本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Microsoft AWS 托管 AD 的用例
<a name="ms_ad_use_cases"></a>

借助 Microsoft AD AWS 托管，你可以为多个用例共享一个目录。例如，您可共享目录以对 .NET 应用程序、启用了 [Windows 身份验证](https://aws.amazon.com/rds/sqlserver/)的 [Amazon RDS for SQL Server](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_SQLServerWinAuth.html) 和用于消息收发和视频会议的 [Amazon Chime](https://chime.aws/) 的访问进行身份验证和授权。

下图显示了你的 Microsoft AD AWS 托管目录的一些用例。其中包括授予用户访问外部云应用程序的权限，并允许您的本地 Active Directory 用户管理和访问 AWS 云中的资源。

![\[Microsoft AD AWS 托管目录的用例，例如授予用户访问外部云应用程序的权限，允许您的本地 Active Directory 用户管理和访问 AWS 云中的资源。\]](http://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/images/ms_ad_use_cases2.png)


将 AWS 托管 Microsoft AD 用于以下任一业务用例。

**Topics**
+ [用例 1：使用 Active Directory 凭据登录 AWS 应用程序和服务](usecase1.md)
+ [使用案例 2：管理 Amazon EC2 实例](usecase2.md)
+ [使用案例 3：为您的 Active Directory 感知工作负载提供目录服务](usecase3.md)
+ [用例 4： AWS IAM Identity Center 到 Office 365 和其他云应用程序](usecase4.md)
+ [用例 5：将您的本地 Active Directory 扩展到 AWS 云](usecase5.md)
+ [用例 6：共享您的目录以跨 AWS 账户将 Amazon EC2 实例无缝加入到域中](usecase6.md)

# 用例 1：使用 Active Directory 凭据登录 AWS 应用程序和服务
<a name="usecase1"></a>

[你可以启用多个 AWS 应用程序和服务，例如、、、[Amazon Chime [AWS Client VPN[AWS 管理控制台[AWS IAM Identity Center](https://aws.amazon.com/single-sign-on/)](https://aws.amazon.com/console/)](https://aws.amazon.com/vpn/)、Amazon C](https://aws.amazon.com/chime/)[onnect、Amazon](https://aws.amazon.com/connect)、Qu [ick FSx](https://aws.amazon.com/quicksight/)、[适用于 SQL Server 的 Ama](https://aws.amazon.com/rds/sqlserver/) zon RDS、 WorkMail、[A [WorkDocs](https://aws.amazon.com/workdocs)mazon](https://aws.amazon.com/workmail/)，也可以使用你的 AWS 微软 AD 托管目录。[WorkSpaces](https://aws.amazon.com/workspaces/)](https://aws.amazon.com/fsx/windows/)当您在目录中启用 AWS 应用程序或服务时，您的用户可以使用其 Active Directory 凭据访问该应用程序或服务。

例如，您可以允许您的用户使用[他们的 Active Directory 凭据登录](https://aws.amazon.com/blogs/security/how-to-access-the-aws-management-console-using-aws-microsoft-ad-and-your-on-premises-credentials/)。 AWS 管理控制台 为此，请在您的目录中将 AWS 管理控制台 作为应用程序启用，然后为您的 Active Directory 用户和组分配 IAM 角色。当您的用户登录时 AWS 管理控制台，他们将扮演 IAM 角色来管理 AWS 资源。这使您可以轻松为您的用户授予对 AWS 管理控制台 的访问权限，而无需配置和管理单独的 SAML 基础设施。

为了进一步增强最终用户体验，您可以为启用[单点登录](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_single_sign_on.html)功能 WorkDocs，这样您的用户就可以 WorkDocs 从加入该目录的计算机进行访问，而无需单独输入其凭据。

您可以向您的目录或本地 Active Directory 中的用户账户授予访问权限，这样他们就可以通过直接向现有用户账户分配 IAM 角色来 AWS CLI 使用现有证书和权限登录 AWS 管理控制台 或管理 AWS 资源。

