AMS 受管 Active Directory - AMS 進階使用者指南

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AMS 受管 Active Directory

AMS 現在提供稱為 Managed Active Directory (又稱為 Managed AD) 的新服務,可讓 AMS 處理 Active Directory (AD) 基礎設施操作,同時讓您控制 Active Directory 管理。

Managed AD 的 AMS 支援類似於 Amazon Relational Database Service (Amazon RDS) 的 AMS 支援。在這兩種情況下, AWS (包括 AMS) 都支援建立和管理執行服務的基礎設施,同時執行存取控制和所有管理功能。此模型具有下列優點:

  • 限制安全風險: AWS 且 AMS 不需要網域的管理權限。

  • 直接整合:您可以使用目前的授權模型並與 AD 整合,而不需要與 AMS 連接。

備註

  • AMS 和您都無法存取 Managed AD 網域控制站,因此網域控制站上無法安裝任何軟體。這很重要,因為不允許在網域控制站上安裝軟體的第三方解決方案。

    存取的運作方式如下:

    • AWS Directory Service 團隊:可存取網域控制站。

    • AMS:可存取 Directory Service APIs以在網域上執行特定動作。這些動作包括拍攝 AD 快照、變更 AD 結構描述和其他動作。

    • 您:可存取網域 (AD) 以建立使用者、群組等。

  • 我們建議您在遷移公司 AD 之前先在 Managed AD 上執行概念驗證,因為並非所有來自傳統 AD 環境的功能都可在 Managed AD 環境中使用。

  • AMS 不會管理 AD 管理或提供有關 AD 管理的指導。例如,AMS 不會提供有關組織單位結構、群組政策結構、AD 使用者命名慣例等的指導。

它的運作方式如下:

  1. 除了您的 AMS 帳戶之外,AMS 還會 AWS 帳戶 為您加入新的 ,並透過 AWS Directory Service 佈建 Active Directory (AD) 環境 (另請參閱什麼是 AWS Directory Service?)。

    以下是系統整合商需要從您收集的資訊,以便 AMS 加入 Managed AD:

    • 帳戶資訊

      • 為 AMS 受管 AD: AWS 帳戶 number AWS 帳戶 建立之 的帳戶 ID

      • 要加入 Managed AD 的區域: AWS 區域

    • 受管 Active Directory 資訊:

      • Microsoft AD Edition:Standard/Enterprise。AWS Microsoft AD (Standard Edition) 包含 1 GB 的目錄物件儲存。此容量最多可支援 5,000 個使用者或 30,000 個目錄物件,包括使用者、群組和電腦。AWS Microsoft AD (Enterprise Edition) 包含 17 GB 的目錄物件儲存體,最多可支援 100,000 個使用者或 500,000 個物件。

        如需詳細資訊,請參閱 AWS Directory Service FAQs

      • 網域 FQDN:AMS Managed AD 網域的 FQDN。

      • 網域 NetBIOS 名稱:AMS Managed AD 網域的 NetBIOS 名稱。

      • 您想要 Managed AD 整合的 AMS 標準帳戶帳號 (AMS 會設定從 AMS 標準帳戶的 AD 到 Managed AD 的單向信任)

      • 是否需要修改 Active Directory 結構描述,如果需要,要修改什麼?

      • 根據預設,會佈建兩個網域控制站。您需要更多嗎? 如果是這樣,您需要多少?原因是什麼?

    • 受管 Active Directory 資訊的聯網:

      • 網域控制站的 Managed AD VPC CIDR (Managed AD 網域控制站私有子網路範圍內的 CIDR):

        • 網域控制站的子網路 CIDR 1:【您的 CIDR 需要屬於 AMS Managed AD VPC CIDR】

        • 網域控制站的子網路 CIDR 2:【您的 CIDR 需要屬於 AMS Managed AD VPC CIDR】

        例如:

        • Managed AD VPC CIDR:192.168.0.0/16

        • 網域控制器的 CIDR 1:192.168.1.0/24

        • 網域控制器的 CIDR 2:192.168.2.0/24

        為了避免 IP 地址衝突,請確定您指定的 Managed AD VPC CIDR 不會與您公司網路中使用的任何其他私有子網路 CIDR 衝突。

      • VPN 技術 (選用):【Direct Connect/Direct Connect 和 VPN】

        • 閘道的 BGP 自治系統編號 (ASN):【客戶提供的 ASN】

        • 閘道外部界面的網際網路可路由 IP 地址,地址必須為靜態:【客戶提供的 IP 地址】

        • 您的 VPN 連接是否需要靜態路由:【是/否】

  2. AMS 為您提供 AD 環境的管理員帳戶密碼,並要求您重設密碼,以便 AMS 工程師無法再存取您的 AD 環境。

  3. 若要重設管理員帳戶密碼,請使用 Active Directory 使用者和電腦 (ADUC) 連線至您的 Active Directory 環境。ADUC 和其他遠端伺服器管理工具 (RSAT) 應該安裝在您在非 AMS 基礎設施上佈建的管理主機上並執行。Microsoft 有保護此類管理主機的最佳實務。如需詳細資訊,請參閱實作安全管理主機。您可以使用這些管理主機來管理 Active Directory 環境。

  4. 在日常操作中,AMS 最多會管理物件的 AWS 帳戶 AWS Directory Service 端;例如,VPC 組態、AD 備份、AD 信任建立和刪除等。您可以使用並管理您的 AD 環境;例如,使用者建立、群組建立、群組政策建立等。

如需最新的 RACI 資料表,請參閱《請參閱服務描述》中的「角色與責任」一節。