Quando você cria um novo domínio com o Serviço Gerenciado para Microsoft Active Directory, alguns objetos do Active Directory são criados automaticamente para você. Isso ajuda a administrar seu domínio do AD e facilita o gerenciamento de tarefas do AD normalmente delegadas a outros usuários ou grupos.
O diagrama a seguir fornece uma visão geral. Consulte as tabelas abaixo para obter uma lista completa e a descrição de cada objeto.
Unidades organizacionais
A Tabela 1 mostra as unidades organizacionais (UO) criadas para você.
| Nome | Descrição |
|---|---|
Cloud |
Hospeda todos os seus objetos do AD. Você tem controle total dentro desta UO. |
Cloud Service Objects |
Hospeda objetos do AD criados e gerenciados pelo Managed Microsoft AD. Somente Google Cloud pode criar objetos nessa UO, embora você possa atualizar alguns atributos nos objetos pré-criados. |
Grupos
Os seguintes grupos são criados na UO Cloud Service Objects.
| Nome | Tipo | Descrição | |
|---|---|---|---|
Cloud Service Administrators |
Global | Os membros são administradores do serviço de nuvem Managed Microsoft AD. | |
Cloud Service All Administrators |
Local do domínio | Os membros são administradores do serviço de nuvem Managed Microsoft AD. Isso pode incluir membros de domínios confiáveis. | |
Cloud Service Computer Administrators |
Local do domínio | Os membros são administradores em máquinas ingressadas no domínio. | |
Cloud Service DNS Administrators |
Local do domínio | Os membros podem adicionar, remover e modificar entradas DNS nas zonas DNS integradas ao Active Directory. | |
Cloud Service Managed Service Account Administrators |
Local do domínio | Os membros podem administrar contas de serviço gerenciado. | |
Cloud Service Computer Remote Desktop Users |
Local do domínio | Os membros têm direitos de área de trabalho remota em máquinas ingressadas no domínio. | |
Cloud Service Site Administrators |
Local do domínio | Os membros podem renomear sites do Active Directory. | |
Cloud Service Protected Users |
Global | As proteções do grupo Usuários protegidos são aplicadas aos membros. | |
Cloud Service Group Policy Creator Owners |
Local do domínio |
Os membros podem criar GPOs (Objetos de Política de Grupo). Os GPOs só podem ser vinculados à UO Cloud e aos objetos dentro dela.
|
|
Cloud Service Domain Join Accounts |
Local do domínio | Os membros podem associar computadores ao domínio. | |
Cloud Service Fine Grained Password Policy Administrators |
Local do domínio | Os participantes podem modificar e atribuir políticas de senha a usuários e grupos. |
O Microsoft AD gerenciado não oferece suporte para fornecer associações de grupo por tempo limitado aos usuários usando o Gerenciamento de acesso privilegiado para serviços de domínio do Active Directory.
Objetos de Política de Grupo
O Managed Microsoft AD cria automaticamente alguns GPOs (Objetos de Política de Grupo) para oferecer suporte a determinados recursos de Política de Grupo.
| Nome | Descrição |
|---|---|
Cloud Service Default Computer Policy |
Vinculado à UO Cloud. Concede a Cloud Service Computer Administrators direitos de administrador local e a Cloud Service Computer Remote Desktop Users privilégios de Área de Trabalho Remota (RDP) na UO Cloud.
|
É possível criar GPOs
personalizados
e vinculá-los à UO Cloud ou a qualquer UO filha na UO
Cloud. Para informações sobre como vincular um GPO a uma UO, consulte Vincular o GPO ao
domínio.
Objetos de configurações de senha
O Microsoft AD gerenciado cria automaticamente dez objetos de configuração de senha (PSO, na sigla em inglês). Não é possível alterar o nome ou a precedência dessas PSOs. A Tabela 4 mostra os nomes e as precedências desses PSOs.
| Nome | Precedência |
|---|---|
| PSO-10 | 10 |
| PSO-20 | 20 |
| PSO-30 | 30 |
| PSO-40 | 40 |
| PSO-50 | 50 |
| PSO-60 | 60 |
| PSO-70 | 70 |
| PSO-80 | 80 |
| PSO-90 | 90 |
| PSO-100 | 100 |
Os valores padrão são atribuídos às configurações de política de senha de cada PSO. Esses valores podem ser alterados. A Tabela 5 mostra as configurações padrão.
| Política | Configuração |
|---|---|
| Complexidade ativada | Verdadeiro |
| Duração do bloqueio | 30 minutos |
| Janela de observação do bloqueio | 30 minutos |
| Limite do bloqueio | 0 |
| Idade máxima da senha | 42 dias |
| Idade mínima da senha | 1 dia |
| Comprimento mínimo da senha | 7 |
| Contagem do histórico de senhas | 24 |
| Criptografia reversível ativada | Falso |
Usuários
O Microsoft AD gerenciado cria automaticamente os usuários mostrados na tabela 4.
| Nome | Descrição |
|---|---|
setupadmin (padrão) |
Conta de administrador delegada para você gerenciar seu domínio.
