Halaman ini menunjukkan cara menggunakan akun administrator delegasi dan mengelola kredensialnya di Google Cloud Managed Service untuk Microsoft Active Directory.
Ringkasan
Saat Anda membuat domain Microsoft AD Terkelola, Microsoft AD Terkelola akan otomatis membuat akun administrator yang didelegasikan. Anda dapat menggunakan akun ini untuk mengelola domain. Setelah login ke akun ini, Anda dapat melakukan tugas berikut:
- Mengelola data dan objek Active Directory.
- Mengelola administrator layanan lainnya.
- Menggunakan alat Active Directory standar.
Pelajari lebih lanjut hak yang otomatis diberikan ke akun administrator yang didelegasikan.
Dapatkan nama akun
Secara default, akun administrator yang didelegasikan diberi nama setupadmin
. Setelah pembuatan domain, Anda tidak dapat mengubah nama pengguna. Anda dapat menentukan nama pengguna kustom hanya saat Anda membuat domain. Jika menentukan nama pengguna kustom, pastikan Anda mengikuti konvensi penamaan atribut SAM-Account-Name.
Untuk mengambil nama akun administrator yang didelegasikan, selesaikan langkah-langkah berikut:
Konsol
- Di konsol Google Cloud, buka halaman Managed Microsoft AD.
Buka Microsoft AD Terkelola - Di bagian FQDN, pilih domain untuk mendapatkan nama akun administrator yang didelegasikan.
- Nama akun tercantum di bagian Nama admin.
gcloud
Jalankan perintah berikut:
gcloud active-directory domains describe DOMAIN_NAME
Responsnya adalah YAML yang berisi informasi tentang domain. Nama akun administrator
yang didelegasikan tercantum di kolom
managedIdentitiesAdminName
:
managedIdentitiesAdminName: setupadmin
Reset sandi
Jika lupa sandi untuk akun administrator yang didelegasikan, Anda tidak dapat mengambil sandi yang ada. Namun, Anda dapat mereset sandi.
Untuk mereset sandi akun administrator yang didelegasikan, Anda harus memiliki salah satu peran IAM berikut:
- Admin Google Cloud Managed Identities (
roles/managedidentities.admin
) - Admin Domain Identitas yang Dikelola Google Cloud (
roles/managedidentities.domainAdmin
)
Untuk mengetahui informasi selengkapnya, lihat Peran Cloud Managed Identities.
Konsol
Di konsol Google Cloud, buka halaman Managed Microsoft AD.
Buka Microsoft AD TerkelolaDi bagian FQDN, pilih domain untuk mereset sandi administrator yang didelegasikan.
Di halaman Domain details, pilih Set Password.
Pada dialog Setel sandi, klik Konfirmasi.
Sandi baru akan ditampilkan di dialog New password.
gcloud
Jalankan perintah berikut:
gcloud active-directory domains reset-admin-password DOMAIN_NAME
Operasi ini dapat memerlukan waktu hingga 60 detik hingga selesai.
Nonaktifkan akhir masa berlaku sandi
Secara default, masa berlaku sandi untuk akun administrator yang didelegasikan akan berakhir setelah 42 hari. Pastikan Anda mengubah kata sandi sebelum kedaluwarsa.
Anda dapat menggunakan kebijakan sandi mendetail (FGPP) untuk menonaktifkan akhir masa berlaku sandi bagi akun administrator yang didelegasikan. Dengan FGPP, Anda dapat menetapkan nilai setelan kebijakan Maximum password age
di objek setelan sandi (PSO) yang diperlukan ke "0" dan menerapkan kebijakan sandi di akun administrator yang didelegasikan.
Untuk menonaktifkan akhir masa berlaku sandi bagi akun administrator yang didelegasikan, Anda harus menjadi anggota grup Cloud Service Fine Grained Password Policy Administrators
.
Untuk menambahkan pengguna ke grup ini, jalankan perintah berikut di PowerShell:
Ganti USER dengan nama pengguna yang ingin Anda tambahkan ke grupAdd-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators'
-Members USERCloud Service Fine Grained Password Policy Administrators
.Untuk informasi selengkapnya, lihat Mendelegasikan izin untuk mengelola kebijakan.
Keluar dari akun administrator yang didelegasikan.
Untuk menonaktifkan akhir masa berlaku sandi bagi akun administrator yang didelegasikan, lakukan hal berikut:
Login sebagai anggota grup
Cloud Service Fine Grained Password Policy Administrators
.Untuk mengubah nilai properti
MaxPasswordAge
menjadi "0", jalankan perintah berikut di PowerShell: Ganti PSO dengan nama PSO tempat Anda ingin menonaktifkan kebijakan akhir masa berlaku sandi menggunakan FGPP. Contoh,Set-ADFineGrainedPasswordPolicy -Identity PSO -MaxPasswordAge 0
PSO-10
.Untuk informasi selengkapnya tentang cmdlet
Set-ADFineGrainedPasswordPolicy
, lihat Mengubah kebijakan sandi yang dibuat sebelumnya.Untuk menerapkan kebijakan sandi ke akun administrator yang didelegasikan, jalankan perintah berikut di PowerShell:
Ganti kode berikut:Add-ADFineGrainedPasswordPolicySubject PSO -Subjects DELEGATED_ADMINISTRATOR_ACCOUNT
- PSO: Nama PSO tempat Anda menonaktifkan kebijakan akhir masa berlaku sandi. Contoh,
PSO-10
. - DELEGATED_ADMINISTRATOR_ACCOUNT: Nama akun administrator yang didelegasikan yang ingin Anda nonaktifkan akhir masa berlaku sandinya. Contoh,
setupadmin
.
Untuk informasi selengkapnya tentang cmdlet
Add-ADFineGrainedPasswordPolicySubject
, lihat Menambahkan pengguna atau grup ke kebijakan sandi.- PSO: Nama PSO tempat Anda menonaktifkan kebijakan akhir masa berlaku sandi. Contoh,
Menggunakan alat Layanan Domain Active Directory
Untuk mengakses alat Layanan Domain Active Directory (AD DS), Anda harus menggunakan akun administrator yang didelegasikan. Saat terhubung ke instance VM, pastikan Anda login dengan akun administrator yang didelegasikan. Anda tidak dapat mengganti akun setelah terhubung ke VM atau memberikan kredensial tambahan. Setelah terhubung ke VM, Anda dapat menggunakan Wizard Tambahkan Peran dan Fitur untuk mengaktifkan alat AD DS. Pelajari lebih lanjut cara mengaktifkan alat AD DS.
Buat akhiran UPN
Nama domain saat ini dan domain root adalah akhiran nama utama pengguna (UPN) default. Menambahkan nama domain alternatif akan memberikan keamanan tambahan dan menyederhanakan nama login pengguna.
Untuk membuat akhiran UPN, selesaikan langkah-langkah berikut:
- Hubungkan ke instance VM dengan akun administrator yang didelegasikan.
- Buka Server Manager.
- Dari Tools, pilih Active Directory Domains and Trusts.
- Di konsol pengelolaan Active Directory Domains and Trusts, klik kanan Active Directory Domains and Trusts di panel kiri, lalu pilih Properties.
- Di kotak dialog, di kotak Suffix UPN alternatif, ketik nama akhiran UPN baru.
- Klik Add, lalu klik OK.
Saat menambahkan akun pengguna baru ke Active Directory, Anda akan melihat akhiran UPN baru yang tersedia dalam daftar saat menetapkan nama pengguna.