
Tabel 1 menunjukkan unit organisasi (OU) yang dibuat untuk Anda.
| Nama | Deskripsi |
|---|---|
Cloud |
Menghosting semua objek AD Anda. Anda memiliki kontrol penuh di dalam OU ini. |
Cloud Service Objects |
Menghosting objek AD yang dibuat dan dikelola oleh Microsoft AD Terkelola. Hanya Google Cloud yang dapat membuat objek di OU ini, meskipun Anda dapat memperbarui beberapa atribut pada objek yang telah dibuat sebelumnya. |
Grup
Grup berikut dibuat pada OU Cloud Service Objects.
| Nama | Jenis | Deskripsi | |
|---|---|---|---|
Cloud Service Administrators |
Global | Anggota adalah administrator layanan cloud Microsoft AD Terkelola. | |
Cloud Service All Administrators |
{i>Domain Local<i} | Anggota adalah administrator layanan cloud Microsoft AD Terkelola. Anggota tersebut dapat mencakup anggota dari domain tepercaya. | |
Cloud Service Computer Administrators |
{i>Domain Local<i} | Anggota adalah administrator pada komputer yang bergabung ke domain. | |
Cloud Service DNS Administrators |
{i>Domain Local<i} | Anggota dapat menambahkan, menghapus, dan mengubah entri DNS di dalam zona DNS yang terintegrasi dengan Active Directory. | |
Cloud Service Managed Service Account Administrators |
{i>Domain Local<i} | Anggota dapat mengelola Akun Layanan Terkelola. | |
Cloud Service Computer Remote Desktop Users |
{i>Domain Local<i} | Anggota memiliki hak desktop jarak jauh di perangkat yang bergabung ke domain. | |
Cloud Service Site Administrators |
{i>Domain Local<i} | Anggota dapat mengganti nama situs Active Directory. | |
Cloud Service Protected Users |
Global | Perlindungan dari grup Pengguna yang Dilindungi diterapkan untuk anggota. | |
Cloud Service Group Policy Creator Owners |
{i>Domain Local<i} |
Anggota dapat membuat Group Policy Object (GPO). GPO hanya dapat ditautkan pada Cloud OU dan objek di dalamnya.
|
|
Cloud Service Domain Join Accounts |
{i>Domain Local<i} | Anggota dapat menggabungkan komputer ke domain. | |
Cloud Service Fine Grained Password Policy Administrators |
{i>Domain Local<i} | Anggota dapat mengubah dan menetapkan kebijakan sandi untuk pengguna dan grup. |
Microsoft AD Terkelola tidak mendukung penyediaan keanggotaan grup dengan waktu terbatas kepada pengguna menggunakan Pengelolaan Akses Hak Istimewa untuk Layanan Domain Active Directory.
Objek Kebijakan Grup
Microsoft AD terkelola otomatis membuat beberapa Group Policy Object (GPO) untuk mendukung fitur Group Policy tertentu.
| Nama | Deskripsi |
|---|---|
Cloud Service Default Computer Policy |
Ditautkan ke OU Cloud. Memberikan
Cloud Service Computer Administrators hak administrator
lokal dan hak istimewa Cloud Service Computer Remote Desktop Users
Desktop Jarak Jauh (RDP) di OU Cloud.
|
Anda dapat membuat GPO kustom dan menautkannya ke OU Cloud atau ke OU turunan mana pun dalam OU Cloud. Untuk informasi tentang cara menautkan GPO ke OU, lihat Menautkan GPO ke
Domain.
Objek Setelan Sandi
Microsoft AD terkelola secara otomatis membuat sepuluh objek setelan sandi (PSO). Anda tidak dapat mengubah nama atau prioritas PSO ini. Tabel 4 menunjukkan nama dan prioritas PSO ini.
| Nama | Prioritas |
|---|---|
| PSO-10 | 10 |
| PSO-20 | 20 |
| PSO-30 | 30 |
| PSO-40 | 40 |
| PSO-50 | 50 |
| PSO-60 | 60 |
| PSO-70 | 70 |
| PSO-80 | 80 |
| PSO-90 | 90 |
| PSO-100 | 100 |
Nilai default ditetapkan pada setelan kebijakan sandi untuk setiap PSO. Anda dapat mengubah nilai-nilai ini. Tabel 5 menunjukkan setelan default tersebut.
| Kebijakan | Setelan |
|---|---|
| Kompleksitas diaktifkan | Benar |
| Durasi penguncian | 30 menit |
| Jendela observasi penguncian | 30 menit |
| Nilai minimum penguncian | 0 |
| Umur sandi maksimum | 42 hari |
| Usia minimum sandi | 1 hari |
| Panjang sandi minimum | 7 |
| Jumlah histori sandi | 24 |
| Enkripsi reversibel diaktifkan | Salah |
Pengguna
Microsoft AD terkelola akan otomatis membuat pengguna yang ditunjukkan pada tabel 6.
| Nama | Deskripsi |
|---|---|
setupadmin (default) |
Akun administrator yang didelegasikan bagi Anda untuk mengelola domain.
