Standard-Active Directory-Objekte in Managed Microsoft AD

Wenn Sie eine neue Domain mit Managed Service for Microsoft Active Directory erstellen, werden automatisch einige Active Directory-Objekte für Sie erstellt. Damit können Sie Ihre AD-Domain verwalten und AD-Aufgaben verwalten, die in der Regel an andere Nutzer oder Gruppen delegiert werden.

Das folgende Diagramm bietet eine Übersicht. In den folgenden Tabellen finden Sie eine vollständige Liste und eine Beschreibung der einzelnen Objekte.

Anzeigengruppen

Organisationseinheiten

Tabelle 1 zeigt die für Sie erstellten Organisationseinheiten (OE).

Tabelle 1. Organisationseinheiten
Name Beschreibung
Cloud Hostet alle Ihre AD-Objekte. Sie haben die volle Kontrolle über diese Organisationseinheit (OE).
Cloud Service Objects Hostet AD-Objekte, die von Managed Microsoft AD erstellt und verwaltet werden. Nur Google Cloud kann Objekte unter dieser OE erstellen. Sie können jedoch einige Attribute für die vorab erstellten Objekte aktualisieren.

Gruppen

Die folgenden Gruppen werden unter der Organisationseinheit Cloud Service Objects erstellt.

Tabelle 2. Gruppen in der Cloud Service Objects-OE
Name Typ Beschreibung
Cloud Service Administrators Global Mitglieder sind Administratoren des verwalteten Microsoft AD-Cloud-Dienstes.
Cloud Service All Administrators Domain Lokal Mitglieder sind Administratoren des verwalteten Microsoft AD-Cloud-Dienstes. Dies kann Mitglieder von vertrauenswürdigen Domains umfassen.
Cloud Service Computer Administrators Domain Lokal Mitglieder sind Administratoren auf Rechnern, die der Domain beitreten.
Cloud Service DNS Administrators Domain Lokal Mitglieder können DNS-Einträge innerhalb der Active Directory-integrierten DNS-Zonen hinzufügen, entfernen und ändern.
Cloud Service Managed Service Account Administrators Domain Lokal Mitglieder können verwaltete Dienstkonten verwalten.
Cloud Service Computer Remote Desktop Users Domain Lokal Mitglieder haben Remote-Desktop-Rechte auf Rechnern, die mit der Domain verknüpft sind.
Cloud Service Site Administrators Domain Lokal Mitglieder können Active Directory-Websites umbenennen.
Cloud Service Protected Users Global Schutz aus der Gruppe Geschützte Nutzer wird auf Mitglieder angewendet.
Cloud Service Group Policy Creator Owners Domain Lokal Mitglieder können Gruppenrichtlinienobjekte (GPOs) erstellen. GPOs können nur mit Cloud-Organisationseinheiten und darin enthaltenen Objekten verknüpft werden.
Cloud Service Domain Join Accounts Domain Lokal Mitglieder können Computer in der Domain aufnehmen.
Cloud Service Fine Grained Password Policy Administrators Domain Lokal Mitglieder können Passwortrichtlinien ändern und Nutzern und Gruppen zuweisen.

Managed Microsoft AD unterstützt nicht die Bereitstellung von zeitlich begrenzten Gruppenmitgliedschaften für Nutzer mithilfe der Verwaltung von Berechtigungen für Active Directory-Domaindienste.

Gruppenrichtlinienobjekte

Managed Microsoft AD erstellt automatisch einige Gruppenrichtlinienobjekte (GPOs), um bestimmte Gruppenrichtlinienfunktionen zu unterstützen.

Tabelle 2. Gruppenrichtlinienobjekte
Name Beschreibung
Cloud Service Default Computer Policy Mit der OE Cloud verknüpft. Verleiht Cloud Service Computer Administrators lokale Administratorrechte und Cloud Service Computer Remote Desktop Users Remote Desktop (RDP)-Privilegien auf der Cloud-OE.

Sie können benutzerdefinierte GPOs erstellen und sie mit der OE Cloud oder einer der untergeordneten OEs der OE Cloud verknüpfen. Informationen zum Verknüpfen eines GPO mit einer OU finden Sie unter GPO mit der Domain verknüpfen.

Objekte für Passworteinstellungen

Managed Microsoft AD erstellt automatisch zehn Passworteinstellungsobjekte (PSO). Sie können den Namen oder die Priorität dieser PSOs nicht ändern. Tabelle 4 zeigt die Namen und Prioritäten dieser PSOs.

Tabelle 4. Objekte für Richtlinieneinstellungen
Name Vorrang
PSO-10 10
PSO-20 20
PSO-30 30
PSO-40 40
PSO-50 50
PSO-60 60
PSO-70 70
PSO-80 80
PSO-90 90
PSO-100 100

Standardwerte werden den Passwortrichtlinieneinstellungen für jedes PSO zugewiesen. Sie können diese Werte ändern. Tabelle 5 zeigt diese Standardeinstellungen.

Tabelle 5. Standard-PSO-Einstellungen
Richtlinie Einstellung
Komplexität aktiviert Wahr
Dauer der Sperrung 30 Minuten
Beobachtungsfenster der Sperrung 30 Minuten
Schwellenwert für die Sperrung 0
Maximales Passwortalter 42 Tage
Mindestpasswortalter 1 Tag
Mindestlänge des Passworts. 7
Anzahl der Passwortverläufe 24
Umkehrbare Verschlüsselung aktiviert Falsch

Nutzer

Mit Managed Microsoft AD werden die in Tabelle 6 aufgeführten Nutzer automatisch erstellt.

