Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

ניהול אובייקטים ב-Active Directory

בדף הזה מוסבר איך לנהל את האובייקטים של Active Directory בדומיין שלכם בשירות המנוהל ל-Microsoft Active Directory.

לפני שמתחילים

לפני שמנהלים את האובייקטים של Active Directory, צריך לבצע את השלבים הבאים:

יצירת דומיין של שירות מנוהל ל-Microsoft AD
הצטרפות ל-VM של Windows לדומיין
מתקינים את Remote Server Administration Tools (RSAT).

התקנה של RSAT

כדי לנהל את האובייקטים של Active Directory, צריך להתקין את RSAT רק פעם אחת בכל דומיין מנוהל של Microsoft AD.

כדי להתקין את RSAT, מבצעים את השלבים הבאים:

מתחברים ל-VM של Windows.
במכונה הווירטואלית של Windows, פותחים את האשף להוספת תפקידים ותכונות.
באשף הוספת תפקידים ותכונות, עוברים לדף בחירת תכונות. אפשר לבחור באפשרות תכונות בתפריט הצד או ללחוץ על הבא עד שמוצג הדף בחירת תכונות.
בדף Select features, מרחיבים את האפשרות Remote Server Administration Tools מהרשימה Features, ואז מרחיבים את האפשרות Role Administration Tools.
בקטע Role Administration Tools (כלים לניהול תפקידים), בוחרים באפשרות AD DS and AD LDS Tools (כלים של AD DS ו-AD LDS). התכונה הזו מאפשרת את הפעולות הבאות:
- מודול Active Directory ל-Windows PowerShell
- תוספים וכלי שורת פקודה של AD LDS
- מרכז הניהול של Active Directory
- תוספים וכלי שורת פקודה של AD DS
הערה: בשירות מנוהל ל-Microsoft AD אין תמיכה בתכונה Active Directory Recycle Bin.
אופציונלי: אם רוצים, אפשר להפעיל גם את התכונות הבאות:
- ניהול מדיניות קבוצתית
- כלי שרת DNS (בקטע כלי ניהול תפקידים)
לוחצים על הבא.
בדף אישור, לוחצים על התקנה.
בדף תוצאות, לוחצים על סגירה.

ניהול אובייקטים

מטעמי אבטחה, אי אפשר לגשת ישירות לבקר הדומיין באמצעות פרוטוקול שולחן עבודה מרוחק (RDP) או כלים אחרים. במקום זאת, אפשר להתחבר למכונה וירטואלית שמצורפת לדומיין באמצעות RDP ולהשתמש בכלים הרגילים של AD כדי לעבוד מרחוק עם אובייקטים של Active Directory בדומיין.

כדי לנהל את האובייקטים של Active Directory, פועלים לפי השלבים הבאים:

מתחברים למכונת Windows הווירטואלית שצורפה לדומיין של שירות מנוהל ל-Microsoft AD. מידע נוסף זמין במאמר איך מתחברים למכונות וירטואליות של Windows באמצעות RDP.
פותחים את המסוף Active Directory Users and Computers‏ (dsa.msc).
בוחרים את שם הדומיין של Active Directory ומרחיבים את הפריט.
כדי לנהל את האובייקטים של Active Directory, משתמשים ביחידות ארגוניות (OU) שסופקו על ידי שירות מנוהל ל-Microsoft AD. למרות שיש לכם שליטה מלאה באובייקטים ביחידה הארגונית Cloud, אתם יכולים לעדכן רק חלק מהמאפיינים של האובייקטים ביחידה הארגונית Cloud Service Objects.

צריכות להיות לכם הרשאות לניהול האובייקטים של Active Directory. למידע על המשתמשים שיש להם הרשאות לאובייקטים מסוימים ב-Active Directory, אפשר לעיין במאמר בנושא אובייקטים שמוגדרים כברירת מחדל ב-Active Directory.

אפשר לבצע בדומיין רק כמה משימות ניהול של Active Directory, כמו יצירת יחסי אמון, הרחבת הסכימה והשבתת סינון SID. כדי לבצע את המשימות האלה, צריך להשתמש במסוף, ב-CLI של gcloud או בממשקי API, ולא בכלי AD רגילים. Google Cloud

יחידות ארגוניות

שירות מנוהל ל-Microsoft AD מספק שני יחידות ארגוניות (OU),‏ Cloud ו-Cloud Service Objects.

שירות מנוהל ל-Microsoft AD יוצר Cloud בדומיין המנוהל של Microsoft AD כדי לארח את כל אובייקטי ה-AD. יש לכם גישת אדמין מלאה ליחידה הארגונית הזו. אפשר להשתמש ביחידה הארגונית Cloud כדי ליצור משתמשים, קבוצות, מחשבים או יחידות ארגוניות משנה נוספות.

היחידה הארגונית Cloud Service Objects מארחת אובייקטים של AD שנוצרים ומנוהלים על ידי שירות מנוהל ל-Microsoft AD. רק Google Cloud יכולים ליצור אובייקטים ביחידה הארגונית הזו, אבל אתם יכולים לעדכן חלק מהמאפיינים שלהם.

מידע נוסף על הקבוצות ביחידה הארגונית Cloud Service Objects זמין במאמר קבוצות.

אפשר לנהל רק את היחידות הארגוניות Cloud ו-Cloud Service Objects. ב-שירות מנוהל ל-Microsoft AD, יצירת אובייקטים ב-Active Directory שמורה ליחידות ארגוניות אחרות. היתרון הנוסף הוא אבטחה משופרת, והוא עוזר לכם לנהל מדיניות של AD שחלה על יחידות ארגוניות.