Quando crei un nuovo dominio con Managed Service for Microsoft Active Directory, alcuni oggetti di Active Directory vengono creati automaticamente. Queste informazioni ti aiutano ad amministrare il dominio AD e a semplificare la gestione delle attività di AD in genere delegate ad altri utenti o gruppi.
Il seguente diagramma fornisce una panoramica. Fai riferimento alle tabelle seguenti per un elenco completo e una descrizione di ciascun oggetto.
Unità organizzative
La tabella 1 mostra le unità organizzative (UO) create per te.
| Nome | Descrizione |
|---|---|
Cloud |
Ospita tutti i tuoi oggetti AD. All'interno di questa UO hai il controllo completo. |
Cloud Service Objects |
Ospita gli oggetti AD creati e gestiti da Microsoft AD gestito. Solo Google Cloud può creare oggetti in questa UO, anche se puoi aggiornare alcuni attributi per gli oggetti già creati. |
Gruppi
I seguenti gruppi vengono creati nell'UO Cloud Service Objects.
| Nome | Tipo | Descrizione | |
|---|---|---|---|
Cloud Service Administrators |
Globale | I membri sono amministratori del servizio cloud Microsoft AD gestito. | |
Cloud Service All Administrators |
Dominio locale | I membri sono amministratori del servizio cloud Microsoft AD gestito. Possono essere inclusi i membri di domini attendibili. | |
Cloud Service Computer Administrators |
Dominio locale | I membri sono amministratori sui computer aggiunti al dominio. | |
Cloud Service DNS Administrators |
Dominio locale | I membri possono aggiungere, rimuovere e modificare le voci DNS all'interno delle zone DNS integrate con Active Directory. | |
Cloud Service Managed Service Account Administrators |
Dominio locale | I membri possono amministrare gli account di servizio gestiti. | |
Cloud Service Computer Remote Desktop Users |
Dominio locale | I membri dispongono dei diritti per Remote Desktop sui computer aggiunti al dominio. | |
Cloud Service Site Administrators |
Dominio locale | I membri possono rinominare i siti di Active Directory. | |
Cloud Service Protected Users |
Globale | Le protezioni del gruppo Utenti protetti vengono applicate ai membri. | |
Cloud Service Group Policy Creator Owners |
Dominio locale |
I membri possono creare oggetti Criteri di gruppo (GPO). I GPO possono essere collegati solo
su Cloud UO e sugli oggetti al suo interno.
|
|
Cloud Service Domain Join Accounts |
Dominio locale | I membri possono aggiungere computer al dominio. | |
Cloud Service Fine Grained Password Policy Administrators |
Dominio locale | I membri possono modificare e assegnare criteri per le password a utenti e gruppi. |
Microsoft AD gestito non supporta la fornitura di iscrizioni di gruppi a tempo limitato agli utenti utilizzando Privileged Access Management per i servizi di dominio di Active Directory.
Oggetti Criteri di gruppo
Microsoft AD gestito crea automaticamente alcuni oggetti Criteri di gruppo (GPO) per supportare determinate funzionalità di Criteri di gruppo.
| Nome | Descrizione |
|---|---|
Cloud Service Default Computer Policy |
Collegata all'UO Cloud. Concede i diritti di
Cloud Service Computer Administrators amministratore locale
e i privilegi Cloud Service Computer Remote Desktop Users
Remote Desktop (RDP) per UO Cloud.
|
Puoi creare GPO personalizzati e collegarli all'UO Cloud o a una qualsiasi delle UO secondarie all'interno dell'UO Cloud. Per informazioni sul collegamento di un oggetto Criteri di gruppo a un'unità organizzativa, vedi Collegare l'oggetto GPO al dominio.
Oggetti impostazioni password
Microsoft AD gestito crea automaticamente dieci oggetti impostazioni password (PSO). Non è possibile modificare il nome o la precedenza di questi PSO. La tabella 4 mostra i nomi e le priorità di questi PSO.
| Nome | Precedenza |
|---|---|
| PSO-10 | 10 |
| PSO-20 | 20 |
| PSO-30 | 30 |
| PSO-40 | 40 |
| PSO-50 | 50 |
| PSO-60 | 60 |
| PSO-70 | 70 |
| PSO-80 | 80 |
| PSO-90 | 90 |
| PSO-100 | 100 |
Alle impostazioni dei criteri relativi alle password vengono assegnati valori predefiniti per ogni PSO. Puoi modificare questi valori. La tabella 5 mostra queste impostazioni predefinite.
| Criterio | Impostazione |
|---|---|
| Complessità attivata | Vero |
| Durata blocco | 30 minuti |
| Finestra di osservazione chiusa | 30 minuti |
| Soglia di blocco | 0 |
| Durata massima della password | 42 giorni |
| Età minima della password | 1 giorno |
| Lunghezza minima della password | 7 |
| Conteggio cronologia password | 24 |
| Crittografia reversibile attivata | Falso |
Utenti
Microsoft AD gestito crea automaticamente gli utenti mostrati nella tabella 6.
| Nome | Descrizione |
|---|---|
setupadmin (valore predefinito) |
Account amministratore con delega affinché tu possa gestire il tuo dominio.
