Use a conta de administrador delegado

Esta página mostra-lhe como usar a conta de administrador delegado e gerir as respetivas credenciais no serviço gerido para o Microsoft Active Directory.

Vista geral

Quando cria um domínio do Microsoft AD gerido, o Microsoft AD gerido cria automaticamente uma conta de administrador delegado. Pode usar esta conta para gerir o domínio. Depois de iniciar sessão nesta conta, pode realizar as seguintes tarefas:

• Faça a gestão dos dados e dos objetos do Active Directory.
• Gerir outros administradores de serviços.
• Use ferramentas padrão do Active Directory.

Saiba mais acerca dos direitos que são concedidos automaticamente à conta de administrador delegado.

Obtenha o nome da conta

Por predefinição, a conta de administrador delegado chama-se setupadmin. Após a criação do domínio, não pode alterar o nome de utilizador. Só pode especificar um nome de utilizador personalizado quando cria um domínio. Se especificar um nome de utilizador personalizado, certifique-se de que segue as convenções de nomenclatura do atributo SAM-Account-Name.

Para obter o nome da conta de administrador delegado, conclua os seguintes passos:

gcloud active-directory domains describe DOMAIN_NAME

managedIdentitiesAdminName: setupadmin

Reponha a palavra-passe

Se se esquecer da palavra-passe da conta de administrador delegado, não pode recuperá-la. No entanto, pode repor a palavra-passe.

Para repor a palavra-passe da conta de administrador delegado, tem de ter uma das seguintes funções do IAM:

• Google Cloud Administrador de identidades geridas (roles/managedidentities.admin)
• Google Cloud Administrador do domínio de identidades geridas (roles/managedidentities.domainAdmin)

Para mais informações, consulte o artigo Funções das identidades geridas na nuvem.

gcloud active-directory domains reset-admin-password DOMAIN_NAME

Esta operação pode demorar até 60 segundos a ser concluída.

Desative a expiração da palavra-passe

Por predefinição, a palavra-passe da conta de administrador delegado expira após 42 dias. Certifique-se de que altera a palavra-passe antes de expirar.

Pode usar políticas de palavras-passe detalhadas (FGPP) para desativar o prazo de validade da palavra-passe para a conta de administrador delegado. Com a FGPP, pode definir o valor da definição de política Maximum password age nos objetos de definições de palavras-passe (PSO) necessários como "0" e aplicar a política de palavras-passe à conta de administrador delegado.

Para desativar o prazo de validade da palavra-passe para a sua conta de administrador delegado, tem de ser membro do grupo Cloud Service Fine Grained Password Policy Administrators.

1. Para adicionar um utilizador a este grupo, execute o seguinte comando no PowerShell:

   Add-ADGroupMember -Identity 'Cloud Service Fine Grained Password Policy Administrators' 
   
    -Members USER
   

   Substitua USER pelo nome do utilizador que quer adicionar ao grupo Cloud Service Fine Grained Password Policy Administrators.

   Para mais informações, consulte o artigo Delegue autorizações para gerir políticas.

2. Termine sessão na conta de administrador delegado.

Para desativar a expiração da palavra-passe para a sua conta de administrador delegado, faça o seguinte:

1. Inicie sessão como membro do grupo Cloud Service Fine Grained Password Policy Administrators.

2. Para modificar o valor da propriedade MaxPasswordAge para "0", execute o seguinte comando no PowerShell:

   Set-ADFineGrainedPasswordPolicy -Identity PSO -MaxPasswordAge 0
   

   Substitua PSO pelo nome do PSO no qual quer desativar a política de expiração de palavras-passe através da FGPP. Por exemplo, PSO-10.

   Para mais informações sobre o cmdlet Set-ADFineGrainedPasswordPolicy, consulte o artigo Modifique uma política de palavras-passe pré-criada.

3. Para aplicar a política de palavras-passe à sua conta de administrador delegado, execute o seguinte comando no PowerShell:

   Add-ADFineGrainedPasswordPolicySubject PSO -Subjects DELEGATED_ADMINISTRATOR_ACCOUNT
   

   Substitua o seguinte:
   • PSO: nome do PSO no qual desativou a política de validade da palavra-passe. Por exemplo, PSO-10.
   • DELEGATED_ADMINISTRATOR_ACCOUNT: nome da conta de administrador delegado para a qual quer desativar a expiração da palavra-passe. Por exemplo, setupadmin.

   Para mais informações sobre o cmdlet Add-ADFineGrainedPasswordPolicySubject, consulte o artigo Adicione um utilizador ou um grupo a uma política de palavras-passe.

Usar ferramentas do Active Directory Domain Services

Para aceder às ferramentas dos serviços de domínio do Active Directory (AD DS), tem de usar a conta de administrador delegado. Quando se ligar à instância de VM, certifique-se de que inicia sessão com a conta de administrador delegado. Não pode mudar de conta depois de estabelecer ligação à VM nem fornecer credenciais adicionais. Depois de se ligar à VM, pode usar o Assistente para adicionar funções e funcionalidades para ativar as ferramentas AD DS. Saiba mais sobre como ativar as ferramentas do AD DS.

Crie um sufixo de UPN

Os nomes do domínio atual e do domínio raiz são os sufixos do nome principal do utilizador (UPN) predefinidos. A adição de nomes de domínios alternativos oferece segurança adicional e simplifica os nomes de início de sessão dos utilizadores.

Para criar um sufixo UPN, conclua os seguintes passos:

1. Estabeleça ligação à instância de VM com a conta de administrador delegado.
2. Abra o Gestor do servidor.
3. Em Ferramentas, selecione Domínios e relações de confiança do Active Directory.
4. Na consola de gestão Domínios e relações de confiança do Active Directory, clique com o botão direito do rato em Domínios e relações de confiança do Active Directory no painel do lado esquerdo e, em seguida, selecione Propriedades.
5. Na caixa de diálogo, na caixa Sufixos UPN alternativos, escreva o nome do novo sufixo UPN.
6. Clique em Adicionar e, de seguida, em OK.

Quando adiciona uma nova conta de utilizador ao Active Directory, deve ver o novo sufixo UPN disponível na lista quando define o nome de utilizador.