使用 Managed Service for Microsoft Active Directory 建立新網域時,系統會自動為您建立部分 Active Directory 物件。這些工具可協助您管理 AD 網域,並輕鬆管理通常委派給其他使用者或群組的 AD 工作。
下圖提供總覽。如需完整清單和各個物件的說明,請參閱下表。
機構單位
表 1 顯示為您建立的機構單位 (OU)。
| 名稱 | 說明 |
|---|---|
Cloud |
主機所有 AD 物件。您可以在這個機構單位中完全掌控。 |
Cloud Service Objects |
代管 Microsoft AD 建立及管理的 AD 物件會儲存在這裡。只有 Google Cloud 可以在這個 OU 下建立物件,但您可以更新預先建立物件的部分屬性。 |
群組
系統會在 Cloud Service Objects OU 下方建立下列群組。
| 名稱 | 類型 | 說明 | |
|---|---|---|---|
Cloud Service Administrators |
全球 | 成員是 Managed Microsoft AD 雲端服務的管理員。 | |
Cloud Service All Administrators |
網域本機 | 成員是 Managed Microsoft AD 雲端服務的管理員。 包括來自受信任網域的成員。 | |
Cloud Service Computer Administrators |
網域本機 | 成員是加入網域的電腦管理員。 | |
Cloud Service DNS Administrators |
網域本機 | 成員可以在 Active Directory 整合的 DNS 區域中新增、移除及修改 DNS 項目。 | |
Cloud Service Managed Service Account Administrators |
網域本機 | 成員可以管理受管理服務帳戶。 | |
Cloud Service Computer Remote Desktop Users |
網域本機 | 成員在加入網域的電腦上擁有遠端桌面權限。 | |
Cloud Service Site Administrators |
網域本機 | 成員可以重新命名 Active Directory 網站。 | |
Cloud Service Protected Users |
全球 | 系統會對成員套用「受保護的使用者」群組的保護措施。 | |
Cloud Service Group Policy Creator Owners |
網域本機 |
成員可以建立群組原則物件 (GPO)。GPO 只能連結至 Cloud OU 和其中的物件。不過,只有建立這些 GPO 的使用者可以編輯。詳情請參閱「如何管理群組原則物件 (GPO)?」。
|
|
Cloud Service Domain Join Accounts |
網域本機 | 成員可將電腦加入網域。 | |
Cloud Service Fine Grained Password Policy Administrators |
網域本機 | 成員可以修改密碼政策,並指派給使用者和群組。 |
Managed Microsoft AD 不支援使用 Privileged Access Management for Active Directory Domain Services,為使用者提供有時間限制的群組成員資格。
群組原則物件
受管理的 Microsoft AD 會自動建立一些群組原則物件 (GPO),以支援特定群組原則功能。
| 名稱 | 說明 |
|---|---|
Cloud Service Default Computer Policy |
已連結至「Cloud」機構單位。在 Cloud OU 中授予
Cloud Service Computer Administrators 本機系統管理員
權限和 Cloud Service Computer Remote Desktop Users
遠端桌面 (RDP) 權限。
|
您可以建立自訂 GPO,並將其連結至 Cloud 機構單位,或 Cloud 機構單位內的任何子機構單位。如要瞭解如何將 GPO 連結至 OU,請參閱「將 GPO 連結至網域」。
密碼設定物件
受管理 Microsoft AD 會自動建立十個密碼設定物件 (PSO)。您無法變更這些 PSO 的名稱或優先順序。表 4 顯示這些 PSO 的名稱和優先順序。
| 名稱 | 優先順序 |
|---|---|
| PSO-10 | 10 |
| PSO-20 | 20 |
