本頁面說明如何管理 Managed Service for Microsoft Active Directory 網域中的 Active Directory 物件。
事前準備
管理 Active Directory 物件前,請先完成下列步驟:
- 建立代管的 Microsoft AD 網域。
- 將 Windows VM 加入網域。
- 安裝遠端伺服器管理工具 (RSAT)。
安裝 RSAT
如要管理 Active Directory 物件,您只需在每個受管理的 Microsoft AD 網域中安裝 RSAT 一次。
如要安裝 RSAT,請完成下列步驟:
在「Add Roles and Features Wizard」(新增角色及功能精靈) 中,前往「Select features」(選取功能) 頁面。你可以從側欄選單中選取「功能」,或點選「下一步」,直到看到「選取功能」頁面為止。
在「Select features」頁面,從「Features」清單展開「Remote Server Administration Tools」,然後展開「Role Administration Tools」。
在「Role Administration Tools」下方,選取「AD DS and AD LDS Tools」。這可啟用下列功能:
- Windows PowerShell 適用的 Active Directory 模組
- AD LDS 專用外掛程式和指令列工具
- Active Directory 管理中心
- AD DS 專用附加元件和指令列工具
選用:如有需要,您也可以啟用下列功能:
- 群組政策管理
- DNS 伺服器工具 (位於「角色管理工具」下方)
點按「Next」。
在「Confirmation」頁面中,點選「Install」。
在「結果」頁面中,按一下「關閉」。
管理物件
基於安全性考量,您無法使用遠端桌面通訊協定 (RDP) 或任何其他工具直接存取網域控制器。您可以改用遠端桌面協定連線至已加入網域的 VM,然後使用標準 AD 工具,透過遠端方式與網域中的 Active Directory 物件互動。
如要管理 Active Directory 物件,請完成下列步驟:
連線至已加入 Managed Microsoft AD 網域的 Windows VM。詳情請參閱「使用 RDP 連線至 Windows VM」。
開啟「Active Directory 使用者和電腦」主控台 (
dsa.msc)。選取 Active Directory 網域名稱,然後展開該項目。
如要管理 Active Directory 物件,請使用 Managed Microsoft AD 提供的機構單位 (OU)。雖然您可以完全控管
CloudOU 中的物件,但只能更新Cloud Service ObjectsOU 中物件的部分屬性。
您必須具備必要權限,才能管理 Active Directory 物件。如要瞭解哪些使用者對哪些 Active Directory 物件擁有權限,請參閱「預設的 Active Directory 物件」。
您只能在網域上執行幾項 Active Directory 管理工作,例如建立信任關係、擴充結構定義,以及停用 SID 篩選。您必須使用 Google Cloud 主控台、gcloud CLI 或 API 執行這些工作,而非標準 AD 工具。
機構單位
Managed Microsoft AD 提供兩個 OU,分別是 Cloud 和 Cloud Service Objects。
代管型 Microsoft AD 會在 Managed Microsoft AD 網域中建立 Cloud,用於代管所有 AD 物件。您擁有這個 OU 的完整管理員存取權。您可以使用 Cloud OU 建立使用者、群組、電腦或其他子 OU。
Cloud Service Objects OU 會代管由 Managed Microsoft AD 建立及管理的 AD 物件。只有 Google Cloud 可以建立這個 OU 下的物件,但您可以更新部分屬性。
如要進一步瞭解 Cloud Service Objects OU 下的群組,請參閱「群組」。
您只能管理 Cloud 和 Cloud Service Objects OU。Managed Microsoft AD 會保留 Active Directory 物件建立權限給其他 OU。這項功能可提供額外安全性,並協助您管理套用至 OU 的 AD 政策。