Saat Anda membuat domain baru dengan Managed Service for Microsoft Active Directory, beberapa objek Active Directory akan otomatis dibuat untuk Anda. Alat ini membantu Anda mengelola domain AD, dan mempermudah pengelolaan tugas AD yang biasanya didelegasikan kepada pengguna atau grup lain.
Diagram berikut memberikan ringkasan. Lihat tabel di bawah untuk mengetahui daftar lengkap dan deskripsi setiap objek.
Unit organisasi
Tabel 1 menampilkan unit organisasi (OU) yang dibuat untuk Anda.
| Nama | Deskripsi |
|---|---|
Cloud |
Menampung semua objek AD Anda. Anda memiliki kontrol penuh di dalam OU ini. |
Cloud Service Objects |
Menghosting objek AD yang dibuat dan dikelola oleh Managed Microsoft AD. Hanya Google Cloud yang dapat membuat objek di OU ini, meskipun Anda dapat memperbarui beberapa atribut pada objek yang telah dibuat sebelumnya. |
Grup
Grup berikut dibuat di OU Cloud Service Objects.
| Nama | Jenis | Deskripsi | |
|---|---|---|---|
Cloud Service Administrators |
Global | Anggota adalah administrator layanan cloud Managed Microsoft AD. | |
Cloud Service All Administrators |
Domain Lokal | Anggota adalah administrator layanan cloud Managed Microsoft AD. Hal ini dapat mencakup anggota dari domain tepercaya. | |
Cloud Service Computer Administrators |
Domain Lokal | Anggota adalah administrator di komputer yang bergabung ke domain. | |
Cloud Service DNS Administrators |
Domain Lokal | Anggota dapat menambahkan, menghapus, dan mengubah entri DNS di dalam zona DNS yang terintegrasi dengan Active Directory. | |
Cloud Service Managed Service Account Administrators |
Domain Lokal | Anggota dapat mengelola Akun Layanan Terkelola. | |
Cloud Service Computer Remote Desktop Users |
Domain Lokal | Anggota memiliki hak desktop jarak jauh di komputer yang bergabung ke domain. | |
Cloud Service Site Administrators |
Domain Lokal | Anggota dapat mengganti nama situs Active Directory. | |
Cloud Service Protected Users |
Global | Perlindungan dari grup Pengguna yang Dilindungi diterapkan kepada anggota. | |
Cloud Service Group Policy Creator Owners |
Domain Lokal |
Anggota dapat membuat Group Policy Object (GPO). GPO hanya dapat ditautkan
di OU Cloud dan objek di dalamnya. Namun, hanya pembuat GPO ini yang dapat mengeditnya. Untuk mengetahui informasi selengkapnya, lihat Bagaimana cara mengelola objek kebijakan grup (GPO)?.
|
|
Cloud Service Domain Join Accounts |
Domain Lokal | Anggota dapat menggabungkan komputer ke domain. | |
Cloud Service Fine Grained Password Policy Administrators |
Domain Lokal | Anggota dapat mengubah dan menetapkan kebijakan sandi kepada pengguna dan grup. |
Microsoft AD Terkelola tidak mendukung pemberian keanggotaan grup yang dibatasi waktu kepada pengguna dengan menggunakan Privileged Access Management for Active Directory Domain Services.
Group Policy Object
Managed Microsoft AD secara otomatis membuat beberapa Group Policy Object (GPO) untuk mendukung fitur Group Policy tertentu.
| Nama | Deskripsi |
|---|---|
Cloud Service Default Computer Policy |
Ditautkan ke OU Cloud. Memberikan
hak administrator lokal Cloud Service Computer Administrators
dan hak istimewa Cloud Service Computer Remote Desktop Users
Desktop Jarak Jauh (RDP) di OU Cloud.
|
Anda dapat membuat GPO kustom
dan menautkannya ke OU Cloud atau ke OU turunan mana pun dalam OU Cloud. Untuk mengetahui informasi tentang cara menautkan GPO ke OU, lihat Tautkan GPO ke
Domain.
Objek Setelan Sandi
Managed Microsoft AD secara otomatis membuat sepuluh objek setelan sandi (PSO). Anda tidak dapat mengubah nama atau prioritas PSO ini. Tabel 4 menunjukkan nama dan preseden PSO ini.
| Nama | Prioritas |
|---|---|
| PSO-10 | 10 |
| PSO-20 | 20 |
| PSO-30 | 30 |
| PSO-40 | 40 |
| PSO-50 | 50 |
| PSO-60 | 60 |
| PSO-70 | 70 |
| PSO-80 | 80 |
| PSO-90 | 90 |
| PSO-100 | 100 |
Nilai default ditetapkan ke setelan kebijakan sandi untuk setiap PSO. Anda dapat mengubah nilai ini. Tabel 5 menunjukkan setelan default ini.
| Kebijakan | Setelan |
|---|---|
| Kompleksitas diaktifkan | Benar |
| Durasi penguncian | 30 menit |
| Periode pengamatan penguncian | 30 menit |
| Nilai minimum penguncian | 0 |
| Masa berlaku maksimum sandi | 42 hari |
| Usia minimum sandi | 1 hari |
| Panjang sandi minimal | 7 |
| Jumlah histori sandi | 24 |
| Enkripsi yang dapat dibalikkan diaktifkan | Salah |
Pengguna
Managed Microsoft AD secara otomatis membuat pengguna yang ditampilkan dalam tabel 6.
| Nama | Deskripsi |
|---|---|
setupadmin (default) |
Akun administrator yang didelegasikan untuk Anda mengelola domain Anda.
