אובייקטים של Active Directory שמוגדרים כברירת מחדל בשירות מנוהל ל-Microsoft AD

כשיוצרים דומיין חדש באמצעות השירות המנוהל ל-Microsoft Active Directory, חלק מאובייקטים של Active Directory נוצרים אוטומטית. הם עוזרים לכם לנהל את דומיין AD, ומקלים על ניהול משימות AD שבדרך כלל מוקצות למשתמשים או לקבוצות אחרים.

התרשים הבא מספק סקירה כללית. בטבלאות שלמטה מופיעה רשימה מלאה של כל האובייקטים ותיאור שלהם.

קבוצות של מודעות

יחידות ארגוניות

בטבלה 1 מוצגות היחידות הארגוניות (OU) שנוצרו עבורכם.

טבלה 1. יחידות ארגוניות
שם תיאור
Cloud מארח את כל האובייקטים של AD. יש לכם שליטה מלאה ביחידה הארגונית הזו.
Cloud Service Objects מארח אובייקטים של AD שנוצרו ומנוהלים על ידי שירות מנוהל ל-Microsoft AD. רק Google Cloud יכולים ליצור אובייקטים ביחידה הארגונית הזו, אבל אתם יכולים לעדכן חלק מהמאפיינים באובייקטים שנוצרו מראש.

קבוצות

הקבוצות הבאות נוצרות ביחידה הארגונית Cloud Service Objects.

טבלה 2. קבוצות ביחידה הארגונית Cloud Service Objects
שם סוג תיאור
Cloud Service Administrators עולמי החברים הם אדמינים בשירות מנוהל ל-Microsoft AD.
Cloud Service All Administrators דומיין מקומי החברים הם אדמינים בשירות מנוהל ל-Microsoft AD. המשמעות היא שגם חברים מדומיינים מהימנים יכולים להיות מוּסרים.
Cloud Service Computer Administrators דומיין מקומי המשתמשים הם אדמינים במחשבים שמצורפים לדומיין.
Cloud Service DNS Administrators דומיין מקומי משתתפים יכולים להוסיף, להסיר ולשנות רשומות DNS בתוך אזורי DNS שמשולבים ב-Active Directory.
Cloud Service Managed Service Account Administrators דומיין מקומי חברים יכולים לנהל חשבונות שירות מנוהלים.
Cloud Service Computer Remote Desktop Users דומיין מקומי לחברים יש הרשאות לגישה מרחוק למחשבים שמצורפים לדומיין.
Cloud Service Site Administrators דומיין מקומי חברים יכולים לשנות את השם של אתרים ב-Active Directory.
Cloud Service Protected Users עולמי אמצעי ההגנה של קבוצת המשתמשים המוגנים חלים על החברים בקבוצה.
Cloud Service Group Policy Creator Owners דומיין מקומי חברי הקבוצה יכולים ליצור אובייקטים של מדיניות קבוצתית (GPO). אפשר לקשר GPO רק ל-Cloud OU ולאובייקטים בתוכו. אבל רק מי שיצר את אובייקטי המדיניות הקבוצתית האלה יכול לערוך אותם. מידע נוסף זמין במאמר איך אפשר לנהל אובייקטים של מדיניות קבוצתית (GPO)?
Cloud Service Domain Join Accounts דומיין מקומי חברים יכולים לצרף מחשבים לדומיין.
Cloud Service Fine Grained Password Policy Administrators דומיין מקומי חברי הקבוצה יכולים לשנות מדיניות סיסמאות ולהקצות אותה למשתמשים ולקבוצות.

שירות מנוהל ל-Microsoft AD אינו תומך במתן חברות בקבוצה עם הגבלת זמן למשתמשים באמצעות ניהול גישה עם הרשאות מיוחדות ל-Active Directory Domain Services.

אובייקטים של מדיניות קבוצתית

שירות מנוהל ל-Microsoft AD יוצר באופן אוטומטי חלק מאובייקטי מדיניות הקבוצה (GPO) כדי לתמוך בתכונות מסוימות של מדיניות הקבוצה.

