Cette page a été traduite par l'API Cloud Translation.

Gérer les objets Active Directory

Cette page explique comment gérer les objets Active Directory de votre domaine Managed Service for Microsoft Active Directory.

Avant de commencer

Avant de gérer vos objets Active Directory, vous devez effectuer les étapes suivantes :

Créez un domaine Microsoft AD géré.
Joignez votre VM Windows au domaine.
Installez les outils d'administration de serveur distant (RSAT).

Installer RSAT

Pour gérer les objets Active Directory, vous devez installer RSAT une seule fois sur chaque domaine Microsoft AD géré.

Pour installer RSAT, procédez comme suit:

Connectez-vous à la VM Windows.
Sur la VM Windows, ouvrez l'Assistant Ajout de rôles et de fonctionnalités.
Dans l'Assistant Ajout de rôles et de fonctionnalités, accédez à la page Sélectionner des fonctionnalités. Vous pouvez sélectionner Fonctionnalités dans le menu de la barre latérale ou cliquer sur Suivant jusqu'à ce que la page Sélectionner des fonctionnalités s'affiche.
Sur la page Sélectionner des fonctionnalités, développez Remote Server Administration Tools (Outils d'administration des serveurs distants) dans la liste Features (Fonctionnalités), puis développez Role Administration Tools (Outils d'administration des rôles).
Sous Outils d'administration des rôles, sélectionnez Outils AD DS et AD LDS. Cela permet d'activer les fonctionnalités suivantes :
- Module Active Directory pour Windows PowerShell
- Composants logiciels enfichables AD DS et outils de ligne de commande
- Centre d'administration Active Directory
- Composants logiciels enfichables AD DS et outils de ligne de commande
Remarque :Microsoft AD géré n'est pas compatible avec la fonctionnalité Corbeille Active Directory.
Facultatif: Si vous le souhaitez, vous pouvez également activer les fonctionnalités suivantes:
- Gestion des stratégies de groupe
- Outils de serveur DNS (sous Outils d'administration des rôles)
Cliquez sur Suivant.
Sur la page Confirmation, cliquez sur Installer.
Sur la page Résultats, cliquez sur Fermer.

Gérer des objets

Pour des raisons de sécurité, vous ne pouvez pas accéder directement au contrôleur de domaine à l'aide du protocole RDP (Remote Desktop Protocol) ni d'autres outils. Au lieu de cela, vous pouvez vous connecter à une VM jointe à un domaine à l'aide de RDP et utiliser les outils AD standards pour travailler à distance avec les objets Active Directory de votre domaine.

Pour gérer vos objets Active Directory, procédez comme suit:

Connectez-vous à la VM Windows que vous avez associée au domaine Microsoft AD géré. Pour en savoir plus, consultez la section Se connecter à des VM Windows à l'aide de RDP.
Ouvrez la console Utilisateurs et ordinateurs Active Directory (dsa.msc).
Sélectionnez le nom du domaine Active Directory, puis développez l'élément.
Pour gérer vos objets Active Directory, utilisez les unités organisationnelles (UO) fournies par le service Microsoft AD géré. Bien que vous ayez le contrôle total des objets dans l'UO Cloud, vous ne pouvez mettre à jour que certains attributs des objets dans l'UO Cloud Service Objects.

Vous devez disposer des autorisations nécessaires pour gérer vos objets Active Directory. Pour savoir quels utilisateurs disposent d'autorisations sur quels objets Active Directory, consultez la section Objets Active Directory par défaut.

Vous ne pouvez effectuer que quelques tâches administratives Active Directory sur votre domaine, telles que la création d'une approbation, l'extension du schéma et la désactivation du filtrage des SID. Pour effectuer ces tâches, vous devez utiliser la console Google Cloud, la gcloud CLI ou les API, et non les outils AD standards.

Unités organisationnelles

Le service Microsoft AD géré fournit deux UO : Cloud et Cloud Service Objects.

Managed Microsoft AD crée Cloud dans votre domaine Managed Microsoft AD pour héberger tous vos objets AD. Vous disposez d'un accès administrateur complet à cette UO. Vous pouvez utiliser l'UO Cloud pour créer des utilisateurs, des groupes, des ordinateurs ou d'autres sous-UO.

L'UO Cloud Service Objects héberge les objets AD que le service Microsoft AD géré crée et gère. Seul Google Cloud peut créer des objets sous cette UO, mais vous pouvez mettre à jour certains de ses attributs.

Pour en savoir plus sur les groupes de l'UO Cloud Service Objects, consultez la section Groupes.

Vous ne pouvez gérer que les UO Cloud et Cloud Service Objects. Le service Microsoft AD géré réserve la création d'objets Active Directory à d'autres UO. Cela présente l'avantage supplémentaire d'accroître la sécurité et vous aide à administrer les stratégies AD qui s'appliquent aux UO.