O nome padrão é A redefinição da senha de um domínio define a senha dessa conta. |
cloudsvcadmin |
Conta de serviço usada pelo Managed Microsoft AD para gerenciar o domínio. Essa conta deve ser usada pelo sistema e não deve ser usada, modificada ou excluída diretamente. |
Administrador delegado
A Tabela 7 mostra os direitos do Active Directory que são concedidos automaticamente à
conta de administrador delegada quando você provisiona o domínio. Esses direitos são concedidos pelas participações em grupos da conta, portanto, se você remover a conta de um desses grupos, isso poderá afetar seus direitos e ações disponíveis. Esta conta tem o nome padrão setupadmin. Se você alterou o nome da conta, mas não se lembra do valor, pode recuperá-lo. Para mais informações, consulte
Usar a conta de administrador delegada.
A conta de administrador delegada não tem as permissões Domain Admins,
Enterprise Admins e BUILTIN\Administrators porque
o Managed Microsoft AD é um serviço gerenciado e o Google reserva o direito de
usar essas permissões. Portanto, não é possível usar os recursos do Active Directory que exigem
essas permissões no Microsoft AD gerenciado, como o Distributed File System
(DFS),
DHCP, configuração de GPOs no nível do domínio, replicação de mudanças no diretório, aumento
de níveis funcionais da floresta e outras mudanças em toda a floresta.
| Objeto do Active Directory | Nome distinto | Ações de conta de administrador delegada permitidas no objeto |
|---|---|---|
| Cloud |
OU=Cloud,
|
Pode executar operações CRUD para qualquer tipo de objeto na UO Pode vincular GPOs a essa UO e a suas sub-UOs Não é possível excluir ou renomear a UO |
| Contêiner de conta de serviço gerenciado |
CN=Managed Service Accounts,
|
Pode criar, atualizar e excluir contas de serviço gerenciado de grupo e todo o gerenciamento relacionado |
| Contêiner MicrosoftDNS |
CN=MicrosoftDNS,
|
Pode se conectar ao servidor DNS integrado ao AD usando o gerenciador de DNS. |
| Pasta DomainDNSZones | CN=MicrosoftDNS,
|
Pode criar encaminhadores condicionais, registros A, registros CNAME, delegação DNS, zonas de pesquisa direta e zonas de pesquisa inversa |
| Pasta ForestDNSZones | CN=MicrosoftDNS,
|
Pode criar encaminhadores condicionais, registros A, registros CNAME, delegação DNS, zonas de pesquisa direta e zonas de pesquisa inversa |
Conta de administrador delegada (nome padrão: |
CN=<delegated-admin-name>,
|
Pode alterar a senha da conta de administrador delegada criada automaticamente durante o provisionamento de domínio Saiba mais sobre como obter o nome desta conta e como redefinir sua senha. |
| Administradores de serviços de nuvem |
CN=Cloud Service Administrators,
|
Pode adicionar ou remover objetos do AD do grupo gerenciado Todas as contas adicionadas a esse grupo recebem o mesmo conjunto de permissões concedidas à conta de administrador delegada. |
| Todos os sites |
Todos os sites em: CN=Sites,
|
Pode alterar o nome do site do Active Directory |
| Todos os grupos gerenciados |
Todos os grupos gerenciados de nuvem em: OU=Cloud Service Objects,
|
Pode adicionar e remover objetos do AD dos grupos gerenciados de nuvem pré-criados Não se aplica aos grupos internos do Active Directory criados durante a instalação do AD |
| Contêiner de políticas |
CN=Policies,
|
Pode criar, atualizar e excluir objetos de política de grupo Não é possível editar ou excluir GPOs do controlador de domínio padrão ou da política de domínio padrão |
| Contêiner de partição (sufixos UPN) |
CN=Partitions,
|
Pode alterar sufixos UPN |
| Servidor de licenças dos serviços de terminal |
CN=Terminal Server License Servers,
|
Pode adicionar servidores Windows com a função Servidor de Licenças de Terminal ao grupo interno Servidor de Licenças dos Serviços de Terminal |