Quando crei un nuovo dominio con Managed Service for Microsoft Active Directory, alcuni oggetti Active Directory vengono creati automaticamente. Ti aiutano a gestire il tuo dominio AD e semplificano la gestione delle attività AD in genere delegate ad altri utenti o gruppi.
Il seguente diagramma fornisce una panoramica. Per un elenco completo e una descrizione di ciascun oggetto, consulta le tabelle riportate di seguito.
Unità organizzative
La tabella 1 mostra le unità organizzative (OU) create per te.
| Nome | Descrizione |
|---|---|
Cloud |
Ospita tutti gli oggetti AD. Hai il controllo completo all'interno di questa OU. |
Cloud Service Objects |
Ospita gli oggetti AD creati e gestiti da Microsoft Active Directory gestito. Solo Google Cloud può creare oggetti in questa OU, anche se puoi aggiornare alcuni attributi degli oggetti pre-creati. |
Gruppi
I seguenti gruppi vengono creati nell'OU Cloud Service Objects.
| Nome | Tipo | Descrizione | |
|---|---|---|---|
Cloud Service Administrators |
Globale | I membri sono amministratori del servizio cloud Microsoft AD gestito. | |
Cloud Service All Administrators |
Dominio locale | I membri sono amministratori del servizio cloud Managed Microsoft AD. Sono inclusi i membri di domini attendibili. | |
Cloud Service Computer Administrators |
Dominio locale | I membri sono amministratori delle macchine unite al dominio. | |
Cloud Service DNS Administrators |
Dominio locale | I membri possono aggiungere, rimuovere e modificare le voci DNS all'interno delle zone DNS integrate con Active Directory. | |
Cloud Service Managed Service Account Administrators |
Dominio locale | I membri possono amministrare gli account di servizio gestiti. | |
Cloud Service Computer Remote Desktop Users |
Dominio locale | I membri dispongono dei diritti di accesso al desktop remoto sulle macchine unite al dominio. | |
Cloud Service Site Administrators |
Dominio locale | I membri possono rinominare i siti Active Directory. | |
Cloud Service Protected Users |
Globale | Le protezioni del gruppo Utenti protetti vengono applicate ai membri. | |
Cloud Service Group Policy Creator Owners |
Dominio locale |
I membri possono creare oggetti Criteri di gruppo (GPO). I GPO possono essere collegati solo alle OU Cloud e agli oggetti al loro interno.
|
|
Cloud Service Domain Join Accounts |
Dominio locale | I membri possono aggiungere computer al dominio. | |
Cloud Service Fine Grained Password Policy Administrators |
Dominio locale | I membri possono modificare e assegnare criteri per le password a utenti e gruppi. |
Managed Microsoft AD non supporta la fornitura di appartenenza ai gruppi con limitazioni di tempo agli utenti utilizzando Privileged Access Management per i servizi di dominio Active Directory.
Oggetti Criteri di gruppo
AD Microsoft gestito crea automaticamente alcuni oggetti Criteri di gruppo (GPO) per supportare determinate funzionalità di Criteri di gruppo.
| Nome | Descrizione |
|---|---|
Cloud Service Default Computer Policy |
Collega il gruppo di lavoro Cloud. Concedi
i diritti di amministratore locale
Cloud Service Computer Administrators e i privilegi RDP (Remote Desktop)Cloud Service Computer Remote Desktop Users
all'OU Cloud.
|
Puoi creare GPO personalizzati e collegarli all'UO Cloud o a una delle UO secondarie all'interno dell'UO Cloud. Per informazioni su come collegare un oggetto Criteri di gruppo a un'OU, vedi Collegare l'oggetto Criteri di gruppo al
dominio.
Oggetti Impostazioni password
AD di Microsoft gestito crea automaticamente dieci oggetti di impostazioni password (PSO). Non puoi modificare il nome o la precedenza di questi PSO. La tabella 4 mostra i nomi e le precedenze di questi PSO.
| Nome | Precedenza |
|---|---|
| PSO-10 | 10 |
| PSO-20 | 20 |
| PSO-30 | 30 |
| PSO-40 | 40 |
| PSO-50 | 50 |
| PSO-60 | 60 |
| PSO-70 | 70 |
| PSO-80 | 80 |
| PSO-90 | 90 |
| PSO-100 | 100 |
I valori predefiniti vengono assegnati alle impostazioni dei criteri delle password per ogni PSO. Puoi modificare questi valori. La tabella 5 mostra queste impostazioni predefinite.
| Norme | Impostazione |
|---|---|
| Analisi della complessità abilitata | Vero |
| Durata del blocco | 30 minuti |
| Finestra di osservazione del blocco | 30 minuti |
| Soglia di blocco | 0 |
| Durata massima della password | 42 giorni |
| Tempo di attesa minimo della password | 1 giorno |
| Lunghezza minima della password | 7 |
| Conteggio della cronologia delle password | 24 |
| Crittografia reversibile attivata | Falso |
Utenti
AD Microsoft gestito crea automaticamente gli utenti mostrati nella tabella 6.
| Nome | Descrizione |
|---|---|
setupadmin (valore predefinito) |
Account amministratore delegato per gestire il tuo dominio.
