代管 Microsoft AD 中的預設 Active Directory 物件

使用 Managed Service for Microsoft Active Directory 建立新網域時,系統會自動為您建立部分 Active Directory 物件。這些功能可協助您管理 AD 網域,並簡化通常委派給其他使用者或群組的 AD 工作。

下圖提供概略總覽。如需完整清單和各個物件的說明,請參閱下表。

廣告群組

機構單位

表 1 列出系統為您建立的機構單位 (OU)。

表 1. 機構單位
名稱 說明
Cloud 代管所有 AD 物件。您可完全掌控這個 OU。
Cloud Service Objects 代管由 Managed Microsoft AD 建立及管理的 AD 物件。只有 Google Cloud 可以建立這個 OU 下的物件,但您可以更新先前建立的物件上的部分屬性。

群組

系統會在 Cloud Service Objects OU 下建立下列群組。

表 2:Cloud Service Objects 機構單位中的群組
名稱 類型 說明
Cloud Service Administrators 全球 成員是 Managed Microsoft AD 雲端服務的管理員。
Cloud Service All Administrators 網域 Local 成員是 Managed Microsoft AD 雲端服務的管理員。包括來自受信任網域的成員。
Cloud Service Computer Administrators 網域 Local 成員是已加入網域的機器上的管理員。
Cloud Service DNS Administrators 網域 Local 成員可以在已整合 Active Directory 的 DNS 區域中新增、移除及修改 DNS 項目。
Cloud Service Managed Service Account Administrators 網域 Local 成員可以管理受管理的服務帳戶。
Cloud Service Computer Remote Desktop Users 網域 Local 成員可在加入網域的電腦上使用遠端桌面權限。
Cloud Service Site Administrators 網域 Local 成員可以重新命名 Active Directory 網站。
Cloud Service Protected Users 全球 系統會將「Protected Users」群組的保護措施套用至成員。
Cloud Service Group Policy Creator Owners 網域 Local 成員可以建立群組原則物件 (GPO)。群組原則集只能連結至 Cloud OU 和其中的物件。
Cloud Service Domain Join Accounts 網域 Local 成員可以將電腦加入網域。
Cloud Service Fine Grained Password Policy Administrators 網域 Local 成員可以修改密碼政策,並將密碼政策指派給使用者和群組。

Managed Microsoft AD 不支援使用 Active Directory 網域服務的權限存取管理,為使用者提供時間限制群組會員資格。

群組原則物件

受管理的 Microsoft AD 會自動建立一些群組原則物件 (GPO),以支援特定群組原則功能。

表 3:群組原則物件
名稱 說明
Cloud Service Default Computer Policy 已連結至 Cloud 組織單位。授予 Cloud OU 的 Cloud Service Computer Administrators 本機管理員權限和 Cloud Service Computer Remote Desktop Users 遠端桌面 (RDP) 權限。

您可以建立自訂 GPO,並將其連結至 Cloud OU 或 Cloud OU 中的任何子 OU。如要瞭解如何將 GPO 連結至 OU,請參閱「將 GPO 連結至網域」一文。

密碼設定物件

受管理的 Microsoft AD 會自動建立十個密碼設定物件 (PSO)。您無法變更這些 PSO 的名稱或優先順序。表格 4 列出這些 PSO 的名稱和優先順序。

表 4:政策設定物件
名稱 優先順序
PSO-10 10
PSO-20 20
PSO-30 30
PSO-40 40
PSO-50 50
PSO-60 60
PSO-70 70
PSO-80 80
PSO-90 90
PSO-100 100

系統會為每個 PSO 的密碼政策設定指派預設值。您可以變更這些值。表 5 顯示這些預設設定。

表 5:預設的 PSO 設定
政策 設定
已啟用複雜度
鎖定時間長度 30 分鐘
鎖定觀察期 30 分鐘
停機門檻 0
密碼有效期限上限 42 天
密碼最短有效期限 1 天
密碼長度下限 7
密碼記錄計數 24
已啟用可逆加密

使用者

受管理的 Microsoft AD 會自動建立表格 6 所示的使用者。

表 6:使用者
名稱 說明
setupadmin (預設)

