Oggetti Active Directory predefiniti nella versione gestita di Microsoft AD

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Quando crei un nuovo dominio con Managed Service for Microsoft Active Directory, alcuni oggetti Active Directory vengono creati automaticamente. Questi strumenti consentono di amministrare il dominio AD e di gestire più facilmente le attività AD associate ad altri utenti o gruppi.

Il seguente diagramma fornisce una panoramica. Fai riferimento alle tabelle riportate di seguito per un elenco completo e una descrizione di ciascun oggetto.

Gruppi di annunci

Unità organizzative

La Tabella 1 mostra le unità organizzative (UO) create per te.

Tabella 1. Unità organizzative
Nome Descrizione
Cloud Ospita tutti gli oggetti AD. Hai il pieno controllo all'interno di questa unità organizzativa.
Cloud Service Objects Ospita gli oggetti AD creati e gestiti da Microsoft AD gestito. Solo Google Cloud può creare oggetti sotto questa UO, anche se puoi aggiornare alcuni attributi negli oggetti creati in precedenza.

Gruppi

I seguenti gruppi vengono creati nell'UO Cloud Service Objects.

Tabella 2. Gruppi in Cloud Service Objects UO
Nome Tipo Descrizione
Cloud Service Administrators Globale I membri sono amministratori del servizio cloud Microsoft AD gestito.
Cloud Service All Administrators Locale del dominio I membri sono amministratori del servizio cloud Microsoft AD gestito. Possono essere inclusi i membri di domini attendibili.
Cloud Service Computer Administrators Locale del dominio I membri sono amministratori sui computer aggiunti al dominio.
Cloud Service DNS Administrators Locale del dominio I membri possono aggiungere, rimuovere e modificare le voci DNS all'interno delle zone DNS integrate in Active Directory. .
Cloud Service Managed Service Account Administrators Locale del dominio I membri possono amministrare account di servizio gestiti.
Cloud Service Computer Remote Desktop Users Locale del dominio I membri dispongono di diritti desktop remoti su computer aggiunti al dominio.
Cloud Service Site Administrators Locale del dominio I membri possono rinominare i siti di Active Directory.
Cloud Service Protected Users Globale Le protezioni del gruppo Utenti protetti vengono applicate ai membri.
Cloud Service Group Policy Creator Owners Locale del dominio I membri possono creare oggetti Criteri di gruppo. È possibile collegare gli oggetti Criteri di gruppo solo nell'unità organizzativa Cloud e negli oggetti al suo interno.
Cloud Service Domain Join Accounts Locale del dominio I membri possono aggiungere computer al dominio.
Cloud Service Fine Grained Password Policy Administrators Locale del dominio I membri possono modificare i criteri relativi alle password e assegnarli a utenti e gruppi.

Oggetti Criteri di gruppo

Microsoft AD gestito crea automaticamente alcuni oggetti Criteri di gruppo per supportare alcune funzionalità di Criteri di gruppo.

Tabella 3. Oggetti Criteri di gruppo
Nome Descrizione
Cloud Service Default Computer Policy Collegamento all'unità organizzativa Cloud. Concede Cloud Service Computer Administrators diritti di amministratore locale e Cloud Service Computer Remote Desktop Users privilegi di Remote Desktop (RDP) per Cloud UO.

Oggetti Impostazioni password

Microsoft AD gestito crea automaticamente dieci oggetti di impostazioni password (PSO). Non puoi modificare il nome o la precedenza di questi PSO. La tabella 4 mostra i nomi e le precedenza di questi PSO.

Tabella 4. Oggetti impostazioni criteri
Nome Precedenza
PSO 10 10
PSO 20 20
PSO 30 30
PSO 40 40
PSO-50 50
PSO 60 60
PSO 70 70
PSO 80 80
PSO 90 90
PSO 100 100

Alle impostazioni dei criteri della password vengono assegnati valori predefiniti per ciascun PSO. Puoi modificare questi valori. La tabella 5 mostra queste impostazioni predefinite.

Tabella 5. Impostazioni PSO predefinite
Criteri Impostazione
Complessità attivata Vero
Durata del blocco 30 minuti
Finestra di osservazione di blocco 30 minuti
Soglia di blocco 0
Età massima della password 42 giorni
Età minima della password 1 giorno
Lunghezza minima della password 7
Età minima della password 1 giorno
Conteggio cronologia password 24
Crittografia reversibile attivata falso.

