Utilizzare l'account amministratore delegato

Questa pagina mostra come utilizzare l'account amministratore delegato e gestire le relative credenziali in Managed Service for Microsoft Active Directory.

Panoramica

Quando crei un dominio Managed Microsoft AD, Managed Microsoft AD crea automaticamente un account amministratore delegato. Puoi utilizzare questo account per gestire il dominio. Dopo aver eseguito l'accesso a questo account, puoi eseguire le seguenti operazioni:

• Gestisci dati e oggetti Active Directory.
• Gestire altri amministratori di servizi.
• Utilizza gli strumenti standard di Active Directory.

Scopri di più sui diritti concessi automaticamente all'account amministratore delegato.

Recupera il nome dell'account

Per impostazione predefinita, l'account utente con delega di amministratore si chiama setupadmin. Dopo la creazione del dominio, non puoi modificare il nome utente. Puoi specificare un nome utente personalizzato solo quando crei un dominio. Se specifichi un nome utente personalizzato, assicurati di rispettare le convenzioni di denominazione dell'attributo SAM-Account-Name.

Per recuperare il nome dell'account amministratore delegato, completa i seguenti passaggi:

gcloud active-directory domains describe DOMAIN_NAME

managedIdentitiesAdminName: setupadmin

Reimpostare la password

Se dimentichi la password dell'account amministratore delegato, non puoi recuperare la password esistente. Tuttavia, puoi reimpostare la password.

Per reimpostare la password dell'account amministratore delegato, devi disporre di uno dei seguenti ruoli IAM:

• Google Cloud Amministratore identità gestite (roles/managedidentities.admin)
• Google Cloud Amministratore domini delle identità gestite (roles/managedidentities.domainAdmin)

Per saperne di più, consulta Ruoli di Cloud Managed Identities.

gcloud active-directory domains reset-admin-password DOMAIN_NAME

Il completamento di questa operazione può richiedere fino a 60 secondi.

Disattivare la scadenza password

Per impostazione predefinita, la password dell'account amministratore con delega scade dopo 42 giorni. Assicurati di cambiare la password prima della scadenza.

Puoi utilizzare le norme per le password granulari (FGPP) per disattivare la scadenza della password per l'account utente con delega di amministratore. Utilizzando FGPP, puoi impostare il valore dell'impostazione dei criteri Maximum password age negli oggetti impostazioni password (PSO) richiesti su "0" e applicare i criteri per le password all'account amministratore delegato.

Per disattivare la scadenza della password per il tuo account amministratore delegato, devi essere membro del gruppo Cloud Service Fine Grained Password Policy Administrators.

1. Per aggiungere un utente a questo gruppo, esegui il seguente comando in PowerShell:

   Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' 
   
    -Members USER
   

   Sostituisci USER con il nome dell'utente che vuoi aggiungere al gruppo Cloud Service Fine Grained Password Policy Administrators.

   Per saperne di più, consulta Delegare le autorizzazioni per gestire i criteri.

2. Esci dall'account amministratore delegato.

Per disattivare la scadenza della password per il tuo account amministratore delegato:

1. Accedi come membro del gruppo Cloud Service Fine Grained Password Policy Administrators.

2. Per modificare il valore della proprietà MaxPasswordAge in "0", esegui il seguente comando in PowerShell:

   Set-ADFineGrainedPasswordPolicy -Identity PSO -MaxPasswordAge 0
   

   Sostituisci PSO con il nome dell'oggetto PSO in cui vuoi disattivare la policy di scadenza della password utilizzando FGPP. Ad esempio: PSO-10.

   Per ulteriori informazioni sul cmdlet Set-ADFineGrainedPasswordPolicy, vedi Modificare una policy delle password creata in precedenza.

3. Per applicare la policy delle password al tuo account amministratore delegato, esegui questo comando in PowerShell:

   Add-ADFineGrainedPasswordPolicySubject PSO -Subjects DELEGATED_ADMINISTRATOR_ACCOUNT
   

   Sostituisci quanto segue:
   • PSO: Nome dell'PSO in cui hai disattivato la policy di scadenza della password. Ad esempio, PSO-10.
   • DELEGATED_ADMINISTRATOR_ACCOUNT: il nome dell'account amministratore delegato per il quale vuoi disattivare la scadenza della password. Ad esempio, setupadmin.

   Per maggiori informazioni sul cmdlet Add-ADFineGrainedPasswordPolicySubject, vedi Aggiungere un utente o un gruppo a un criterio delle password.

Utilizzare gli strumenti di Servizi di dominio di Active Directory

Per accedere agli strumenti di Active Directory Domain Services (AD DS), devi utilizzare l'account amministratore delegato. Quando ti connetti all'istanza VM, assicurati di accedere con l'account amministratore delegato. Non puoi cambiare account dopo la connessione alla VM o fornire credenziali aggiuntive. Dopo aver effettuato la connessione alla VM, puoi utilizzare la procedura guidata Aggiungi ruoli e funzionalità per attivare gli strumenti AD DS. Scopri di più sull'attivazione degli strumenti AD DS.

Crea un suffisso UPN

I nomi del dominio corrente e del dominio principale sono i suffissi predefiniti del nome principale utente (UPN). L'aggiunta di nomi di dominio alternativi fornisce maggiore sicurezza e semplifica i nomi di accesso degli utenti.

Per creare un suffisso UPN, completa i seguenti passaggi:

1. Connettiti all'istanza VM con l'account amministratore delegato.
2. Apri Server Manager.
3. In Strumenti, seleziona Domini e trust di Active Directory.
4. Nella console di gestione Domini e trust di Active Directory, fai clic con il tasto destro del mouse su Domini e trust di Active Directory nel riquadro a sinistra e poi seleziona Proprietà.
5. Nella finestra di dialogo, nella casella Suffissi UPN alternativi, digita il nome del nuovo suffisso UPN.
6. Fai clic su Aggiungi e poi su Ok.

Quando aggiungi un nuovo account utente ad Active Directory, dovresti vedere il nuovo suffisso UPN disponibile nell'elenco quando imposti il nome utente.