Automatisch erstellte AD-Objekte

Wenn Sie eine neue Domain mit Managed Service for Microsoft Active Directory erstellen, werden automatisch einige Active Directory-Objekte für Sie erstellt. Damit können Sie Ihre AD-Domain verwalten und AD-Aufgaben verwalten, die in der Regel an andere Nutzer oder Gruppen delegiert werden.

Das folgende Diagramm bietet eine Übersicht. In den folgenden Tabellen finden Sie eine vollständige Liste und eine Beschreibung der einzelnen Objekte.

Anzeigengruppen

Organisationseinheiten

Tabelle 1 zeigt die für Sie erstellten Organisationseinheiten (OE).

Tabelle 1. Organisationseinheiten
Name Beschreibung
Cloud Hostet alle Ihre AD-Objekte. Sie haben die volle Kontrolle über diese Organisationseinheit (OE).
Cloud Service Objects Hostet AD-Objekte, die von Managed Microsoft AD erstellt und verwaltet werden. Nur Google Cloud kann Objekte unter dieser OE erstellen. Sie können jedoch einige Attribute für die vorab erstellten Objekte aktualisieren.

Gruppen

Die folgenden Gruppen werden unter der Organisationseinheit Cloud Service Objects erstellt.

Tabelle 2. Gruppen in der Cloud Service Objects-OE
Name Typ Beschreibung
Cloud Service Administrators Global Mitglieder sind Administratoren des verwalteten Microsoft AD-Cloud-Dienstes.
Cloud Service All Administrators Domain Lokal Mitglieder sind Administratoren des verwalteten Microsoft AD-Cloud-Dienstes. Dies kann Mitglieder von vertrauenswürdigen Domains umfassen.
Cloud Service Computer Administrators Domain Lokal Mitglieder sind Administratoren auf Rechnern, die der Domain beitreten.
Cloud Service DNS Administrators Domain Lokal Mitglieder können DNS-Einträge innerhalb der Active Directory-integrierten DNS-Zonen hinzufügen, entfernen und ändern. .
Cloud Service Managed Service Account Administrators Domain Lokal Mitglieder können verwaltete Dienstkonten verwalten.
Cloud Service Computer Remote Desktop Users Domain Lokal Mitglieder haben Remote-Desktop-Rechte auf Rechnern, die mit der Domain verknüpft sind.
Cloud Service Site Administrators Domain Lokal Mitglieder können Active Directory-Websites umbenennen.
Cloud Service Protected Users Global Schutz aus der Gruppe Geschützte Nutzer wird auf Mitglieder angewendet.
Cloud Service Group Policy Creator Owners Domain Lokal Mitglieder können Gruppenrichtlinienobjekte (GPOs) erstellen. GPOs können nur mit Cloud-Organisationseinheiten und darin enthaltenen Objekten verknüpft werden.
Cloud Service Domain Join Accounts Domain Lokal Mitglieder können Computer in der Domain aufnehmen.
Cloud Service Fine Grained Password Policy Administrators Domain Lokal Mitglieder dürfen Passwortrichtlinien ändern und Nutzern und Gruppen zuweisen.

Gruppenrichtlinienobjekte

Managed Microsoft AD erstellt automatisch einige Gruppenrichtlinienobjekte (GPOs), um bestimmte Gruppenrichtlinienfunktionen zu unterstützen.

Tabelle 2. Gruppenrichtlinienobjekte
Name Beschreibung
Cloud Service Default Computer Policy Mit der OE Cloud verknüpft. Verleiht Cloud Service Computer Administrators lokale Administratorrechte und Cloud Service Computer Remote Desktop Users Remote Desktop (RDP)-Privilegien auf der Cloud-OE.

Passworteinstellungen-Objekte

Managed Microsoft AD erstellt automatisch zehn Passworteinstellungen-Objekte (PSO). Sie können den Namen und die Priorität dieser PSOs nicht ändern. Tabelle 4 zeigt die Namen und Prioritäten dieser PSOs.

Tabelle 4. Objekte zu Richtlinieneinstellungen
Name Vorrang
PSO 10 10
PSO-20 20
PSO-30 30
PSO-40 40
PSO-50 50
PSO-60 60
PSO-70 70
PSO-80 80
PSO-90 90
PSO-100 100

Standardwerte werden den Einstellungen für Passwortrichtlinien für jede PSO zugewiesen. Sie können diese Werte ändern. In Tabelle 5 sind diese Standardeinstellungen zu sehen.

Tabelle 5. Standard-PSO-Einstellungen
Richtlinie Einstellung
Komplexität aktiviert True
Sperrdauer 30 Minuten
Beobachtungsfenster für Sperrsperre 30 Minuten
Grenzwert für die Sperrung 0
Höchstalter für Passwörter 42 Tage
Mindestalter für Passwörter 1 Tag
Mindestlänge für Passwörter 7
Mindestalter für Passwörter 1 Tag
Anzahl der Passwörter 24
Rückwärtsverschlüsselung aktiviert False

Nutzer

Managed Microsoft AD erstellt automatisch die in Tabelle 6 angezeigten Nutzer.

