使用 Managed Service for Microsoft Active Directory 建立新網域時,系統會自動為您建立部分 Active Directory 物件。這些功能可協助您管理 AD 網域,並簡化通常委派給其他使用者或群組的 AD 工作。
下圖提供概略總覽。如需完整清單和各個物件的說明,請參閱下表。
機構單位
表 1 列出系統為您建立的機構單位 (OU)。
| 名稱 | 說明 |
|---|---|
Cloud |
代管所有 AD 物件。您可完全掌控這個 OU。 |
Cloud Service Objects |
代管由 Managed Microsoft AD 建立及管理的 AD 物件。只有 Google Cloud 可以建立這個 OU 下的物件,但您可以更新先前建立的物件上的部分屬性。 |
群組
系統會在 Cloud Service Objects OU 下建立下列群組。
Managed Microsoft AD 不支援使用 Active Directory 網域服務的權限存取管理,為使用者提供時間限制群組會員資格。
群組原則物件
受管理的 Microsoft AD 會自動建立一些群組原則物件 (GPO),以支援特定群組原則功能。
| 名稱 | 說明 |
|---|---|
Cloud Service Default Computer Policy |
已連結至 Cloud 組織單位。授予 Cloud OU 的 Cloud Service Computer Administrators 本機管理員權限和 Cloud Service Computer Remote Desktop Users 遠端桌面 (RDP) 權限。 |
您可以建立自訂 GPO,並將其連結至 Cloud OU 或 Cloud OU 中的任何子 OU。如要瞭解如何將 GPO 連結至 OU,請參閱「將 GPO 連結至網域」一文。
密碼設定物件
受管理的 Microsoft AD 會自動建立十個密碼設定物件 (PSO)。您無法變更這些 PSO 的名稱或優先順序。表格 4 列出這些 PSO 的名稱和優先順序。
| 名稱 | 優先順序 |
|---|---|
| PSO-10 | 10 |
| PSO-20 | 20 |
| PSO-30 | 30 |
| PSO-40 | 40 |
| PSO-50 | 50 |
| PSO-60 | 60 |
| PSO-70 | 70 |
| PSO-80 | 80 |
| PSO-90 | 90 |
| PSO-100 | 100 |
系統會為每個 PSO 的密碼政策設定指派預設值。您可以變更這些值。表 5 顯示這些預設設定。
| 政策 | 設定 |
|---|---|
| 已啟用複雜度 | 是 |
| 鎖定時間長度 | 30 分鐘 |
| 鎖定觀察期 | 30 分鐘 |
| 停機門檻 | 0 |
| 密碼有效期限上限 | 42 天 |
| 密碼最短有效期限 | 1 天 |
| 密碼長度下限 | 7 |
| 密碼記錄計數 | 24 |
| 已啟用可逆加密 | 否 |
使用者
受管理的 Microsoft AD 會自動建立表格 6 所示的使用者。
| 名稱 | 說明 |
|---|---|
setupadmin (預設) |
委派的管理員帳戶,用於管理您的網域。
名稱預設為 重設網域密碼後,系統會為這個帳戶設定密碼。 |
cloudsvcadmin |
Managed Microsoft AD 用於管理網域的服務帳戶。這個帳戶是供系統使用的,因此請勿直接使用、修改或刪除。 |
委派的管理員
表 7 列出您在佈建網域時,自動授予委派管理員帳戶的 Active Directory 權限。這些權利是由帳戶的群組成員資格授予,因此如果您從其中一個群組中移除帳戶,可能會影響其權利和可用的動作。這個帳戶的預設名稱為 setupadmin。如果您變更了帳戶名稱,但不記得值,可以擷取。詳情請參閱「使用委派的管理員帳戶」。
委派的管理員帳戶沒有 Domain Admins、Enterprise Admins 和 BUILTIN\Administrators 權限,因為受管理的 Microsoft AD 是受管理的服務,Google 保留使用這些權限的權利。因此,您無法在受管理的 Microsoft AD 中使用需要這些權限的 Active Directory 功能,例如 分散式檔案系統 (DFS)、DHCP、在網域層級設定 GPO、複製目錄變更、提高林功能層級,以及其他林層級變更。
| Active Directory 物件 | 辨別名稱 | 系統允許委派管理員帳戶在物件上執行的動作 |
|---|---|---|
| Cloud |
OU=Cloud,
|
可對 可將 GPO 連結至這個 OU 及其子 OU 無法刪除或重新命名 OU |
| 代管服務帳戶容器 |
CN=Managed Service Accounts,
|
可建立、更新及刪除群組代管服務帳戶,以及所有相關管理作業 |
| MicrosoftDNS 容器 |
CN=MicrosoftDNS,
|
可使用 DNS 管理工具連線至已整合 AD 的 DNS 伺服器。 |
| DomainDNSZones 資料夾 | CN=MicrosoftDNS,
|
可建立條件轉送器、A 記錄、CNAME 記錄、DNS 委派、正向查詢區域和反向查詢區域 |
| ForestDNSZones 資料夾 | CN=MicrosoftDNS,
|
可建立條件轉送器、A 記錄、CNAME 記錄、DNS 委派、正向查詢區域和反向查詢區域 |
委派的管理員帳戶 (預設名稱: |
CN=<delegated-admin-name>,
|
可以變更在網域佈建期間自動建立的委派管理員帳戶密碼 |
| 雲端服務管理員 |
CN=Cloud Service Administrators,
|
可將 AD 物件新增至或移除自 任何加入這個群組的帳戶都會獲得與委派管理員帳戶相同的權限組合。 |
| 所有網站 |
CN=Sites,
|
可以變更 Active Directory 網站名稱 |
| 所有受管理的群組 |
下列所有 Cloud 管理群組:OU=Cloud Service Objects,
|
可在預先建立的 Cloud 管理群組中新增及移除 AD 物件 不適用於在 AD 安裝期間建立的內建 Active Directory 群組 |
| 政策容器 |
CN=Policies,
|
可建立、更新及刪除群組原則物件 無法編輯或刪除預設網域控制站或預設網域政策群組原則 |
| 分區容器 (UPN 後置字串) |
CN=Partitions,
|
可變更 UPN 後置字串 |
| 終端服務授權伺服器 |
CN=Terminal Server License Servers,
|
可將具有終端機授權伺服器角色的 Windows 伺服器新增至終端機服務授權伺服器內建群組 |