使用委派的管理員帳戶

本頁說明如何在 Managed Service for Microsoft Active Directory 中使用委派管理員帳戶,以及管理該帳戶的憑證。

總覽

建立 Managed Microsoft AD 網域時,Managed Microsoft AD 會自動建立委派管理員帳戶。您可以使用這個帳戶管理網域。 登入這個帳戶後,即可執行下列工作:

  • 管理資料和 Active Directory 物件。
  • 管理其他服務管理員。
  • 使用標準 Active Directory 工具。

進一步瞭解系統自動授予委派管理員帳戶的權限

取得帳戶名稱

根據預設,委派管理員帳戶的名稱為 setupadmin。網域建立後,您就無法變更使用者名稱。只有在建立網域時,才能指定自訂使用者名稱。如果您指定自訂使用者名稱,請務必遵循 SAM-Account-Name 屬性的命名慣例。

如要擷取委派管理員帳戶的名稱,請完成下列步驟:

控制台

  1. 前往 Google Cloud 控制台的「Managed Microsoft AD」頁面。
    前往 Managed Microsoft AD
  2. 在「FQDN」FQDN下方,選取要取得委派管理員帳戶名稱的網域。
  3. 帳戶名稱會列在「管理員名稱」下方。

gcloud

執行下列指令:

gcloud active-directory domains describe DOMAIN_NAME

回覆內容為 YAML,內含網域相關資訊。委派管理員帳戶名稱會列在 managedIdentitiesAdminName 欄位下方:

managedIdentitiesAdminName: setupadmin

重設密碼

如果忘記委派管理員帳戶的密碼,您無法找回現有密碼。不過,你可以重設密碼。

如要重設委派管理員帳戶的密碼,您必須具備下列任一 IAM 角色:

  • Google Cloud Managed Identities 管理員 (roles/managedidentities.admin)
  • Google Cloud Managed Identities 網域管理員 (roles/managedidentities.domainAdmin)

詳情請參閱「Cloud Managed Identities 角色」。

控制台

  1. 前往 Google Cloud 控制台的「Managed Microsoft AD」頁面。
    前往 Managed Microsoft AD

  2. 在「完整網域名稱」FQDN下方,選取要重設委派管理員密碼的網域。

  3. 在「網域詳細資料」頁面中,選取「設定密碼」

  4. 在「設定密碼」對話方塊中,按一下「確認」

  5. 「新密碼」對話方塊會顯示新密碼。

gcloud

執行下列指令:

gcloud active-directory domains reset-admin-password DOMAIN_NAME

這項作業最多可能需要 60 秒才能完成。

停用密碼到期設定

根據預設,委派管理員帳戶的密碼會在 42 天後到期。請務必在密碼到期前變更密碼。

您可以使用精細密碼政策 (FGPP),為委派的管理員帳戶停用密碼到期功能。使用 FGPP 時,您可以在必要的密碼設定物件 (PSO) 中,將 Maximum password age 政策設定的值設為「0」,並對委派的管理員帳戶強制執行密碼政策。

如要為委派管理員帳戶停用密碼到期功能,您必須是 Cloud Service Fine Grained Password Policy Administrators 群組的成員。

  1. 如要將使用者新增至這個群組,請在 PowerShell 中執行下列指令: 

    Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' 
    
 -Members USER
    USER 替換為要新增至 Cloud Service Fine Grained Password Policy Administrators 群組的使用者名稱。

    詳情請參閱「委派管理政策的權限」。

  2. 登出委派的管理員帳戶。

如要為委派管理員帳戶停用密碼到期功能,請按照下列步驟操作:

  1. Cloud Service Fine Grained Password Policy Administrators 群組成員身分登入。

  2. 如要將 MaxPasswordAge 屬性的值修改為「0」,請在 PowerShell 中執行下列指令: 

    Set-ADFineGrainedPasswordPolicy -Identity PSO -MaxPasswordAge 0
    PSO 替換為要使用 FGPP 停用密碼到期政策的 PSO 名稱。例如:PSO-10

    如要進一步瞭解 Set-ADFineGrainedPasswordPolicy cmdlet,請參閱「修改預先建立的密碼政策」。

  3. 如要將密碼政策套用至委派的管理員帳戶,請在 PowerShell 中執行下列指令: 

    Add-ADFineGrainedPasswordPolicySubject PSO -Subjects DELEGATED_ADMINISTRATOR_ACCOUNT
    更改下列內容:

    • PSO:您停用密碼到期政策的 PSO 名稱。例如:PSO-10
    • DELEGATED_ADMINISTRATOR_ACCOUNT:要停用密碼到期設定的委派管理員帳戶名稱。例如:setupadmin

    如要進一步瞭解 Add-ADFineGrainedPasswordPolicySubject cmdlet,請參閱「將使用者或群組新增至密碼政策」。

使用 Active Directory 網域服務工具

如要存取 Active Directory 網域服務 (AD DS) 工具,請使用委派的管理員帳戶。連線至 VM 執行個體時,請務必使用委派的管理員帳戶登入。連線至 VM 後,您無法切換帳戶或提供其他憑證。連線至 VM 後,您可以使用「Add Roles and Features Wizard」(新增角色及功能精靈) 啟用 AD DS 工具。進一步瞭解如何啟用 AD DS 工具

建立 UPN 後置字元

目前網域和根網域的名稱是預設使用者主要名稱 (UPN) 後置字串。新增替代網域名稱可提供額外安全性,並簡化使用者登入名稱。

如要建立 UPN 後置字元,請完成下列步驟:

  1. 使用委派管理員帳戶連線至 VM 執行個體
  2. 開啟「伺服器管理員」
  3. 從「工具」選取「Active Directory 網域和信任關係」
  4. 在「Active Directory Domains and Trusts」(Active Directory 網域和信任關係) 管理主控台中,使用滑鼠右鍵按一下左側窗格中的「Active Directory Domains and Trusts」,然後選取「Properties」(內容)。
  5. 在對話方塊的「Alternate UPN suffixes」(替代 UPN 後置字元) 方塊中,輸入新 UPN 後置字元的名稱。
  6. 按一下「新增」,然後按一下「確定」

將新使用者帳戶新增至 Active Directory 時,設定使用者名稱時,您應該會在清單中看到新的 UPN 後置字串。