## FSx 适用于 Windows 文件服务器与 AWS 托管微软 AD 集成
<a name="usecase1_fsx"></a>

将 Windows 文件服务器与 AWS 托管的 Microsoft AD 集成 FSx 提供了一个完全托管的基于 Microsoft Windows 的本机服务器消息块 (SMB) 协议文件系统，允许你轻松地将基于 Windows 的应用程序和客户端（使用共享文件存储）移动到。 AWS尽管 FSx 对于 Windows 文件服务器来说，可以与自我管理的 Microsoft Active Directory 集成，但我们在这里不讨论这种情况。

### 常见的 Amazon FSx 用例和资源
<a name="usecase1_fsx_common"></a>

本节提供了 Windows 文件服务器与 AWS 托管 Microsoft AD 用例集成的常见 FSx 资源参考。本节中的每个用例都从基本的 AWS 托管 Microsoft AD 和 FSx Windows 文件服务器配置开始。有关如何创建这些配置的更多信息，请参阅：
+ [Microsoft AWS 托管 AD 入门](ms_ad_getting_started.md)
+ [开始使用亚马逊 FSx](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/getting-started.html)

#### FSx 适用于 Windows 文件服务器，作为 Windows 容器上的永久存储
<a name="usecase1_fsx_common_containers"></a>

[Amazon Elastic Container Service（ECS）](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/Welcome.html)现在支持使用经Amazon ECS 优化的 Windows AMI 启动的容器实例上的 Windows 容器。Windows 容器实例使用其自己的 Amazon ECS 容器代理版本。在经 Amazon ECS 优化的 Windows AMI 上，Amazon ECS 容器代理在主机上作为一项服务运行。

Amazon ECS 通过组托管服务账户（gMSA）的特殊服务账户支持 Windows 容器的 Active Directory 身份验证。由于 Windows 容器无法加入域，因此必须将 Windows 容器配置为使用 gMSA 运行。

**相关术语**
+ [用 FSx 于 Windows 文件服务器作为 Windows 容器上的永久存储](https://aws.amazon.com/blogs/containers/using-amazon-fsx-for-windows-file-server-as-persistent-storage-on-windows-containers/)
+ [组托管服务账户](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_key_concepts_gmsa.html)

#### 亚马逊 AppStream 2.0 支持
<a name="usecase1_fsx_common_appstream"></a>

[Amazon AppStream 2.0](https://docs.aws.amazon.com/appstream2/latest/developerguide/what-is-appstream.html) 是一项完全托管的应用程序流媒体服务。它为用户提供了一系列通过其应用程序保存和访问数据的解决方案。Amazon FSx WorkSpaces with Applications 使用 Amazon FSx 提供个人永久存储驱动器，可以将其配置为提供用于访问常用文件的共享文件夹。

**相关术语**
+ [演练 4：在亚马逊 2.0 中 FSx 使用亚马逊 AppStream ](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/walkthrough04-fsx-with-appstream2.html)
+ [将亚马逊 FSx 与亚马逊 AppStream 2.0 搭配使用](https://aws.amazon.com/blogs/desktop-and-application-streaming/using-amazon-fsx-with-amazon-appstream-2-0/)
+ [将活动目录与 WorkSpaces 应用程序配合使用](https://docs.aws.amazon.com/appstream2/latest/developerguide/active-directory.html)

#### Microsoft SQL Server 支持
<a name="usecase1_fsx_common_sql"></a>

FSx 适用于 Windows 的文件服务器可用作微软 SQL Server 2012（从 2012 版本 11.x 开始）和更新的系统数据库（包括主数据库、模型数据库、MSDB 和 tempDB）以及数据库引擎用户数据库的存储选项。

**相关术语**
+ [安装带有 SMB 文件共享存储的 SQL Server](https://docs.microsoft.com/en-us/sql/database-engine/install-windows/install-sql-server-with-smb-fileshare-as-a-storage-option?view=sql-server-ver15)
+ [使用 FSx 适用于 Windows 文件服务器的微软 SQL Server 高可用性部署](https://aws.amazon.com/blogs/storage/simplify-your-microsoft-sql-server-high-availability-deployments-using-amazon-fsx-for-windows-file-server/)
+ [组托管服务账户](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_key_concepts_gmsa.html)