טבלה 3. אובייקטים של מדיניות קבוצתית
שם תיאור
Cloud Service Default Computer Policy מקושר ליחידה הארגונית Cloud. מעניק Cloud Service Computer Administrators הרשאות אדמין מקומיות והרשאות Cloud Service Computer Remote Desktop Users ל-Remote Desktop ‏ (RDP) ב-Cloud OU.

אתם יכולים ליצור אובייקטים של מדיניות קבוצתית בהתאמה אישית ולקשר אותם ליחידה הארגונית Cloud או לכל אחת מהיחידות הארגוניות ברמת הצאצא בתוך היחידה הארגונית Cloud. מידע על קישור GPO ל-OU זמין במאמר קישור ה-GPO לדומיין.

אובייקטים של הגדרות סיסמה

שירות מנוהל ל-Microsoft AD יוצר באופן אוטומטי עשרה אובייקטים של הגדרות סיסמה (PSO). אי אפשר לשנות את השם או את סדר העדיפות של ה-PSO האלה. בטבלה 4 מוצגים השמות והעדיפויות של ה-PSO האלה.

טבלה 4. אובייקטים של הגדרות מדיניות
שם קדימות
PSO-10 10
PSO-20 20
PSO-30 30
PSO-40 40
PSO-50 50
PSO-60 60
PSO-70 70
PSO-80 80
PSO-90 90
PSO-100 100

ערכי ברירת מחדל מוקצים להגדרות של מדיניות הסיסמאות לכל PSO. אפשר לשנות את הערכים האלה. טבלה 5 מציגה את הגדרות ברירת המחדל האלה.

טבלה 5. הגדרות ברירת המחדל של PSO
מדיניות הגדרה
הופעלה מורכבות נכון
משך הנעילה 30 דקות
חלון התצפית על נעילת חשבון 30 דקות
הסף לנעילה 0
הגיל המקסימלי של הסיסמה 42 ימים
הגיל המינימלי של הסיסמה יום אחד
אורך סיסמה מינימלי 7
מספר הסיסמאות הקודמות 24
ההצפנה הניתנת לביטול מופעלת לא נכון

משתמשים

ב-שירות מנוהל ל-Microsoft AD, המערכת יוצרת באופן אוטומטי את המשתמשים שמוצגים בטבלה 6.

טבלה 6. משתמשים
שם תיאור
setupadmin (ברירת מחדל)

חשבון אדמין עם הרשאות ניהול שמוקצה לכם כדי לנהל את הדומיין. שם הדומיין הוא setupadmin כברירת מחדל, אבל אפשר לציין שם אחר במהלך יצירת הדומיין.

איפוס הסיסמה בדומיין מגדיר את הסיסמה לחשבון הזה.
cloudsvcadmin חשבון שירות שמשמש את שירות מנוהל ל-Microsoft AD לניהול הדומיין. החשבון הזה מיועד לשימוש על ידי המערכת, ואין להשתמש בו באופן ישיר, לשנות אותו או למחוק אותו.

מנהל מערכת שהועברו לו סמכויות

בטבלה 7 מוצגות ההרשאות ב-Active Directory שמוענקות אוטומטית לחשבון האדמין עם ההרשאות המוגבלות כשמקצים את הדומיין. ההרשאות האלה ניתנות על ידי חברות בקבוצות בחשבון, ולכן אם תסירו את החשבון מאחת מהקבוצות האלה, יכול להיות שההרשאות שלו והפעולות שהוא יכול לבצע יושפעו. שם החשבון הזה הוא setupadmin, שהוא השם שמוגדר כברירת מחדל. אם שיניתם את שם החשבון אבל לא זוכרים את הערך, אתם יכולים לאחזר אותו. מידע נוסף זמין במאמר בנושא שימוש בחשבון אדמין עם הרשאות גישה מוגבלות.

לחשבון האדמין המואצל אין את ההרשאות Domain Admins, Enterprise Admins ו-BUILTIN\Administrators כי שירות מנוהל ל-Microsoft AD הוא שירות מנוהל ו-Google שומרת לעצמה את הזכות להשתמש בהרשאות האלה. לכן, אי אפשר להשתמש בתכונות של Active Directory שדורשות את ההרשאות האלה בשירות מנוהל ל-Microsoft AD, כמו מערכת קבצים מבוזרת (DFS),‏ DHCP, הגדרת GPO ברמת הדומיין, שכפול שינויים בספרייה, העלאת רמות פונקציונליות של יער ושינויים אחרים ברמת היער.

