שימוש בחשבון אדמין עם הרשאה

בדף הזה מוסבר איך להשתמש בחשבון אדמין עם הרשאות מוגבלות ואיך לנהל את פרטי הכניסה שלו ב-שירות מנוהל ל-Microsoft Active Directory.

סקירה כללית

כשיוצרים דומיין של שירות מנוהל ל-Microsoft AD, שירות מנוהל ל-Microsoft AD יוצר אוטומטית חשבון אדמין עם הרשאות מוגבלות. אתם יכולים להשתמש בחשבון הזה כדי לנהל את הדומיין. אחרי שמתחברים לחשבון הזה, אפשר לבצע את המשימות הבאות:

  • ניהול נתונים ואובייקטים של Active Directory.
  • ניהול אדמינים אחרים של שירותים.
  • משתמשים בכלים רגילים של Active Directory.

מידע נוסף על ההרשאות שמוענקות אוטומטית לחשבון האדמין עם הגישה המוגבלת

קבלת שם החשבון

כברירת מחדל, השם של חשבון האדמין עם ההרשאה הוא setupadmin. אחרי שיוצרים דומיין, אי אפשר לשנות את שם המשתמש. אפשר לציין שם משתמש מותאם אישית רק כשיוצרים דומיין. אם מציינים שם משתמש בהתאמה אישית, צריך לוודא שפועלים לפי מוסכמות מתן השמות של המאפיין SAM-Account-Name.

כדי לאחזר את השם של חשבון האדמין עם הרשאות הניהול שהוקצו, פועלים לפי השלבים הבאים:

המסוף

  1. במסוף Google Cloud , עוברים לדף שירות מנוהל ל-Microsoft AD.
    מעבר אל שירות מנוהל ל-Microsoft AD
  2. בקטע FQDN, בוחרים את הדומיין כדי לקבל את שם החשבון של מנהל ההרשאות שהוקצו.
  3. שם החשבון מופיע בקטע שם האדמין.

gcloud

מריצים את הפקודה הבאה:

gcloud active-directory domains describe DOMAIN_NAME

התגובה היא YAML שמכיל מידע על הדומיין. השם של חשבון האדמין שהוקצו לו הרשאות מופיע בשדה managedIdentitiesAdminName:

managedIdentitiesAdminName: setupadmin

איפוס הסיסמה

אם שכחתם את הסיסמה לחשבון האדמין שהוקצו לו הרשאות, לא תוכלו לשחזר את הסיסמה הקיימת. אבל אתם יכולים לאפס את הסיסמה.

כדי לאפס את הסיסמה של חשבון האדמין שהועברו אליו הרשאות, צריך שיהיה לכם אחד מתפקידי ה-IAM הבאים:

  • Google Cloud אדמין של זהויות מנוהלות (roles/managedidentities.admin)
  • Google Cloud אדמין של דומיין עם זהויות מנוהלות (roles/managedidentities.domainAdmin)

מידע נוסף זמין במאמר בנושא תפקידים ב-Cloud Managed Identities.

המסוף

  1. במסוף Google Cloud , עוברים לדף שירות מנוהל ל-Microsoft AD.
    מעבר אל שירות מנוהל ל-Microsoft AD

  2. בקטע FQDN, בוחרים את הדומיין שרוצים לאפס את הסיסמה של מנהל ההרשאות שהוקצו לו.

  3. בדף פרטי הדומיין, לוחצים על הגדרת סיסמה.

  4. בתיבת הדו-שיח הגדרת סיסמה, לוחצים על אישור.

  5. הסיסמה החדשה מוצגת בתיבת הדו-שיח סיסמה חדשה.

gcloud

מריצים את הפקודה הבאה:

gcloud active-directory domains reset-admin-password DOMAIN_NAME

הפעולה הזו יכולה להימשך עד 60 שניות.

השבתת תפוגת התוקף של הסיסמה

כברירת מחדל, התוקף של הסיסמה לחשבון של מנהל מערכת עם הרשאות גישה מוגבלות יפוג אחרי 42 ימים. חשוב לשנות את הסיסמה לפני שהתוקף שלה יפוג.

אתם יכולים להשתמש במדיניות סיסמאות מפורטת (FGPP) כדי להשבית את תפוגת הסיסמה בחשבון האדמין שהוקצו לו הרשאות. באמצעות FGPP, אפשר להגדיר את הערך של הגדרת המדיניות Maximum password age באובייקטים הנדרשים של הגדרות הסיסמה (PSO) ל-0 ולאכוף את מדיניות הסיסמה בחשבון האדמין שהוקצו לו הרשאות.

