本页提供了一些有关 Google Cloud的 Managed Service for Microsoft Active Directory 的常见问题解答。
我可以使用哪个用户账号来管理托管式 Microsoft AD?
创建新网域时,托管式 Microsoft AD 会自动创建一个委派的管理员账号。您可以使用此用户账号来管理网域中的 Active Directory 对象。委托的管理员账号不具有网域管理员和企业管理员权限,因为托管式 Microsoft AD 是一项代管式服务,Google 保留使用这些权限的权利。
委派管理员账号有哪些功能?
委派管理员账号拥有执行特定管理活动的权限,可用于管理 Active Directory 对象。委托的管理员账号无权执行任何其他管理活动。例如,委托管理员无法创建和管理网域级政策,也无法使用标准 AD 工具执行备份和恢复网域以及扩展架构等管理任务。如需了解详情,请参阅委托管理员。
不过,您可以通过托管式 Microsoft AD 使用这些功能。任何拥有备份和恢复网域以及扩展架构所需权限的用户都可以发起这些任务。
如何管理组织部门 (OU)?
创建新网域时,托管式 Microsoft AD 会自动创建 Cloud 和 Cloud Service Objects OU 以及其他默认 Active Directory 对象。如需详细了解如何管理这些对象,请参阅管理 Active Directory 对象。
如何管理组策略对象 (GPO)?
默认情况下,托管式 Microsoft AD 会创建 Cloud Service Default
Computer Policy GPO 以及其他默认 Active Directory 对象,并将其关联到 Cloud OU。如果您需要其他 GPO,可以创建自定义 GPO,并将其添加到 Cloud 组织单位或您在 Cloud 组织单位下创建的任何其他自定义组织单位。只有自定义 GPO 的创建者才能修改它。如需详细了解如何管理这些对象,请参阅管理 Active Directory 对象。
如何部署网域控制器?
代管式 Microsoft AD 会在专用 Virtual Private Cloud (VPC) 网络中将网域控制器创建为虚拟机。然后,Managed Microsoft AD 使用 VPC 网络对等互连将网域控制器 VPC 网络连接到您的其他现有 VPC 网络。
如需了解详情,请参阅部署 Active Directory 资源林。
我可以将哪些受支持的 Windows 和 Linux 版本加入网域?
如需了解可加入网域的受支持的 Windows 和 Linux 版本,请参阅兼容的操作系统版本。
创建新的托管式 Microsoft AD 网域时,如何选择合适的 IP 地址范围?
托管式 Microsoft AD 至少需要 /24 专用 RFC 1918 CIDR 范围(例如 10.1.0.0/24),该范围不能是已获授权的 VPC 网络上的子网。
如需了解详情,请参阅选择 IP 地址范围。
在哪里可以查看网域控制器的事件日志?
您可以为网域设置审核日志记录,以查看网域控制器的事件日志。
网域控制器维护期间会发生什么?维护期间是否会停机?
Managed Microsoft AD 可确保每个区域中至少有两个网域控制器在不同的可用区中运行。因此,在修补期间,网域仍保持可用。如需了解详情,请参阅补丁。
在网域控制器上应用安全补丁的时间表是怎样的?
Managed Microsoft AD 会根据不同的时间表在网域控制器上应用不同类型的补丁。如需了解详情,请参阅补丁发布时间表。
发生故障后能否恢复 Active Directory 数据?
代管式 Microsoft AD 支持按需备份和自动备份您的网域。您可以使用任一类型的备份执行权威恢复,将网域恢复到先前的时间点。如需了解详情,请参阅备份和恢复网域。
我可以扩展 Active Directory 架构吗?
可以,您可以扩展托管式 Microsoft AD 网域的 Active Directory 架构。如需了解详情,请参阅关于架构扩展。
托管式 Microsoft AD 中的网域控制器使用哪个时间服务器?
托管式 Microsoft AD 中的网域控制器会将其时间与 metadata.google.internal 时间服务器同步。如需了解详情,请参阅在虚拟机上配置 NTP。
是否需要为每个托管式 Microsoft AD 网域单独创建一个项目?
不需要,您无需单独的 Google Cloud 项目。默认情况下,您可以在同一项目中创建两个独立网域。如需增加可在同一项目中创建的独立网域数量,请与支持团队联系。