Wenn Sie eine neue Domain mit Managed Service for Microsoft Active Directory erstellen, werden automatisch einige Active Directory-Objekte für Sie erstellt. Damit können Sie Ihre AD-Domain verwalten und AD-Aufgaben verwalten, die in der Regel an andere Nutzer oder Gruppen delegiert werden.
Das folgende Diagramm bietet eine Übersicht. In den folgenden Tabellen finden Sie eine vollständige Liste und eine Beschreibung der einzelnen Objekte.
Organisationseinheiten
Tabelle 1 zeigt die für Sie erstellten Organisationseinheiten (OE).
Name | Beschreibung |
---|---|
Cloud |
Hostet alle Ihre AD-Objekte. Sie haben die volle Kontrolle über diese Organisationseinheit (OE). |
Cloud Service Objects |
Hostet AD-Objekte, die von Managed Microsoft AD erstellt und verwaltet werden. Nur Google Cloud kann Objekte unter dieser OE erstellen. Sie können jedoch einige Attribute für die vorab erstellten Objekte aktualisieren. |
Gruppen
Die folgenden Gruppen werden unter der Organisationseinheit Cloud Service Objects
erstellt.
Name | Typ | Beschreibung | |
---|---|---|---|
Cloud Service Administrators |
Global | Mitglieder sind Administratoren des verwalteten Microsoft AD-Cloud-Dienstes. | |
Cloud Service All Administrators |
Domain Lokal | Mitglieder sind Administratoren des verwalteten Microsoft AD-Cloud-Dienstes. Dies kann Mitglieder von vertrauenswürdigen Domains umfassen. | |
Cloud Service Computer Administrators |
Domain Lokal | Mitglieder sind Administratoren auf Rechnern, die der Domain beitreten. | |
Cloud Service DNS Administrators |
Domain Lokal | Mitglieder können DNS-Einträge innerhalb der Active Directory-integrierten DNS-Zonen hinzufügen, entfernen und ändern. | |
Cloud Service Managed Service Account Administrators |
Domain Lokal | Mitglieder können verwaltete Dienstkonten verwalten. | |
Cloud Service Computer Remote Desktop Users |
Domain Lokal | Mitglieder haben Remote-Desktop-Rechte auf Rechnern, die mit der Domain verknüpft sind. | |
Cloud Service Site Administrators |
Domain Lokal | Mitglieder können Active Directory-Websites umbenennen. | |
Cloud Service Protected Users |
Global | Schutz aus der Gruppe Geschützte Nutzer wird auf Mitglieder angewendet. | |
Cloud Service Group Policy Creator Owners |
Domain Lokal |
Mitglieder können Gruppenrichtlinienobjekte (GPOs) erstellen. GPOs können nur mit Cloud -Organisationseinheiten und darin enthaltenen Objekten verknüpft werden.
|
|
Cloud Service Domain Join Accounts |
Domain Lokal | Mitglieder können Computer in der Domain aufnehmen. | |
Cloud Service Fine Grained Password Policy Administrators |
Domain Lokal | Mitglieder können Passwortrichtlinien ändern und Nutzern und Gruppen zuweisen. |
Managed Microsoft AD unterstützt nicht die Bereitstellung von zeitlich begrenzten Gruppenmitgliedschaften für Nutzer mithilfe der Verwaltung von Berechtigungen für Active Directory-Domaindienste.
Gruppenrichtlinienobjekte
Managed Microsoft AD erstellt automatisch einige Gruppenrichtlinienobjekte (GPOs), um bestimmte Gruppenrichtlinienfunktionen zu unterstützen.
Name | Beschreibung |
---|---|
Cloud Service Default Computer Policy |
Mit der OE Cloud verknüpft. Verleiht Cloud Service Computer Administrators lokale Administratorrechte und Cloud Service Computer Remote Desktop Users Remote Desktop (RDP)-Privilegien auf der Cloud -OE.
|
Sie können benutzerdefinierte GPOs erstellen und sie mit der OE Cloud
oder einer der untergeordneten OEs der OE Cloud
verknüpfen. Informationen zum Verknüpfen eines GPO mit einer OU finden Sie unter GPO mit der Domain verknüpfen.
Objekte für Passworteinstellungen
Managed Microsoft AD erstellt automatisch zehn Passworteinstellungsobjekte (PSO). Sie können den Namen oder die Priorität dieser PSOs nicht ändern. Tabelle 4 zeigt die Namen und Prioritäten dieser PSOs.
Name | Vorrang |
---|---|
PSO-10 | 10 |
PSO-20 | 20 |
PSO-30 | 30 |
PSO-40 | 40 |
PSO-50 | 50 |
PSO-60 | 60 |
PSO-70 | 70 |
PSO-80 | 80 |
PSO-90 | 90 |
PSO-100 | 100 |
Standardwerte werden den Passwortrichtlinieneinstellungen für jedes PSO zugewiesen. Sie können diese Werte ändern. Tabelle 5 zeigt diese Standardeinstellungen.
Richtlinie | Einstellung |
---|---|
Komplexität aktiviert | Wahr |
Dauer der Sperrung | 30 Minuten |
Beobachtungsfenster der Sperrung | 30 Minuten |
Schwellenwert für die Sperrung | 0 |
Maximales Passwortalter | 42 Tage |
Mindestpasswortalter | 1 Tag |
Mindestlänge des Passworts. | 7 |
Anzahl der Passwortverläufe | 24 |
Umkehrbare Verschlüsselung aktiviert | Falsch |
Nutzer
Mit Managed Microsoft AD werden die in Tabelle 6 aufgeführten Nutzer automatisch erstellt.
