Objets AD créés automatiquement

Lorsque vous créez un domaine avec le service géré pour Microsoft Active Directory, certains objets Active Directory sont automatiquement créés pour vous. Cela vous aide à administrer votre domaine AD et facilite la gestion des tâches AD généralement déléguées à d'autres utilisateurs ou groupes.

Le diagramme suivant présente une vue d'ensemble. Reportez-vous aux tableaux ci-dessous pour obtenir la liste complète et la description de chaque objet.

Groupe AD

Unités organisationnelles

Le tableau 1 montre les unités organisationnelles (OU) créées pour vous.

Tableau 1. Unités organisationnelles
Nom Description
Cloud Héberge tous vos objets AD. Vous avez un contrôle total à l'intérieur de cette UO.
Cloud Service Objects Héberge les objets AD créés et gérés par le service Microsoft AD géré. Seul Google Cloud peut créer des objets sous cette UO, mais vous pouvez mettre à jour certains attributs sur les objets pré-créés.

Groupes

Les groupes suivants sont créés sous l'UO Cloud Service Objects.

Tableau 2. Groupes dans l'UO Cloud Service Objects
Nom Type Description
Cloud Service Administrators Monde Les membres sont administrateurs du service Cloud Microsoft AD géré.
Cloud Service All Administrators Domaine local Les membres sont administrateurs du service Cloud Microsoft AD géré. Il peut s'agir de membres provenant de domaines de confiance.
Cloud Service Computer Administrators Domaine local Les membres sont des administrateurs sur des machines associées au domaine.
Cloud Service DNS Administrators Domaine local Les membres peuvent ajouter, supprimer et modifier des entrées DNS dans les zones DNS intégrées à Active Directory. .
Cloud Service Managed Service Account Administrators Domaine local Les membres peuvent administrer les comptes de service gérés.
Cloud Service Computer Remote Desktop Users Domaine local Les membres disposent de droits de bureau à distance sur les machines associées au domaine.
Cloud Service Site Administrators Domaine local Les membres peuvent renommer des sites Active Directory.
Cloud Service Protected Users Mondial Les protections issues du groupe Utilisateurs protégés sont appliquées aux membres.
Cloud Service Group Policy Creator Owners Domaine local Les membres peuvent créer des objets de stratégie de groupe (GPO). Les GPO ne peuvent être associés qu'à l'UO Cloud et aux objets qu'elle contient.
Cloud Service Domain Join Accounts Domaine local Les membres peuvent joindre les ordinateurs au domaine.
Cloud Service Fine Grained Password Policy Administrators Domaine local Les membres peuvent modifier les règles relatives aux mots de passe et les attribuer aux utilisateurs et aux groupes.

Objets de stratégie de groupe

Le service Microsoft AD géré crée automatiquement des objets de stratégie de groupe (GPO) pour prendre en charge certaines fonctionnalités de stratégie de groupe.

Tableau 3. Objets de stratégie de groupe
Nom Description
Cloud Service Default Computer Policy Lié à l'UO Cloud. Accorde à Cloud Service Computer Administrators les droits d'administrateur local et à Cloud Service Computer Remote Desktop Users les privilèges Bureau à distance (RDP) sur l'UO Cloud.

Objets de paramètres de mot de passe

Le service géré pour Microsoft AD crée automatiquement dix objets de paramètres de mot de passe (PSO). Vous ne pouvez pas modifier le nom ni la priorité de ces fichiers PSO. Le tableau 4 montre les noms et les priorités de ces PSO.

Tableau 4. Objets de paramètres de la stratégie
Nom Priorité
PSO-10 10
PSO-20 20
PSO-30 30
PSO-40 40
PSO50 50
PSO-60 60
PSO-70 70
PSO-80 80
PSO-90 90
PSO-100 100

Les valeurs par défaut sont affectées aux paramètres de stratégie de mot de passe pour chaque PSO. Vous pouvez modifier ces valeurs. Le tableau 5 présente ces paramètres par défaut.

Tableau 5. Paramètres PSO par défaut
Règle Paramètre
Complexité activée Vrai
Durée de verrouillage 30 minutes
Fenêtre d'observation de serrurerie 30 minutes
Seuil de verrouillage 0
agege maximal du mot de passe 42 jours
agege minimum de mot de passe 1 jour
Longueur minimale du mot de passe 7
agege minimum de mot de passe 1 jour
Nombre de l'historique des mots de passe 24
Chiffrement réversible activé Faux

Utilisateurs

Le service géré pour Microsoft AD crée automatiquement les utilisateurs figurant dans le tableau 6.

