Menggunakan akun administrator yang didelegasikan

Halaman ini menunjukkan cara menggunakan akun administrator yang didelegasikan dan mengelola kredensialnya di Managed Service for Microsoft Active Directory.

Ringkasan

Saat Anda membuat domain Managed Microsoft AD, Managed Microsoft AD akan otomatis membuat akun administrator yang didelegasikan. Anda dapat menggunakan akun ini untuk mengelola domain. Setelah login ke akun ini, Anda dapat melakukan tugas berikut:

• Mengelola data dan objek Active Directory.
• Mengelola administrator layanan lainnya.
• Menggunakan alat Active Directory standar.

Pelajari lebih lanjut hak yang otomatis diberikan ke akun administrator yang didelegasikan.

Mendapatkan nama akun

Secara default, akun administrator yang didelegasikan diberi nama setupadmin. Setelah pembuatan domain, Anda tidak dapat mengubah nama pengguna. Anda hanya dapat menentukan nama pengguna kustom saat Anda membuat domain. Jika Anda menentukan nama pengguna kustom, pastikan Anda mengikuti konvensi penamaan atribut SAM-Account-Name.

Untuk mengambil nama akun administrator yang didelegasikan, selesaikan langkah-langkah berikut:

gcloud active-directory domains describe DOMAIN_NAME

managedIdentitiesAdminName: setupadmin

Mereset sandi

Jika Anda lupa sandi untuk akun administrator yang didelegasikan, Anda tidak dapat mengambil sandi yang ada. Namun, Anda dapat mereset sandi.

Untuk mereset sandi akun administrator yang didelegasikan, Anda harus memiliki salah satu peran IAM berikut:

• Google Cloud Admin Managed Identities (roles/managedidentities.admin)
• Google Cloud Admin Domain Managed Identities (roles/managedidentities.domainAdmin)

Untuk mengetahui informasi selengkapnya, lihat Peran Cloud Managed Identities.

gcloud active-directory domains reset-admin-password DOMAIN_NAME

Operasi ini dapat memerlukan waktu hingga 60 detik untuk diselesaikan.

Menonaktifkan masa berlaku sandi

Secara default, sandi untuk akun administrator yang didelegasikan akan berakhir setelah 42 hari. Pastikan Anda mengubah sandi sebelum masa berlakunya berakhir.

Anda dapat menggunakan kebijakan sandi terperinci (FGPP) untuk menonaktifkan masa berlaku sandi untuk akun administrator yang didelegasikan. Dengan FGPP, Anda dapat menetapkan nilai setelan kebijakan Maximum password age di objek setelan sandi (PSO) yang diperlukan ke "0" dan menerapkan kebijakan sandi pada akun administrator yang didelegasikan.

Untuk menonaktifkan masa berlaku sandi untuk akun administrator yang didelegasikan, Anda harus menjadi anggota grup Cloud Service Fine Grained Password Policy Administrators.

1. Untuk menambahkan pengguna ke grup ini, jalankan perintah berikut di PowerShell:

   Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' 
   
    -Members USER
   

   Ganti USER dengan nama pengguna yang ingin Anda tambahkan ke grup Cloud Service Fine Grained Password Policy Administrators.

   Untuk mengetahui informasi selengkapnya, lihat Mendelegasikan izin untuk mengelola kebijakan.

2. Logout dari akun administrator yang didelegasikan.

Untuk menonaktifkan masa berlaku sandi untuk akun administrator yang didelegasikan, lakukan hal berikut:

1. Login sebagai anggota grup Cloud Service Fine Grained Password Policy Administrators.

2. Untuk mengubah nilai properti MaxPasswordAge menjadi "0", jalankan perintah berikut di PowerShell:

   Set-ADFineGrainedPasswordPolicy -Identity PSO -MaxPasswordAge 0
   

   Ganti PSO dengan nama PSO tempat Anda ingin menonaktifkan kebijakan masa berlaku sandi menggunakan FGPP. Misalnya, PSO-10.

   Untuk mengetahui informasi selengkapnya tentang Set-ADFineGrainedPasswordPolicy cmdlet, lihat Mengubah kebijakan sandi yang telah dibuat sebelumnya.

3. Untuk menerapkan kebijakan sandi ke akun administrator yang didelegasikan, jalankan perintah berikut di PowerShell:

   Add-ADFineGrainedPasswordPolicySubject PSO -Subjects DELEGATED_ADMINISTRATOR_ACCOUNT
   

   Ganti kode berikut:
   • PSO: Nama PSO tempat Anda menonaktifkan kebijakan masa berlaku sandi. Misalnya, PSO-10.
   • DELEGATED_ADMINISTRATOR_ACCOUNT: Nama akun administrator yang didelegasikan yang masa berlaku sandinya ingin Anda nonaktifkan. Misalnya, setupadmin.

   Untuk mengetahui informasi selengkapnya tentang Add-ADFineGrainedPasswordPolicySubject cmdlet, lihat Menambahkan pengguna atau grup ke kebijakan sandi.

Menggunakan alat Layanan Domain Active Directory

Untuk mengakses alat Layanan Domain Active Directory (AD DS), Anda harus menggunakan akun administrator yang didelegasikan. Saat Anda terhubung ke instance VM, pastikan untuk login dengan akun administrator yang didelegasikan. Anda tidak dapat beralih akun setelah terhubung ke VM atau memberikan kredensial tambahan. Setelah terhubung ke VM, Anda dapat menggunakan Add Roles and Features Wizard untuk mengaktifkan alat AD DS. Pelajari lebih lanjut cara mengaktifkan alat AD DS.

Membuat akhiran UPN

Nama domain saat ini dan domain root adalah akhiran nama pokok pengguna (UPN) default. Menambahkan nama domain alternatif memberikan keamanan tambahan dan menyederhanakan nama login pengguna.

Untuk membuat akhiran UPN, selesaikan langkah-langkah berikut:

1. Hubungkan ke instance VM dengan akun administrator yang didelegasikan.
2. Buka Pengelola Server.
3. Dari Alat, pilih Domain dan Kepercayaan Active Directory.
4. Di konsol pengelolaan Domain dan Kepercayaan Active Directory , klik kanan Domain dan Kepercayaan Active Directory di panel kiri, lalu pilih Properti.
5. Di kotak dialog, di kotak Akhiran UPN alternatif, ketik nama akhiran UPN baru.
6. Klik Tambahkan, lalu klik Oke.

Saat Anda menambahkan akun pengguna baru ke Active Directory, Anda akan melihat akhiran UPN baru yang tersedia dalam daftar saat menetapkan nama pengguna.