使用委派的管理員帳戶

本頁面說明如何在 Managed Service for Microsoft Active Directory 中使用委派的管理員帳戶,以及管理相關憑證。

總覽

建立受管理的 Microsoft AD 網域時,受管理的 Microsoft AD 會自動建立委派管理員帳戶。您可以使用這個帳戶管理網域。登入這個帳戶後,您可以執行下列工作:

  • 管理資料和 Active Directory 物件。
  • 管理其他服務管理員。
  • 使用標準的 Active Directory 工具。

進一步瞭解系統自動授予委派管理員帳戶的權限

取得帳戶名稱

根據預設,委派的管理員帳戶名稱為 setupadmin。建立網域後,您就無法變更使用者名稱。您只能在建立網域時指定自訂使用者名稱。如果您指定自訂使用者名稱,請務必遵循 SAM-Account-Name 屬性的命名慣例。

如要擷取委派管理員帳戶的名稱,請完成下列步驟:

主控台

  1. 在 Google Cloud 控制台中,前往「受管理的 Microsoft AD」頁面。
    前往代管的 Microsoft AD
  2. 在「FQDN」FQDN下方,選取要取得委派管理員帳戶名稱的網域。
  3. 帳戶名稱會列在「管理員名稱」下方。

gcloud

執行下列指令:

gcloud active-directory domains describe DOMAIN_NAME

回應內容為包含網域相關資訊的 YAML。委派的管理員帳戶名稱會列在 managedIdentitiesAdminName 欄位下方:

managedIdentitiesAdminName: setupadmin

重設密碼

如果您忘記委派管理員帳戶的密碼,就無法復原現有密碼。不過,您可以重設密碼。

如要重設委派管理員帳戶的密碼,您必須具備下列任一 IAM 角色:

  • Google Cloud Managed Identities 管理員 (roles/managedidentities.admin)
  • Google Cloud Managed Identities 網域管理員 (roles/managedidentities.domainAdmin)

詳情請參閱「Cloud 管理式身分識別資訊角色」。

主控台

  1. 在 Google Cloud 控制台中,前往「受管理的 Microsoft AD頁面。
    前往代管的 Microsoft AD

  2. 在「FQDN」FQDN下方,選取要重設委派管理員密碼的網域。

  3. 在「網域詳細資料」頁面中,選取「設定密碼」

  4. 在「Set password」對話方塊中,按一下「Confirm」

  5. 新的密碼會顯示在「New password」對話方塊中。

gcloud

執行下列指令:

gcloud active-directory domains reset-admin-password DOMAIN_NAME

這項作業最多可能需要 60 秒才能完成。

停用密碼到期功能

根據預設,委派管理員帳戶的密碼會在 42 天後到期。請務必在密碼到期前變更密碼。

您可以使用精細密碼政策 (FGPP),為委派的管理員帳戶停用密碼到期機制。使用 FGPP 時,您可以在必要密碼設定物件 (PSO) 中將 Maximum password age 政策設定的值設為「0」,並在委派的管理員帳戶上強制執行密碼政策。

如要停用委派管理員帳戶的密碼到期功能,您必須是 Cloud Service Fine Grained Password Policy Administrators 群組的成員。

  1. 如要將使用者新增至這個群組,請在 PowerShell 中執行下列指令:

    Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' 
    
 -Members USER
    USER 替換為您要加入 Cloud Service Fine Grained Password Policy Administrators 群組的使用者名稱。

    詳情請參閱「委派管理政策的權限」。

  2. 登出委派的管理員帳戶。

如要停用委派管理員帳戶的密碼到期機制,請按照下列步驟操作:

  1. Cloud Service Fine Grained Password Policy Administrators 群組成員身分登入。

  2. 如要將 MaxPasswordAge 屬性的值修改為「0」,請在 PowerShell 中執行下列指令:

    Set-ADFineGrainedPasswordPolicy -Identity PSO -MaxPasswordAge 0
    PSO 替換為您想使用 FGPP 停用密碼到期政策的 PSO 名稱。例如:PSO-10

    如要進一步瞭解 Set-ADFineGrainedPasswordPolicy 指令碼,請參閱「修改先前建立的密碼政策」。

  3. 如要將密碼政策套用至委派的管理員帳戶,請在 PowerShell 中執行下列指令:

    Add-ADFineGrainedPasswordPolicySubject PSO -Subjects DELEGATED_ADMINISTRATOR_ACCOUNT
    取代下列內容:

    • PSO:您停用密碼到期政策的 PSO 名稱。例如:PSO-10
    • DELEGATED_ADMINISTRATOR_ACCOUNT:您要停用密碼到期設定的委派管理員帳戶名稱。例如:setupadmin

    如要進一步瞭解 Add-ADFineGrainedPasswordPolicySubject 指令碼,請參閱「將使用者或群組新增至密碼政策」。

使用 Active Directory 網域服務工具

如要存取 Active Directory 網域服務 (AD DS) 工具,您必須使用委派的管理員帳戶。連線至 VM 執行個體時,請務必使用委派的管理員帳戶登入。連線至 VM 後,您無法切換帳戶或提供其他憑證。連線至 VM 後,您可以使用新增角色及功能精靈啟用 AD DS 工具。進一步瞭解如何啟用 AD DS 工具

建立 UPN 後置字串

目前網域和根網域的名稱是預設使用者主要名稱 (UPN) 後置字串。新增其他網域名稱可提供額外安全性,並簡化使用者登入名稱。

如要建立 UPN 後置字串,請完成下列步驟:

  1. 使用委派的管理員帳戶連線至 VM 執行個體
  2. 開啟「伺服器管理員」
  3. 在「工具」中,選取「Active Directory 網域和信任關係」
  4. 在「Active Directory Domains and Trusts」管理主控台中,按一下左側面板中的「Active Directory Domains and Trusts」,然後選取「Properties」
  5. 在對話方塊的「Alternate UPN suffixes」 方塊中,輸入新的 UPN 後置字串名稱。
  6. 按一下「Add」,然後點選「OK」

將新使用者帳戶新增至 Active Directory 後,設定使用者名稱時,清單中應會顯示可用的新 UPN 後置字串。