Tableau 6. Utilisateurs
Nom Description
setupadmin (par défaut)

Compte administrateur délégué vous permettant de gérer votre domaine. Le nom par défaut est setupadmin. Vous pouvez spécifier un nom différent lors de la création du domaine.

L'exécution de la commande permettant de réinitialiser le mot de passe d'un domaine définit le mot de passe de ce compte.

cloudsvcadmin Compte de service utilisé par le service Microsoft AD géré pour gérer le domaine. Ce compte est destiné à être utilisé par le système et ne doit pas être directement utilisé, modifié ou supprimé.

Administrateur délégué

Le tableau 7 indique les droits Active Directory qui sont automatiquement accordés au compte administrateur délégué lorsque vous provisionnez le domaine. Ces droits sont accordés par les adhésions aux groupes du compte. Par conséquent, si vous supprimez le compte de l'un de ces groupes, cela peut affecter ses droits et les actions disponibles. Ce compte est nommé setupadmin par défaut. Si vous avez modifié le nom du compte, mais que vous ne vous rappelez pas la valeur, vous pouvez le récupérer. En savoir plus sur l'utilisation du compte administrateur délégué.

Tableau 7. Droits de compte d'administrateur délégué
Objet Active Directory Nom distinctif Actions du compte administrateur délégué autorisées sur l'objet
Cloud OU=Cloud,DC=<domain-name>

Peut effectuer des opérations CRUD pour tout type d'objet sous l'UO Cloud

Peut lier des GPO à cette UO et à ses sous-UO

Impossible de supprimer ou de renommer l'UO

Conteneur de compte de service géré CN=Managed Service Accounts, DC=<domain-name> Peut créer, mettre à jour et supprimer des comptes de service gérés de groupes, ainsi que toutes les tâches de gestion associées
Conteneur MicrosoftDNS CN=MicrosoftDNS,CN=System, DC=<domain-name> Peut se connecter au serveur DNS intégré à AD à l'aide du gestionnaire DNS.
Dossier DomainDNSZones CN=MicrosoftDNS, DC=DomainDNSZones,DC=<domain-name> Peut créer des redirecteurs conditionnels, des enregistrements A, des enregistrements CNAME, une délégation DNS, des zones de recherche directe et des zones de recherche inversée
Dossier DomainDNSZones CN=MicrosoftDNS, DC=ForestDNSZones,DC=<domain-name> Peut créer des redirecteurs conditionnels, des enregistrements A, des enregistrements CNAME, une délégation DNS, des zones de recherche directe et des zones de recherche inversée

Compte administrateur délégué

(nom par défaut : setupadmin)

CN=<delegated-admin-name>, OU=Cloud Service Objects,DC=<domain-name>

Peut modifier le mot de passe du compte d'administrateur délégué, qui est créé automatiquement lors de l'approvisionnement du domaine

Découvrez comment obtenir ce nom de compte et comment réinitialiser son mot de passe.

Administrateurs de services Cloud CN=Cloud Service Administrators, OU=Cloud Service Objects, DC=<domain-name>

Peut ajouter ou supprimer des objets AD sur le groupe géré Cloud Service Administrators

Tous les comptes ajoutés à ce groupe bénéficient du même ensemble d'autorisations accordées au compte administrateur délégué.

Tous les sites Tous les sites sous : CN=Sites,CN=Configuration, DC=<domain-name> Peut changer le nom du site Active Directory
Tous les groupes gérés Tous les groupes gérés dans le cloud sous : OU=Cloud Service Objects, DC=<domain-name>

Peut ajouter et supprimer des objets AD des groupes gérés Cloud pré-créés

Ne s'applique pas aux groupes Active Directory intégrés, qui sont créés lors de l'installation d'AD

Conteneur de politiques CN=Policies, CN=System,DC=<domain-name>

Peut créer, mettre à jour et supprimer des objets de stratégie de groupe

Impossible de modifier ou de supprimer les objets de stratégie des contrôleurs de domaine par défaut ou des domaines par défaut

Conteneur de partition (suffixes UPN) CN=Partitions,CN=Configuration, DC=<domain-name> Peut modifier les suffixes UPN
Serveur de licences Terminal Services CN=Terminal Server License Servers,CN=Builtin, DC=<domain-name> Peut ajouter des serveurs Windows avec le rôle de serveur de licences Terminal Services au groupe intégré du serveur de licences Terminal Services