Von AMS verwaltetes Active Directory - AMS-Benutzerhandbuch für Fortgeschrittene

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Von AMS verwaltetes Active Directory

AMS bietet jetzt einen neuen Dienst namens Managed Active Directory (auch bekannt als Managed AD) an, der es AMS ermöglicht, sich um den Betrieb Ihrer Active Directory-Infrastruktur (AD) zu kümmern, während Sie gleichzeitig die Kontrolle über Ihre Active Directory-Verwaltung behalten.

Die AMS-Unterstützung für Managed AD ähnelt der AMS-Unterstützung für den Amazon Relational Database Service (Amazon RDS). In beiden Fällen AWS (einschließlich AMS) werden die Erstellung und Verwaltung der Infrastruktur, auf der der Service ausgeführt wird, unterstützt, während Sie gleichzeitig die Zugriffskontrolle und alle Verwaltungsfunktionen übernehmen. Dieses Modell bietet die folgenden Vorteile:

  • Schränkt Sicherheitsrisiken ein: AWS AMS benötigt keine Administratorrechte für Ihre Domain.

  • Direkte Integrationen: Sie können Ihr aktuelles Autorisierungsmodell verwenden und es in AD integrieren, ohne eine Schnittstelle zu AMS herstellen zu müssen.

Hinweise:

  • Weder AMS noch Sie haben Zugriff auf Ihre Managed AD-Domänencontroller, sodass keine Software auf den Domain-Controllern installiert werden kann. Dies ist wichtig, da Lösungen von Drittanbietern, für die Software auf Domänencontrollern installiert werden muss, nicht zulässig sind.

    Access funktioniert wie folgt:

    • AWS Verzeichnisdienst-Team: Hat Zugriff auf Domänencontroller.

    • AMS: Hat Zugriff auf den Directory Service APIs , um bestimmte Aktionen auf der Domain auszuführen. Zu diesen Aktionen gehören das Erstellen von AD-Snapshots, das Ändern des AD-Schemas und andere Aktionen.

    • Sie: Sie haben Zugriff auf die Domain (AD), um Benutzer, Gruppen usw. zu erstellen.

  • Wir empfehlen Ihnen, vor der Migration Ihres Unternehmens-AD einen Machbarkeitsnachweis für Managed AD durchzuführen, da nicht alle Funktionen einer herkömmlichen AD-Umgebung in einer Managed AD-Umgebung verfügbar sind.

  • AMS wird Ihr AD-Management nicht verwalten oder Ihnen diesbezüglich weiterhelfen. AMS stellt beispielsweise keine Leitlinien zur Struktur der Organisationseinheit, zur Gruppenrichtlinienstruktur, zu Konventionen zur Benennung von AD-Benutzern usw. bereit.

Das funktioniert wie folgt:

  1. AMS installiert eine neue AWS-Konto für Sie, getrennt von und zusätzlich zu Ihrem AMS-Konto, und stellt über Directory Service eine Active Directory (AD) -Umgebung AWS bereit (siehe auch Was ist AWS Directory Service? ).

    Die folgenden Informationen müsste ein Systemintegrator von Ihnen einholen, damit AMS Managed AD integrieren kann:

    • Informationen zum Konto

      • Konto-ID des AWS-Konto , das für Ihr von AMS verwaltetes AD erstellt wurde: Nummer AWS-Konto

      • Region, in der Sie Ihr Managed AD einbinden möchten für: AWS-Region

    • Informationen zu verwaltetem Active Directory:

      • Microsoft AD Edition: Standard/Enterprise. AWS Microsoft AD (Standard Edition) umfasst 1 GB Verzeichnisobjektspeicher. Diese Kapazität kann bis zu 5.000 Benutzer oder 30.000 Verzeichnisobjekte, einschließlich Benutzer, Gruppen und Computer, unterstützen. AWS Microsoft AD (Enterprise Edition) umfasst 17 GB Verzeichnisobjektspeicher, der bis zu 100.000 Benutzer oder 500.000 Objekte unterstützen kann.

