当您使用 Managed Service for Microsoft Active Directory 创建新网域时,系统会自动为您创建一些 Active Directory 对象。这些对象可以帮助您管理 AD 网域,并使管理 AD 任务变得更简单(这些任务通常委派给其他用户或组)。
下图提供了概览。有关每个对象的完整列表和说明,请参阅下表。
单位部门
表格 1 显示了为您创建的组织单位 (OU)。
| 名称 | 说明 |
|---|---|
Cloud |
托管您的所有 AD 对象。您在此组织单位内拥有完全控制权。 |
Cloud Service Objects |
托管由托管式 Microsoft AD 创建和管理的 AD 对象。只有 Google Cloud 可在此组织单位下创建对象,但是您可以在预先创建的对象上更新某些特性。 |
组
Cloud Service Objects 组织单位下会创建以下组。
| 名称 | 类型 | 说明 | |
|---|---|---|---|
Cloud Service Administrators |
Global | 成员是 Managed Microsoft AD 云服务的管理员。 | |
Cloud Service All Administrators |
网域本地 | 成员为托管式 Microsoft AD 云服务的管理员。其中可能包括来自可信网域的成员。 | |
Cloud Service Computer Administrators |
网域本地 | 成员为加入网域的机器上的管理员。 | |
Cloud Service DNS Administrators |
网域本地 | 成员可以在与 Active Directory 集成的 DNS 区域内添加、移除和修改 DNS 条目。 | |
Cloud Service Managed Service Account Administrators |
网域本地 | 成员可以管理托管式服务账号。 | |
Cloud Service Computer Remote Desktop Users |
网域本地 | 成员在加入网域的机器上具有远程桌面权限。 | |
Cloud Service Site Administrators |
网域本地 | 成员可以重命名 Active Directory 站点。 | |
Cloud Service Protected Users |
全球 | 受保护用户组中的保护适用于成员。 | |
Cloud Service Group Policy Creator Owners |
网域本地 |
成员可以创建组策略对象 (GPO)。GPO 只能关联到 Cloud 组织单位及其内部的对象。 |
|
Cloud Service Domain Join Accounts |
网域本地 | 成员可以将计算机加入网域。 | |
Cloud Service Fine Grained Password Policy Administrators |
网域本地 | 成员可以修改密码政策,并为用户和群组分配密码政策。 |
Managed Microsoft AD 不支持使用 Privileged Access Management for Active Directory 网域服务的 Privileged Access Management,为用户提供有时间限制的群组成员资格。
组策略对象
托管式 Microsoft AD 会自动创建一些组策略对象 (GPO) 以支持某些组策略功能。
| 名称 | 说明 |
|---|---|
Cloud Service Default Computer Policy |
关联到 Cloud 组织单位。授予 Cloud 组织单位的 Cloud Service Computer Administrators 本地管理员权限和 Cloud Service Computer Remote Desktop Users 远程桌面 (RDP) 权限。 |
您可以创建自定义 GPO,并将其关联到 Cloud 组织单元或 Cloud 组织单元中的任意子级组织部门。如需了解如何将 GPO 关联到组织部门,请参阅将 GPO 关联到网域。
密码设置对象
代管式 Microsoft AD 会自动创建 10 个密码设置对象 (PSO)。您无法更改这些 PSO 的名称或优先级。表 4 显示了这些 PSO 的名称和优先级。
| 名称 | 优先级 |
|---|---|
| PSO-10 | 10 |
| PSO-20 | 20 |
| PSO-30 | 30 |
| PSO-40 | 40 |
| PSO-50 | 50 |
| PSO-60 | 60 |
| PSO-70 | 70 |
| PSO-80 | 80 |
| PSO-90 | 90 |
| PSO-100 | 100 |
默认值会为每个 PSO 分配的密码政策设置。您可以更改这些值。表格 5 显示了这些默认设置。
| 政策 | 设置 |
|---|---|
| 已启用复杂度 | True |
| 锁定时长 | 30 分钟 |
| 锁定观察时段 | 30 分钟 |
| 锁定阈值 | 0 |
| 密码最长使用时间 | 42 天 |
| 密码最短使用使用 | 1 天 |
| 最小密码长度 | 7 |
| 密码历史记录计数 | 24 |
| 已启用可撤消加密 | 否 |
用户数量
代管式 Microsoft AD 自动创建表格 6 中所示的用户。
| 名称 | 说明 |
|---|---|
setupadmin(默认) |
委派管理员账号,您用它来管理您的网域。名称默认为 重置域名的密码会设置此帐号的密码。 |
cloudsvcadmin |
托管式 Microsoft AD 用于管理网域的服务账号。此账号供系统使用,不应直接使用、修改或删除。 |
指派的管理员
表格 7 显示了在您配置网域时自动授予委派管理员账号的 Active Directory 权限。这些权限由账号的组成员身份授予,因此,如果您从其中一个组删除该账号,则可能会影响其权限和可用操作。该账号的默认名称为 setupadmin。如果您更改了账号名称但不记得该值,则可以进行检索。如需了解详情,请参阅使用委派管理员帐号。
委派管理员帐号没有 Domain Admins、Enterprise Admins 和 BUILTIN\Administrators 权限,因为代管式 Microsoft AD 是一项代管式服务,Google 保留使用这些权限的权利。因此,您无法在 Managed Microsoft AD 中使用需要这些权限的 Active Directory 功能,例如分布式文件系统 (DFS)、DHCP、在网域级配置 GPO、复制目录更改、提高林级功能以及其他整个林的更改。
| Active Directory 对象 | 标识名 | 委派管理员账号可对对象执行的操作 |
|---|---|---|
| 云 |
OU=Cloud,
|
可对 可以将 GPO 关联到此组织单位及其子组织单位 不能删除或重命名组织单位 |
| 托管式服务账号容器 |
CN=Managed Service Accounts,
|
可以创建、更新和删除组托管式服务账号以及所有相关管理 |
| MicrosoftDNS 容器 |
CN=MicrosoftDNS,
|
可以使用 DNS 管理器连接到集成了 AD 的 DNS 服务器。 |
| DomainDNSZones 文件夹 | CN=MicrosoftDNS,
|
可以创建条件转发器、A 记录、CNAME 记录,DNS 委派、正向查找地区、反向查找地区 |
| ForestDNSZones 文件夹 | CN=MicrosoftDNS,
|
可以创建条件转发器、A 记录、CNAME 记录,DNS 委派、正向查找地区、反向查找地区 |
委派管理员账号 (默认名称: |
CN=<delegated-admin-name>,
|
可以更改在网域配置过程中自动创建的委派管理员账号的密码 |
| 云服务管理员 |
CN=Cloud Service Administrators,
|
可以向 添加到该组的所有账号均被授予与委派管理员账号相同的一组权限。 |
| 所有网站 |
以下所有网站:CN=Sites,
|
可以更改 Active Directory 站点名称 |
| 所有托管组 |
以下所有 Cloud 代管式群组:OU=Cloud Service Objects,
|
可以从预先创建的 Cloud 托管组中添加和移除 AD 对象 不适用于在 AD 安装过程中创建的内置 Active Directory 组 |
| 政策容器 |
CN=Policies,
|
可以创建、更新和删除组策略对象 不能编辑或删除默认网域控制器或默认网域政策 GPO |
| 分区容器(UPN 后缀) |
CN=Partitions,
|
可以更改 UPN 后缀 |
| 终端服务许可服务器 |
CN=Terminal Server License Servers,
|
可以将具有 Terminal License Server 角色的 Windows 服务器添加到“终端服务许可服务器”内置组 |