Diese Seite wurde von der Cloud Translation API übersetzt.

Delegiertes Administratorkonto verwenden

Auf dieser Seite erfahren Sie, wie Sie das delegierte Administratorkonto verwenden und dessen Anmeldedaten in Managed Service for Microsoft Active Directory verwalten.

Übersicht

Wenn Sie eine Managed Microsoft AD-Domain erstellen, wird in Managed Microsoft AD automatisch ein delegiertes Administratorkonto erstellt. Mit diesem Konto können Sie die Domain verwalten. Nachdem Sie sich in diesem Konto angemeldet haben, können Sie folgende Aufgaben ausführen:

Daten und Active Directory-Objekte verwalten
andere Dienstadministratoren verwalten
Verwenden Sie standardmäßige Active Directory-Tools.

Weitere Informationen zu den Rechten, die dem delegierten Administratorkonto automatisch gewährt werden

Kontonamen abrufen

Standardmäßig heißt das delegierte Administratorkonto setupadmin. Nachdem die Domain erstellt wurde, kann der Nutzername nicht mehr geändert werden. Sie können einen benutzerdefinierten Nutzernamen nur angeben, wenn Sie eine Domain erstellen. Wenn Sie einen benutzerdefinierten Nutzernamen angeben, beachten Sie die Benennungskonventionen des SAM-Kontonamen-Attributs.

So rufen Sie den Namen des delegierten Administratorkontos ab:

Console

Öffnen Sie in der Google Cloud Console die Seite Managed Microsoft AD.
Verwaltetes Microsoft AD aufrufen
Wählen Sie unter FQDN die Domain aus, für die Sie den Namen des delegierten Administratorkontos abrufen möchten.
Der Kontoname wird unter Administratorname aufgeführt.

gcloud

Führen Sie diesen Befehl aus:

gcloud active-directory domains describe DOMAIN_NAME

Die Antwort ist YAML mit Informationen zur Domain. Der Name des delegierten Administratorkontos ist im Feld managedIdentitiesAdminName aufgeführt:

managedIdentitiesAdminName: setupadmin

Passwort zurücksetzen

Wenn Sie das Passwort für das delegierte Administratorkonto vergessen haben, können Sie es nicht abrufen. Sie können das Passwort jedoch zurücksetzen.

Wenn Sie das Passwort des delegierten Administratorkontos zurücksetzen möchten, benötigen Sie eine der folgenden IAM-Rollen:

Google Cloud Managed Identities-Administrator (roles/managedidentities.admin)
Google Cloud Managed Identities-Domainadministrator (roles/managedidentities.domainAdmin)

Weitere Informationen finden Sie unter Rollen für verwaltete Identitäten in der Cloud.

Console

Öffnen Sie in der Google Cloud Console die Seite Managed Microsoft AD.
Verwaltetes Microsoft AD aufrufen
Wählen Sie unter FQDN die Domain aus, für die Sie das delegierte Administratorpasswort zurücksetzen möchten.
Wählen Sie auf der Seite Domain-Details die Option Passwort festlegen aus.
Klicken Sie im Dialogfeld Passwort festlegen auf Bestätigen.
Das neue Passwort wird im Dialogfeld Neues Passwort angezeigt.

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud active-directory domains reset-admin-password DOMAIN_NAME

Dieser Vorgang kann bis zu 60 Sekunden dauern.

Ablauf des Passworts deaktivieren

Das Passwort für das delegierte Administratorkonto läuft standardmäßig nach 42 Tagen ab. Ändern Sie das Passwort, bevor es abläuft.

Sie können detaillierte Passwortrichtlinien (FGPP) verwenden, um das Ablaufen des Passworts für das delegierte Administratorkonto zu deaktivieren. Mithilfe von FGPP können Sie den Wert der Maximum password age-Richtlinieneinstellung in den erforderlichen Passworteinstellungsobjekten (PSO) auf „0“ festlegen und die Passwortrichtlinie für das delegierte Administratorkonto erzwingen.

Wenn Sie das Ablaufen von Passwörtern für Ihr delegiertes Administratorkonto deaktivieren möchten, müssen Sie Mitglied der Gruppe Cloud Service Fine Grained Password Policy Administrators sein.