#### 主文件夹和漫游用户配置文件支持
<a name="usecase1_fsx_common_home_folders"></a>

FSx 适用于 Windows 的文件服务器可用于将 Active Directory 用户主文件夹和 “我的文档” 中的数据存储在中央位置。 FSx Windows 文件服务器还可用于存储漫游用户配置文件中的数据。

**相关术语**
+ [借助亚马逊，Windows 主目录变得简单 FSx](https://aws.amazon.com/blogs/storage/windows-home-directories-and-file-shares-made-easy-with-amazon-fsx/)
+ [部署漫游用户配置文件](https://docs.microsoft.com/en-us/windows-server/storage/folder-redirection/deploy-roaming-user-profiles)
+ [用 FSx 于 Windows 文件服务器 WorkSpaces](https://aws.amazon.com/blogs/desktop-and-application-streaming/using-amazon-fsx-for-windows-file-server-with-amazon-workspaces/)

#### 网络文件共享支持
<a name="usecase1_fsx_common_networked"></a>

Windows 文件服务器上的联网文件共享提供了可管理且可扩展的文件共享解决方案。 FSx 一个使用案例是可以手动或通过组策略创建的客户端映射驱动器。

**相关术语**
+ [演练 6：使用分片横向扩展性能](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/scale-out-performance.html)
+ [驱动器映射](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn581924(v%3Dws.11))
+ [用 FSx 于 Windows 文件服务器 WorkSpaces](https://aws.amazon.com/blogs/desktop-and-application-streaming/using-amazon-fsx-for-windows-file-server-with-amazon-workspaces/)

#### 组策略软件安装支持
<a name="usecase1_fsx_common_gp"></a>

由于 SYSVOL 文件夹的大小和性能有限，因此最佳做法是避免在该文件夹中存储诸如软件安装文件之类的数据。作为一种可能的解决方案， FSx 可以将 Windows 文件服务器配置为存储使用组策略安装的所有软件文件。

**相关术语**
+ [使用组策略远程安装软件](https://learn.microsoft.com/en-us/troubleshoot/windows-server/group-policy/use-group-policy-to-install-software)

#### Windows Server Backup 目标支持
<a name="usecase1_fsx_common_ws_backup"></a>

FSx 可以使用 UNC 文件共享在 Windows Server Backup 中将适用于 Windows File Server Server 的目标驱动器配置为目标驱动器。在这种情况下，您需要指定 Windows 文件服务器的 UNC 路径，而不是指向连接的 FSx EBS 卷的 UNC 路径。

**相关术语**
+ [对服务器执行系统状态恢复](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/ee849849(v=ws.10)#to-perform-a-system-state-recovery-of-your-server)

亚马逊 FSx 还支持 AWS 托管微软 AD 目录共享。有关更多信息，请参阅:
+ [分享你的 Microsoft AWS 托管广告](ms_ad_directory_sharing.md)
+ [在不同的 VPC 或账户中使用 FSx 带有 AWS 托管 Microsoft AD 的亚马逊](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/shared-mad.html)

## 亚马逊 RDS 与 AWS 托管微软 AD 集成
<a name="usecase1_rds"></a>

Amazon RDS 支持使用 Kerberos 和 Microsoft Active Directory 对数据库用户进行外部身份验证。Kerberos 是一种网络身份验证协议，它使用票证和对称密钥加密，而不再需要通过网络传输密码。Amazon RDS 支持 Kerberos 和 Active Directory，从而为数据库用户提供单点登录和集中身份验证的好处，以便您将用户凭证保留在 Active Directory。

要开始使用此用例，您首先需要设置基本的微软 AD 和 Amazon RDS AWS 托管配置。
+ [Microsoft AWS 托管 AD 入门](ms_ad_getting_started.md)
+ [Amazon RDS 入门](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_GettingStarted.html)