Nama defaultnya adalah Mereset sandi untuk domain akan menyetel sandi untuk akun ini. |
cloudsvcadmin |
Akun layanan yang digunakan oleh Managed Microsoft AD untuk mengelola domain. Akun ini ditujukan untuk digunakan oleh sistem dan tidak boleh digunakan, diubah, atau dihapus secara langsung. |
Administrator delegasi
Tabel 7 menunjukkan hak Active Directory yang otomatis diberikan ke akun administrator yang didelegasikan saat Anda menyediakan domain. Hak ini diberikan oleh keanggotaan grup akun, jadi jika Anda menghapus akun dari salah satu grup tersebut, hal itu dapat memengaruhi hak dan tindakan yang tersedia. Akun ini memiliki nama default setupadmin. Jika Anda mengubah nama akun tetapi tidak ingat nilainya, Anda dapat mengambilnya. Untuk mengetahui informasi selengkapnya, lihat
Menggunakan akun administrator yang didelegasikan.
Akun administrator yang didelegasikan tidak memiliki izin Domain Admins,
Enterprise Admins, dan BUILTIN\Administrators karena
Microsoft AD Terkelola adalah layanan terkelola dan Google berhak untuk
menggunakan izin ini. Jadi, Anda tidak dapat menggunakan fitur Active Directory yang memerlukan izin ini di Managed Microsoft AD, seperti Distributed File System (DFS), DHCP, mengonfigurasi GPO di tingkat domain, mereplikasi perubahan direktori, menaikkan tingkat fungsional hutan, dan perubahan lain di seluruh hutan.
| Objek Active Directory | Nama pembeda | Tindakan akun administrator yang didelegasikan yang diizinkan pada objek |
|---|---|---|
| Cloud |
OU=Cloud,
|
Dapat melakukan operasi CRUD untuk semua jenis objek di OU
Dapat menautkan GPO ke OU ini dan sub-OU-nya Tidak dapat menghapus atau mengganti nama OU |
| Penampung Akun Layanan Terkelola |
CN=Managed Service Accounts,
|
Dapat membuat, mengupdate, dan menghapus Akun Layanan Terkelola grup dan semua pengelolaan terkait |
| Container MicrosoftDNS |
CN=MicrosoftDNS,
|
Dapat terhubung ke Server DNS yang terintegrasi dengan AD menggunakan pengelola DNS. |
| Folder DomainDNSZones | CN=MicrosoftDNS,
|
Dapat membuat penerus bersyarat, data A, data CNAME, delegasi DNS, zona pencarian penerusan, dan zona pencarian terbalik |
| Folder ForestDNSZones | CN=MicrosoftDNS,
|
Dapat membuat penerus bersyarat, data A, data CNAME, delegasi DNS, zona pencarian penerusan, dan zona pencarian terbalik |
Akun administrator yang didelegasikan (nama default: |
CN=<delegated-admin-name>,
|
Dapat mengubah sandi akun administrator yang didelegasikan yang dibuat secara otomatis selama penyediaan domain Pelajari lebih lanjut cara mendapatkan nama akun ini dan mereset sandi akun ini. |
| Administrator Layanan Cloud |
CN=Cloud Service Administrators,
|
Dapat menambahkan atau menghapus objek AD ke grup yang dikelola Semua akun yang ditambahkan ke grup ini akan diberi serangkaian izin yang sama dengan yang diberikan ke akun administrator yang didelegasikan. |
| Semua situs |
Semua situs di bawah: CN=Sites,
|
Dapat mengubah nama situs Active Directory |
| Semua grup terkelola |
Semua grup yang dikelola Cloud di bagian: OU=Cloud Service Objects,
|
Dapat menambahkan dan menghapus objek AD dari grup yang dikelola Cloud yang dibuat sebelumnya Tidak berlaku untuk grup Active Directory bawaan yang dibuat selama penginstalan AD |
| Penampung Kebijakan |
CN=Policies,
|
Dapat membuat, memperbarui, dan menghapus Objek Kebijakan Grup Tidak dapat mengedit atau menghapus GPO Kebijakan Pengontrol Domain Default atau Kebijakan Domain Default |
| Partisi Container (akhiran UPN) |
CN=Partitions,
|
Dapat mengubah akhiran UPN |
| Server Lisensi Layanan Terminal |
CN=Terminal Server License Servers,
|
Dapat menambahkan Windows Server dengan peran Terminal License Server ke grup bawaan Terminal Service License Server |