自动创建的 AD 对象

当您使用 Managed Service for Microsoft Active Directory 创建新网域时,系统会自动为您创建一些 Active Directory 对象。这些对象可以帮助您管理 AD 网域,并使管理 AD 任务变得更简单(这些任务通常委派给其他用户或组)。

下图提供了概览。有关每个对象的完整列表和说明,请参阅下表。

AD 组

单位部门

表格 1 显示了为您创建的组织单位 (OU)。

表格 1. 单位部门
姓名 说明
Cloud 托管您的所有 AD 对象。您在此组织单位内拥有完全控制权。
Cloud Service Objects 托管由托管式 Microsoft AD 创建和管理的 AD 对象。只有 Google Cloud 可在此组织单位下创建对象,但是您可以在预先创建的对象上更新某些特性。

Cloud Service Objects 组织单位下会创建以下组。

表格 2. Cloud Service Objects 组织单位中的组
姓名 类型 说明
Cloud Service Administrators 全球 成员为托管式 Microsoft AD 云服务的管理员。
Cloud Service All Administrators 网域本地 成员为托管式 Microsoft AD 云服务的管理员。其中可能包括来自可信网域的成员。
Cloud Service Computer Administrators 网域本地 成员为加入网域的机器上的管理员。
Cloud Service DNS Administrators 网域本地 成员可以在集成了 Active Directory 的 DNS 地区内添加、移除和修改 DNS 条目。.
Cloud Service Managed Service Account Administrators 网域本地 成员可以管理托管式服务帐号。
Cloud Service Computer Remote Desktop Users 网域本地 成员在加入网域的机器上具有远程桌面权限。
Cloud Service Site Administrators 网域本地 成员可以重命名 Active Directory 站点。
Cloud Service Protected Users 全球 受保护用户组中的保护适用于成员。
Cloud Service Group Policy Creator Owners 网域本地 成员可以创建组策略对象 (GPO)。GPO 只能关联到 Cloud 组织单位及其内部的对象。
Cloud Service Domain Join Accounts 网域本地 成员可以将计算机加入网域。
Cloud Service Fine Grained Password Policy Administrators 网域本地 成员可以修改用户和群组政策并将其分配给用户和群组。

组策略对象

托管式 Microsoft AD 会自动创建一些组策略对象 (GPO) 以支持某些组策略功能。

表格 3. 组策略对象
姓名 说明
Cloud Service Default Computer Policy 关联到 Cloud 组织单位。授予 Cloud 组织单位的 Cloud Service Computer Administrators 本地管理员权限和 Cloud Service Computer Remote Desktop Users 远程桌面 (RDP) 权限。

密码设置对象

代管式 Microsoft AD 会自动创建 10 个密码设置对象 (PSO)。您无法更改这些 PSO 的名称或优先级。表 4 显示了这些 PSO 的名称和优先级。

表格 4.政策设置对象
姓名 优先级
PSO-10 10
PSO-20 20
PSO-30 30
PSO-40 40
PSO-50 50
PSO-60 60
PSO-70 70
PSO-80 80
PSO-90 90
PSO-100 100

默认值会为每个 PSO 分配的密码政策设置。您可以更改这些值。表格 5 显示了这些默认设置。

表格 5. 默认 PSO 设置
政策 设置
已启用复杂度
锁定时长 30 分钟
锁定观察时段 30 分钟
锁定阈值 0
密码最长使用时间 42 天
密码最短使用使用 1 天
最小密码长度 7
密码最短使用使用 1 天
密码历史记录计数 24
已启用可撤消加密

用户

代管式 Microsoft AD 自动创建表格 6 中所示的用户。

表格 6.用户
姓名 说明
setupadmin(默认)

委派管理员帐号,您用它来管理您的网域。名称默认为 setupadmin;您可以在创建网域时指定其他名称。

运行命令重置网域密码将为此帐号设置密码。

cloudsvcadmin 托管式 Microsoft AD 用于管理网域的服务帐号。此帐号供系统使用,不应直接使用、修改或删除。

指派的管理员

表格 7 显示了在您配置网域时自动授予委派管理员帐号的 Active Directory 权限。这些权限由帐号的组成员身份授予,因此,如果您从其中一个组删除该帐号,则可能会影响其权限和可用操作。该帐号的默认名称为 setupadmin。如果您更改了帐号名称但不记得该值,则可以进行检索。详细了解如何使用委派管理员帐号

表格 7.委派管理员帐号权限
Active Directory 对象 标识名 委派管理员帐号可对对象执行的操作
OU=Cloud,DC=<domain-name>

可对 Cloud 组织单位下的任何对象类型执行 CRUD 操作

可以将 GPO 关联到此组织单位及其子组织单位

不能删除或重命名组织单位

托管式服务帐号容器 CN=Managed Service Accounts, DC=<domain-name> 可以创建、更新和删除组托管式服务帐号以及所有相关管理
MicrosoftDNS 容器 CN=MicrosoftDNS,CN=System, DC=<domain-name> 可以使用 DNS 管理器连接到集成了 AD 的 DNS 服务器。
DomainDNSZones 文件夹 CN=MicrosoftDNS, DC=DomainDNSZones,DC=<domain-name> 可以创建条件转发器、A 记录、CNAME 记录,DNS 委派、正向查找地区、反向查找地区
DomainDNSZones 文件夹 CN=MicrosoftDNS, DC=ForestDNSZones,DC=<domain-name> 可以创建条件转发器、A 记录、CNAME 记录,DNS 委派、正向查找地区、反向查找地区

委派管理员帐号

(默认名称:setupadmin

CN=<delegated-admin-name>, OU=Cloud Service Objects,DC=<domain-name>

可以更改在网域配置过程中自动创建的委派管理员帐号的密码

详细了解如何获取此帐号的名称重置其密码

云服务管理员 CN=Cloud Service Administrators, OU=Cloud Service Objects, DC=<domain-name>

可以向 Cloud Service Administrators 托管组添加或移除 AD 对象

添加到该组的所有帐号均被授予与委派管理员帐号相同的一组权限。

所有网站 CN=Sites,CN=Configuration, DC=<domain-name> 下的所有站点 可以更改 Active Directory 站点名称
所有托管组 OU=Cloud Service Objects, DC=<domain-name> 下的所有 Cloud 托管组

可以从预先创建的 Cloud 托管组中添加和移除 AD 对象

不适用于在 AD 安装过程中创建的内置 Active Directory 组

政策容器 CN=Policies, CN=System,DC=<domain-name>

可以创建、更新和删除组策略对象

不能编辑或删除默认网域控制器或默认网域政策 GPO

分区容器(UPN 后缀) CN=Partitions,CN=Configuration, DC=<domain-name> 可以更改 UPN 后缀
终端服务许可服务器 CN=Terminal Server License Servers,CN=Builtin, DC=<domain-name> 可以将具有 Terminal License Server 角色的 Windows 服务器添加到“终端服务许可服务器”内置组