טבלה 7. הרשאות בחשבון אדמין שקיבל גישה
אובייקט Active Directory שם ייחודי פעולות מותרות בחשבון אדמין עם הרשאה מוגבלת באובייקט
Cloud OU=Cloud,DC=<domain-name>

יכול לבצע פעולות CRUD לכל סוג אובייקט ביחידה הארגונית Cloud

אפשר לקשר אובייקטים של מדיניות קבוצתית (GPO) ליחידה הארגונית הזו וליחידות הארגוניות המשניות שלה

אי אפשר למחוק או לשנות את השם של היחידה הארגונית
מאגר של חשבונות שירות מנוהלים CN=Managed Service Accounts, DC=<domain-name> יכול ליצור, לעדכן ולמחוק חשבונות שירות מנוהלים של קבוצות וכל ניהול קשור
מאגר MicrosoftDNS CN=MicrosoftDNS,CN=System, DC=<domain-name> אפשר להתחבר לשרת DNS משולב ב-AD באמצעות מנהל ה-DNS.
התיקייה DomainDNSZones CN=MicrosoftDNS, DC=DomainDNSZones,DC=<domain-name> יכול ליצור העברות מותנות, רשומות A, רשומות CNAME, האצלת DNS, אזורים של חיפוש קדימה ואזורים של חיפוש הפוך
התיקייה ForestDNSZones CN=MicrosoftDNS, DC=ForestDNSZones,DC=<domain-name> יכול ליצור העברות מותנות, רשומות A, רשומות CNAME, האצלת DNS, אזורים של חיפוש קדימה ואזורים של חיפוש הפוך

חשבון אדמין שהועברו לו סמכויות

(שם ברירת המחדל: setupadmin)

 CN=<delegated-admin-name>, OU=Cloud Service Objects,DC=<domain-name>

יכול לשנות את הסיסמה של חשבון האדמין עם הרשאת גישה שנוצר באופן אוטומטי במהלך הקצאת הדומיין

מידע נוסף על קבלת השם של החשבון הזה ועל איפוס הסיסמה שלו
אדמינים של שירותי ענן CN=Cloud Service Administrators, OU=Cloud Service Objects, DC=<domain-name>

יכול/ה להוסיף או להסיר אובייקטים של AD לקבוצה Cloud Service Administrators מנוהלת

כל חשבון שמוסיפים לקבוצה הזו מקבל את אותן הרשאות שמוענקות לחשבון של מנהל ההרשאות.
כל האתרים כל האתרים בדומיין: CN=Sites,CN=Configuration, DC=<domain-name> יכולים לשנות את שם האתר ב-Active Directory
כל הקבוצות המנוהלות כל הקבוצות שמנוהלות בענן בכתובת: OU=Cloud Service Objects, DC=<domain-name>

יכול/ה להוסיף אובייקטים של AD לקבוצות שנוצרו מראש ומנוהלות בענן, ולהסיר אותם מהקבוצות

לא חל על קבוצות מובנות של Active Directory שנוצרות במהלך ההתקנה של AD
Policies Container CN=Policies, CN=System,DC=<domain-name>

אפשרות ליצור, לעדכן ולמחוק אובייקטים של מדיניות קבוצתית

אי אפשר לערוך או למחוק את אובייקטי המדיניות הקבוצתית של בקר הדומיין שמוגדר כברירת מחדל או של מדיניות הדומיין שמוגדרת כברירת מחדל
מחיצת קונטיינר (סיומות UPN) CN=Partitions,CN=Configuration, DC=<domain-name> אפשר לשנות את הסיומות של שמות המשתמשים הראשיים
שרת רישיונות של Terminal Services CN=Terminal Server License Servers,CN=Builtin, DC=<domain-name> יכול להוסיף שרתי Windows עם תפקיד של שרת רישיונות של שירותי מסוף לקבוצה המובנית של שרת רישיונות של שירותי מסוף

המאמרים הבאים