Il nome predefinito è La reimpostazione della password per un dominio imposta la password per questo account. |
cloudsvcadmin |
Service account utilizzato da Managed Microsoft AD per gestire il dominio. Questo account è destinato all'utilizzo da parte del sistema e non deve essere direttamente utilizzato, modificato o eliminato. |
Utente con delega di amministratore
La tabella 7 mostra i diritti di Active Directory concessi automaticamente all'account amministratore delegato durante il provisioning del dominio. Questi diritti vengono concessi in base all'appartenenza dell'account ai gruppi, pertanto se rimuovi l'account da uno di questi gruppi, i suoi diritti e le azioni disponibili potrebbero essere interessati. Questo account ha il nome predefinito setupadmin. Se hai modificato il nome dell'account, ma non ricordi il valore, puoi recuperarlo. Per ulteriori informazioni, consulta
Utilizzare l'account amministratore delegato.
L'account amministratore delegato non dispone delle autorizzazioni Domain Admins,
Enterprise Admins e BUILTIN\Administrators perché AD Microsoft gestito è un servizio gestito e Google si riserva il diritto di
utilizzare queste autorizzazioni. Di conseguenza, non puoi utilizzare le funzionalità di Active Directory che richiedono queste autorizzazioni in Microsoft AD gestito, ad esempio Distributed File System (DFS), DHCP, la configurazione dei GPO a livello di dominio, la replica delle modifiche alla directory, l'aumento dei livelli funzionali della foresta e altre modifiche a livello di foresta.
| Oggetto Active Directory | Nome distinto | Azioni dell'account amministratore delegato consentite nell'oggetto |
|---|---|---|
| Cloud |
OU=Cloud,
|
Può eseguire operazioni CRUD per qualsiasi tipo di oggetto nell'OU Può collegare i GPO a questa OU e alle relative OU secondarie Impossibile eliminare o rinominare l'OU |
| Container account di servizio gestito |
CN=Managed Service Accounts,
|
Può creare, aggiornare ed eliminare gli account di servizio gestiti di gruppo e tutta la gestione correlata |
| Contenitore MicrosoftDNS |
CN=MicrosoftDNS,
|
Può connettersi al server DNS integrato in AD utilizzando il gestore DNS. |
| Cartella DomainDNSZones | CN=MicrosoftDNS,
|
Può creare inoltratori condizionali, record A, record CNAME, delega DNS, zone di ricerca in avanti e zone di ricerca inversa |
| Cartella ForestDNSZones | CN=MicrosoftDNS,
|
Può creare inoltratori condizionali, record A, record CNAME, delega DNS, zone di ricerca in avanti e zone di ricerca inversa |
Account amministratore con delega (nome predefinito: |
CN=<delegated-admin-name>,
|
Può modificare la password dell'account amministratore delegato che viene creato automaticamente durante il provisioning del dominio Scopri di più su come ottenere il nome di questo account e su come reimpostarne la password. |
| Amministratori di servizi cloud |
CN=Cloud Service Administrators,
|
Può aggiungere o rimuovere oggetti AD al A tutti gli account aggiunti a questo gruppo viene concesso lo stesso insieme di autorizzazioni concesse all'account amministratore con delega. |
| Tutti i siti |
Tutti i siti in: CN=Sites,
|
Può modificare il nome del sito Active Directory |
| Tutti i gruppi gestiti |
Tutti i gruppi gestiti da Cloud in: OU=Cloud Service Objects,
|
Può aggiungere e rimuovere oggetti AD dai gruppi gestiti su Cloud precreati Non si applica ai gruppi Active Directory integrati creati durante l'installazione di AD |
| Contenuto delle norme |
CN=Policies,
|
Può creare, aggiornare ed eliminare oggetti Criteri di gruppo Impossibile modificare o eliminare i criteri GPO del controller di dominio predefinito o del dominio predefinito |
| Contenitore della partizione (suffissi UPN) |
CN=Partitions,
|
Può modificare i suffissi UPN |
| Terminal Services License Server |
CN=Terminal Server License Servers,
|
Può aggiungere server Windows con il ruolo Server di licenze di Terminal al gruppo predefinito Server di licenze del servizio Terminal |