        Weitere Informationen finden Sie unter AWS Directory Service FAQs.

      • Domain-FQDN: Der FQDN für Ihre AMS Managed AD-Domain.

      • Domain-NetBIOS-Name: Der NetBIOS-Name für Ihre AMS Managed AD-Domäne.

      • Kontonummern der AMS-Standardkonten, für die Sie eine Managed AD-Integration wünschen (AMS konfiguriert eine unidirektionale Vertrauensstellung vom AD des AMS-Standardkontos zum Managed AD)

      • Sind Änderungen am Active Directory-Schema erforderlich und wenn ja, welche Änderungen?

      • Standardmäßig werden zwei Domänencontroller bereitgestellt. Benötigen Sie mehr? Falls ja, wie viele benötigen Sie und aus welchem Grund?

    • Netzwerke für verwaltete Active Directory-Informationen:

      • Managed AD VPC CIDR für Domänencontroller (ein CIDR in Ihrem privaten Subnetzbereich für die Managed AD-Domänencontroller):

        • Subnetz CIDR 1 für Domänencontroller: [Ihr CIDR, muss Teil von AMS Managed AD VPC CIDR sein]

        • Subnetz CIDR 2 für Domänencontroller: [Ihr CIDR, muss Teil von AMS Managed AD VPC CIDR sein]

        Beispiel:

        • Verwaltetes AD-VPC-CIDR: 192.168.0.0/16

        • CIDR 1 für Domänencontroller: 192.168.1.0/24

        • CIDR 2 für Domänencontroller: 192.168.2.0/24

        Um IP-Adresskonflikte zu vermeiden, stellen Sie sicher, dass das von Ihnen angegebene Managed AD VPC CIDR nicht mit einem anderen privaten Subnetz-CIDR in Konflikt steht, das Sie in Ihrem Unternehmensnetzwerk verwenden.

      • VPN-Technologie (optional): [Direct Connect/Direct Connect und VPN]

        • Die autonome BGP Systemnummer (ASN) Ihres Gateways: [Vom Kunden bereitgestellte ASN]

        • Die über das Internet routbare IP-Adresse für die externe Schnittstelle Ihres Gateways. Die Adresse muss statisch sein: [Vom Kunden bereitgestellte IP-Adresse]

        • Ob Ihre VPN-Verbindung statische Routen erfordert oder nicht: [ja/nein]

  2. AMS stellt Ihnen das Administratorkonto-Passwort für die AD-Umgebung zur Verfügung und fordert Sie auf, das Passwort zurückzusetzen, sodass AMS-Techniker nicht mehr auf Ihre AD-Umgebung zugreifen können.

  3. Um das Passwort für das Administratorkonto zurückzusetzen, stellen Sie mithilfe von Active Directory-Benutzern und -Computern (ADUC) eine Verbindung zu Ihrer Active Directory-Umgebung her. ADUC und andere Remote Server Administration Tools (RSAT) sollten auf administrativen Hosts installiert und ausgeführt werden, die Sie in einer Infrastruktur ohne AMS bereitgestellt haben. Microsoft verfügt über bewährte Methoden zur Sicherung solcher administrativer Hosts. Informationen finden Sie unter Implementieren sicherer administrativer Hosts. Sie verwalten Ihre Active Directory-Umgebung mithilfe dieser administrativen Hosts.

  4. Im täglichen Betrieb kümmert sich AMS um alles, was AWS-Konto bis zum AWS Directory Service reicht, z. B. die VPC-Konfiguration, AD-Backups, Erstellung und Löschung von AD-Vertrauensstellungen usw. Sie verwenden und verwalten Ihre AD-Umgebung, z. B. Benutzererstellung, Gruppenerstellung, Gruppenrichtlinienerstellung usw.

Die aktuelle RACI-Tabelle finden Sie im Abschnitt „Rollen und Verantwortlichkeiten“ in der Servicebeschreibung von See.