委派的管理員帳戶,用於管理您的網域。 名稱預設為 setupadmin;您可以在建立網域時指定其他名稱。

重設網域密碼後,系統會為這個帳戶設定密碼。
cloudsvcadmin Managed Microsoft AD 用於管理網域的服務帳戶。這個帳戶是供系統使用的,因此請勿直接使用、修改或刪除。

委派的管理員

表 7 列出您在佈建網域時,自動授予委派管理員帳戶的 Active Directory 權限。這些權利是由帳戶的群組成員資格授予,因此如果您從其中一個群組中移除帳戶,可能會影響其權利和可用的動作。這個帳戶的預設名稱為 setupadmin。如果您變更了帳戶名稱,但不記得值,可以擷取。詳情請參閱「使用委派的管理員帳戶」。

委派的管理員帳戶沒有 Domain AdminsEnterprise AdminsBUILTIN\Administrators 權限,因為受管理的 Microsoft AD 是受管理的服務,Google 保留使用這些權限的權利。因此,您無法在受管理的 Microsoft AD 中使用需要這些權限的 Active Directory 功能,例如 分散式檔案系統 (DFS)DHCP、在網域層級設定 GPO、複製目錄變更、提高林功能層級,以及其他林層級變更。

表 7:委派的管理員帳戶權限
Active Directory 物件 辨別名稱 系統允許委派管理員帳戶在物件上執行的動作
Cloud OU=Cloud,DC=<domain-name>

可對 Cloud OU 下方的任何物件類型執行 CRUD 作業

可將 GPO 連結至這個 OU 及其子 OU

無法刪除或重新命名 OU
代管服務帳戶容器 CN=Managed Service Accounts, DC=<domain-name> 可建立、更新及刪除群組代管服務帳戶,以及所有相關管理作業
MicrosoftDNS 容器 CN=MicrosoftDNS,CN=System, DC=<domain-name> 可使用 DNS 管理工具連線至已整合 AD 的 DNS 伺服器。
DomainDNSZones 資料夾 CN=MicrosoftDNS, DC=DomainDNSZones,DC=<domain-name> 可建立條件轉送器、A 記錄、CNAME 記錄、DNS 委派、正向查詢區域和反向查詢區域
ForestDNSZones 資料夾 CN=MicrosoftDNS, DC=ForestDNSZones,DC=<domain-name> 可建立條件轉送器、A 記錄、CNAME 記錄、DNS 委派、正向查詢區域和反向查詢區域

委派的管理員帳戶

(預設名稱:setupadmin)

 CN=<delegated-admin-name>, OU=Cloud Service Objects,DC=<domain-name>

可以變更在網域佈建期間自動建立的委派管理員帳戶密碼

進一步瞭解如何取得這個帳戶的名稱,以及重設密碼
雲端服務管理員 CN=Cloud Service Administrators, OU=Cloud Service Objects, DC=<domain-name>

可將 AD 物件新增至或移除自 Cloud Service Administrators 管理群組

任何加入這個群組的帳戶都會獲得與委派管理員帳戶相同的權限組合。
所有網站 底下的所有網站: CN=Sites,CN=Configuration, DC=<domain-name> 可以變更 Active Directory 網站名稱
所有受管理的群組 下列所有 Cloud 管理群組: OU=Cloud Service Objects, DC=<domain-name>

可在預先建立的 Cloud 管理群組中新增及移除 AD 物件

不適用於在 AD 安裝期間建立的內建 Active Directory 群組
政策容器 CN=Policies, CN=System,DC=<domain-name>

可建立、更新及刪除群組原則物件

無法編輯或刪除預設網域控制站或預設網域政策群組原則
分區容器 (UPN 後置字串) CN=Partitions,CN=Configuration, DC=<domain-name> 可變更 UPN 後置字串
終端服務授權伺服器 CN=Terminal Server License Servers,CN=Builtin, DC=<domain-name> 可將具有終端機授權伺服器角色的 Windows 伺服器新增至終端機服務授權伺服器內建群組

後續步驟