Se usó la API de Cloud Translation para traducir esta página.

Usar la cuenta de administrador delegada

En esta página, se muestra cómo usar la cuenta de administrador delegada y administrar sus credenciales en el servicio administrado para Microsoft Active Directory.

Descripción general

Cuando creas un dominio de Microsoft AD administrado, este crea automáticamente una cuenta de administrador delegada. Puedes usarla para administrar el dominio. Después de acceder a esta cuenta, puedes realizar las siguientes tareas:

Administrar datos y objetos de Active Directory
Gestiona a otros administradores de servicios.
Usar herramientas estándar de Active Directory

Obtén más información sobre los derechos que se otorgan automáticamente a la cuenta de administrador delegada.

Obtener nombre de cuenta

De forma predeterminada, la cuenta de administrador delegada se llama setupadmin. Después del dominio no puedes cambiar el nombre de usuario. Puedes especificar un nombre de usuario personalizado solo cuando creas un dominio. Si especificas un nombre de usuario personalizado, asegúrate de seguir las convenciones de nomenclatura de Nombre-de-la-cuenta-SAM .

Para recuperar el nombre de la cuenta de administrador delegada, completa los siguientes pasos:

Console

En la consola de Google Cloud, ve a la página Microsoft AD administrado.
Ir a Microsoft AD administrado
En FQDN, seleccione el dominio para el que desea obtener el nombre de la cuenta de administrador delegada.
El nombre de la cuenta aparece en Nombre del administrador.

gcloud

Ejecuta el siguiente comando:

gcloud active-directory domains describe DOMAIN_NAME

La respuesta es YAML con información sobre el dominio. El nombre de la cuenta de administrador delegada aparece en el campo managedIdentitiesAdminName:

managedIdentitiesAdminName: setupadmin

Restablecer la contraseña

Si olvidas la contraseña de la cuenta de administrador delegada, no podrás recuperar la contraseña existente. Sin embargo, puedes restablecer la contraseña.

Para restablecer la contraseña de la cuenta de administrador delegada, debes tener uno de los siguientes roles de IAM:

Administrador de identidades administradas de Google Cloud (roles/managedidentities.admin)
Administrador de dominios de identidades administradas de Google Cloud (roles/managedidentities.domainAdmin)

Para obtener más información, consulta Funciones de identidades administradas en la nube.

Console

En la consola de Google Cloud, ve a la página Microsoft AD administrado.
Ir a Microsoft AD administrado
En FQDN, seleccione el dominio del que desea restablecer la contraseña de administrador delegada.
En la página Detalles del dominio, selecciona la opción Establecer contraseña.
En el cuadro de diálogo Establecer contraseña, haz clic en Confirmar.
La nueva contraseña se mostrará en el cuadro de diálogo Contraseña nueva.

gcloud

Ejecuta el siguiente comando:

gcloud active-directory domains reset-admin-password DOMAIN_NAME

Esta operación puede tardar hasta 60 segundos en completarse.

Inhabilitar el vencimiento de la contraseña

Según la configuración predeterminada, la contraseña de la cuenta de administrador delegada vence en un plazo de 42 días. Asegúrate de cambiarla antes de que venza.

Puedes usar políticas de contraseñas detalladas (FGPP) para inhabilitar el vencimiento de las contraseñas de la cuenta de administrador delegada. Con FGPP, puedes establecer en “0” el valor de la configuración de política Maximum password age en los objetos de configuración de contraseñas obligatorios (PSO). y aplicar la política de contraseñas en la cuenta de administrador delegada.

Para inhabilitar el vencimiento de contraseñas de tu cuenta de administrador delegado, debes ser miembro del grupo Cloud Service Fine Grained Password Policy Administrators.

Para agregar un usuario a este grupo, ejecuta el siguiente comando en PowerShell:
```
Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' 

 -Members USER
```
Reemplaza USER por el nombre del usuario que deseas agregar al grupo Cloud Service Fine Grained Password Policy Administrators.

Si deseas obtener más información, consulta Delega permisos para administrar políticas.
Cierra la sesión de la cuenta de administrador delegada.

Nota: Si agregas setupadmin al grupo Cloud Service Fine Grained Password Policy Administrators, debes reiniciar la VM en lugar de salir de la cuenta.

Para inhabilitar el vencimiento de la contraseña de la cuenta de administrador delegado, haz lo siguiente:

Accede como miembro del grupo Cloud Service Fine Grained Password Policy Administrators.
Para modificar el valor de la propiedad MaxPasswordAge a "0", ejecuta el siguiente comando en PowerShell:
```
Set-ADFineGrainedPasswordPolicy -Identity PSO -MaxPasswordAge 0
```
Reemplaza PSO por el nombre del PSO en el que deseas inhabilitar la política de vencimiento de contraseñas con FGPP. Por ejemplo, PSO-10.

Para obtener más información sobre el cmdlet Set-ADFineGrainedPasswordPolicy, consulta Modifica una política de contraseñas creada con anterioridad.
Para aplicar la política de contraseñas a tu cuenta de administrador delegada, ejecuta el siguiente comando en PowerShell:
```
Add-ADFineGrainedPasswordPolicySubject PSO -Subjects DELEGATED_ADMINISTRATOR_ACCOUNT
```
Reemplaza lo siguiente:
- PSO: Es el nombre de la PSO en la que inhabilitaste la política de vencimiento de contraseñas. Por ejemplo, PSO-10
- DELEGATED_ADMINISTRATOR_ACCOUNT: Es el nombre de la cuenta de administrador delegado para la que deseas inhabilitar el vencimiento de las contraseñas. Por ejemplo, setupadmin
Para obtener más información sobre el cmdlet Add-ADFineGrainedPasswordPolicySubject, consulta Cómo agregar un usuario o grupo a una política de contraseñas.

Usa las herramientas de los servicios de dominio de Active Directory

Para acceder a las herramientas de Servicios de dominio de Active Directory (AD DS), debes usar la cuenta de administrador delegada. Cuando te conectes a la instancia de VM, asegúrate de acceder con la cuenta de administrador delegada. No puedes cambiar de cuenta después de conectarte a la VM o proporcionar credenciales adicionales. Después de conectarte a la VM, puedes usar el Asistente para agregar funciones y características para habilitar las herramientas de AD DS. Obtén más información sobre cómo habilitar las herramientas de AD DS.

Crea un sufijo UPN

Los nombres del dominio actual y del dominio raíz son los sufijos principales del nombre de usuario (UPN) predeterminado. Agregar nombres de dominio alternativos proporciona seguridad adicional y simplifica los nombres de acceso de los usuarios.

Para crear un sufijo UPN, completa los siguientes pasos:

Conéctate a la instancia de VM con la cuenta de administrador delegada.
Abre Administrador del servidor.
Desde Herramientas, seleccione Dominios y confianzas de Active Directory.
En la consola de administración Dominios y confianzas de Active Directory, haga clic con el botón derecho en Dominios y confianzas de Active Directory en el panel izquierdo y luego seleccione Propiedades.
En el cuadro de diálogo Parámetros de UPN alternativos, escribe el nombre del nuevo sufijo UPN.
Haz clic en Agregar y, luego, en Aceptar.

Cuando agregas una cuenta de usuario nueva a Active Directory, debes ver el nuevo sufijo UPN disponible en la lista cuando configuras el nombre de usuario.