下面提到的所有用例都将从基本的 AWS 托管微软 AD 和 Amazon RDS 开始，并介绍如何将 Amazon RDS 与 AWS 托管微软 AD 集成。
+ [将 Windows 身份验证与 Amazon RDS for SQL Server 数据库实例结合使用](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_SQLServerWinAuth.html)
+ [对 MySQL 使用 Kerberos 身份验证](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/mysql-kerberos.html)
+ [为 Amazon RDS for Oracle 配置 Kerberos 身份验证](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/oracle-kerberos.html)
+ [在 Amazon RDS for PostgreSQL 中使用 Kerberos 身份验证](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/postgresql-kerberos.html)

亚马逊 RDS 还支持 AWS 托管微软 AD 目录共享。有关更多信息，请参阅:
+ [分享你的 Microsoft AWS 托管广告](ms_ad_directory_sharing.md)
+ [Joining your Amazon RDS DB instances across accounts to a single shared domain](https://aws.amazon.com/blogs/database/joining-your-amazon-rds-instances-across-accounts-to-a-single-shared-domain/)

有关将 Amazon RDS for SQL Server 加入 Active Directory 的更多信息，请参阅 [Join Amazon RDS for SQL Server to your self-managed Active Directory](https://aws.amazon.com/blogs//database/join-amazon-rds-for-sql-server-to-your-self-managed-active-directory/)。

### .NET 应用程序使用 Amazon RDS for SQL Server 和组托管服务账户
<a name="usecase1_rds_net"></a>

您可以将 Amazon RDS for SQL Server 与基本的.NET 应用程序和群组托管服务账户 (gMSAs) 集成。有关更多信息，请参阅[AWS 托管 Microsoft AD 如何帮助简化集成了 Active Directory 的.NET 应用程序的部署并提高其安全性](https://aws.amazon.com/blogs/security/how-aws-managed-microsoft-ad-helps-to-simplify-the-deployment-and-improve-the-security-of-active-directory-integrated-net-applications/)

# 使用案例 2：管理 Amazon EC2 实例
<a name="usecase2"></a>

使用熟悉的 Active Directory 管理工具，您可以将 Active Directory 组策略对象 (GPO) [加入您的 AWS 托管微软 AD 域，从而集中管理适用于 Windows 或 Linux 的 Amazon EC2 实例](https://docs.aws.amazon.com/en_us/directoryservice/latest/admin-guide/ms_ad_join_instance.html)。

此外，您的用户可以使用其 Active Directory 凭证登录您的实例。从而无需使用单独的实例凭证或分配私钥 (PEM) 文件。这使您能够通过使用您已使用的 Active Directory 用户管理工具，更轻松地立即授予或撤销用户的访问权限。

# 使用案例 3：为您的 Active Directory 感知工作负载提供目录服务
<a name="usecase3"></a>

AWS 托管 Microsoft AD 是一个真正的 Act Microsoft ive Directory，它使你能够运行传统的 Active Directory 感知工作负载，例如[远程桌面许可管理器Microsoft](https://aws.amazon.com/blogs/security/how-to-enable-the-use-of-remote-desktops-by-deploying-microsoft-remote-desktop-licensing-manager-on-aws-microsoft-ad/)[ SharePoint 和 Microsoft SQL Server Always O](https://forums.aws.amazon.com/ann.jspa?annID=4636) n in AWS AWS Microsoft AD 还可以使用[组托管服务帐户 (gMSAs) 和 Kerberos 受限授权 (KCD)](https://aws.amazon.com/about-aws/whats-new/2017/05/simplify-migration-and-improve-security-of-active-directory-integrated-net-applications-by-using-aws-microsoft-ad/) 来帮助您简化和提高集成了 Active Directory 的.NET 应用程序的安全性。