Secara default, nama ini akan ditetapkan ke Mereset sandi untuk domain akan menetapkan sandi untuk akun ini. |
cloudsvcadmin |
Akun layanan yang digunakan oleh Microsoft AD Terkelola untuk mengelola domain. Akun ini ditujukan untuk digunakan oleh sistem dan tidak boleh digunakan, diubah, atau dihapus secara langsung. |
Administrator delegasi
Tabel 7 menunjukkan hak Active Directory yang otomatis diberikan ke akun administrator yang didelegasikan saat Anda menyediakan domain. Hak ini
diberikan oleh keanggotaan grup akun. Jadi, jika Anda menghapus akun
dari salah satu grup tersebut, hak dan tindakan yang tersedia dapat terpengaruh. Akun
ini memiliki nama default setupadmin. Jika Anda mengubah nama akun, tetapi tidak ingat nilainya, Anda dapat mengambilnya. Untuk informasi selengkapnya, lihat
Menggunakan akun administrator yang didelegasikan.
Akun administrator yang didelegasikan tidak memiliki izin Domain Admins,
Enterprise Admins, dan BUILTIN\Administrators karena
Microsoft AD Terkelola adalah layanan terkelola dan Google berhak
menggunakan izin ini. Jadi, Anda tidak dapat menggunakan fitur Active Directory yang memerlukan
izin ini di Microsoft AD Terkelola, seperti Distributed File System
(DFS),
DHCP,
mengonfigurasi GPO di tingkat domain, mereplikasi perubahan direktori, meningkatkan
tingkat fungsional hutan, dan perubahan di seluruh hutan lainnya.
| Objek Active Directory | Nama Pembeda, {i>Distinguished Name<i} | Tindakan akun administrator yang didelegasikan diizinkan pada objek |
|---|---|---|
| Cloud |
OU=Cloud,
|
Dapat melakukan operasi CRUD untuk jenis objek apa pun di bawah
Dapat menautkan GPO ke OU ini dan sub-OU-nya Tidak dapat menghapus atau mengganti nama OU |
| Penampung Akun Layanan Terkelola |
CN=Managed Service Accounts,
|
Dapat membuat, memperbarui, dan menghapus Akun Layanan Terkelola grup dan semua pengelolaan terkait |
| Penampung MicrosoftDNS |
CN=MicrosoftDNS,
|
Dapat terhubung ke Server DNS terintegrasi AD menggunakan pengelola DNS. |
| Folder DomainDNSZones | CN=MicrosoftDNS,
|
Dapat membuat penerusan bersyarat, data A, data CNAME, delegasi DNS, zona pencarian maju, dan zona pencarian terbalik |
| Folder ForestDNSZones | CN=MicrosoftDNS,
|
Dapat membuat penerusan bersyarat, data A, data CNAME, delegasi DNS, zona pencarian maju, dan zona pencarian terbalik |
Akun administrator delegasi (nama default: |
CN=<delegated-admin-name>,
|
Dapat mengubah sandi akun administrator delegasi yang dibuat otomatis selama penyediaan domain Pelajari lebih lanjut cara mendapatkan nama akun ini dan mereset sandinya. |
| Administrator Layanan Cloud |
CN=Cloud Service Administrators,
|
Dapat menambahkan atau menghapus objek AD ke grup terkelola Setiap akun yang ditambahkan ke grup ini diberi serangkaian izin yang sama seperti yang diberikan ke akun administrator yang didelegasikan. |
| Semua situs |
Semua situs dalam: CN=Sites,
|
Dapat mengubah nama situs Active Directory |
| Semua grup terkelola |
Semua grup yang dikelola Cloud dalam: OU=Cloud Service Objects,
|
Dapat menambahkan dan menghapus objek AD dari grup yang dikelola Cloud yang telah dibuat sebelumnya Tidak berlaku untuk grup Active Directory bawaan yang dibuat selama penginstalan AD |
| Penampung Kebijakan |
CN=Policies,
|
Dapat membuat, memperbarui, dan menghapus Objek Kebijakan Grup Tidak dapat mengedit atau menghapus Pengontrol Domain Default atau GPO Kebijakan Domain Default |
| Penampung Partisi (akhiran UPN) |
CN=Partitions,
|
Dapat mengubah akhiran UPN |
| {i>Terminal Services License Server<i} |
CN=Terminal Server License Servers,
|
Dapat menambahkan Windows Server dengan peran Terminal License Server ke grup bawaan Terminal Service License Server |