Cette page a été traduite par l'API Cloud Translation.

Utiliser un compte administrateur délégué

Cette page explique comment utiliser le compte administrateur délégué et gérer ses identifiants dans le service géré pour Microsoft Active Directory.

Présentation

Lorsque vous créez un domaine Microsoft AD géré, Managed Microsoft AD crée automatiquement un compte administrateur délégué. Vous pouvez utiliser ce compte pour gérer le domaine. Une fois connecté à ce compte, vous pouvez effectuer les tâches suivantes:

Gérer les données et les objets Active Directory
Gérer d'autres administrateurs de services
Utilisez les outils Active Directory standards.

En savoir plus sur les droits accordés automatiquement au compte administrateur délégué

Obtenir le nom du compte

Par défaut, le compte administrateur délégué est nommé setupadmin. Une fois le domaine créé, vous ne pouvez plus modifier le nom d'utilisateur. Vous ne pouvez spécifier un nom d'utilisateur personnalisé que lorsque vous créez un domaine. Si vous spécifiez un nom d'utilisateur personnalisé, veillez à respecter les conventions d'attribution de noms de l'attribut SAM-Account-Name.

Pour récupérer le nom du compte administrateur délégué, procédez comme suit:

Console

Dans la console Google Cloud, accédez à la page Service Microsoft AD géré.
Accéder à Managed Microsoft AD
Sous Nom de domaine complet, sélectionnez le domaine pour lequel vous souhaitez obtenir le nom du compte administrateur délégué.
Le nom du compte apparaît sous Nom de l'administrateur.

gcloud

Exécutez la commande suivante :

gcloud active-directory domains describe DOMAIN_NAME

La réponse est un code YAML contenant des informations sur le domaine. Le nom du compte administrateur délégué apparaît sous le champ managedIdentitiesAdminName :

managedIdentitiesAdminName: setupadmin

Réinitialiser le mot de passe

Si vous avez oublié le mot de passe du compte administrateur délégué, vous ne pouvez pas le récupérer. Vous pouvez toutefois réinitialiser le mot de passe.

Pour réinitialiser le mot de passe du compte administrateur délégué, vous devez disposer de l'un des rôles IAM suivants:

Administrateur Google Cloud Managed Identities (roles/managedidentities.admin)
Administrateur de domaine Google Cloud Managed Identities (roles/managedidentities.domainAdmin)

Pour en savoir plus, consultez la section Rôles des identités gérées par le cloud.

Console

Dans la console Google Cloud, accédez à la page Service Microsoft AD géré.
Accéder à Managed Microsoft AD
Sous Nom de domaine complet, sélectionnez le domaine pour lequel vous souhaitez réinitialiser le mot de passe du compte administrateur délégué.
Sur la page Détails du domaine, sélectionnez Définir le mot de passe.
Dans la boîte de dialogue Définir le mot de passe, cliquez sur Confirmer.
Le nouveau mot de passe s'affiche dans la boîte de dialogue Nouveau mot de passe.

gcloud

Exécutez la commande suivante :

gcloud active-directory domains reset-admin-password DOMAIN_NAME

Cette opération peut prendre jusqu'à 60 secondes.

Désactiver l'expiration du mot de passe

Par défaut, le mot de passe du compte administrateur délégué expire au bout de 42 jours. Veillez à modifier le mot de passe avant son expiration.

Vous pouvez utiliser des règles de mot de passe ultraprécises (FGPP) pour désactiver l'expiration du mot de passe du compte administrateur délégué. À l'aide des règles de mot de passe ultraprécises, vous pouvez définir la valeur du paramètre de stratégie Maximum password age dans les objets de paramètre de mot de passe (PSO) requis sur "0" et appliquer la stratégie de mot de passe au compte administrateur délégué.

Pour désactiver l'expiration du mot de passe pour votre compte administrateur délégué, vous devez être membre du groupe Cloud Service Fine Grained Password Policy Administrators.