# 用例 4： AWS IAM Identity Center 到 Office 365 和其他云应用程序
<a name="usecase4"></a>

你可以使用 AWS 托管 Microsoft AD 为云应用程序提供 AWS IAM Identity Center 服务。您可以使用 Microsoft Entra Connect（以前称为 Azure Active Directory Connect）将用户同步到 Microsoft Entra（以前称为 Azure Active Directory（Azure AD）），然后使用 Active Directory 联合身份验证服务（AD FS），以便用户可以使用其 Active Directory 凭证访问 [Microsoft Office 365](https://aws.amazon.com/blogs/security/how-to-enable-your-users-to-access-office-365-with-aws-microsoft-active-directory-credentials/) 和其他 SAML 2.0 云应用程序。

[将 AWS 托管 Microsoft AD 与 IAM 身份中心集成](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-ad.html)可为您的 AWS 托管微软 AD 和/或本地可信域添加 SAML 功能。集成后，您的用户无需配置 SAML 基础设施即可将 IAM 身份中心与支持 SAML 的服务（包括第三方云应用程序，例如 Office 365、Concur 和 Salesforce）一起使用。 AWS 管理控制台 有关允许本地用户使用 IAM Identity Center 的过程的演示，请参阅以下 YouTube 视频。

**注意**  
AWS 单点登录已重命名为 IAM 身份中心。

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/nuPjljOVZmU/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/nuPjljOVZmU)


# 用例 5：将您的本地 Active Directory 扩展到 AWS 云
<a name="usecase5"></a>

如果你已经有 Active Directory 基础架构，并且想在将支持 Active Directory 的工作负载迁移到时使用它 AWS 云， AWS Microsoft AD 可以提供帮助。你可以使用 A [ctive Directory 信任](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_test_lab_trust.html)将 AWS 托管 Microsoft AD 连接到你现有的活动目录。这意味着您的用户可以使用其本地 Active Directory 凭据访问支持 Active Directory 的 AWS 应用程序和应用程序，而无需您同步用户、组或密码。

例如，您的用户可以使用他们现有的 Active Directory 用户名和密码登录和亚马逊 WorkSpaces 。 AWS 管理控制台 此外，当您使用支持 Active Directory 的应用程序（例如托管 AWS Microsoft AD）时，您的登录Windows用户无需再次输入 SharePoint 凭据即可访问这些应用程序。

您还可以使用 Active Directory 迁移[工具包 (ADMT) 和密码导出服务 (PES) 来执行迁移，将本地 Active Directory 域迁移](https://aws.amazon.com/blogs/security/how-to-migrate-your-on-premises-domain-to-aws-managed-microsoft-ad-using-admt/)到免除 Active Directory 基础设施的运营负担。 AWS 

# 用例 6：共享您的目录以跨 AWS 账户将 Amazon EC2 实例无缝加入到域中
<a name="usecase6"></a>

通过跨多个 AWS 账户共享您的目录，您可以轻松管理诸如 [Amazon EC2](https://aws.amazon.com/ec2/) 之类的 AWS 服务，而无需为每个账户和每个 VPC 操作一个目录。您可以使用任何 AWS 账户中的目录以及 AWS 区域内的任何 [Amazon VPC](https://aws.amazon.com/vpc/) 中的目录。此功能使您可以更轻松、更具成本效益地管理具有目录感知能力的工作负载，跨账户和的单个目录。 VPCs例如，您现在可以使用单个 AWS 托管 Microsoft AD 目录 VPCs 轻松管理部署在 EC2 实例中的多个账户中的 [Windows 工作负载](https://aws.amazon.com/windows/)。

当您与其他 AWS 账户共享您的 AWS 托管 Microsoft AD 目录时，您可以使用亚马逊 EC2 控制台或[AWS Systems Manager](https://aws.amazon.com/systems-manager/)从账户和 AWS 区域内的任何 Amazon VPC 无缝加入您的实例。您可以消除手动将实例加入域或者在各个账户和 VPC 中部署目录的需求，从而在 EC2 实例上快速部署可感知目录的工作负载。有关更多信息，请参阅 [分享你的 Microsoft AWS 托管广告](ms_ad_directory_sharing.md)。