Quando crei un nuovo dominio con Managed Service for Microsoft Active Directory, alcuni oggetti Active Directory vengono creati automaticamente. Questi ti aiutano ad amministrare il tuo dominio AD e a gestire più facilmente le attività AD in genere delegate ad altri utenti o gruppi.
Il seguente diagramma fornisce una panoramica. Per un elenco completo e una descrizione di ciascun oggetto, fai riferimento alle tabelle seguenti.
Unità organizzative
La Tabella 1 mostra le unità organizzative (UO) create per te.
| Nome | Descrizione |
|---|---|
Cloud |
Ospita tutti gli oggetti AD. Hai il controllo completo all'interno di questa unità organizzativa. |
Cloud Service Objects |
Ospita gli oggetti AD creati e gestiti da Microsoft AD gestito. Solo Google Cloud può creare oggetti in questa unità organizzativa, anche se puoi aggiornare alcuni attributi degli oggetti pre-creati. |
Gruppi
I seguenti gruppi vengono creati nell'unità organizzativa Cloud Service Objects.
| Nome | Tipo | Descrizione | |
|---|---|---|---|
Cloud Service Administrators |
Globale | I membri sono amministratori del servizio cloud Managed Microsoft AD. | |
Cloud Service All Administrators |
Domain Local | I membri sono amministratori del servizio cloud Managed Microsoft AD. Possono essere inclusi i membri di domini attendibili. | |
Cloud Service Computer Administrators |
Domain Local | I membri sono amministratori sui computer associati al dominio. | |
Cloud Service DNS Administrators |
Domain Local | I membri possono aggiungere, rimuovere e modificare le voci DNS all'interno delle zone DNS integrate in Active Directory. | |
Cloud Service Managed Service Account Administrators |
Domain Local | I membri possono amministrare i service account gestiti. | |
Cloud Service Computer Remote Desktop Users |
Domain Local | I membri dispongono dei diritti di accesso al desktop remoto sui computer aggiunti al dominio. | |
Cloud Service Site Administrators |
Domain Local | I membri possono rinominare i siti Active Directory. | |
Cloud Service Protected Users |
Globale | Le protezioni del gruppo Utenti protetti vengono applicate ai membri. | |
Cloud Service Group Policy Creator Owners |
Domain Local |
I membri possono creare oggetti Criteri di gruppo (GPO). I Criteri di gruppo possono essere collegati
solo all'unità organizzativa Cloud e agli oggetti al suo interno. Tuttavia, solo l'autore di questi oggetti Criteri di gruppo può modificarli. Per maggiori informazioni, vedi Come posso gestire gli oggetti Criteri di gruppo (GPO)?.
|
|
Cloud Service Domain Join Accounts |
Domain Local | I membri possono aggiungere computer al dominio. | |
Cloud Service Fine Grained Password Policy Administrators |
Domain Local | I membri possono modificare e assegnare criteri per le password a utenti e gruppi. |
Managed Microsoft AD non supporta la fornitura di appartenenze a gruppi a tempo limitato agli utenti utilizzando Privileged Access Management for Active Directory Domain Services.
Oggetti Criteri di gruppo
Managed Microsoft AD crea automaticamente alcuni oggetti Criteri di gruppo per supportare determinate funzionalità dei criteri di gruppo.
| Nome | Descrizione |
|---|---|
Cloud Service Default Computer Policy |
Collegato all'unità organizzativa Cloud. Concede
i diritti di amministratore locale Cloud Service Computer Administrators
e i privilegi di Remote Desktop (RDP) Cloud Service Computer Remote Desktop Users
nell'unità organizzativa Cloud.
|
Puoi creare Criteri di gruppo personalizzati e collegarli all'UO Cloud o a una delle UO secondarie all'interno dell'UO Cloud. Per informazioni sul collegamento di un oggetto Criteri di gruppo a un'unità organizzativa, vedi Collegare l'oggetto Criteri di gruppo al
dominio.
Oggetti delle impostazioni password
Microsoft AD gestito crea automaticamente dieci oggetti impostazioni password (PSO). Non puoi modificare il nome o la precedenza di questi PSO. La tabella 4 mostra i nomi e le precedenze di questi PSO.
| Nome | Precedenza |
|---|---|
| PSO-10 | 10 |
| PSO-20 | 20 |
| PSO-30 | 30 |
| PSO-40 | 40 |
| PSO-50 | 50 |
| PSO-60 | 60 |
| PSO-70 | 70 |
| PSO-80 | 80 |
| PSO-90 | 90 |
| PSO-100 | 100 |
I valori predefiniti vengono assegnati alle impostazioni dei criteri per le password per ogni PSO. Puoi modificare questi valori. La tabella 5 mostra queste impostazioni predefinite.
| Norme | Impostazione |
|---|---|
| Complessità abilitata | Vero |
| Durata del blocco | 30 minuti |
| Finestra di osservazione del blocco | 30 minuti |
| Soglia di blocco | 0 |
| Durata massima della password | 42 giorni |
| Età minima della password | 1 giorno |
| Lunghezza minima della password | 7 |
| Conteggio della cronologia delle password | 24 |
| Crittografia reversibile attivata | Falso |
Utenti
Microsoft AD gestito crea automaticamente gli utenti mostrati nella tabella 6.
| Nome | Descrizione |
|---|---|
setupadmin (valore predefinito) |
Un account amministratore delegato per gestire il tuo dominio.