| PSO-30 | 30 |
| PSO-40 | 40 |
| PSO-50 | 50 |
| PSO-60 | 60 |
| PSO-70 | 70 |
| PSO-80 | 80 |
| PSO-90 | 90 |
| PSO-100 | 100 |
系統會為每個 PSO 的密碼政策設定指派預設值。您可以變更這些值。表 5 列出這些預設設定。
| 政策 | 設定 |
|---|---|
| 已啟用複雜度 | 是 |
| 停機時間長度 | 30 分鐘 |
| 停權觀察期 | 30 分鐘 |
| 停機門檻 | 0 |
| 密碼有效期限 | 42 天 |
| 密碼有效期限下限 | 1 天 |
| 密碼長度下限 | 7 |
| 密碼記錄次數 | 24 |
| 已啟用可逆式加密 | 否 |
使用者
受管理 Microsoft AD 會自動建立表 6 中顯示的使用者。
| 名稱 | 說明 |
|---|---|
setupadmin (預設) |
可管理網域的委派管理員帳戶。
名稱預設為 重設網域密碼會一併重設這個帳戶的密碼。 |
cloudsvcadmin |
Managed Microsoft AD 用來管理網域的服務帳戶。這個帳戶供系統使用,不應直接使用、修改或刪除。 |
委派的管理員
表 7 顯示您佈建網域時,系統自動授予委派管理員帳戶的 Active Directory 權限。這些權利是透過帳戶的群組成員資格授予,因此如果從其中一個群組移除帳戶,可能會影響帳戶的權利和可用動作。這個帳戶的預設名稱為 setupadmin。如果您變更了帳戶名稱,但不記得值,可以擷取該值。詳情請參閱「使用委派管理員帳戶」。
委派的管理員帳戶沒有 Domain Admins、Enterprise Admins 和 BUILTIN\Administrators 權限,因為 Managed Microsoft AD 是受管理的服務,Google 保留使用這些權限的權利。因此,您無法在受管理 Microsoft AD 中使用需要這些權限的 Active Directory 功能,例如分散式檔案系統 (DFS)、DHCP、在網域層級設定 GPO、複製目錄變更、提高樹系功能層級,以及其他樹系範圍的變更。
| Active Directory 物件 | 辨別名稱 | 委派管理員帳戶可對物件執行的動作 |
|---|---|---|
| Cloud |
OU=Cloud,
|
可對 可將 GPO 連結至這個機構單位及其子機構單位 無法刪除或重新命名機構單位 |
| 代管服務帳戶容器 |
CN=Managed Service Accounts,
|
可建立、更新及刪除群組代管服務帳戶,以及所有相關管理作業 |
| MicrosoftDNS 容器 |
CN=MicrosoftDNS,
|
可使用 DNS 管理工具連線至 AD 整合式 DNS 伺服器。 |
| DomainDNSZones 資料夾 | CN=MicrosoftDNS,
|
可建立條件式轉送器、A 記錄、CNAME 記錄、DNS 委派、正向查詢區域和反向查詢區域 |
| ForestDNSZones 資料夾 | CN=MicrosoftDNS,
|
可建立條件式轉送器、A 記錄、CNAME 記錄、DNS 委派、正向查詢區域和反向查詢區域 |
委派管理員帳戶 (預設名稱: |
CN=<delegated-admin-name>,
|
可以變更網域佈建期間自動建立的委派管理員帳戶密碼 |
| 雲端服務管理員 |
CN=Cloud Service Administrators,
|
可將 AD 物件新增至 加入這個群組的帳戶,會獲得與委派管理員帳戶相同的權限。 |
| 所有網站 |
以下的所有網站:CN=Sites,
|
可以變更 Active Directory 網站名稱 |
| 所有受管理的群組 |
以下項目中的所有 Cloud 管理群組:OU=Cloud Service Objects,
|
可從預先建立的 Cloud 受管理群組新增及移除 AD 物件 不適用於 AD 安裝期間建立的內建 Active Directory 群組 |
| 政策容器 |
CN=Policies,
|
可建立、更新及刪除群組原則物件 無法編輯或刪除預設網域控制站或預設網域政策 GPO |
| 分區容器 (UPN 後置字元) |
CN=Partitions,
|
可以變更 UPN 後置字元 |
| 終端機服務授權伺服器 |
CN=Terminal Server License Servers,
|
可將具備終端機授權伺服器角色的 Windows Server 新增至終端機服務授權伺服器內建群組 |