AMS 托管活动目录 - AMS 高级用户指南

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AMS 托管活动目录

AMS 现在提供了一项名为 “托管活动目录”(又名托管 AD)的新服务,它允许 AMS 管理您的活动目录 (AD) 基础设施运营,同时让您控制活动目录的管理。

AMS 对托管 AD 的支持与 AMS 对亚马逊关系数据库服务 (Amazon RDS) 的支持类似。在这两种情况下, AWS (包括 AMS)都支持创建和管理运行服务的基础架构,同时您可以执行访问控制和所有管理功能。该模型具有以下优点:

  • 限制安全风险: AWS 而且 AMS 不需要您的域名的管理权限。

  • 直接集成:您可以使用当前的授权模型并将其与 AD 集成,而无需与 AMS 接口。

备注:

  • AMS 和您都无法访问您的托管 AD 域控制器,因此无法在域控制器上安装任何软件。这一点很重要,因为不允许要求在域控制器上安装软件的第三方解决方案。

    访问权限的工作原理是这样的:

    • AWS Directory Service 团队:有权访问域控制器。

    • AMS:有权访问 Directory Service APIs 以对域名执行某些操作。这些操作包括拍摄 AD 快照、更改 AD 架构和其他操作。

    • 您:可以访问域 (AD) 以创建用户、群组等。

  • 我们建议您在迁移企业 AD 之前对托管 AD 进行概念验证,因为并非传统 AD 环境中的所有功能都可以在托管 AD 环境中使用。

  • AMS 不会管理您的广告管理或提供有关您的广告管理的指导。例如,AMS 不会就组织单位结构、组策略结构、AD 用户命名约定等提供指导。

它的工作原理是这样的:

  1. AMS AWS 账户 为您安装了一个新的,与您的 AMS 账户分开并添加到您的 AMS 账户之外,并通过 Directory Service 配置活动目录 (AD) 环境(另请参阅什么是 AWS AWS Directory Service? )。

    以下是系统集成商需要从您那里收集的信息,以便让 AMS 加入托管 AD:

    • 账户信息

      • 为您的 AMS 管理 AWS 账户 的广告创建的账户 ID:数字 AWS 账户

      • 要将托管广告加载到的区域: AWS 区域

    • 托管活动目录信息:

      • 微软 AD 版:标准版/企业版。AWS Microsoft AD(标准版)包括 1 GB 的目录对象存储空间。此容量最多可支持 5,000 个用户或 30,000 个目录对象,包括用户、群组和计算机。AWS Microsoft AD(企业版)包含 17 GB 的目录对象存储空间,最多可支持 100,000 个用户或 500,000 个对象。

        有关更多信息,请参阅 AWS Directory Service FAQs

      • 域名 FQDN:您的 AMS 托管 AD 域名的 FQDN。

      • 域 NetBIOS 名称:您的 AMS 托管 AD 域的 NetBIOS 名称。

      • 您希望与托管 AD 集成的 AMS 标准账户的账号(AMS 配置从 AMS 标准账户的 AD 到托管 AD 的单向信任)

      • 是否需要修改活动目录架构?如果需要,需要进行哪些修改?

      • 默认情况下,会配置两个域控制器。你还需要更多吗? 如果是,你需要多少?出于什么原因?

    • 托管活动目录的联网信息:

      • 域控制器的托管 AD VPC CIDR(托管 AD 域控制器的私有子网范围内的 CIDR):

        • 域控制器的子网 CIDR 1:[您的 CIDR,必须是 AMS 托管 AD VPC CIDR 的一部分]

        • 域控制器的子网 CIDR 2:[您的 CIDR,必须是 AMS 托管 AD VPC CIDR 的一部分]

        例如:

        • 托管 AD VPC CIDR:192.168.0.0/16

        • 域控制器的 CIDR 1:192.168.1.0/24

        • 适用于域控制器的 CIDR 2:192.168.2.0/24

        为避免 IP 地址冲突,请确保您指定的托管 AD VPC CIDR 与您在公司网络中使用的任何其他私有子网 CIDR 不冲突。

      • VPN 技术(可选):[Direc Connect/Direct t Connect 和 VPN]

        • 您的网关的 BGP 自治系统编号 (ASN):[客户提供的 ASN]

        • 网关外部接口的互联网可路由的 IP 地址,该地址必须是静态的:[客户提供的 IP 地址]

        • 您的 VPN 连接是否需要静态路由:[是/否]

  2. AMS 为您提供 AD 环境的管理员账户密码,并要求您重置密码,这样 AMS 工程师就无法再访问您的 AD 环境了。

  3. 要重置管理员帐户密码,请使用 Active Directory 用户和计算机 (ADUC) 连接到您的 Active Directory 环境。ADUC 和其他远程服务器管理工具 (RSAT) 应在您在非 AMS 基础架构上配置的管理主机上安装和运行。Microsoft 有保护此类管理主机的最佳实践。有关信息,请参阅实现安全的管理主机。您可以使用这些管理主机来管理 Active Directory 环境。

  4. 在日常操作中,AMS 会管理 AWS 账户 直到 AWS Directory Service 方面的事情;例如 VPC 配置、AD 备份、AD 信任的创建和删除等。您使用和管理您的 AD 环境;例如,用户创建、群组创建、群组策略创建等。

有关最新的 RACI 表,请参阅 “查看服务说明” 中的 “角色和职责” 部分。