Active Directory-Objekte verwalten

Auf dieser Seite wird beschrieben, wie Sie die Active Directory-Objekte in Ihrer Managed Service for Microsoft Active Directory-Domain verwalten.

Hinweise

Bevor Sie Ihre Active Directory-Objekte verwalten, führen Sie die folgenden Schritte aus:

RSAT installieren

Zum Verwalten der Active Directory-Objekte müssen Sie RSAT nur einmal in jeder verwalteten Microsoft AD-Domain installieren.

So installieren Sie RSAT:

  1. Stellen Sie eine Verbindung zur Windows-VM her.

  2. Öffnen Sie auf der Windows-VM den Assistenten zum Hinzufügen von Rollen und Features.

  3. Rufen Sie im Assistent zum Hinzufügen von Rollen und Features die Seite Features auswählen auf. Sie können entweder im Seitenleistenmenü Funktionen auswählen oder auf Weiter klicken, bis die Seite Funktionen auswählen angezeigt wird.

  4. Maximieren Sie auf der Seite Features auswählen in der Liste Features die Option Remoteserver-Verwaltungstools und maximieren Sie dann Rollen-Verwaltungstools.

  5. Wählen Sie unter Rollenverwaltungstools die Option AD DS- und AD LDS-Tools aus. Dadurch werden die folgenden Funktionen aktiviert:

    • Active Directory-Modul für Windows PowerShell
    • AD LDS-Snap-ins und Befehlszeilentools
    • Active Directory-Verwaltungszentrum
    • AD DS-Snap-ins und Befehlszeilentools

  6. Optional: Sie können auch die folgenden Funktionen aktivieren:

    • Gruppenrichtlinien-Verwaltung
    • DNS-Servertools (unter Rollenverwaltungstools)

  7. Klicken Sie auf Weiter.

  8. Klicken Sie auf der Seite Bestätigung auf Installieren.

  9. Klicken Sie auf der Seite Ergebnisse auf Schließen.

Objekte verwalten

Aus Sicherheitsgründen können Sie weder über das Remote Desktop Protocol (RDP) noch über andere Tools direkt auf den Domaincontroller zugreifen. Sie können stattdessen mit RDP eine Verbindung zu einer mit einer Domain verbundenen VM herstellen und die standardmäßigen AD-Tools verwenden, um remote mit den Active Directory-Objekten in Ihrer Domain zu arbeiten.

So verwalten Sie Ihre Active Directory-Objekte:

  1. Stellen Sie eine Verbindung zur Windows-VM her, die Sie mit der Managed Microsoft AD-Domain verbunden haben. Weitere Informationen finden Sie unter Verbindung zu Windows-VMs über RDP herstellen.

  2. Öffnen Sie die Konsole Active Directory-Nutzer und -Computer (dsa.msc).

  3. Wählen Sie den Active Directory-Domainnamen aus und maximieren Sie das Element.

  4. Verwenden Sie die von Managed Microsoft AD bereitgestellten Organisationseinheiten (OE), um Ihre Active Directory-Objekte zu verwalten. Sie haben zwar die vollständige Kontrolle über die Objekte in der OE Cloud, können aber nur einige Attribute der Objekte in der OE Cloud Service Objects aktualisieren.

Sie benötigen die erforderlichen Berechtigungen, um Ihre Active Directory-Objekte zu verwalten. Informationen dazu, welche Nutzer Berechtigungen für welche Active Directory-Objekte haben, finden Sie unter Standard-Active Directory-Objekte.

Sie können nur wenige Active Directory-Verwaltungsaufgaben in Ihrer Domain ausführen, z. B. Vertrauensstellungen erstellen, das Schema erweitern und die SID-Filterung deaktivieren. Sie müssen die Google Cloud Console, die gcloud CLI oder APIs verwenden, um diese Aufgaben auszuführen, und nicht die standardmäßigen AD-Tools.

Organisationseinheiten

Managed Microsoft AD bietet zwei OEs, Cloud und Cloud Service Objects.

Mit Managed Microsoft AD wird Cloud in Ihrer Managed Microsoft AD-Domain erstellt, um alle AD-Objekte zu hosten. Sie haben vollständigen Administratorzugriff auf diese OE. Mithilfe der OE Cloud können Sie Nutzer, Gruppen, Computer oder weitere untergeordnete OEs erstellen.

Die OE Cloud Service Objects hostet AD-Objekte, die von Managed Microsoft AD erstellt und verwaltet werden. Nur Google Cloud kann Objekte unter dieser OE erstellen, aber Sie können einige ihrer Attribute aktualisieren.

Weitere Informationen zu den Gruppen unter der Organisationseinheit Cloud Service Objects finden Sie unter Gruppen.

Sie können nur die Organisationseinheiten Cloud und Cloud Service Objects verwalten. Managed Microsoft AD reserviert die Erstellung von Active Directory-Objekten für andere OEs. Dies bietet den zusätzlichen Vorteil und erhöht die Sicherheit von AD-Richtlinien, die für OEs gelten.