このページでは、 Google Cloudの Managed Service for Microsoft Active Directory についてよく寄せられる質問への回答を紹介します。
Managed Microsoft AD の管理に使用できるユーザー アカウントはどれですか?
新しいドメインを作成すると、Managed Microsoft AD によって委任された管理者アカウントが自動的に作成されます。このユーザー アカウントを使用して、ドメイン内の Active Directory オブジェクトを管理できます。委任された管理者アカウントには、ドメイン管理者とエンタープライズ管理者の権限がありません。これは、Managed Microsoft AD がマネージド サービスであり、Google がこれらの権限を使用する権限を有しているためです。
委任された管理者アカウントの権限
委任管理者アカウントには、Active Directory オブジェクトを管理するための特定の管理者アクティビティのリストを実行する権限があります。委任された管理者アカウントには、他の管理アクティビティを実行する権限がありません。たとえば、委任された管理者は、ドメインレベルのポリシーを作成して管理することはできません。また、標準の AD ツールを使用してドメインのバックアップと復元、スキーマの拡張などの管理タスクを実行することもできません。詳細については、委任管理者をご覧ください。
ただし、Managed Microsoft AD を介してこれらの機能を使用することはできます。ドメインのバックアップと復元、スキーマの拡張に必要な権限を持つユーザーは、これらのタスクを開始できます。
組織部門(OU)を管理するにはどうすればよいですか?
新しいドメインを作成すると、Managed Microsoft AD は Cloud OU と Cloud Service Objects OU を他のデフォルトの Active Directory オブジェクトとともに自動的に作成します。これらのオブジェクトの管理の詳細については、Active Directory オブジェクトを管理するをご覧ください。
グループ ポリシー オブジェクト(GPO)を管理するにはどうすればよいですか?
デフォルトで、Managed Microsoft AD は Cloud Service Default
Computer Policy GPO とその他のデフォルト Active Directory オブジェクトを作成し、それを Cloud OU にリンクします。追加の GPO が必要な場合は、カスタム GPO を作成して、Cloud OU または Cloud OU の下に作成した他のカスタム OU に追加できます。カスタム GPO を編集できるのは、その GPO の作成者のみです。これらのオブジェクトの管理の詳細については、Active Directory オブジェクトを管理するをご覧ください。
ドメイン コントローラはどのようにデプロイされますか?
Managed Microsoft AD は、専用の Virtual Private Cloud(VPC)ネットワークに VM としてドメイン コントローラを作成します。マネージド Microsoft AD は、VPC ネットワーク ピアリングを使用して、ドメイン コントローラの VPC ネットワークを他の既存の VPC ネットワークに接続します。
詳細については、Active Directory リソース フォレストをデプロイするをご覧ください。
ドメインに参加できるサポート対象の Windows バージョンと Linux バージョンを教えてください。
ドメインに参加できるサポート対象の Windows バージョンと Linux バージョンについては、互換性のある OS バージョンをご覧ください。
新しい Managed Microsoft AD ドメインを作成するときに、適切な IP アドレス範囲を選択するにはどうすればよいですか?
Managed Microsoft AD には、承認済み VPC ネットワークのサブネットではない、少なくとも /24 のプライベート RFC 1918 CIDR 範囲(10.1.0.0/24 など)が必要です。
詳細については、IP アドレス範囲を選択するをご覧ください。
ドメイン コントローラのイベントログはどこで確認できますか?
ドメイン コントローラのイベントログを表示するには、ドメインの監査ロギングを設定します。
ドメイン コントローラのメンテナンス時には何が起こりますか?メンテナンス中にダウンタイムは発生しますか?
マネージド Microsoft AD は、異なるアベイラビリティ ゾーンのドメインに対して、各リージョンで少なくとも 2 つのドメイン コントローラが実行されていることを保証します。そのため、パッチ適用中もドメインは引き続き使用できます。詳細については、パッチ適用をご覧ください。
ドメイン コントローラにセキュリティ パッチを適用するスケジュールを教えてください。
Managed Microsoft AD は、ドメイン コントローラにさまざまな種類のパッチを適用するために、さまざまなタイムラインをターゲットにします。詳細については、パッチ適用スケジュールをご覧ください。
障害発生後に Active Directory データを復元できますか?
マネージド Microsoft AD は、ドメインのオンデマンド バックアップと自動バックアップをサポートしています。これらのバックアップ タイプのいずれかを使用して、信頼できる復元を実行し、ドメインを以前の時点に戻すことができます。詳細については、ドメインをバックアップして復元するをご覧ください。
Active Directory スキーマを拡張できますか?
はい。マネージド Microsoft AD ドメインの Active Directory スキーマを拡張できます。詳細については、スキーマ拡張についてをご覧ください。
Managed Microsoft AD のドメイン コントローラはどの時刻サーバーを使用しますか?
Managed Microsoft AD のドメイン コントローラは、metadata.google.internal 時刻サーバーと時刻を同期します。詳細については、VM で NTP を構成するをご覧ください。
Managed Microsoft AD ドメインごとに個別のプロジェクトを作成する必要がありますか?
いいえ、個別の Google Cloud プロジェクトは必要ありません。デフォルトでは、同じプロジェクトに 2 つの独立したドメインを作成できます。同じプロジェクトで作成できる独立したドメインの数を増やすには、サポートにお問い合わせください。