Il nome è La reimpostazione della password per un dominio imposta la password per questo account. |
cloudsvcadmin |
Account di servizio utilizzato da Microsoft AD gestito per gestire il dominio. Questo account è destinato all'uso da parte del sistema e non deve essere utilizzato, modificato o eliminato direttamente. |
Utente con delega di amministratore
La tabella 7 mostra i diritti di Active Directory concessi automaticamente all'account dell'amministratore con delega quando esegui il provisioning del dominio. Questi diritti vengono concessi dalle iscrizioni ai gruppi dell'account, quindi se rimuovi l'account da uno di questi gruppi, i suoi diritti e le azioni disponibili potrebbero subire variazioni. Questo account ha il nome predefinito setupadmin. Se hai modificato il nome dell'account ma non ricordi il valore, puoi recuperarlo. Per maggiori informazioni, consulta
Utilizzare un account amministratore con delega.
L'account amministratore delegato non dispone delle autorizzazioni Domain Admins,
Enterprise Admins e BUILTIN\Administrators perché
Microsoft AD gestito è un servizio gestito e Google si riserva il diritto di
utilizzare queste autorizzazioni. Quindi non puoi utilizzare le funzionalità di Active Directory che richiedono queste autorizzazioni in Microsoft AD gestito, ad esempio Distributed File System
(DFS),
DHCP,
configurare i GPO a livello di dominio, replicare le modifiche alle directory, innalzare
i livelli funzionali della foresta e altre modifiche a livello di foresta.
| Oggetto Active Directory | Nome distinto | Azioni dell'account amministratore con delega consentite per l'oggetto |
|---|---|---|
| Cloud |
OU=Cloud,
|
Può eseguire operazioni CRUD per qualsiasi tipo di oggetto nella UO È possibile collegare i GPO a questa UO e alle relative unità organizzative secondarie Impossibile eliminare o rinominare la UO |
| Container dell'account di servizio gestito |
CN=Managed Service Accounts,
|
Può creare, aggiornare ed eliminare gli account di servizio gestiti di gruppo e tutte le funzionalità di gestione correlate |
| Container MicrosoftDNS |
CN=MicrosoftDNS,
|
Può connettersi al server DNS integrato in AD utilizzando il gestore DNS. |
| Cartella DomainDNSZones | CN=MicrosoftDNS,
|
Può creare forwarding condizionali, record A, record CNAME, delega DNS, zone di ricerca diretta e zone di ricerca inversa |
| Cartella ForestDNSZones | CN=MicrosoftDNS,
|
Può creare forwarding condizionali, record A, record CNAME, delega DNS, zone di ricerca diretta e zone di ricerca inversa |
Account amministratore con delega (nome predefinito: |
CN=<delegated-admin-name>,
|
Può cambiare la password dell'account con delega di amministratore creato automaticamente durante il provisioning del dominio Scopri di più su come recuperare il nome di questo account e reimpostare la password. |
| Amministratori di servizi cloud |
CN=Cloud Service Administrators,
|
Può aggiungere o rimuovere oggetti AD al gruppo gestito A tutti gli account aggiunti a questo gruppo viene concesso lo stesso insieme di autorizzazioni concesse all'account con delega di amministratore. |
| Tutti i siti |
Tutti i siti in: CN=Sites,
|
Può modificare il nome del sito di Active Directory |
| Tutti i gruppi gestiti |
Tutti i gruppi gestiti Cloud in: OU=Cloud Service Objects,
|
Può aggiungere e rimuovere oggetti AD dai gruppi gestiti Cloud precedentemente creati Non si applica ai gruppi di Active Directory integrati creati durante l'installazione di AD |
| Container dei criteri |
CN=Policies,
|
Può creare, aggiornare ed eliminare gli oggetti Criteri di gruppo Impossibile modificare o eliminare i GPO del controller di dominio predefinito o dei criteri di dominio predefiniti |
| Container di partizione (suffissi UPN) |
CN=Partitions,
|
Può modificare i suffissi UPN |
| Server licenze di Servizi terminal |
CN=Terminal Server License Servers,
|
Può aggiungere server Windows con il ruolo Server licenze Terminal al gruppo integrato di Terminal Service License Server |