Il nome predefinito è La reimpostazione della password per un dominio imposta la password per questo account. |
cloudsvcadmin |
Service account utilizzato da Managed Microsoft AD per gestire il dominio. Questo account è destinato all'uso da parte del sistema e non deve essere utilizzato, modificato o eliminato direttamente. |
Utente con delega di amministratore
La tabella 7 mostra i diritti di Active Directory concessi automaticamente all'account amministratore delegato quando esegui il provisioning del dominio. Questi diritti
vengono concessi dalle appartenenze ai gruppi dell'account, quindi se rimuovi l'account
da uno di questi gruppi, ciò potrebbe influire sui suoi diritti e sulle azioni disponibili. Questo
account ha il nome predefinito setupadmin. Se hai modificato il nome dell'account ma
non ricordi il valore, puoi
recuperarlo. Per ulteriori informazioni, consulta la pagina
Utilizzare l'account amministratore delegato.
L'account amministratore delegato non dispone delle autorizzazioni Domain Admins,
Enterprise Admins e BUILTIN\Administrators perché
Managed Microsoft AD è un servizio gestito e Google si riserva il diritto di
utilizzare queste autorizzazioni. Pertanto, non puoi utilizzare le funzionalità di Active Directory che richiedono
queste autorizzazioni in Managed Microsoft AD, ad esempio Distributed File System
(DFS),
DHCP, la configurazione di GPO a livello di dominio, la replica delle modifiche alla directory, l'aumento
dei livelli funzionali della foresta e altre modifiche a livello di foresta.
| Oggetto Active Directory | Nome distinto | Azioni dell'account amministratore delegato consentite sull'oggetto |
|---|---|---|
| Cloud |
OU=Cloud,
|
Può eseguire operazioni CRUD per qualsiasi tipo di oggetto nell'unità organizzativa Può collegare i criteri di gruppo a questa unità organizzativa e alle relative unità organizzative secondarie Impossibile eliminare o rinominare l'unità organizzativa |
| Container service account gestito |
CN=Managed Service Accounts,
|
Può creare, aggiornare ed eliminare i service account gestiti di gruppo e tutta la gestione correlata |
| Contenitore MicrosoftDNS |
CN=MicrosoftDNS,
|
Può connettersi al server DNS integrato in AD utilizzando DNS Manager. |
| Cartella DomainDNSZones | CN=MicrosoftDNS,
|
Può creare forwarder condizionali, record A, record CNAME, delega DNS, zone di ricerca diretta e zone di ricerca inversa |
| Cartella ForestDNSZones | CN=MicrosoftDNS,
|
Può creare forwarder condizionali, record A, record CNAME, delega DNS, zone di ricerca diretta e zone di ricerca inversa |
Account utente con delega di amministratore (nome predefinito: |
CN=<delegated-admin-name>,
|
Può modificare la password dell'account amministratore delegato che viene creato automaticamente durante il provisioning del dominio Scopri di più su come recuperare il nome di questo account e reimpostare la relativa password. |
| Amministratori dei servizi cloud |
CN=Cloud Service Administrators,
|
Può aggiungere o rimuovere oggetti AD dal gruppo
gestito A tutti gli account aggiunti a questo gruppo viene concesso lo stesso insieme di autorizzazioni concesse all'account amministratore delegato. |
| Tutti i siti |
Tutti i siti in: CN=Sites,
|
Può modificare il nome del sito Active Directory |
| Tutti i gruppi gestiti |
Tutti i gruppi gestiti da Cloud in: OU=Cloud Service Objects,
|
Può aggiungere e rimuovere oggetti AD dai gruppi gestiti da Cloud creati in precedenza Non si applica ai gruppi Active Directory integrati che vengono creati durante l'installazione di AD |
| Contenitore delle norme |
CN=Policies,
|
Può creare, aggiornare ed eliminare oggetti Criteri di gruppo Impossibile modificare o eliminare gli oggetti Criteri di gruppo del controller di dominio predefinito o del criterio di dominio predefinito |
| Contenitore partizione (suffissi UPN) |
CN=Partitions,
|
Può modificare i suffissi UPN |
| Server licenze Servizi terminal |
CN=Terminal Server License Servers,
|
Può aggiungere server Windows con il ruolo Terminal License Server al gruppo integrato Terminal Service License Server |