Pour ajouter un utilisateur à ce groupe, exécutez la commande suivante dans PowerShell:
```
Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' 

 -Members USER
```
Remplacez USER par le nom de l'utilisateur que vous souhaitez ajouter au groupe Cloud Service Fine Grained Password Policy Administrators.

Pour en savoir plus, consultez Déléguer des autorisations pour gérer les règles.
Déconnectez-vous du compte administrateur délégué.

Remarque :Si vous ajoutez setupadmin au groupe Cloud Service Fine Grained Password Policy Administrators, vous devez redémarrer la VM au lieu de vous déconnecter du compte.

Pour désactiver l'expiration du mot de passe de votre compte administrateur délégué, procédez comme suit:

Connectez-vous en tant que membre du groupe Cloud Service Fine Grained Password Policy Administrators.
Pour modifier la valeur de la propriété MaxPasswordAge sur "0", exécutez la commande suivante dans PowerShell:
```
Set-ADFineGrainedPasswordPolicy -Identity PSO -MaxPasswordAge 0
```
Remplacez PSO par le nom de la PSO dans laquelle vous souhaitez désactiver la règle d'expiration des mots de passe à l'aide de FGPP. Par exemple, PSO-10.

Pour en savoir plus sur la cmdlet Set-ADFineGrainedPasswordPolicy, consultez Modifier une stratégie de mots de passe prédéfinie.
Pour appliquer la règle de mot de passe à votre compte administrateur délégué, exécutez la commande suivante dans PowerShell:
```
Add-ADFineGrainedPasswordPolicySubject PSO -Subjects DELEGATED_ADMINISTRATOR_ACCOUNT
```
Remplacez les éléments suivants :
- PSO: nom de la PSO dans laquelle vous avez désactivé la stratégie d'expiration des mots de passe. Exemple :PSO-10
- DELEGATED_ADMINISTRATOR_ACCOUNT: nom du compte administrateur délégué pour lequel vous souhaitez désactiver l'expiration du mot de passe. Exemple :setupadmin
Pour en savoir plus sur la cmdlet Add-ADFineGrainedPasswordPolicySubject, consultez Ajouter un utilisateur ou un groupe à une règle de mots de passe.

Utiliser les outils des services de domaine Active Directory

Pour accéder aux outils des services de domaine Active Directory (AD DS), vous devez utiliser le compte administrateur délégué. Lorsque vous vous connectez à l'instance de VM, veillez à vous connecter à l'aide du compte administrateur délégué. Une fois connecté à la VM, vous ne pouvez pas changer de compte ou fournir des identifiants supplémentaires. Après vous être connecté à la VM, vous pouvez utiliser l'Assistant Ajout de rôles et de fonctionnalités afin d'activer les outils AD DS. En savoir plus sur l'activation des outils AD DS.

Créer un suffixe UPN

Les noms du domaine actuel et du domaine racine sont les suffixes de nom d'utilisateur principal (UPN) par défaut. L'ajout de noms de domaine alternatifs offre une sécurité supplémentaire et simplifie les noms de connexion des utilisateurs.

Pour créer un suffixe UPN, procédez comme suit:

Connectez-vous à l'instance de VM à l'aide du compte administrateur délégué.
Ouvrez le Gestionnaire de serveurs.
Dans Outils, sélectionnez Domaines et approbations Active Directory.
Dans la console de gestion Domaines et approbations Active Directory, effectuez un clic droit sur Domaines et approbations Active Directory dans le volet de gauche, puis sélectionnez Propriétés.
Dans la boîte de dialogue, dans la zone Suffixes UPN alternatifs, saisissez le nom du nouveau suffixe UPN.
Cliquez sur Ajouter, puis sur OK.

Lorsque vous ajoutez un nouveau compte utilisateur dans Active Directory, vous devez voir le nouveau suffixe UPN apparaître dans la liste lors de la définition du nom d'utilisateur.