Utenti

La versione gestita di Microsoft AD crea automaticamente gli utenti visualizzati nella tabella 6.

Tabella 6. Utenti
Nome Descrizione
setupadmin (valore predefinito)

Utente con delega di amministratore per gestire il tuo dominio. Il nome predefinito è setupadmin; puoi specificare un nome diverso durante la creazione del dominio.

L'esecuzione del comando per reimpostare la password di un dominio imposta la password per questo account.

cloudsvcadmin Account di servizio utilizzato dalla versione gestita di Microsoft AD per gestire il dominio. Questo account è destinato all'utilizzo da parte del sistema e non deve essere utilizzato, modificato o eliminato direttamente.

Utente con delega di amministratore

La Tabella 7 mostra i diritti di Active Directory che vengono concessi automaticamente all'account amministratore con delega durante il provisioning del dominio. Questi diritti vengono concessi dalle iscrizioni ai gruppi dell'account, quindi se rimuovi l'account da uno di questi gruppi, i diritti e le azioni disponibili potrebbero essere influenzati. Il nome predefinito di questo account è setupadmin. Se hai cambiato il nome dell'account, ma non ricordi il valore, puoi recuperarlo. Per ulteriori informazioni, consulta l'articolo su come utilizzare l'account amministratore con delega.

Tabella 7. Diritti dell'account amministratore con delega
Oggetto Active Directory Nome distinto Azioni delegate per l'account amministratore consentite sull'oggetto
Google Cloud OU=Cloud,DC=<domain-name>

Può eseguire operazioni CRUD per qualsiasi tipo di oggetto nell'UO Cloud

Puoi collegare i GPO a questa UO e alle relative unità secondarie

Impossibile eliminare o rinominare l'unità organizzativa

Container dell'account di servizio gestito CN=Managed Service Accounts, DC=<domain-name> Può creare, aggiornare ed eliminare gli account di servizio gestiti del gruppo e tutta la gestione correlata
Container MicrosoftDNS CN=MicrosoftDNS,CN=System, DC=<domain-name> Consente la connessione a un server DNS integrato con AD utilizzando DNS Manager.
Cartella DomainDNSZones CN=MicrosoftDNS, DC=DomainDNSZones,DC=<domain-name> Può creare server di forwarding condizionale, record A, record CNAME, delega DNS, zone di ricerca anticipata e zone di ricerca inversa
Cartella DomainDNSZones CN=MicrosoftDNS, DC=ForestDNSZones,DC=<domain-name> Può creare server di forwarding condizionale, record A, record CNAME, delega DNS, zone di ricerca anticipata e zone di ricerca inversa

Account amministratore con delega

(nome predefinito: setupadmin)

CN=<delegated-admin-name>, OU=Cloud Service Objects,DC=<domain-name>

Può modificare la password dell'account amministratore con delega che viene creato automaticamente durante il provisioning del dominio

Scopri di più su come recuperare il nome di questo account e reimpostarne la password.

Amministratori del servizio Cloud CN=Cloud Service Administrators, OU=Cloud Service Objects, DC=<domain-name>

Può aggiungere o rimuovere oggetti AD in Cloud Service Administrators gruppo gestito

A qualsiasi account aggiunto a questo gruppo viene concesso lo stesso insieme di autorizzazioni concesse all'account amministratore con delega.

Tutti i siti Tutti i siti in: CN=Sites,CN=Configuration, DC=<domain-name> Può cambiare il nome del sito di Active Directory
Tutti i gruppi gestiti Tutti i gruppi gestiti su Cloud in: OU=Cloud Service Objects, DC=<domain-name>

Può aggiungere e rimuovere oggetti AD dai gruppi gestiti Cloud creati in precedenza

Non si applica ai gruppi Active Directory integrati che vengono creati durante l'installazione di Active Directory

Container dei criteri CN=Policies, CN=System,DC=<domain-name>

Può creare, aggiornare ed eliminare gli oggetti Criteri di gruppo

Impossibile modificare o eliminare i GPO dei criteri di dominio predefinito o i criteri di dominio predefinito

Container di partizione (suffissi UPN) CN=Partitions,CN=Configuration, DC=<domain-name> Può cambiare i suffissi UPN
Server licenze Servizi terminal CN=Terminal Server License Servers,CN=Builtin, DC=<domain-name> Può aggiungere Windows Server con ruolo Server di licenze terminale al gruppo integrato Server licenze di servizio del terminale