Name | Beschreibung |
---|---|
setupadmin (Standard) |
Delegiertes Administratorkonto für die Verwaltung Ihrer Domain.
Der Name ist standardmäßig auf Wenn Sie das Passwort für eine Domain zurücksetzen, wird das Passwort für dieses Konto festgelegt. |
cloudsvcadmin |
Dienstkonto, das von Managed Microsoft AD zur Verwaltung der Domain verwendet wird. Dieses Konto ist für die Verwendung durch das System vorgesehen und sollte nicht direkt verwendet, geändert oder gelöscht werden. |
Delegierter Administrator
Tabelle 7 zeigt die Active Directory-Rechte, die dem delegierten Administratorkonto automatisch gewährt werden, wenn Sie die Domain bereitstellen. Diese Rechte werden von den Gruppenmitgliedschaften des Kontos erteilt. Wenn Sie das Konto also aus einer dieser Gruppen entfernen, kann sich dies auf seine Rechte und verfügbaren Aktionen auswirken. Dieses Konto hat den Standardnamen setupadmin
. Wenn Sie den Kontonamen geändert haben, aber den Wert nicht mehr kennen, können Sie ihn abrufen. Weitere Informationen finden Sie unter Delegiertes Administratorkonto verwenden.
Das delegierte Administratorkonto hat keine Berechtigungen für Domain Admins
, Enterprise Admins
und BUILTIN\Administrators
, da Managed Microsoft AD ein verwalteter Dienst ist und Google sich das Recht vorbehält, diese Berechtigungen zu verwenden. Daher können Sie keine Active Directory-Funktionen verwenden, für die diese Berechtigungen in Managed Microsoft AD erforderlich sind, z. B. das Distributed File System (DFS), DHCP, die Konfiguration von Gruppenrichtlinienobjekten auf Domainebene, die Replikation von Verzeichnisänderungen, die Erhöhung der Funktionsebenen des Stammverzeichnisses und andere forstweite Änderungen.
Active Directory-Objekt | Name | Aktionen für delegierte Administratorkonten sind bei einem Objekt zulässig |
---|---|---|
Cloud |
OU=Cloud,
|
Kann CRUD-Vorgänge für jeden Objekttyp in der OE Kann GPOs mit dieser OE und ihrer Unter-OE verknüpfen OE kann nicht gelöscht oder umbenannt werden |
Container für verwaltete Dienstkonten |
CN=Managed Service Accounts,
|
Kann verwaltete Dienstkonten und alle damit verbundenen Verwaltungen erstellen, aktualisieren und löschen |
MicrosoftDNS-Container |
CN=MicrosoftDNS,
|
Kann über DNS-Manager eine Verbindung zu AD-integrierten DNS-Servern herstellen. |
DomainDNSZones-Ordner | CN=MicrosoftDNS,
|
Kann bedingte Forwarder, A-Datensätze, CNAME-Datensätze, DNS-Delegierung, Forward-Lookup-Zonen und Reverse-Lookup-Zonen erstellen |
ForestDNSZones-Ordner | CN=MicrosoftDNS,
|
Kann bedingte Forwarder, A-Datensätze, CNAME-Datensätze, DNS-Delegierung, Forward-Lookup-Zonen und Reverse-Lookup-Zonen erstellen |
Delegiertes Administratorkonto (Standardname: |
CN=<delegated-admin-name>,
|
Kann das Passwort des delegierten Administratorkontos ändern, das während der Domainbereitstellung automatisch erstellt wird Erfahren Sie mehr darüber, wie man den Namen dieses Kontos und das Kennwort zurücksetzt. |
Cloud-Dienstadministratoren |
CN=Cloud Service Administrators,
|
Kann AD-Objekte zur verwalteten Gruppe Allen Konten, die dieser Gruppe hinzugefügt werden, werden die gleichen Berechtigungen gewährt wie mit dem delegierten Administratorkonto. |
Alle Websites |
Alle Websites unter: CN=Sites,
|
Kann den Namen der Active Directory-Website ändern |
Alle verwalteten Gruppen |
Alle in der Cloud verwalteten Gruppen unter: OU=Cloud Service Objects,
|
Kann AD-Objekte zu den vorab erstellten Cloud-verwalteten Gruppen hinzufügen und daraus entfernen Gilt nicht für die integrierten Active Directory-Gruppen, die während der AD-Installation erstellt werden. |
Richtliniencontainer |
CN=Policies,
|
Kann Gruppenrichtlinienobjekte erstellen, aktualisieren und löschen Standard-Domain-Controller oder Standard-Domain-Richtlinien-GPOs können nicht bearbeitet oder gelöscht werden |
Partitionierungscontainer (UPN-Suffixe) |
CN=Partitions,
|
UPN-Suffixe können geändert werden |
Lizenzserver für Terminaldienste |
CN=Terminal Server License Servers,
|
Kann Windows Server mit der Rolle "Terminallizenzserver" zur integrierten Gruppe "Terminaldienst-Lizenzserver" hinzufügen |