Führen Sie den folgenden Befehl in PowerShell aus, um dieser Gruppe einen Nutzer hinzuzufügen:
```
Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' 

 -Members USER
```
Ersetzen Sie USER durch den Namen des Nutzers, den Sie der Gruppe Cloud Service Fine Grained Password Policy Administrators hinzufügen möchten.

Weitere Informationen finden Sie unter Berechtigungen zum Verwalten von Richtlinien delegieren.
Melden Sie sich vom delegierten Administratorkonto ab.

Hinweis: Wenn Sie setupadmin der Gruppe Cloud Service Fine Grained Password Policy Administrators hinzufügen, müssen Sie die VM neu starten, anstatt sich von dem Konto abzumelden.

So deaktivieren Sie das Ablaufen des Passworts für Ihr delegiertes Administratorkonto:

Melden Sie sich als Mitglied der Gruppe Cloud Service Fine Grained Password Policy Administrators an.
Führen Sie den folgenden Befehl in PowerShell aus, um den Wert der MaxPasswordAge-Eigenschaft in „0“ zu ändern:
```
Set-ADFineGrainedPasswordPolicy -Identity PSO -MaxPasswordAge 0
```
Ersetzen Sie PSO durch den Namen der PSO, in der Sie die Passwortablaufrichtlinie mithilfe von FGPP deaktivieren möchten. Beispiel: PSO-10

Weitere Informationen zum Cmdlet Set-ADFineGrainedPasswordPolicy finden Sie unter Vorkonfigurierte Passwortrichtlinie ändern.
Führen Sie den folgenden Befehl in PowerShell aus, um die Passwortrichtlinie auf Ihr delegiertes Administratorkonto anzuwenden:
```
Add-ADFineGrainedPasswordPolicySubject PSO -Subjects DELEGATED_ADMINISTRATOR_ACCOUNT
```
Ersetzen Sie Folgendes:
- PSO: Name der PSO, in der Sie die Richtlinie zum Ablauf von Passwörtern deaktiviert haben. Beispiel: PSO-10.
- DELEGATED_ADMINISTRATOR_ACCOUNT: Name des delegierten Administratorkontos, für das Sie das Ablaufen des Passworts deaktivieren möchten. Beispiel: setupadmin.
Weitere Informationen zum Add-ADFineGrainedPasswordPolicySubject-Cmdlet finden Sie unter Nutzer oder Gruppe zu einer Passwortrichtlinie hinzufügen.

Active Directory Domain Services-Tools verwenden

Für den Zugriff auf die Tools von Active Directory Domain Services (AD DS) müssen Sie das delegierte Administratorkonto verwenden. Wenn Sie eine Verbindung zur VM-Instanz herstellen, müssen Sie sich mit dem delegierten Administratorkonto anmelden. Sie können das Konto nicht mehr wechseln, nachdem Sie eine Verbindung zur VM hergestellt haben oder zusätzliche Anmeldedaten angegeben werden. Nachdem Sie eine Verbindung zur VM hergestellt haben, können Sie den Assistent zum Hinzufügen von Rollen und Features aktivieren, um die AD DS-Tools zu aktivieren. Informationen zu AD DS-Tools aktivieren

UPN-Suffix erstellen

Die Namen der aktuellen Domain und der Stammdomain sind die standardmäßigen UPN-Suffixe. Das Hinzufügen alternativer Domainnamen bietet zusätzliche Sicherheit und vereinfacht die Anmeldung von Nutzern.

So erstellen Sie ein UPN-Suffix:

Stellen Sie mit dem delegierten Administratorkonto eine Verbindung zur VM-Instanz her.
Öffnen Sie Server-Manager.
Wählen Sie unter Tools die Option Active Directory-Domains und Vertrauensstellungen aus.
Wählen Sie in der Active Directory Domains und Vertrauensstellungen Verwaltungskonsole mit der rechten Maustaste Active Directory-Domains und Vertrauensstellungen im linken Bereich und wählen Sie dann Immobilien, um die Option zu aktivieren.
Geben Sie im Dialogfeld im Feld Alternative UPN-Suffixe den Namen des neuen UPN-Suffixs ein.
Klicken Sie auf Hinzufügen und dann auf OK.

Wenn Sie Active Directory ein neues Benutzerkonto hinzufügen, sollte beim Festlegen des Benutzernamens das neue UPN-Suffix in der Liste angezeigt werden.