Tabelle 6. Nutzer
Name Beschreibung
setupadmin (Standard)

Delegiertes Administratorkonto für die Verwaltung Ihrer Domain. Der Name ist standardmäßig auf setupadmin gesetzt. Sie können während der Domainerstellung einen anderen Namen angeben.

Wenn Sie den Befehl zum Zurücksetzen des Passworts für eine Domain ausführen, wird das Passwort für dieses Konto festgelegt.

cloudsvcadmin Dienstkonto, das von Managed Microsoft AD zur Verwaltung der Domain verwendet wird. Dieses Konto ist für die Verwendung durch das System vorgesehen und sollte nicht direkt verwendet, geändert oder gelöscht werden.

Delegierter Administrator

In Tabelle 7 sind die Active Directory-Rechte aufgelistet, die bei der Bereitstellung der Domain automatisch dem delegierten Administratorkonto zugewiesen werden. Diese Rechte werden von den Gruppenmitgliedschaften des Kontos erteilt. Wenn Sie das Konto also aus einer dieser Gruppen entfernen, kann sich dies auf seine Rechte und verfügbaren Aktionen auswirken. Dieses Konto hat den Standardnamen setupadmin. Wenn Sie den Kontonamen geändert haben, aber den Wert nicht mehr kennen, können Sie ihn abrufen. Weitere Informationen zur Verwendung des delegierten Administratorkontos

Tabelle 7. Delegierte Administratorkontorechte
Active Directory-Objekt Name Aktionen für delegierte Administratorkonten sind bei einem Objekt zulässig
Cloud OU=Cloud,DC=<domain-name>

Kann CRUD-Vorgänge für jeden Objekttyp in der OE Cloud ausführen

Kann GPOs mit dieser OE und ihrer Unter-OE verknüpfen

OE kann nicht gelöscht oder umbenannt werden

Container für verwaltete Dienstkonten CN=Managed Service Accounts, DC=<domain-name> Kann verwaltete Dienstkonten und alle damit verbundenen Verwaltungen erstellen, aktualisieren und löschen
MicrosoftDNS-Container CN=MicrosoftDNS,CN=System, DC=<domain-name> Kann über DNS-Manager eine Verbindung zu AD-integrierten DNS-Servern herstellen.
DomainDNSZones-Ordner CN=MicrosoftDNS, DC=DomainDNSZones,DC=<domain-name> Kann bedingte Forwarder, A-Datensätze, CNAME-Datensätze, DNS-Delegierung, Forward-Lookup-Zonen und Reverse-Lookup-Zonen erstellen
DomainDNSZones-Ordner CN=MicrosoftDNS, DC=ForestDNSZones,DC=<domain-name> Kann bedingte Forwarder, A-Datensätze, CNAME-Datensätze, DNS-Delegierung, Forward-Lookup-Zonen und Reverse-Lookup-Zonen erstellen

Delegiertes Administratorkonto

(Standardname: setupadmin)

CN=<delegated-admin-name>, OU=Cloud Service Objects,DC=<domain-name>

Kann das Passwort des delegierten Administratorkontos ändern, das während der Domainbereitstellung automatisch erstellt wird

Erfahren Sie mehr darüber, wie man den Namen dieses Kontos und das Kennwort zurücksetzt.

Cloud-Dienstadministratoren CN=Cloud Service Administrators, OU=Cloud Service Objects, DC=<domain-name>

Kann AD-Objekte zur verwalteten Gruppe Cloud Service Administrators hinzufügen oder daraus entfernen

Allen Konten, die dieser Gruppe hinzugefügt werden, werden die gleichen Berechtigungen gewährt wie mit dem delegierten Administratorkonto.

Alle Websites Alle Websites unter: CN=Sites,CN=Configuration, DC=<domain-name> Kann den Namen der Active Directory-Website ändern
Alle verwalteten Gruppen Alle in der Cloud verwalteten Gruppen unter: OU=Cloud Service Objects, DC=<domain-name>

Kann AD-Objekte zu den vorab erstellten Cloud-verwalteten Gruppen hinzufügen und daraus entfernen

Gilt nicht für die integrierten Active Directory-Gruppen, die während der AD-Installation erstellt werden.

Richtliniencontainer CN=Policies, CN=System,DC=<domain-name>

Kann Gruppenrichtlinienobjekte erstellen, aktualisieren und löschen

Standard-Domain-Controller oder Standard-Domain-Richtlinien-GPOs können nicht bearbeitet oder gelöscht werden

Partitionierungscontainer (UPN-Suffixe) CN=Partitions,CN=Configuration, DC=<domain-name> UPN-Suffixe können geändert werden
Lizenzserver für Terminaldienste CN=Terminal Server License Servers,CN=Builtin, DC=<domain-name> Kann Windows Server mit der Rolle "Terminallizenzserver" zur integrierten Gruppe "Terminaldienst-Lizenzserver" hinzufügen