Tabelle 6. Nutzer
Name Beschreibung
setupadmin (Standard)

Delegiertes Administratorkonto für die Verwaltung Ihrer Domain. Der Name ist standardmäßig auf setupadmin gesetzt. Sie können während der Domainerstellung einen anderen Namen angeben.

Wenn Sie das Passwort für eine Domain zurücksetzen, wird das Passwort für dieses Konto festgelegt.

cloudsvcadmin Dienstkonto, das von Managed Microsoft AD zur Verwaltung der Domain verwendet wird. Dieses Konto ist für die Verwendung durch das System vorgesehen und sollte nicht direkt verwendet, geändert oder gelöscht werden.

Delegierter Administrator

Tabelle 7 zeigt die Active Directory-Rechte, die dem delegierten Administratorkonto automatisch gewährt werden, wenn Sie die Domain bereitstellen. Diese Rechte werden von den Gruppenmitgliedschaften des Kontos erteilt. Wenn Sie das Konto also aus einer dieser Gruppen entfernen, kann sich dies auf seine Rechte und verfügbaren Aktionen auswirken. Dieses Konto hat den Standardnamen setupadmin. Wenn Sie den Kontonamen geändert haben, aber den Wert nicht mehr kennen, können Sie ihn abrufen. Weitere Informationen finden Sie unter Delegiertes Administratorkonto verwenden.

Das delegierte Administratorkonto hat keine Berechtigungen für Domain Admins, Enterprise Admins und BUILTIN\Administrators, da Managed Microsoft AD ein verwalteter Dienst ist und Google sich das Recht vorbehält, diese Berechtigungen zu verwenden. Daher können Sie keine Active Directory-Funktionen verwenden, für die diese Berechtigungen in Managed Microsoft AD erforderlich sind, z. B. das Distributed File System (DFS), DHCP, die Konfiguration von Gruppenrichtlinienobjekten auf Domainebene, die Replikation von Verzeichnisänderungen, die Erhöhung der Funktionsebenen des Stammverzeichnisses und andere forstweite Änderungen.

Tabelle 7. Delegierte Administratorkontorechte
Active Directory-Objekt Name Aktionen für delegierte Administratorkonten sind bei einem Objekt zulässig
Cloud OU=Cloud,DC=<domain-name>

Kann CRUD-Vorgänge für jeden Objekttyp in der OE Cloud ausführen

Kann GPOs mit dieser OE und ihrer Unter-OE verknüpfen

OE kann nicht gelöscht oder umbenannt werden

Container für verwaltete Dienstkonten CN=Managed Service Accounts, DC=<domain-name> Kann verwaltete Dienstkonten und alle damit verbundenen Verwaltungen erstellen, aktualisieren und löschen
MicrosoftDNS-Container CN=MicrosoftDNS,CN=System, DC=<domain-name> Kann über DNS-Manager eine Verbindung zu AD-integrierten DNS-Servern herstellen.
DomainDNSZones-Ordner CN=MicrosoftDNS, DC=DomainDNSZones,DC=<domain-name> Kann bedingte Forwarder, A-Datensätze, CNAME-Datensätze, DNS-Delegierung, Forward-Lookup-Zonen und Reverse-Lookup-Zonen erstellen
ForestDNSZones-Ordner CN=MicrosoftDNS, DC=ForestDNSZones,DC=<domain-name> Kann bedingte Forwarder, A-Datensätze, CNAME-Datensätze, DNS-Delegierung, Forward-Lookup-Zonen und Reverse-Lookup-Zonen erstellen

Delegiertes Administratorkonto

(Standardname: setupadmin)

CN=<delegated-admin-name>, OU=Cloud Service Objects,DC=<domain-name>

Kann das Passwort des delegierten Administratorkontos ändern, das während der Domainbereitstellung automatisch erstellt wird

Erfahren Sie mehr darüber, wie man den Namen dieses Kontos und das Kennwort zurücksetzt.

Cloud-Dienstadministratoren CN=Cloud Service Administrators, OU=Cloud Service Objects, DC=<domain-name>

Kann AD-Objekte zur verwalteten Gruppe Cloud Service Administrators hinzufügen oder daraus entfernen

Allen Konten, die dieser Gruppe hinzugefügt werden, werden die gleichen Berechtigungen gewährt wie mit dem delegierten Administratorkonto.

Alle Websites Alle Websites unter: CN=Sites,CN=Configuration, DC=<domain-name> Kann den Namen der Active Directory-Website ändern
Alle verwalteten Gruppen Alle in der Cloud verwalteten Gruppen unter: OU=Cloud Service Objects, DC=<domain-name>

Kann AD-Objekte zu den vorab erstellten Cloud-verwalteten Gruppen hinzufügen und daraus entfernen

Gilt nicht für die integrierten Active Directory-Gruppen, die während der AD-Installation erstellt werden.

Richtliniencontainer CN=Policies, CN=System,DC=<domain-name>

Kann Gruppenrichtlinienobjekte erstellen, aktualisieren und löschen

Standard-Domain-Controller oder Standard-Domain-Richtlinien-GPOs können nicht bearbeitet oder gelöscht werden

Partitionierungscontainer (UPN-Suffixe) CN=Partitions,CN=Configuration, DC=<domain-name> UPN-Suffixe können geändert werden
Lizenzserver für Terminaldienste CN=Terminal Server License Servers,CN=Builtin, DC=<domain-name> Kann Windows Server mit der Rolle "Terminallizenzserver" zur integrierten Gruppe "Terminaldienst-Lizenzserver" hinzufügen

Nächste Schritte