常见问题

本页面提供了有关 Google Cloud的 Managed Service for Microsoft Active Directory 的常见问题解答。

我可以使用哪个用户账号来管理托管式 Microsoft AD？

当您创建新网域时，托管式 Microsoft AD 会自动创建一个委派的管理员账号。您可以使用此用户账号管理网域中的 Active Directory 对象。委托的管理员账号没有网域管理员和企业管理员权限，因为托管式 Microsoft AD 是一项托管服务，Google 保留使用这些权限的权利。

委派管理员账号有哪些功能？

委派的管理员账号有权执行一组特定的管理活动，以管理 Active Directory 对象。委托的管理员账号无权执行任何其他管理活动。例如，受托管理员无法创建和管理网域级政策，也无法使用标准 AD 工具执行管理任务，例如备份和恢复网域以及扩展架构。如需了解详情，请参阅委托的管理员。

不过，您可以通过托管式 Microsoft AD 使用这些功能。具有备份和恢复网域以及扩展架构所需权限的任何用户都可以启动这些任务。

如何管理组织部门 (OU)？

当您创建新网域时，托管式 Microsoft AD 会自动创建 Cloud 和 Cloud Service Objects OU 以及其他默认 Active Directory 对象。如需详细了解如何管理这些对象，请参阅管理 Active Directory 对象。

如何管理组策略对象 (GPO)？

默认情况下，托管式 Microsoft AD 会创建 Cloud Service Default Computer Policy GPO 以及其他默认 Active Directory 对象，并将其关联到 Cloud 组织部门。如果您需要其他 GPO，可以创建自定义 GPO，并将其添加到 Cloud 组织部门或您在 Cloud 组织部门下创建的任何其他自定义组织部门。如需详细了解如何管理这些对象，请参阅管理 Active Directory 对象。

如何部署网域控制器？

代管式 Microsoft AD 会在专用 Virtual Private Cloud (VPC) 网络中将网域控制器创建为虚拟机。然后，Managed Microsoft AD 会使用 VPC 网络对等互连将网域控制器 VPC 网络连接到您的其他现有 VPC 网络。

如需了解详情，请参阅部署 Active Directory 资源林。

哪些受支持的 Windows 和 Linux 版本可以加入网域？

如需了解您可以加入网域的受支持 Windows 和 Linux 版本，请参阅兼容的操作系统版本。

创建新的托管式 Microsoft AD 网域时，如何选择合适的 IP 地址范围？

托管式 Microsoft AD 至少需要 /24 专用 RFC 1918 CIDR 范围（例如 10.1.0.0/24），该范围不能是已获授权的 VPC 网络上的子网。

如需了解详情，请参阅选择 IP 地址范围。

在哪里可以查看网域控制器的事件日志？

您可以通过为网域设置审核日志记录来查看网域控制器的事件日志。

网域控制器维护期间会发生什么？维护期间是否会出现停机？

托管式 Microsoft AD 可确保每个区域至少有两个网域控制器在运行，且这些网域控制器位于不同的可用性区域。因此，在修补期间，网域将保持可用。如需了解详情，请参阅补丁。

在网域控制器上应用安全补丁的时间表是什么？

托管式 Microsoft AD 会针对不同的时间表在网域控制器上应用不同类型的补丁。如需了解详情，请参阅补丁时间表。

发生故障后能否恢复 Active Directory 数据？

代管式 Microsoft AD 支持对您的网域进行按需备份和自动备份。您可以使用任一类型的备份执行权威恢复，将网域恢复到先前的时间点。如需了解详情，请参阅备份和恢复您的网域。

我可以扩展 Active Directory 架构吗？

可以，您可以扩展托管式 Microsoft AD 网域的 Active Directory 架构。如需了解详情，请参阅架构扩展简介。

托管式 Microsoft AD 中的网域控制器使用哪种时间服务器？

托管式 Microsoft AD 中的网域控制器会将其时间与 metadata.google.internal 时间服务器同步。如需了解详情，请参阅在虚拟机上配置 NTP。

是否需要为每个托管式 Microsoft AD 网域单独创建一个项目？

不需要，您不需要单独的 Google Cloud 项目。默认情况下，您可以在同一项目中创建两个独立网域。与支持团队联系，以增加您可以在同一项目中创建的独立网域数量。