Active Directory gestita da AMS - Guida per l'utente avanzato di AMS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Active Directory gestita da AMS

AMS offre ora un nuovo servizio chiamato Managed Active Directory (aka Managed AD) che consente ad AMS di occuparsi delle operazioni dell'infrastruttura Active Directory (AD), mantenendo al contempo il controllo dell'amministrazione di Active Directory.

Il supporto AMS per Managed AD è simile al supporto AMS per Amazon Relational Database Service (Amazon RDS). In entrambi i casi, AWS (incluso AMS) supporta la creazione e la gestione dell'infrastruttura che esegue il servizio, mentre tu esegui il controllo degli accessi e tutte le funzioni di amministrazione. Questo modello presenta i seguenti vantaggi:

  • Limita i rischi per la sicurezza: AWS e AMS non necessita di privilegi amministrativi per il tuo dominio.

  • Integrazioni dirette: puoi utilizzare il tuo modello di autorizzazione attuale e integrarlo con AD senza bisogno di interfacciarti con AMS.

Note:

  • Né AMS né l'utente avranno accesso ai controller di dominio Managed AD, quindi nessun software può essere installato sui controller di dominio. Questo è importante perché non sono consentite soluzioni di terze parti che richiedono l'installazione di software sui controller di dominio.

    Access funziona in questo modo:

    • AWS Team di Directory Service: ha accesso ai controller di dominio.

    • AMS: ha accesso al Directory Service APIs per eseguire determinate azioni sul dominio. Queste azioni includono l'acquisizione di istantanee AD, la modifica dello schema AD e altre azioni.

    • Tu: hai accesso al dominio (AD) per creare utenti, gruppi e così via.

  • Si consiglia di eseguire una prova di fattibilità su Managed AD prima di migrare l'AD aziendale, poiché non tutte le funzionalità di un ambiente AD tradizionale sono disponibili in un ambiente AD gestito.

  • AMS non gestirà né fornirà indicazioni sulla gestione di AD. Ad esempio, AMS non fornirà indicazioni sulla struttura delle unità organizzative, sulla struttura delle politiche di gruppo, sulle convenzioni di denominazione degli utenti di AD e così via.

Funziona così:

  1. AMS integra Account AWS per te un nuovo account AMS, separato e in aggiunta al tuo account AMS, e fornisce un ambiente Active Directory (AD) tramite AWS Directory Service (vedi anche What Is AWS Directory Service? ).

    Di seguito sono riportate le informazioni che un integratore di sistemi dovrebbe raccogliere dall'utente per consentire ad AMS di entrare a far parte di Managed AD:

    • Informazioni sull'account

      • ID dell'account creato per Account AWS il tuo AD gestito da AMS: numero Account AWS

      • Regione in cui effettuare l'onboarding del tuo AD gestito per: Regione AWS

    • Informazioni gestite su Active Directory:

      • Edizione Microsoft AD: Standard/Enterprise. AWS Microsoft AD (Standard Edition) include 1 GB di storage di oggetti di directory. Questa capacità può supportare fino a 5.000 utenti o 30.000 oggetti di directory, inclusi utenti, gruppi e computer. AWS Microsoft AD (Enterprise Edition) include 17 GB di storage di oggetti di directory, in grado di supportare fino a 100.000 utenti o 500.000 oggetti.

        Per ulteriori informazioni, consulta AWS Directory Service FAQs.

      • Nome di dominio completo: il nome di dominio completo per il dominio AMS Managed AD.

      • Nome NetBIOS del dominio: il nome NetBIOS per il dominio AMS Managed AD.

      • Numeri di account degli account AMS-Standard in cui desideri l'integrazione con Managed AD (AMS configura un trust unidirezionale dall'AD dell'account AMS-Standard a Managed AD)

      • Sono necessarie modifiche allo schema di Active Directory e, in caso affermativo, quali modifiche?

      • Per impostazione predefinita, vengono forniti due controller di dominio. Ne hai bisogno di più? In caso affermativo, quanti ne servono e per quale motivo?

    • Informazioni sulla rete per Managed Active Directory:

      • CIDR AD VPC gestito per controller di dominio (un CIDR nell'intervallo di sottoreti privato per i controller di dominio AD gestiti):

        • Subnet CIDR 1 per controller di dominio: [il tuo CIDR, deve far parte di AMS Managed AD VPC CIDR]

        • Subnet CIDR 2 per controller di dominio: [il tuo CIDR, deve far parte di AMS Managed AD VPC CIDR]

        Ad esempio:

        • CIDR AD VPC gestito: 192.168.0.0/16

        • CIDR 1 per controller di dominio: 192.168.1.0/24

        • CIDR 2 per controller di dominio: 192.168.2.0/24

        Per evitare conflitti di indirizzi IP, assicurati che il CIDR VPC AD gestito che hai specificato non sia in conflitto con nessun'altra sottorete privata CIDR che stai utilizzando nella tua rete aziendale.

      • Tecnologia VPN (opzionale): [Direct Connect/Direct Connect e VPN]

        • Numero di sistema autonomo (ASN) BGP del gateway: [ASN fornito dal cliente]

        • L'indirizzo IP indirizzabile su Internet per l'interfaccia esterna del gateway, l'indirizzo deve essere statico: [Indirizzo IP fornito dal cliente]

        • Indipendentemente dal fatto che la connessione VPN richieda o meno percorsi statici: [sì/no]

  2. AMS ti fornisce la password dell'account amministratore per l'ambiente AD e ti chiede di reimpostare la password in modo che i tecnici AMS non possano più accedere al tuo ambiente AD.

  3. Per reimpostare la password dell'account Admin, connettiti all'ambiente Active Directory utilizzando Active Directory Users and Computers (ADUC). ADUC e altri strumenti di amministrazione remota del server (RSAT) devono essere installati ed eseguiti su host amministrativi forniti dall'utente su un'infrastruttura non AMS. Microsoft utilizza le best practice per proteggere tali host amministrativi. Per informazioni, vedi Implementazione di host amministrativi sicuri. È possibile gestire l'ambiente Active Directory utilizzando questi host amministrativi.

  4. Nelle operazioni quotidiane, AMS gestisce il Account AWS lato più completo dei AWS Directory Service, ad esempio la configurazione VPC, i backup AD, la creazione e l'eliminazione di trust AD e così via. L'utente utilizza e gestisce l'ambiente AD, ad esempio la creazione di utenti, la creazione di gruppi, la creazione di policy di gruppo e così via.

Per la tabella RACI più recente, vedere la sezione «Ruoli e responsabilità» nella descrizione del servizio.