כדי להשבית את תוקף הסיסמה בחשבון האדמין המוקצה, אתם צריכים להיות חברים בקבוצה Cloud Service Fine Grained Password Policy Administrators.

  1. כדי להוסיף משתמש לקבוצה הזו, מריצים את הפקודה הבאה ב-PowerShell: 

    Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' 
    
 -Members USER
    מחליפים את USER בשם המשתמש שרוצים להוסיף לקבוצה Cloud Service Fine Grained Password Policy Administrators.

    מידע נוסף זמין במאמר בנושא הקצאת הרשאות לניהול מדיניות.

  2. יוצאים מחשבון האדמין שקיבל הרשאת גישה.

כדי להשבית את תוקף הסיסמה בחשבון האדמין עם הרשאות הניהול שהוקצו לו, צריך לבצע את הפעולות הבאות:

  1. מתחברים כחברים בקבוצה Cloud Service Fine Grained Password Policy Administrators.

  2. כדי לשנות את הערך של המאפיין MaxPasswordAge ל-0, מריצים את הפקודה הבאה ב-PowerShell: 

    Set-ADFineGrainedPasswordPolicy -Identity PSO -MaxPasswordAge 0
    מחליפים את PSO בשם של PSO שבו רוצים להשבית את מדיניות תוקף הסיסמה באמצעות FGPP. לדוגמה, PSO-10.

    מידע נוסף על cmdlet‏ Set-ADFineGrainedPasswordPolicy זמין במאמר שינוי מדיניות סיסמאות שנוצרה מראש.

  3. כדי להחיל את מדיניות הסיסמאות על חשבון האדמין המוקצה, מריצים את הפקודה הבאה ב-PowerShell: 

    Add-ADFineGrainedPasswordPolicySubject PSO -Subjects DELEGATED_ADMINISTRATOR_ACCOUNT
    מחליפים את מה שכתוב בשדות הבאים:

    • PSO: השם של ה-PSO שבו השבתתם את מדיניות תוקף הסיסמה. לדוגמה, PSO-10.
    • DELEGATED_ADMINISTRATOR_ACCOUNT: השם של חשבון האדמין עם ההרשאות המוגבלות שרוצים להשבית בו את תוקף הסיסמה. לדוגמה, setupadmin.

    מידע נוסף על cmdlet‏ Add-ADFineGrainedPasswordPolicySubject זמין במאמר הוספת משתמש או קבוצה למדיניות סיסמאות.

שימוש בכלים של Active Directory Domain Services

כדי לגשת לכלים של Active Directory Domain Services ‏ (AD DS), צריך להשתמש בחשבון אדמין עם הרשאות מוגבלות. כשמתחברים למכונה הווירטואלית, חשוב להיכנס באמצעות חשבון האדמין שהוקצו לו הרשאות. אי אפשר להחליף חשבונות אחרי שמתחברים למכונה הווירטואלית או לספק פרטי כניסה נוספים. אחרי שמתחברים למכונה הווירטואלית, אפשר להשתמש באשף להוספת תפקידים ותכונות כדי להפעיל את הכלים של AD DS. מידע נוסף על הפעלת כלים של AD DS

יצירת סיומת UPN

השמות של הדומיין הנוכחי ודומיין הבסיס הם הסיומות שמוגדרות כברירת מחדל לשם המשתמש הראשי (UPN). הוספת שמות דומיין חלופיים מספקת אבטחה נוספת ומפשטת את שמות הכניסה של המשתמשים.

כדי ליצור סיומת UPN:

  1. מתחברים למכונה הווירטואלית באמצעות חשבון האדמין עם ההרשאות שהוקצו.
  2. פותחים את Server Manager.
  3. בתפריט כלים, בוחרים באפשרות דומיינים ויחסי אמון של Active Directory.
  4. במסוף הניהול Active Directory Domains and Trusts, לוחצים לחיצה ימנית על Active Directory Domains and Trusts בחלונית הימנית ובוחרים באפשרות Properties (מאפיינים).
  5. בתיבת הדו-שיח, בתיבה Alternate UPN suffixes, מקלידים את השם של הסיומת החדשה של ה-UPN.
  6. לוחצים על הוספה ואז על אישור.

כשמוסיפים חשבון משתמש חדש ל-Active Directory, הסיומת החדשה של שם המשתמש אמורה להופיע ברשימה כשמגדירים את שם המשתמש.