本页介绍了如何管理 Managed Service for Microsoft Active Directory 网域中的 Active Directory 对象。
准备工作
在管理 Active Directory 对象之前,您应完成以下步骤:
- 创建托管式 Microsoft AD 网域。
- 将 Windows 虚拟机加入网域。
- 安装远程服务器管理工具 (RSAT)。
安装 RSAT
如需管理 Active Directory 对象,您只需在每个托管式 Microsoft AD 网域上安装一次 RSAT。
如需安装 RSAT,请完成以下步骤:
在 Windows 虚拟机上,打开 Add Roles and Features 向导。
在添加角色和功能向导中,前往选择功能页面。您可以从边栏菜单中选择功能,也可以点击下一步,直到看到选择功能页面。
在选择功能页面上,从功能列表中展开远程服务器管理工具,然后展开角色管理工具。
在角色管理工具下,选择 AD DS 和 AD LDS 工具。这将启用以下功能:
- Active Directory module for Windows PowerShell
- AD LDS Snap-Ins and Command-Line Tools
- Active Directory Administrative Center
- AD DS Snap-Ins and Command-Line Tools
可选:您还可以根据需要启用以下功能:
- 群组政策管理
- DNS 服务器工具(在角色管理工具下)
点击下一步。
在确认页面上,点击安装。
在结果页面上,点击关闭。
管理对象
出于安全考虑,您无法使用远程桌面协议 (RDP) 或任何其他工具直接访问网域控制器。不过,您可以使用 RDP 连接到加入网域的虚拟机,然后使用标准 AD 工具远程处理网域中的 Active Directory 对象。
如需管理您的 Active Directory 对象,请完成以下步骤:
连接到已加入托管式 Microsoft AD 网域的 Windows 虚拟机。如需了解详情,请参阅使用 RDP 连接到 Windows 虚拟机。
打开 Active Directory 用户和计算机控制台 (
dsa.msc)。选择 Active Directory 域名,然后展开该项。
如需管理 Active Directory 对象,请使用托管式 Microsoft AD 提供的组织部门 (OU)。虽然您可以完全控制
CloudOU 中的对象,但只能更新Cloud Service ObjectsOU 中的对象的某些属性。
您必须拥有必要的权限才能管理 Active Directory 对象。如需了解哪些用户对哪些 Active Directory 对象拥有权限,请参阅默认 Active Directory 对象。
您只能对网域执行一些 Active Directory 管理任务,例如创建信任、扩展架构和停用 SID 过滤。您需要使用 Google Cloud 控制台、gcloud CLI 或 API 来执行这些任务,而不能使用标准的 AD 工具。
组织部门
托管式 Microsoft AD 提供两个组织部门 (OU):Cloud 和 Cloud Service Objects。
托管式 Microsoft AD 会在您的托管式 Microsoft AD 网域中创建 Cloud 以托管所有 AD 对象。您拥有对该组织部门的完整管理员权限。您可以使用 Cloud 组织部门来创建用户、组、计算机或其他子组织部门。
Cloud Service Objects OU 托管由托管式 Microsoft AD 创建和管理的 AD 对象。只有 Google Cloud 可以在此组织部门下创建对象,但您可以更新其部分属性。
如需详细了解 Cloud Service Objects OU 下的群组,请参阅群组。
您只能管理 Cloud 和 Cloud Service Objects 这两个组织部门。
托管式 Microsoft AD 为其他组织部门保留 Active Directory 对象创建。这可以提供额外的安全性,并帮助您管理适用于组织部门的 AD 政策。